`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Зафиксирован первый зловред для Android с инъекцией кода

12 июня 2017 г., 13:45
0 
 
Зафиксирован первый зловред для Android с инъекцией кода

В апреле специалисты «Лаборатории Касперского» зафиксировали активность нового троянца-рутовальщика, распространявшегося через магазин Google Play. В отличие от других рутовальщиков, он не только устанавливает свои модули в системе, но и внедряет вредоносный код в системные библиотеки среды выполнения. Продукты «Лаборатории Касперского» детектируют его как Trojan.AndroidOS.Dvmap.a.

Распространение рутовальщиков через Google Play — явление не новое. Например, троянец Ztorg с сентября 2016 г. загружался на Google Play почти сто раз. Однако, Dvmap — это очень особенный рутовальщик: в нем используется целый ряд новых методов. Но самое интересное, что он внедряет вредоносный код в системные библиотеки libdmv.so или libandroid_runtime.so.

Таким образом, получается, что Dvmap — это первый зловред для Android, который внедряет вредоносный код в системные библиотеки во время выполнения. На момент подготовки текста троянец был скачан из магазина Google Play уже более 50 тыс. раз. «Лаборатория Касперского» сообщила о троянце в Google, и его убрали из магазина.

Чтобы обойти проверку на безопасность приложений, выкладываемых в Google Play, создатели троянца использовали очень интересный прием: загрузив в конце марта 2017 г. в магазин «чистое» приложение, они потом несколько раз публиковали вредоносное обновление к нему. Вредоносная версия публиковалась ненадолго — обычно в тот же день в магазин возвращалась «чистая» версия программы. В период с 18 апреля по 15 мая такая замена произошла по крайней мере 5 раз.

Троянец использует целый ряд очень опасных приемов, в частности патчит системные библиотеки и устанавливает в систему вредоносные модули с функциональностью, отличной от функциональности исходных модулей. Судя по всему, его основная цель — закрепиться в системе и выполнить загруженные файлы с root-правами. При этом за время исследования таких файлов с командного сервера не поступило.

Данный троянец сообщает практически о каждом своем действии злоумышленникам. Это наводит на мысль, что злоумышленники все еще тестируют своего троянца, ведь некоторые из используемых им приемов могут вывести зараженное устройство из строя. При этом троянцем уже заражено довольно много устройств, так что у злоумышленников есть где тестировать свои методы.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT