Троянец Android.InfectionAds хозяйничает на мобильных устройствах без ведома пользователей

15 апрель, 2019 - 14:07

Вирусные аналитики компании «Доктор Веб» исследовали троянца Android.InfectionAds.1, который использует несколько уязвимостей в ОС Android. С их помощью он заражает программы, а также может устанавливать и удалять приложения без участия пользователей. Другая функция Android.InfectionAds.1 – показ рекламы.

Злоумышленники встраивают троянца в изначально безобидное ПО, модифицированные копии которого затем распространяются через популярные сторонние каталоги Android-приложений – например, Nine Store и Apkpure. В частности он был обнаружен в таких играх и программах как HD Camera, ORG 2018_19 \Tabla Piano Guitar Robab Guitar, Euro Farming Simulator 2018 и Touch on Girls. Некоторые из них установили по меньшей мере несколько тысяч владельцев смартфонов и планшетов. Однако число зараженных приложений и пострадавших пользователей может оказаться намного больше.

Троянец Android.InfectionAds хозяйничает без ведома пользователей

При запуске программы, в которую внедрен троянец, тот извлекает из своих файловых ресурсов вспомогательные модули, после чего расшифровывает их и запускает. Один из них предназначен для показа надоедливой рекламы, а другие используются для заражения приложений и автоматической установки ПО.

Android.InfectionAds.1 перекрывает рекламными баннерами интерфейс системы и работающих приложений, мешая нормальной работе с устройствами. Кроме того, по команде управляющего сервера троянец может модифицировать код популярных рекламных платформ Admob, Facebook и Mopub, которые используются во многих программах и играх. Он подменяет уникальные рекламные идентификаторы собственным идентификатором, в результате чего вся прибыль от показа рекламы в зараженных приложениях поступает вирусописателям.

Android.InfectionAds.1 эксплуатирует критическую уязвимость CVE-2017-13315 в ОС Android, которая позволяет троянцу запускать системные активности. В результате он может автоматически устанавливать и удалять программы без вмешательства владельца мобильного устройства. При создании троянца использован демонстрационный код (PoC – Proof of Concept) китайских исследователей, который те создали для доказательства возможности эксплуатации этой системной бреши.

CVE-2017-13315 относится к классу уязвимостей, которые получили общее название EvilParcel. Их суть заключается в том, что ряд системных компонентов содержит ошибку, из-за которой при обмене данными между приложениями и операционной системой возможно их видоизменение. Конечное значение специально сформированного фрагмента передаваемых данных будет отличаться от первоначального. Таким образом, программы способны обходить проверки операционной системы, получать более высокие полномочия и выполнять действия, которые ранее были им недоступны. На данный момент известно о семи уязвимостях такого типа, однако их число со временем может возрасти.

Используя EvilParcel, Android.InfectionAds.1 устанавливает скрытый внутри него apk-файл, который содержит все компоненты троянца. Кроме того, аналогичным образом Android.InfectionAds.1 способен инсталлировать собственные обновления, которые он загружает с управляющего сервера, а также любые другие программы, в том числе и вредоносные. Например, при анализе троянец скачал с сервера и установил вредоносную программу Android.InfectionAds.4, которая является одной из его модификаций.

Наряду с EvilParcel троянец эксплуатирует и другую уязвимость ОС Android, известную под названием Janus (CVE-2017-13156). C использованием этой системной бреши он заражает уже установленные приложения, внедряя в них свою копию. Android.InfectionAds.1 подключается к управляющему серверу и получает от него список программ, которые ему необходимо заразить. Если же соединиться с удаленным центром ему не удалось, он инфицирует приложения, которые указаны в его первоначальных настройках. В зависимости от модификации троянца этот список может содержать различные позиции.

При заражении программ троянец добавляет свои компоненты в структуру apk-файлов, не изменяя их цифровую подпись. Затем он устанавливает модифицированные версии приложений вместо оригиналов. Поскольку из-за уязвимости цифровая подпись инфицированных файлов остается прежней, программы инсталлируются как их собственные обновления. При этом установка также выполняется с использованием уязвимости EvilParcel без участия пользователя. В результате атакованные программы продолжают нормально работать, но содержат в себе копию Android.InfectionAds.1, которая незаметно функционирует вместе с ними. При заражении приложений троянцу становятся доступны их данные. Например, при инфицировании WhatsApp ― переписка пользователя, а при инфицировании браузера ― сохраненные в нем логины и пароли.

Единственный способ избавиться от троянца и восстановить безопасность зараженных программ – удалить содержащие его приложения и вновь установить их заведомо чистые версии из надежных источников, таких как Google Play.