Очередная
новость поступила из всё растущего мира вредоносного программного
обеспечения под операционную систему Android. Троян под названием
Backdoor.AndroidOS.Obad.a получил своё имя от зафиксировавшей его
лаборатории Касперского и представляет собой намного более сложную
конструкцию, чем большинство подобных программ на Android, используя
несколько ранее неизвестных уязвимостей операционной системы, обфускацию
(запутывание) кода и противодействуя попыткам деинсталляции.
Данный
троян может стать прототипом целого класса вирусов; попав в систему, он
умело скрывает своё присутствие до того момента, пока не становится
слишком поздно. Первая используемая им уязвимость связана с файлом
AndroidManifest.xml. Подобным файлом, рассказывающим о структуре и
компонентах программы, обладает каждое Android-приложение.
Рассматриваемый троян использует этот файл для того, чтобы скрыть свои
настоящие намерения и обеспечить установку приложения.
После
установки большая часть кода приложения остаётся в зашифрованном
состоянии, что затрудняет его обнаружение. Дешифрование компонентов кода
выполняется только при необходимости их использования. Так, адреса
управляющих серверов остаются зашифрованными до тех пор, пока не будет
подтверждено наличие доступа в Интернет.
Далее
троян начинаем использовать другую неизвестную до сих пор уязвимость в
функции Android Administrator. Некоторые приложения запрашивают доступ к
правам администратора, получая возможность блокировать экран, читать
уведомления и удалённо стирать данные с устройства. У Obad.a такой цели
нет, и административные права ему нужны, поскольку с ними троян не может
быть удалён.
Стандартные приложения,
которым пользователь дал административные права, в любой момент могут
быть лишены их и удалены. Однако, используемый трояном эксплоит не даёт
отображать его в списке приложений с административными правами, так что
пользователь, даже зная о наличии заражения, не способен удалить его. К
тому же, троян не обладает собственным интерфейсом, действуя в качестве
сервиса в фоновом режиме.
Обезопасив
себя столь изощрённым образом, троян приступает к типичной вредоносной
деятельности, отправляя куда не следует персональную информацию
пользователя, скачивая и устанавливая дополнительные вирусные
приложения, рассылая спам по контактам из адресной книги, в том числе
дорогостоящие премиальные СМС. Менее привычным видом деятельности
подобной программы является поиск
устройств с Bluetooth-соединением с целью пересылки на них собственных
копий. Если на заражённом устройстве доступны root-права, посредством
команд с удалённого сервера с ним можно сделать, по существу, всё что
угодно.
Таким образом, снова подтверждается растущая в кругах вирусописателей популярность Android и появление всё большего числа сложных программ, пользующихся его уязвимостями.