В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
С помощью телефонных закладок можно, например, обеспечить в нужный момент времени утечку персональной информации, нарушить ее целостность или вывести мобильный телефон из строя, заблокировав его.
Телефонные закладки - это незаметные пользователю части ПО, установленного на устройство, которые в любой момент времени дают возможность вмешиваться в его работу.
Схема атаки может выглядеть следующим образом: злоумышленник скачивает исходные коды интересующей его игры, добавляет в код необходимые функции, а затем распространяет игру через свои каналы. Даже установка лицензированного ПО, которое прошло проверку компанией-производителем ОС или мобильного устройства, не гарантирует отсутствия в исходном коде недокументированных функций, которые совершают какие-либо неправомерные действия в отношении пользователя. Более того, такие компании, как Google и Apple, собирают информацию о местоположении пользователей и идентификаторов Wi-Fi-устройств, их окружающих. Достаточно зайти на нужный сайт, ввести искомый МАС-адрес и можно посмотреть на карте, где находится человек, за которым ведется наблюдение.
Нередко добавляются и специальные закладки для целенаправленных атак с возможностью удаленного управления их работой. Изменяя параметры работы закладок, злоумышленник может использовать пользователей зараженных устройств в мошеннических схемах без их ведома. Ярким примером может служить вредоносная программа Android.Anzhu, которая способна менять конфигурацию закладок и управлять смартфоном.
Android.Anzhu - это бэкдор-программа (backdoor), которая устанавливается злоумышленником на мобильное устройство жертвы для дальнейшего получения беспрепятственного доступа к нему. Троян обладает очень широким набором функций, среди которых сбор персональных данных владельца телефона, включая геолокационные координаты и IMEI (международный идентификатор мобильного оборудования).
Вредоносная программа встроена в Screen Off And Lock - известное приложение, предназначенное для блокировки экрана и выключения смартфона одним прикосновением без использования кнопки питания. После установки на экране мобильного устройства вместе с иконкой программы создается дополнительный значок для ее запуска в режиме настроек - Configure Screen Off And Lock.
Попав в устройство, Android.Anzhu может изменять, добавлять или удалять закладки в браузере мобильного телефона, а также устанавливать без ведома пользователя различные сторонние приложения. Android.Anzhu может изменить их системные привилегии и запустить выполнение. Размещая в закладках браузера ссылки на вредоносные сайты и меняя их атрибуты, правонарушитель может использовать владельцев зараженных устройств в мошеннических схемах.
Android.Anzhu может отслеживать изменения в системном журнале Android, например получать информацию о событиях, связанных с запуском и открытием окон различных приложений.
Еще одна проблема, с которой может столкнуться владелец телефона с внедренной закладкой, - это кража пароля к мобильному клиент-банку. Это стало возможным из-за непродуманности систем аутентификации и пренебрежения вопросом безопасности в пользу скорости разработки и внедрения услуг. Если на сайте интернет-банка (а такое бывает) отсутствует двухфакторная аутентификация, то приложение-жучок на телефоне атакуемого может, например, выполнить скрытую отправку SMS с целью установки нового пароля. При этом все промежуточные служебные уведомления по SMS от интернет-банка (к примеру, уведомление о смене пароля) будут перехватываться жучком и удаляться из системы. И даже если в интернет-банке присутствует аутентификация с отправкой дополнительного кода подтверждения по SMS, то современные профессиональные закладки научились преодолевать и это препятствие. В этом случае жучок имеет парсер входящих SMS, находит в них нужный код и так же скрытно от жертвы отправляет его интернет-банку. В результате деньги потеряны.
Также в сети Интернет стали появляться программы-шпионы. За умеренную сумму денег такой жучок будет собирать любую конфиденциальную информацию пользователя и незаметно отправлять ее злоумышленнику.
Правила предосторожности
Самый простой метод внедрения закладки в приложение - это модификация его исходного кода. Чаще исходный код общедоступен только в свободно распространяемых программах, которых не так много на сегодняшний день.
Если же исходный код непосредственно не доступен, существует второй вариант внедрения закладки - изменить непосредственно файл приложения .арк.
Файл арк - это обыкновенный zip-архив, содержащий исполняемый код, манифест, цифровую подпись и файлы ресурсов. В первую очередь интересен код, который хранится в файле classes.dex. Вместо обычной виртуальной машины Java в Android используется специальная виртуальная машина Dalvik.
Формат dex - это формат исполняемых файлов для Dalvik. Опытному вирусописателю вполне под силу внедрить вредоносный код в уже скомпилированный код, причем можно не просто добавить свои классы, но и поменять уже существующие, полностью изменив логику работы программы. Кроме самих классов и необходимых ресурсов, в файле classes.dex хранятся подпись и контрольная сумма, которые нужно будет поменять после внесенных изменений.
Также необходимо прописать требуемые изменения Android-Manifest.xml: добавить нужные разрешения или, к примеру, объявить добавленные сервисы. Но и здесь существуют трудности, так как в арк файл манифеста хранится в зашифрованном виде. Для того чтобы расшифровать манифест, можно воспользоваться утилитой android-apktool.
После изменения исполняемого кода и манифеста приложение подписывается другой подписью. Кроме того, возможно автоматизировать внедрение закладки и "заражать" приложения уже непосредственно на устройстве.
В закладках может содержаться что угодно, такие приложения могут делать все, что им позволит система:
Таким образом, даже безобидное на первый взгляд приложение или игрушка для мобильного устройства может оставить пользователя без телефона. Вредоносная закладка дает возможность злоумышленникам в буквальном смысле управлять зараженным устройством удаленно. В частности, выполнять на нем команды, отправляемые с сервера злоумышленников, устанавливать различные приложения, а также изменять настройки в браузере телефона. Более того, не исключена возможность вовлечения владельца телефона в мошеннические схемы без его ведома.
Чтобы избежать неприятностей и обезопасить свой смартфон от злоумышленников, будьте бдительны и соблюдайте простые правила информационной безопасности.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2012