В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
Вредоносное ПО для мобильных устройств быстро прошло путь, занявший у компьютерных вирусов пару десятков лет.
История эксплуатации повышения привилегий на Android-устройствах берет истоки во времена версий 2.х этой ОС, когда получение рута было в основном уделом энтузиастов, занимающихся модификациями тогда еще довольно несовершенной системы. Они добавляли в свои устройства новые функции, изменяли их интерфейс. Затем, не в последнюю очередь благодаря популярным интернет-ресурсам, данная активность пошла в массы, привлекая пользователей, заинтересованных не только в модификации устройств, но и во взломе игр и приложений путем обхода встроенных механизмов покупки услуг или игровых ресурсов. Технологии повышения привилегий стали проще и доступнее: неподготовленному пользователю уже не нужно было настраивать свой компьютер и смартфон, вводить что-то в командную строку: достаточно было установить приложение, нажать в нем несколько кнопок и перезагрузить свой гаджет.
Буквально за три года от простых приложений, использующих код из учебников, мобильные зловреды полностью обрели "взрослую" функциональность:
Вскоре после этого над возможностью использования уязвимостей ОС Android, ее драйверов и системных приложений стали задумываться злоумышленники: сначала это были попытки скопировать код эксплуатации нескольких уязвимостей из упомянутых приложений для домашних пользователей. Благодаря тому, что за последние несколько лет было найдено и описано значительное количество таких уязвимостей в Android, в том числе с публичными примерами их эксплуатации (PoC), собраны готовые публичные библиотеки (SDK) для повышения привилегий и размещены с их открытым исходным кодом на ресурсах для программистов, данная функциональность быстро вошла в "джентльменский набор" современных мобильных вирусов. Последние образцы некоторых обнаруженных троянцев (таких как Hummer) содержат в коде эксплуатацию до 18 различных уязвимостей одновременно, в то время как компьютерные вирусы обычно ограничиваются тремя–четырьмя.
В результате об угрозе стали всерьез задумываться разработчики банковских и платежных приложений для мобильных устройств. К сожалению, в большинстве из них сейчас реализованы лишь простые проверки на наличие файла SU, являющегося лишь одним из признаков того, что на устройстве получены привилегии суперпользователя.
Первыми поставили на поток дело китайские вирусописатели, использующие вредоносное ПО для рекламной монетизации: к тому же, в Китае много устройств с доступными по умолчанию привилегиями суперпользователя (по некоторым оценкам, привилегии разблокированы на 80% устройств в Китае), а за ними подтянулись российские и немецкие создатели мобильных банковских троянцев и поддельных банковских приложений (Fake-Banker).
Конечно, мобильное вредоносное ПО отлично работает и без прав суперпользователя, однако с ними простор действий у зловредов гораздо больше:
В случае с уязвимостями приложений, домашних и серверных ОС все достаточно понятно: разработчики оперативно выпускают обновления, нужно вовремя установить новую версию программы или применить исправление.
С мобильными устройствами все гораздо хуже, поскольку у них есть своя специфика:
Таким образом, сейчас перед разработчиками мобильных приложений, особенно финансовых, в полный рост встает вопрос защиты от подобных угроз.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2016