Skąd się bierze złośliwe oprogramowanie na Androidzie?
-
- 07.12.2012
Google Android to jeden z najbardziej atakowanych systemów mobilnych w historii. Złośliwe oprogramowanie roznosi się niemal wyłącznie przez sklep z aplikacjami Google Play.
Pod koniec drugiego półrocza 2012 r. firma Google ogłosiła, że liczba urządzeń z systemem Android osiągnęła 400 mln, co stanowi 59% rynku smartfonów na świecie. Dla tego systemu powstało ponad 600 tys. aplikacji, przy czym każdy z telefonów i tabletów z Androidem domyślnie korzysta tylko ze sklepu z aplikacjami, niemniej można włączyć również instalację oprogramowania z niezaufanych źródeł, spoza sklepu. Łatwość napisania oprogramowania dla Androida oraz wyjątkowo niski koszt sprawiają, że jest to bardzo często atakowana platforma. Rosnące ryzyko związane ze złośliwym oprogramowaniem dla Androida sprawiło, że dostawcy narzędzi antywirusowych zdecydowali się na opracowanie antywirusa specjalnie dla tej platformy. Jako jedno z zabezpieczeń Google Play wprowadzono narzędzie "Google Bouncer", które skanuje nowe aplikacje, utrudniając publikację tych, które zostaną uznane za złośliwe.
Usuniemy złośliwe aplikacje
Podobnie jak w przypadku systemu Apple iOS, aplikacje pobrane ze sklepu mogą być zdalnie usunięte z telefonów, jeśli zawierają złośliwy kod. Użycie opcji "Remote Application Removal" oznacza de facto odinstalowanie aplikacji, a zatem jeśli wirus dokonał już szkód (np. zestawiając dobrze płatne połączenia premium rate), to może co najwyżej zapobiec podobnym zdarzeniom w przyszłości, spowodowanym przez to samo oprogramowanie.
Zobacz również:
- Użytkownicy Androida mogą się wkrótce zdziwić
- Android 15 jest już dostępny w wersji beta
- Nearby Sharing od Google - wygodny sposób na przesyłanie plików
Mechanizm uprawnień dla aplikacji
W system operacyjny wbudowany został mechanizm aplikacji, który informuje użytkownika, co oprogramowanie może zrobić. Zwykłe aplikacje zadowalają się maksymalnie kilkoma uprawnieniami, a złośliwe wymagają przeważnie bardzo długiej listy, którą trzeba zaakceptować przed instalacją. Obecnie jest to najpoważniejsza obrona przed złośliwym oprogramowaniem, ale użycie socjotechniki umożliwi obejście także i tego zabezpieczenia. Przykładowy sniffer SMS wykryty przez RSA wymagał aż dziewięciu różnych przywilejów w systemie - aplikacja była publikowana ze zwykłej strony, niepołączonej z żadnym ze sklepów z aplikacjami.
Należy jednak pamiętać, że aplikacja będąca payloadem może pozostać w telefonie aktywna nawet wtedy, gdy oryginalna, która posłużyła za nośnik, została usunięta (zdalnie lub przez użytkownika). Oznacza to, że wczesne wykrywanie złośliwego kodu staje się jeszcze ważniejsze, niż dotąd sądzono.
Badania przeprowadzone przez Departament Informatyki Uniwersytetu w Północnej Karolinie wskazują, że aż w 86% przypadków złośliwe oprogramowanie dla platformy Android jest przepakowane do normalnej aplikacji i razem z nią podlega dalszej dystrybucji. Pewna część złośliwego kodu przenosi się jako payload także razem z aktualizacjami różnych niegroźnych aplikacji.
Payload takich aplikacji bardzo się różni, ale zazwyczaj zawiera element z poniższej listy:
Sniffery SMS - aplikacje, które skrycie zbierają wiadomości SMS, wliczając w to także hasła jednorazowe do serwisów bankowości elektronicznej, i przekazują zebrane dane do serwera, będącego punktem zrzutu. Niektóre z nich ukrywają swoją działalność, wyłączając powiadomienia dźwiękowe związane z nadchodzącymi wiadomościami lub całkowicie ukrywają nowe SMS-y.
Dialery - Aplikacja instaluje się w telefonie i co jakiś czas wybiera połączenia lub wysyła wiadomości SMS do numerów o podwyższonej opłacie. Działanie dialerów wymaga współpracy z fałszywym sprzedawcą usług, by odzyskać pieniądze skradzione z kont abonentów. Użytkownicy zorientują się o infekcji dopiero wtedy, gdy otrzymają rachunek za usługi lub gdy stracą wszystkie pieniądze z konta w usłudze pre-paid.
Pozycjonery rankingowe SEO - aplikacje, które regularnie łączą się z wybranymi stronami www, by podwyższyć ich ranking w wyszukiwarkach. Są to jedyne z tej listy złośliwe programy, które wprost nie powodują kradzieży informacji ani pieniędzy, zajmują jedynie pasmo połączenia w sieci komórkowej lub Wi-Fi.
Okupanci - Aplikacje, które blokują telefon użytkownika i żądają wniesienia opłaty za odzyskanie przez właściciela kontroli nad urządzeniem.
Spyware - Aplikacje wysyłają do intruza (lub szpiega) informacje pozyskane z urządzenia ofiary, wliczając dane o lokalizacji GPS, przechwycone rozmowy telefoniczne, wiadomości SMS i e-maile, a także kontakty.
Klienci botnetów lub ich przyczółki - Aplikacje, które łączą się z centralnym serwerem zarządzanym przez przestępcę. Mogą być użyte do dalszego pobierania złośliwego oprogramowania, tak samo jak na pecetach z Windows. Dalsze infekcje mogą być związane z instalacją koni trojańskich, które mają na celu ataki przeciw bankowości elektronicznej. Cały proces jest centralnie kontrolowany przez cyberprzestępców za pomocą sieci serwerów.
