Різне

Телефонні закладки і безпеку мобільного пристрою, Інформаційна безпека,

21.02.2017

Телефонні закладки і безпеку мобільного пристрою

Телефонні закладки і безпеку мобільного пристрою, Інформаційна безпека,

Павло Іванов

директор з розвитку бізнесу,

ТОВ «Грін Хед»

З допомогою телефонних закладок можна, наприклад, забезпечити в потрібний момент часу витоку персональної інформації, порушити її цілісність або вивести мобільний телефон з ладу, заблокувавши його.

Телефонні закладки — це непомітні користувачеві частини ПЗ, встановленого на пристрій, які в будь-який момент часу дають можливість втручатися в його роботу.

Схема атаки може виглядати наступним чином: зловмисник завантажує вихідні коди цікавить його гри, додає в код необхідні функції, а потім поширює гру через свої канали. Навіть установка ліцензованого ПЗ, яке пройшло перевірку компанією-виробником ОС або мобільного пристрою, не гарантує відсутності у вихідному коді недокументованих функцій, які здійснюють будь-які неправомірні дії стосовно користувача. Більше того, такі компанії, як Google і Apple, збирають інформацію про місцезнаходження користувачів і ідентифікаторів Wi-Fi-пристроїв, їх оточуючих. Досить зайти на потрібний сайт, ввести шуканий МАС-адресу, і можна подивитися на карті, де знаходиться людина, за яким ведеться спостереження.

Закладки для цілеспрямованих атак

Нерідко додаються спеціальні закладки для цілеспрямованих атак з можливістю віддаленого управління їх роботою. Змінюючи параметри роботи закладок, зловмисник може використовувати користувачів заражених пристроїв в шахрайських схемах без їх відома. Яскравим прикладом може служити шкідлива програма Android.Anzhu, яка здатна змінювати конфігурацію закладок і керувати смартфоном.

Вихідним кодом сприяє появі великої кількості сторонніх open-source проектів і програм. Сьогодні зловмисник може відносно легко написати додаток, таємно відправляє SMS-повідомлення з вашого мобільного телефону на платні номери. Але ще цікавіше вбудувати цей функціонал в повноцінну гру або, наприклад, калькулятор. Тоді у власника пристрою не буде ніяких думок про загрозу його рахунку, так як подібний додаток не тільки таємно відправляє повідомлення, але і видаляє інформацію про це в журналі з’єднань.

Android.Anzhu — це бекдор-програма (adware), яка встановлюється зловмисником на мобільний пристрій жертви для подальшого отримання безперешкодного доступу до нього. Троян володіє дуже широким набором функцій, серед яких збір персональних даних власника телефону, включаючи геолокаційні координати і IMEI (міжнародний ідентифікатор мобільного обладнання).

Шкідлива програма вбудована в Screen Off And Lock — відоме додаток, призначене для блокування екрану і виключення смартфона одним дотиком без використання кнопки живлення. Після установки на екрані мобільного пристрою разом з іконкою програми створюється додатковий значок для її запуску в режимі налаштувань — Configure Screen Off And Lock.

Потрапивши в пристрій Android.Anzhu може змінювати, додавати або видаляти закладки в браузері мобільного телефону, а також встановлювати без відома користувача різні сторонні додатки. Android.Anzhu може змінити їх системні привілеї і запустити виконання. Розміщуючи в закладках браузера посилання на шкідливі сайти і змінюючи їх атрибути, правопорушник може використовувати власників заражених пристроїв в шахрайських схемах.

Android.Anzhu може відслідковувати зміни в системному журналі Android, наприклад отримувати інформацію про події, пов’язані з запуском і відкриттям вікон різних додатків.

Ще одна проблема, з якою може зіткнутися власник телефону з впровадженої закладкою, — це крадіжка пароля до мобільного клієнт-банку. Це стало можливим через непродуманість систем аутентифікації і нехтування питанням безпеки на користь швидкості розробки і впровадження послуг. Якщо на сайті інтернет-банку (а таке буває) відсутній двофакторна аутентифікація, то додаток-жучок на телефоні атакується може, наприклад, виконати приховану відправку SMS з метою встановлення нового пароля. При цьому всі проміжні службові повідомлення по SMS від інтернет-банку (наприклад, повідомлення про зміну пароля) будуть перехоплюватися жучком і видаляються з системи. І навіть якщо в інтернет-банку присутній аутентифікація з відправкою додаткового коду підтвердження щодо SMS, то сучасні професійні закладки навчилися долати і цю перешкоду. У цьому випадку жучок має парсер вхідних SMS, знаходить потрібний код і так само потай від жертви відправляє його інтернет-банку. В результаті гроші втрачені.

Програми-шпигуни

Також в мережі Інтернет стали з’являтися програми-шпигуни. За помірну суму грошей такий жучок буде збирати будь-яку конфіденційну інформацію користувача і непомітно відправляти її зловмисникові.

Правила обережності

  • Встановлювати додатки тільки з перевірених джерел або з офіційних сайтів розробників.
  • Уважно стежити за оновленнями, які вам пропонують. Якщо ви намагаєтеся оновити Android-додаток і отримуєте повідомлення про те. що його неможливо встановити, швидше за все оновлення підроблене і підписана іншою підписом (саме тому програма не може оновитися).
  • Перевіряти список дозволів перед установкою. Цілком можливо, що в заражене додаток додали кілька небезпечних дозволів.
  • Незайвим буде мати на своєму мобільному телефоні антивірусну програму, яка відстежить проникнення зловмисника у ваш телефон.

найпростіший метод впровадження закладки в додаток — це модифікація вихідного коду. Частіше вихідний код загальнодоступний тільки у вільно розповсюджуваних програмах, яких не так багато на сьогоднішній день.

Якщо ж вихідний код безпосередньо не доступний, існує другий варіант впровадження закладки — змінити безпосередньо файл програми .арк.

Файл арк — це звичайний zip-архів, що містить виконуваний код, маніфест, цифровий підпис і файли ресурсів. В першу чергу цікавий код, який зберігається у файлі classes.dex. Замість звичайної віртуальної машини Java в Android використовується спеціальна віртуальна машина Dalvik.

Формат dex — це формат виконуваних файлів для Dalvik. Досвідченому вирусописателю цілком під силу впровадити шкідливий код у вже скомпільований код, причому можна не просто додати свої класи, але і змінити вже існуючі, повністю змінивши логіку роботи програми. Крім самих класів і необхідних ресурсів, у файлі classes.dex зберігаються підпис і контрольна сума, які потрібно буде поміняти після внесених змін.

Також необхідно прописати необхідні зміни Android-Manifest.xml: додати потрібні дозволи або, наприклад, оголосити додані сервіси. Але і тут існують труднощі, так як в арк файл маніфесту зберігається в зашифрованому вигляді. Для того щоб розшифрувати маніфест, можна скористатися утилітою android-apktool.

Після зміни виконуваного коду і маніфесту додаток підписується інший підписом. Крім того, можливо автоматизувати впровадження закладки і «заражати» програми вже безпосередньо на пристрої.

В закладках може міститися що завгодно, такі програми можуть робити все, що їм дозволить система:

  • можливість відправляти платні SMS-повідомлення і здійснювати дзвінки на платні номери;
  • записувати дзвінки;
  • доступ до особистої інформації (контактів, SMS-повідомленнями);
  • нанесення шкоди безпосередньо ОС та ін

Таким чином, навіть невинне на перший погляд додаток або іграшка для мобільного пристрою може залишити без телефону. Шкідлива закладка дає можливість зловмисникам в буквальному сенсі управляти зараженим пристроєм віддалено. Зокрема, виконувати на ньому команди, що відправляються з сервера зловмисників, встановлювати різні програми, а також змінювати налаштування в браузері телефону. Більш того, не виключена можливість залучення власника телефону в шахрайські схеми без його відома.

Щоб уникнути неприємностей і убезпечити свій смартфон від зловмисників, будьте пильні і дотримуйтеся простих правил інформаційної безпеки.

Опубліковано: Журнал «Information Security/ Інформаційна безпека» #6, 2012

Короткий опис статті: classes dex Інформаційна безпека: ФСТЕК, інсайдери, шифрування, ЕЦП Інформаційна безпека, ФСТЕК, інсайдери, шифрування, ЕЦП

Джерело: Телефонні закладки і безпеку мобільного пристрою — Інформаційна безпека;

Також ви можете прочитати