Для Android создано новое вредоносное ПО Plankton. Поражено 10 приложений из Android Market

11 июня 2011 года

В Android Market, официальном каталоге приложений для платформы Android, обнаружено десять приложений, содержащих в себе скрытый троянский код. Судя по статистике, данные приложения находятся в каталоге уже несколько месяцев и были загружены пользователями более 200 тысяч раз. В настоящее время программы удалены из каталога, для удаления вредоносного кода с телефонов компанией Google инициирована функция удаленной деактивации программ. Среди пораженных программ: Shake To Fake (Fake call), Angry Birds Rio Unlock, Angry Birds Cheater, Angry Birds Multi User, Favorite Games Backup, Call Ender, Bring Me Back My Droid, Chit Chat, Guess the Logo и Snake Kaka.

Суть работы обнаруженного вредоносного ПО, получившего имя Plankton, в том, что после установки зараженных программ, они отправляют идентификатор устройства на удаленный сервер и в ответ получают динамически сгенерированный код вредоносного ПО, которое после активации работает в скрытом режиме. Plankton использует особенности загрузки классов в виртуальной машине Dalvik для скрытия своего присутствия в системе.

Вредоносное ПО может выступать в роли узла ботнета, поддерживая набор вызываемых извне управляющих команд. Среди таких команд: отправка истории посещений, закладок, различных лог-файлов, установка и удаление ярлыков и т.п. Plankton также содержит функцию сбора информации об используемых на телефоне пользовательских аккаунтах и реализует поддержку динамической загрузки расширенных функций, которые могут быть использованы, например, для применения root-эксплоитов, в зависимости от модели телефона.

Кроме Plankton, зафиксировано еще три типа вредоносного ПО:

• YZHCSMS - активируется при установке зараженной программы и загружает с удаленного сервера список платных номеров, по которым начинает скрыто рассылать SMS. Получение списка и отправка сообщений возобновляется раз в 50 минут. При этом YZHCSMS получает контроль над входящими сообщениями и пытается отфильтровать поступающие от сотового оператора тексты, которые могут содержать информацию о состоянии счета. Число приложений, пораженных YZHCSMS, не называется, но некоторые из них находились в Android Market как минимум три месяца;
• DroidKungFu - в процессе активации для установки бэкдора используется две уязвимости в Android 2.2 и более ранних версиях платформы, после чего вредоносное ПО получает полный контроль над телефоном и пытается противостоять обнаружению антивирусными системами. DroidKungFu не только получает доступ ко всем данным на телефоне, но и может выступать в роли узла ботнета, принимая и выполняя удаленные команды. В ситуации использования более новой версии Android, DroidKungFu также активируется, но его функциональность ограничивается возможностью отправки некоторых пользовательских данных, таких как идентификатор телефона. Наличие инфицированных DroidKungFu приложений пока не зафиксировано в Android Market, такие программы найдены в ряде китайских локальных каталогов ПО (анализ программ из Android Market пока не завершен).
• DDLight - является модифицированным вариантом трояна DroidDream, поразившего в марте 56 приложений в Android Market. На этот раз в Android Market было зафиксировано 34 программы, зараженных вредоносным ПО DDLight, число загрузок которых оценивается от 30 до 120 тысяч. Программы относятся к разным категориям и созданы разными авторами. Изначально пораженные программы имели легитимный характер, но были заражены путем взлома аккаунтов разработчиков.

В отличие от DroidDream новый вариант трояна не требует от пользователя запуска программы для своей активации, так как код DDLight встраивается в обработчик входящих вызовов и получает управление при первом же телефонном звонке или SMS. После получения управления на удаленный сервер отправляются такие данные, как модель телефона, IMEI, IMSI и список установленных программ. DDLight также поддерживает доустановку дополнительных вредоносных модулей из сети, но при этом система выводит пользователю уведомление, что уменьшает опасность данной функции.

Стоит заметить, что перед началом установки программы для платформы Android инсталлятор явным образом предупреждает пользователя о задействовании в приложении дополнительных функций, таких как доступ к личной информации пользователя, отправка SMS, обращение к телефонному стеку или инициирование сетевых соединений. Тем не менее подавляющее большинство пользователей не обращает на такие предупреждения внимание и соглашается с иногда абсурдными требованиями, не свойственными назначению устанавливаемых приложений, например, когда пакет с заставкой для экрана требует доступа к SMS. Отчасти, требование доступа к сетевым ресурсам стало привычным явлением из-за использования в приложениях функций показа рекламы. При этом отследить, что кроме обращения к мобильным рекламным сетям приложение обращается к недокументированным ресурсам не так просто. Частичным выходом из сложившейся ситуации является интеграция в платформу дополнительных средств для контроля за поведением сторонних приложений, уже реализованных в таких специализированных прошивках, как TaintDroid.