Korisnici Androida sve češće su žrtve malvera i adwarea koje je nemoguće ukloniti sa uređaja

Mobilni telefoni, 08.07.2020, 12:00 PM

Korisnici Androida sve češće su žrtve malvera i adwarea koje je nemoguće ukloniti sa uređaja

Istraživači kompanije Kaspersky kažu da su na 14,8% Android uređaja koji su prošle godine bili na meti zlonamernog softvera (malvera) ili adwarea za mobilne uređaje ostali fajlovi koji se ne mogu obrisati.

Reč je o uređajima koji su pretrpeli infekciju sistemske particije, zbog čega su maliciozni fajlovi praktično bili “neizbrisivi”.

Malveri korišćeni u ovim napadima su različiti - od trojanaca koji mogu instalirati i pokretati aplikacije bez korisnikovog znanja, do manje opasnih, ali nametljivih aplikacija za reklamiranje.

“Infekcija sistemske particije podrazumeva visok nivo rizika za korisnike zaraženih uređaja, jer bezbednosno rešenje ne može da pristupi sistemskim direktorijumima, što znači da ne može ukloniti zlonamerne fajlove”, kažu istraživači.

Štaviše, istraživanjem je utvrđeno da većina uređaja sadrži preinstalirane podrazumevane aplikacije koje su takođe neizbrisive - broj korisnika pogođenih ovim aplikacijama varira od 1 do 5% onih sa jeftinijim uređajima i dostiže 27% u ekstremnim slučajevima.

“Infekcija se može dogoditi na dva načina: Pretnja dobija root pristup na uređaju i instalira adware u sistemskoj particiji ili kod za prikazivanje oglasa uđe u firmware uređaja pre nego što on uopšte dođe u ruke korisnika”, kažu istraživači.

U ovom drugom scenariju, to bi moglo dovesti do neželjenih posledica. Na primer, mnogi pametni telefoni imaju funkcije koje omogućavaju daljinski pristup uređaju. Ako se zloupotrebi, takva funkcija može dovesti do kompromitovanja podataka korisnikovog uređaja.

Među najčešćim vrstama zlonamernog softvera koje je Kaspersky pronašao instaliranog u sistemskoj particiji Android pametnih telefona su dva starija malvera: trojanci Lezok i Triada.

„Potonji je značajan po tome što je njegov oglasni kod ugrađen ne bilo gde, već direktno u libandroid_runtime - važnu biblioteku koju koriste gotovo sve aplikacije na uređaju“, navodi se u analizi Kaspersky Laba.

Međutim, analiza sistemskih aplikacija žrtava otkrila je širok spektar pretnji.

Agent trojanac, na primer, je malver koji se obično krije u aplikaciji koja upravlja grafičkim interfejsom sistema ili programom za podešavanja, bez kojeg pametni telefon ne može pravilno da funkcioniše. Zlonamerni softver isporučuje svoj payload koji može preuzimati i pokretati različite fajlove na uređaju.

Zatim, tu je trojanac Sivu, koji je ustvari dropper koji se maskira kao HTMLViewer aplikacija.

„Malver se sastoji od dva modula i može da koristi root dozvole na uređaju“, kažu iz Kaspersky Laba. „Prvi modul prikazuje oglase iznad drugih prozora i u notifikacijama. Drugi modul je backdoor koji omogućava daljinsko upravljanje pametnim telefonom. Njegove mogućnosti uključuju instaliranje, deinstaliranje i pokretanje aplikacija koje se mogu koristiti za tajno instaliranje i legitimnih i zlonamernih aplikacija, zavisno od ciljeva uljeza.”

Aplikacija Plague adware je još jedna pretnja koju je Kaspersky pronašao instaliranu u sistemskoj particiji. Izgleda kao legitimna sistemska usluga, nazvana Android Services ali zapravo može da preuzme i instalira aplikacije krišom od korisnika, kao i da prikazuje reklame u notifikacijama.

„Šta više, Plague.f može prikazivati oglase u SYSTEM_ALERT_WINDOW - iskačućem prozoru koji se nalazi iznad svih aplikacija“, objasnili su istraživači.

Trojanac Necro.d kada dobije instrukcije od servera za komandu i kontrolu (C2), može da preuzima, instalira, deinstalira i pokreće aplikacije. „Pored toga, programeri su odlučili da ostave backdoor za izvršavanje proizvoljnih shell komandi. Povrh toga, Necro.d može da preuzme uslužni program Kingroot sa “superuser” pravima tako da bezbednosni sistem OS-a ne ometa isporuku “veoma važnog” sadržaja za korisnika.”

Penguin, Facmod, Guerrilla, Virtualinst i Secretad se takođe često nalaze u sistemskim particijama mobilnih uređaja.

Što se tiče preinstaliranog reklamnog softvera, neki uređaji se isporučuju sa aplikacijom pod nazivom „AppStore“, za koju su istraživači Kaspersky Laba kažu da je izgleda skriveni adware koji može da se neprimećen učita i prikaže u nevidljivim prozorima. Istraživači su istakli da ovo troši mobilni internet i bateriju, ali aplikacija takođe može da preuzme i izvrši JavaScript kod.

“Naša analiza pokazuje da mobilni korisnici ne samo da su često napadnuti adwareom i drugim pretnjama, već njihov uređaj može biti u opasnosti i pre nego što su ga kupili”, rekao je Igor Golovin, istraživač bezbednosti kompanije Kaspersky, u izjavi za medije. „Kupci čak i ne sumnjaju da troše svoj novac na džepni pano. Neki prodavci mobilnih uređaja fokusiraju se na maksimiziranje profita pomoću alata za oglašavanje na uređajima, čak i ako ti alati uzrokuju neprijatnosti vlasnicima uređaja.”


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Apple brani svoju politiku instaliranja aplikacija: iPhone bi kao Android postao neotporan na malvere

Apple brani svoju politiku instaliranja aplikacija: iPhone bi kao Android postao neotporan na malvere

Apple je rekao da su privatnost i bezbednost razlozi zbog kojih ne dozvoljava korišćenje nezavisnih prodavnica aplikacija na iOS-u, ukazujući na ... Dalje

Nova studija otkriva: Android telefoni neprestano špijuniraju korisnike

Nova studija otkriva: Android telefoni neprestano špijuniraju korisnike

Nova studija tima univerzitetskih istraživača u Velikoj Britaniji otkrila je mnoštvo problema sa privatnošću koji nastaju upotrebom Android pamet... Dalje

Instalacija aplikacija kojih nema u Google Play prodavnici: Da li vam je to zaista neophodno?

Instalacija aplikacija kojih nema u Google Play prodavnici: Da li vam je to zaista neophodno?

Za korisnike Androida, instaliranje aplikacija iz Google Play prodavnice i samo iz Google Play prodavnice je mudar izbor. Sa svojim strogim bezbednosn... Dalje

Lažna upozorenja o infekciji inficiraju telefone malverom Flubot

Lažna upozorenja o infekciji inficiraju telefone malverom Flubot

Zloglasni malver FluBot, poznat po krađi lozinki, ima novu taktiku za infekciju Android uređaja. Sajber kriminalci sada pokušavaju da prevare koris... Dalje

Android trojanac ukrao stotine miliona evra od 10 miliona korisnika iz 70 zemalja

Android trojanac ukrao stotine miliona evra od 10 miliona korisnika iz 70 zemalja

Novi trojanac zarazio je uređaje više od 10 miliona korisnika iz preko 70 zemalja preko naizgled bezazlenih Android aplikacija koje bez njihovog zna... Dalje