Korisnici Androida sve češće su žrtve malvera i adwarea koje je nemoguće ukloniti sa uređaja

Mobilni telefoni, 08.07.2020, 12:00 PM

Istraživači kompanije Kaspersky kažu da su na 14,8% Android uređaja koji su prošle godine bili na meti zlonamernog softvera (malvera) ili adwarea za mobilne uređaje ostali fajlovi koji se ne mogu obrisati.

Reč je o uređajima koji su pretrpeli infekciju sistemske particije, zbog čega su maliciozni fajlovi praktično bili “neizbrisivi”.

Malveri korišćeni u ovim napadima su različiti - od trojanaca koji mogu instalirati i pokretati aplikacije bez korisnikovog znanja, do manje opasnih, ali nametljivih aplikacija za reklamiranje.

“Infekcija sistemske particije podrazumeva visok nivo rizika za korisnike zaraženih uređaja, jer bezbednosno rešenje ne može da pristupi sistemskim direktorijumima, što znači da ne može ukloniti zlonamerne fajlove”, kažu istraživači.

Štaviše, istraživanjem je utvrđeno da većina uređaja sadrži preinstalirane podrazumevane aplikacije koje su takođe neizbrisive - broj korisnika pogođenih ovim aplikacijama varira od 1 do 5% onih sa jeftinijim uređajima i dostiže 27% u ekstremnim slučajevima.

“Infekcija se može dogoditi na dva načina: Pretnja dobija root pristup na uređaju i instalira adware u sistemskoj particiji ili kod za prikazivanje oglasa uđe u firmware uređaja pre nego što on uopšte dođe u ruke korisnika”, kažu istraživači.

U ovom drugom scenariju, to bi moglo dovesti do neželjenih posledica. Na primer, mnogi pametni telefoni imaju funkcije koje omogućavaju daljinski pristup uređaju. Ako se zloupotrebi, takva funkcija može dovesti do kompromitovanja podataka korisnikovog uređaja.

Među najčešćim vrstama zlonamernog softvera koje je Kaspersky pronašao instaliranog u sistemskoj particiji Android pametnih telefona su dva starija malvera: trojanci Lezok i Triada.

„Potonji je značajan po tome što je njegov oglasni kod ugrađen ne bilo gde, već direktno u libandroid_runtime - važnu biblioteku koju koriste gotovo sve aplikacije na uređaju“, navodi se u analizi Kaspersky Laba.

Međutim, analiza sistemskih aplikacija žrtava otkrila je širok spektar pretnji.

Agent trojanac, na primer, je malver koji se obično krije u aplikaciji koja upravlja grafičkim interfejsom sistema ili programom za podešavanja, bez kojeg pametni telefon ne može pravilno da funkcioniše. Zlonamerni softver isporučuje svoj payload koji može preuzimati i pokretati različite fajlove na uređaju.

Zatim, tu je trojanac Sivu, koji je ustvari dropper koji se maskira kao HTMLViewer aplikacija.

„Malver se sastoji od dva modula i može da koristi root dozvole na uređaju“, kažu iz Kaspersky Laba. „Prvi modul prikazuje oglase iznad drugih prozora i u notifikacijama. Drugi modul je backdoor koji omogućava daljinsko upravljanje pametnim telefonom. Njegove mogućnosti uključuju instaliranje, deinstaliranje i pokretanje aplikacija koje se mogu koristiti za tajno instaliranje i legitimnih i zlonamernih aplikacija, zavisno od ciljeva uljeza.”

Aplikacija Plague adware je još jedna pretnja koju je Kaspersky pronašao instaliranu u sistemskoj particiji. Izgleda kao legitimna sistemska usluga, nazvana Android Services ali zapravo može da preuzme i instalira aplikacije krišom od korisnika, kao i da prikazuje reklame u notifikacijama.

„Šta više, Plague.f može prikazivati oglase u SYSTEM_ALERT_WINDOW - iskačućem prozoru koji se nalazi iznad svih aplikacija“, objasnili su istraživači.

Trojanac Necro.d kada dobije instrukcije od servera za komandu i kontrolu (C2), može da preuzima, instalira, deinstalira i pokreće aplikacije. „Pored toga, programeri su odlučili da ostave backdoor za izvršavanje proizvoljnih shell komandi. Povrh toga, Necro.d može da preuzme uslužni program Kingroot sa “superuser” pravima tako da bezbednosni sistem OS-a ne ometa isporuku “veoma važnog” sadržaja za korisnika.”

Penguin, Facmod, Guerrilla, Virtualinst i Secretad se takođe često nalaze u sistemskim particijama mobilnih uređaja.

Što se tiče preinstaliranog reklamnog softvera, neki uređaji se isporučuju sa aplikacijom pod nazivom „AppStore“, za koju su istraživači Kaspersky Laba kažu da je izgleda skriveni adware koji može da se neprimećen učita i prikaže u nevidljivim prozorima. Istraživači su istakli da ovo troši mobilni internet i bateriju, ali aplikacija takođe može da preuzme i izvrši JavaScript kod.

“Naša analiza pokazuje da mobilni korisnici ne samo da su često napadnuti adwareom i drugim pretnjama, već njihov uređaj može biti u opasnosti i pre nego što su ga kupili”, rekao je Igor Golovin, istraživač bezbednosti kompanije Kaspersky, u izjavi za medije. „Kupci čak i ne sumnjaju da troše svoj novac na džepni pano. Neki prodavci mobilnih uređaja fokusiraju se na maksimiziranje profita pomoću alata za oglašavanje na uređajima, čak i ako ti alati uzrokuju neprijatnosti vlasnicima uređaja.”