SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
12 Окт 2015

Kemoge маскируется под правильные приложения

Google потратила время на удаление из Google Play вредоносных приложений, среди которых есть и некоторые популярные программы. На первый взгляд эти приложения всего лишь неуемно показывают рекламу, но на деле они могут стать более вредоносными.

Google уже «снесла» приложение для файлообмена под названием ShareIt от разработчика Чжаня Луна (Zhang Long) из Китая, который публиковал в Google Play соответствующую требованиям версию, но размещал на сторонних сайтах вредоносную версию ПО.

Та, которая была размещена в Google Play, обращалась к тем же C&C-серверам, что и вредоносные копии, но «хорошая» версия была лишена восьми root-эксплойтов, которые нацеливались на определенные Android-устройства ряда  разработчиков или же эксплуатировали общие уязвимости на уровне ядра. Кампанию, получившую название Kemoge, по имени C&C-домена (aps[.]kemoge[.]net), обнаружили специалисты FireEye.

Исследователи заявили, что для Kemoge характерны следующие особенности поведения: один образец удаляет антивирус с устройства, из-за чего атакующий может перехватить контроль над устройством. В FireEye говорят о жертвах более чем в 20 странах, и некоторые из них имеют отношение к критически важным отраслям, даже к правительственным организациям.

Приложения, которые перепакованы вместе с образцом Kemoge, включают следующие: Smart Touch, Calculator, Talking Tom, Light Browser, Privacy Lock, Easy Locker, а также некоторые приложения для взрослых. Зловред собирает информацию об устройстве и посылает на командный сервер, а затем начинает агрессивно «кормить» пользователя рекламой соответственно его поведению. FireEye упоминает о случаях демонстрации нежелательной рекламы даже на домашнем экране. Восемь root-эксплойтов, используемых зловредом, вызывают особенное беспокойство, так как хакеры могут использовать их для загрузки, установки и запуска нежелательных приложений на зараженном устройстве.

«Эксплойты применимы к широкому спектру устройств, но root-эксплойты не всегда таковы. Некоторые root-эксплойты действительно ориентированы на конкретные устройства (например, motochopper разработан специально для девайсов Motorola), но существуют и такие, которые обеспечивают root-доступ к многим моделям смартфонов, — так, эксплойт put_user используется против непропатченных устройств Samsung, HTC, Motorola и т.д., — говорит исследователь Ю Лун Чжан (Yulong Zhang). — Такие эксплойты нацелены не на определенные модели устройств, а на некоторые уязвимые версии ядра». FireEye уже уведомила Google о подозрительных приложениях, которые ставят под угрозу безопасность пользователей.

«Это приложение разработано тем же автором, который создал несколько образцов Kemoge и побеспокоился о том, чтобы убрать эксплойты из «приличной» версии приложения. ShareIt обращался с тем же командным сервером, но только загружал на устройства рекламу, а этого недостаточно для доказательства его «вредоносности». Но он имеет логические алгоритмы для самостоятельного обновления и способность загружать другие вредоносные приложения, так что потенциально может «перейти на темную сторону», если такие инструкции поступят от C&C-сервера, — говорит Чжан. — Некоторые пользователи сообщали о случаях, когда приложение устанавливалось на устройства, даже если владелец не нажимал кнопку «Установить» в Google Play. Это является четким индикатором того, что разработчик пытался использовать приложение некорректным образом — например, распространять его через нелегальные каналы (в том числе через установку другим вредоносным приложением)».

При установке Kemoge инсталлирует ряд компонентов для обеспечения устойчивости и получения root-доступа. Например, он регистрирует MyReceiver в AndroidManifest, который, в свою очередь, устанавливает еще один компонент — MyService, а тот маскируется под легитимный код Google, так как имеет префикс com.google. My Register, как говорит Чжан, следит за сигналами устройства, чтобы поймать момент, когда пользователь разблокировал его, и дожидается загрузки девайса. Затем компонент запускается каждый раз, когда пользователь осуществляет какие-либо действия на устройстве.

MyService же запускается при помощи MyRegister и является демоном, который осуществляет мониторинг активности пользователя и связывается с управляющим сервером для получения команд на загрузку вредоносного компонента AndroidRTService.apk, а также на извлечение root.sh, busybox, su и root-эксплойтов. «Эти два компонента служат для того, чтобы постоянно контролировать активность на смартфоне, — говорит Чжан. — C&C-сервер работает до сих пор».

Теги:
Kemoge утечка информации
Источник:
Threatpost
1562
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015