Google потратила время на удаление из Google Play вредоносных приложений, среди которых есть и некоторые популярные программы. На первый взгляд эти приложения всего лишь неуемно показывают рекламу, но на деле они могут стать более вредоносными.
Google уже «снесла» приложение для файлообмена под названием ShareIt от разработчика Чжаня Луна (Zhang Long) из Китая, который публиковал в Google Play соответствующую требованиям версию, но размещал на сторонних сайтах вредоносную версию ПО.
Та, которая была размещена в Google Play, обращалась к тем же C&C-серверам, что и вредоносные копии, но «хорошая» версия была лишена восьми root-эксплойтов, которые нацеливались на определенные Android-устройства ряда разработчиков или же эксплуатировали общие уязвимости на уровне ядра. Кампанию, получившую название Kemoge, по имени C&C-домена (aps[.]kemoge[.]net), обнаружили специалисты FireEye.
Исследователи заявили, что для Kemoge характерны следующие особенности поведения: один образец удаляет антивирус с устройства, из-за чего атакующий может перехватить контроль над устройством. В FireEye говорят о жертвах более чем в 20 странах, и некоторые из них имеют отношение к критически важным отраслям, даже к правительственным организациям.
Приложения, которые перепакованы вместе с образцом Kemoge, включают следующие: Smart Touch, Calculator, Talking Tom, Light Browser, Privacy Lock, Easy Locker, а также некоторые приложения для взрослых. Зловред собирает информацию об устройстве и посылает на командный сервер, а затем начинает агрессивно «кормить» пользователя рекламой соответственно его поведению. FireEye упоминает о случаях демонстрации нежелательной рекламы даже на домашнем экране. Восемь root-эксплойтов, используемых зловредом, вызывают особенное беспокойство, так как хакеры могут использовать их для загрузки, установки и запуска нежелательных приложений на зараженном устройстве.
«Эксплойты применимы к широкому спектру устройств, но root-эксплойты не всегда таковы. Некоторые root-эксплойты действительно ориентированы на конкретные устройства (например, motochopper разработан специально для девайсов Motorola), но существуют и такие, которые обеспечивают root-доступ к многим моделям смартфонов, — так, эксплойт put_user используется против непропатченных устройств Samsung, HTC, Motorola и т.д., — говорит исследователь Ю Лун Чжан (Yulong Zhang). — Такие эксплойты нацелены не на определенные модели устройств, а на некоторые уязвимые версии ядра». FireEye уже уведомила Google о подозрительных приложениях, которые ставят под угрозу безопасность пользователей.
«Это приложение разработано тем же автором, который создал несколько образцов Kemoge и побеспокоился о том, чтобы убрать эксплойты из «приличной» версии приложения. ShareIt обращался с тем же командным сервером, но только загружал на устройства рекламу, а этого недостаточно для доказательства его «вредоносности». Но он имеет логические алгоритмы для самостоятельного обновления и способность загружать другие вредоносные приложения, так что потенциально может «перейти на темную сторону», если такие инструкции поступят от C&C-сервера, — говорит Чжан. — Некоторые пользователи сообщали о случаях, когда приложение устанавливалось на устройства, даже если владелец не нажимал кнопку «Установить» в Google Play. Это является четким индикатором того, что разработчик пытался использовать приложение некорректным образом — например, распространять его через нелегальные каналы (в том числе через установку другим вредоносным приложением)».
При установке Kemoge инсталлирует ряд компонентов для обеспечения устойчивости и получения root-доступа. Например, он регистрирует MyReceiver в AndroidManifest, который, в свою очередь, устанавливает еще один компонент — MyService, а тот маскируется под легитимный код Google, так как имеет префикс com.google. My Register, как говорит Чжан, следит за сигналами устройства, чтобы поймать момент, когда пользователь разблокировал его, и дожидается загрузки девайса. Затем компонент запускается каждый раз, когда пользователь осуществляет какие-либо действия на устройстве.
MyService же запускается при помощи MyRegister и является демоном, который осуществляет мониторинг активности пользователя и связывается с управляющим сервером для получения команд на загрузку вредоносного компонента AndroidRTService.apk, а также на извлечение root.sh, busybox, su и root-эксплойтов. «Эти два компонента служат для того, чтобы постоянно контролировать активность на смартфоне, — говорит Чжан. — C&C-сервер работает до сих пор».
