Блог о безопасности

февраль 2013
Приложения для Android с нежелательной функциональностью
1 февраля 2013, 15:30

В одном из постов мы уже рассказывали про опасные обновления, когда пользователю при переходе на сайт предлагается обновить ПО Opera Mini, Flash Player и т.д. Особенно это актуально для пользователей смартфонов на базе Android, так как эта платформа позволяет легко устанавливать приложения из сторонних источников. Один из способов обезопасить себя – установка приложений только из Play Market, Amazon App StoreYandex.Store и других надёжных источников. Но даже установка приложений из Play Market не гарантирует безопасности.


Сейчас часть приложений в Play Market не просто является клоном популярных приложений (или плагинов и тем для популярных приложений), но при этом обладает посторонней функциональностью, используемой для фишинга и агрессивной рекламы.
Например, при поиске тем для популярной программы работы с смс GoSMS Pro на первых позициях результатов поиска присутствуют темы от автора Workshop Theme:



То, что приложение имеет недокументированные функции, видно уже по разрешениям, которые оно запрашивает перед началом установки:



Очевидно, что для программы, устанавливающей новую тему оформления, такие полномочия избыточны.


При установке темы пользователю устанавливается также дополнительный сервис, который показывает рекламу из партнерской программы AirPush прямо в строке уведомлений. И, что хуже всего, он также создает фишинговые уведомления о якобы пришедших смс:



При нажатии на любое такое уведомление открывается браузер и происходит скачивание apk-файла. Подобные «обновления» для Android, предлагаемые в рекламе, в большинстве своем являются подделкой под Google Play.



Одно из таких приложений при установке собирает данные о смартфоне, шифрует их при помощи AES на содержащемся в приложении ключе и отправляет на удаленный сервер:



После этого оно отправляет несколько смс на короткий номер, что приводит к списанию средств со счета пользователя:



К сожалению, далеко не все антивирусы детектируют подобные приложения.


По данным сервиса VirusTotal на 15.01.2013, семпл с темой GoSMS Pro детектируют 7 антивирусов из 45.


Семпл Fake Play Market на момент сканирования 15.01.2013 по данным сервиса VirusTotal детектируют 5 антивирусов из 46.


Чтобы не стать жертвой подобных атак, помните:

  1. Перед установкой приложения из Play Market читайте отзывы других пользователей. Зачастую другие пользователи уже попались на подобную уловку и сообщают об этом в комментарии к приложению. Впрочем, злоумышленники тоже могут писать положительные комментарии и ставить высокие оценки.
  2. При установке приложений внимательно просматривайте список запрашиваемых разрешений.
    Само по себе наличие рекламы в формате AirPush не означает того, что приложение является вредоносным, но подобную рекламу злоумышленники часто используют для фишинга.

Считаете ли вы, что программы с подобной функциональностью – вредоносные, и что с ними нужно бороться?

3 комментария
Активность злоумышленников при распространении вредоносного кода за 2012 год
4 февраля 2013, 09:31

По данным команды «Безопасного поиска Яндекса», за 2012 год активность злоумышленников осталось по-прежнему высокой.
Количество предупреждений в результатах поиска в 2012 году, по сравнению с данными на 2011 год, уменьшилось всего на 0,4%. За прошедший год набрали популярность новые схемы, предназначенные для монетизации трафика и получения трафика.

Так, для монетизации трафика в 2012 году часто использовались мобильные редиректы с опасными обновлениями и сайты-локеры. Для получения трафика самой популярной оказалась схема с использованием методов перебора паролей для административных панелей CMS. Это вызвало эпидемию с массовым заражением сайтов под управлением WordPress.

Также появились новые способы распространения вредоносного ПО. Злоумышленники стали распространять вредоносные флеш-баннеры и начали активно применять способ распространения вредоносного кода с использованием зараженных бинарных файлов веб-серверов. Стали чаще использоваться уязвимости в сторонних продуктах, таких как Java Runtime Environment и Adobe Reader. Исходя из этого поведенческий анализатор приобрел новый компонент детектирования вредоносных PDF-файлов.

За время работ компонента было проверено более 2 600 000 PDF файлов, а зараженных вредоносных PDF-файлов найдено более 200 000. В 2012 году злоумышленники стали распространять зараженные программы не только с использованием уязвимостей в браузерах и сторонних продуктах, но и через софт-порталы и порталы, с которых можно скачать ПО для мобильных устройств. Для того чтобы обезопасить пользователей, команда «Безопасного поиска Яндекса» 14 декабря 2012 года запустила алгоритм, позволяющий предупреждать пользователей о загрузке опасных файлов.

Прогресс не стоит на месте, и злоумышленники всегда находят новые способы добычи и монетизации трафика, а также способы распространения вредоносных программ. Команда «Безопасного поиска Яндекса» старается всегда своевременно предупреждать пользователей Яндекса об угрозах и предлагает вашему вниманию наше видео для владельцев сайтов о том, как позаботиться о безопасности сайта с помощью сервиса Яндекс.Вебмастер.



5 комментариев
исследования
Детектор сайтов, заражающих компьютеры посетителей с помощью вредоносных Java-апплетов
27 февраля 2013, 12:48

Как мы уже рассказывали, сейчас более чем в 2/3 случаев опасные сайты заражают компьютеры пользователей, загружая в браузер вредоносные Java-апплеты. Такое заражение может происходить при регулярном обновлении браузера, в некоторых случаях – даже если используется ОС не от Microsoft. Если на компьютере нет виртуальной машины Java, заражённый сайт «заботливо» предложит установить её версию с уязвимостью, после чего повторно атакует компьютер пользователя.


Чтобы обнаруживать сайты, использующие этот способ заражения, Яндекс запустил специальный поведенческий детектор вредоносного кода для Java-приложений. Он позволяет детектировать обфусцированный вредоносный код, который использует самые популярные на сегодняшний день уязвимости JRE. В результате с начала февраля было обнаружено более четырех тысяч зараженных сайтов, суммарная посещаемость которых до заражения достигала 1,5 млн. пользователей в сутки. На графике показано количество сайтов, использующих вредоносные Java-апплеты, которые выявляются системой ежедневно:

 




Одним из наиболее актуальных способов распространения вредоносного кода на сегодняшний день являются Java-эксплойты, которые встречаются в любом эксплойт-паке. Такая популярность обусловлена несколькими факторами:


• использование Oracle Java более чем на 3 миллиардах компьютеров;
• кроссплатформенность эксплойтов;
• относительная простота эксплуатации уязвимостей;
• в большинстве случаев Java-плагин включен в браузере.

Java-эксплойты обрели широкую популярность у злоумышленников из-за большого количества логических уязвимостей в Java. Такие уязвимости позволяют выполнить произвольный код незаметно для пользователя, потому что их использование обычно не сопровождается падением процессов браузера или виртуальной машины Java. С 2010 года злоумышленники использовали для заражения уязвимости CVE-2010–0806, CVE-2010–4452, CVE-2011–3544, CVE-2012-0500 и CVE-2012-4681, а с самого начала 2013 года стали активно использовать новую уязвимость СVE-2013-0433.

 

Рассмотрим СVE-2013-0433. Суть этой уязвимости заключается в том, что при помощи уязвимого метода com.sun.jmx.mbeanserver.MBeanInstantiator.findClass можно получить ссылку на класс из любого пакета по имени класса. Однако конструктор класса MBeanInstantiator является приватным и не может быть вызван напрямую. Нужная ссылка на объект класса MBeanInstantiator содержится в экземпляре класса com.sun.jmx.mbeanserver.JmxMBeanServer и может быть получена при помощи метода getMBeanInstantiator.


Класс JmxMBeanServer имеет публичный конструктор. Таким образом чтобы повысить свои привилегии, достаточно выполнить:
javax.management.MBeanServer ms =
com.sun.jmx.mbeanserver.JmxMBeanServer.newMBeanServer("any", null, null, true);
com.sun.jmx.mbeanserver.MBeanInstantiator mi =
((com.sun.jmx.mbeanserver.JmxMBeanServer)ms).getMBeanInstantiator(
Class clazz = mi.findClass("some.restricted.class.here", (ClassLoader)null);


Чтобы заразить компьютер пользователя, злоумышленники размещают на зараженной веб-странице вредоносный код, например:

 


После посещения страницы происходит цепочка редиректов:


Посмотреть на Яндекс.Фотках

В итоге пользователь перенаправляется на страницу с эксплойтами:


Посмотреть на Яндекс.Фотках

При наличии уязвимой версии Java, вредоносный апплет 887.jar повышает свои привилегии в системе, загружает и запускает вредоносную программу.

 

По данным сервиса VT на 12.02.2013, рассмотренный вредоносный апплет детектируют 5 антивирусов из 40, а устанавливаемое с его помощью вредоносное ПО не детектирует ни один антивирус из 40.

 

Злоумышленники почти всегда обфусцируют или шифруют вредоносный код внутри Java-апплетов, что позволяет им обходить сигнатурные методы детектирования. Так, рассматриваемый образец после декомпиляции имеет вид:



Посмотреть на Яндекс.Фотках

Все строковые константы, встречающиеся в данном апплете, обфусцированы, имена переменных и классов изменены на случайные. В апплете эксплуатируется описанная уязвимость СVE-2013-0433:



Посмотреть на Яндекс.Фотках



Чтобы избежать заражения, мы рекомендуем:

 

  • использовать актуальные версии ПО, обязательно обновлять Java и другие плагины;
  • отключить в браузере запуск Java-апплетов по умолчанию, и подтверждать их запуск только для доверенных сайтов;
  • использовать обычные антивирусы и следить за регулярностью обновления антивирусных баз;
  • ознакомиться с рекомендациями Яндекса по безопасности в Сети и следовать им.


Команда Безопасного Поиска Яндекса

153 комментария
запуски,Java