Livejournal Facebook Twitter
Ковры хлопок, ковер из овчины за 3555руб в интернет магазине 5000 ковров.

Про угрозы под Android

Валентин Холмогоров

Так уж вышло, что, будучи сотрудником отдела антивирусных разработок и исследований компании «Доктор Веб», я принимал непосредственное участие в процессе подготовки вот этой новости и был свидетелем всех предшествовавших ее публикации событий. Новость незамедлительно расползлась по Интернету и вызвала целую волну дискуссий на тему угроз для Android вообще и троянца Android.Plankton - в частности. Пример такой дискуссии можно увидеть вот здесь, особенно радуют комментарии пользователей. Люди ну просто жгут напалмом :). Что ж, раз уж я завел себе блог, не поленюсь написать и на эту волнующую общественность тему. На всякий случай отмечу, что все, что изложено ниже, это моя персональная и глубоко личная точка зрения как частного лица, она не имеет никакого отношения к официальной позиции компании «Доктор Веб» и не может быть использована со ссылкой на компанию. Это на всякий случай. Итак,

Как мы ловили сердитых птичек 

Прежде всего, лично меня глубоко удивили полные трагизма высказывания некоторых пользователей насчет того, что «вот, наконец, и появился троянец под Android, какой ужас!». Удивили, поскольку это отнюдь не «ужас», а «ужас-ужас». Потому как только через мои руки за последние несколько дней прошло аж целых три вирусняка под Android, один из которых оказался руткитом, использовавшим те же уязвимости системы, что и DroidDream (Да! Самый настоящий руткит под ОС на ядре Linux, кто бы мог подумать!), а второй предназначался для отсылки SMS на платные номера без ведома юзера. Так что по сравнению с ними по степени вредоносности Plankton - это вообще детская шалость, в новости он попал только благодаря массовости распространения. Кстати, насчет распространения: некоторые владельцы устройств на базе Android публично сокрушались, что троянец разошелся по миру благодаря инфицированному приложению, размещенному на официальном Android Market'e. Спешу успокоить взволнованных пользователей: предположительно таких приложений было... не менее десяти. Видимо, имел место взлом аккаунтов разработчиков. Вот названия этих пакетов, если кому интересно: com.crazyapps.angry.birds.rio.unlocker, com.crazyapps.gun.bros.cheat.unlock.all.purchases.helper, com.crazyapps.shake.to.fake.call, com.crazyapps.favorite.games.backup, com.crazyapps.angry.birds.multi.user, com.crazyapps.angry.birds.cheater.trainer.helper, com.crazyapps.time.limit.kids.users.bring.me.back.my.dr. Почему мы упомянули только об Angry Birds Rio Unlocker? Ну, во-первых, именно в эту программу был встроен полученный нами образец вредоносного ПО (а мы не публикуем  непроверенную информацию), во-вторых, ее скачивали с «маркета» чаще всего, а в-третьих, все остальные предположительно инфицированные приложения были оперативно удалены с «Андроид Маркета» сотрудниками «гугля», и проверять их все поголовно ни у кого не было времени (и желания ,)). К тому же, сигнатуру угрозы оперативно добавили в базы, а значит, антивирус будет детектировать ее в любом зараженном файле. Кто установил - тот защищен. Не реклама. :).

Первыми Android.Plankton обнаружили американцы из лаборатории компьютерных исследований Университета Северной Каролины, и тут же опубликовали об этом ревью на своем сайте (http://www.cs.ncsu.edu/faculty/jiang/Plankton/). Я незамедлительно связался с сотрудником кафедры и автором статьи, мистером Цзяном (Xuxian Jiang), и попросил его выслать нам образец инфицированной программы, тот любезно согласился, за что лично от меня ему огромное человеческое спасибо. Однако поскольку у нас с Северной Каролиной имеется, прямо скажем,  «небольшая» разница во времени, к тому моменту как мы получили сэмпл, аналитикам уже удалось кое-что нарыть самостоятельно. Естественно, как только в мой почтовый ящик упал файлик с инфицированной программулькой Angry Birds Rio Unlocker, мы с аналитиками накинулись на него с невиданным энтузиазмом и принялись весело потрошить. Здесь хочу отдать должное моим уважаемым коллегам, справившимся с поставленной задачей блестяще и просто в рекордные сроки.

Первым делом мы попытались запустить бяку на эмуляторе, но тут нас ждал коварный облом: троянец передавал на удаленный сервер в качестве одного из параметров «device id=unknown» и получал от него отлуп. Хитрый, зараза. Вывод очевиден: надо инфицировать реальное устройство. С этой целью по очереди использовалось несколько смартфонов и планшетник, работающий под управлением «Андроида»: мы подцепили их по wi-fi к серверу, на котором подняли анализатор трафика, и начали внимательно следить за ситуацией. Фишка троянца заключается в том, что для запуска Angry Birds Rio Unlocker требовалось отыграть в «Angry Birds» как минимум один уровень. Слили игру, поставили.  Замечательное занятие - швырять птичек в рабочее время, особенно, когда тебе платят за это деньги :). Всю жизнь мечтал о такой работе :). Кстати, в большинстве англоязычных обзоров (видимо, скопированных со статьи г-на Цзяна) упоминалось о том, что троянец получает от удаленного сервера URL для загрузки вредоносных файлов. Так вот это не совсем верно: наш анализ кода показал, что URL намертво вшит в ресурсы троянца, а с сервера он запрашивает только имена файлов - видимо, создатели этой пакости надеялись впоследствии расширить ее функциональность, варьируя «полезную нагрузку». Вообще, было бы интересно, если бы он динамически получал и парсил урл... Простите, отвлекся. В общем, на реальном устройстве Android.Plankton начал функционировать именно так, как мы от него и ожидали - принялся весело качать вредоносное файло с удаленного узла. Ура, заработало! Можно добавлять сигнатуры в базы!

Вот так мы победили «птичек».

Про угрозы для Android вообще

Вся полемика вокруг вредоносных программ под Android в целом сводится к тому, что:

А) Это линух, а под линух вирусов не может быть, потому что не может быть никогда

Б) Во всем виноваты криворукие пользователи, дающие приложениям слишком много привилегий

В) Вредоносного ПО под мобильные платформы мало, и потому угроза слишком раздута и завышена

Г) Вирусы пишут сами создатели антивирусного ПО.

По поводу последнего пункта я дискутировать не стану - трудно переубедить некоторых скудных умом и альтернативно одаренных товарищей в том, что заговор мирового правительства - это миф, инопланетяне не следят за нами с Луны, а соседи за стенкой не облучают их мозгоплавительными лучами через микроволновку. Насчет всех остальных пунктов напишу пару слов. Начнем с конца списка.

Вредоносных программ под Android много, и скоро станет еще больше. Значительно больше. Тот, кто думает иначе, мягко говоря, недальновиден. Не потому, что вендоры как-то заинтересованы в этом процессе - успеть бы разгрести то, что приходит самотеком. Причина в другом: мобильные платформы - это живые деньги. Если стрясти балабосов с пользователя ОС для настольных ПК не так-то просто, например, для этого нужно сначала заблокировать винду, а потом заставить юзера доползти до терминала оплаты или набрать и отослать SMS, то тут все значительно проще - можно веером слать короткие сообщения на платные номера, крутить рекламу, делать тайком от пользователя звонки в «секс по телефону», скачивать всякие платные мелодии и прочий контент, списывая потихоньку деньги со счета, он и не заметит. Слишком сладкая приманка для вирусописателей. Это деньги, живые деньги, большие деньги. Емкость этого теневого рынка просто огромна. И он будет освоен, причем стремительно. Мы это наблюдаем сейчас вживую.

И даже то, что Android базируется на ядре Linux, создателей троянцев не остановит. Да, жесткая система управления доступом, да, надежность... Кстати, вы видели, как в Андроиде реализована поддержка Java? :) Что же касается «криворуких пользователей», то в отличие от классического Linux, ОС Android - это массовая операционная система. Она рассчитана на обычного, рядового, среднестатистического владельца смартфона, который может даже не знать такого термина, как «системная платформа». Все, что от него требуется - это умение давить на интуитивно понятные кнопки. И потому когда локальная игрушка, запускаясь на выполнение, потребует от него доступа к SMS, интернету, списку контактов, личным данным и холодильнику на кухне, он нажмет «Ок» не задумываясь, потому что просто не поймет, что все эти слова означают.  Он и не должен этого понимать, он - пользователь. От слова «использовать». В общем, как только Linux начал понемногу выходить из стадии забавной игрушки для бородатых носителей свитеров в оленях, и стал превращаться в широко используемую ОС, под него начали появляться вирусы. Это объективный процесс. Просто стадия эволюции.

Вообще, все эти споры про необходимость принимать какие-то меры для обеспечения информационной безопасности пользователей Android, то есть, полемика на тему ставить или не ставить антивирусное ПО, очень и очень сильно напоминает мне мою собственную молодость, год эдак 91-й тире 93-й. Прямо де жа вю, честное слово. Тогда в нашем институте стояли сверхмощные персональные компьютеры: «Искра 1030» и «ЕС-1842», дома у меня имелся «Поиск». Жестких дисков не было: MS-DOS грузили с пятидюймовой дискетки, куда помещался еще Norton Commander и компилятор С. Оперативки - 640 килобайт. Черно-белые дисплеи CGA. Сейчас любой паршивый китайский телефон по вычислительной мощности превосходит те компьютеры как минимум на порядок.

А еще были вирусы. Я даже помню парочку: один писался в ни то в autoexec.bat, ни то в config.sys и переворачивал экран «нортона» вверх тормашками, другой наигрывал дисководом «подмосковные вечера», третий издавал из pc-спикера неприличные звуки... И еще был антивирус Лозинского. Единственный, кажется, в те времена. И уже тогда раздавались с мест грозные выкрики: зачем на персоналках антивирусное ПО? Занимает место, жрет память! Вирусы никогда - слышите, никогда!!! - не станут настоящей угрозой для пользователей! За компами сидят только профессионалы, прошедшие специальные курсы и выучившие команды DOS, они знают наизусть всего Фигурнова! Что, трудно вручную вычистить дискетку? Да там всего 720 килобайт! Что, трудно запомнить наизусть имена всех системных файлов MS-DOS и вручную проверить автозагрузку? Трудно запомнить размер command.com? Да фигня все это! Для персоналок существует всего три вируса! Ну ладно, пять. В общем, создатели антивирусных программ - мошенники! На костер их!

Не буду никого переубеждать. Пусть ярые противники антивирусных программ для мобильных платформ останутся при своем мнении. Пусть считают себя профессионалами, способными организовать закат солнца вручную и предотвратить любую возможную угрозу. Верю, что они не качают из интернета софт и не смотрят порнуху. Верю, что они досконально знакомы с архитектурой операционной системы и знают наизусть все ее уязвимости. Верю. Давайте поговорим с ними об этом... Ну, хотя бы лет через пять. Ага?

UPD: Ну вот, сегодня поймали еще четыре штуки .

Поиск

Энциклопедия Windows - Winpedia.ru Русское сообщество пользователей Android Дистанционное обучение нового поколения

Верстка, контент, дизайн © 2000 - 2017, Валентин Холмогоров.