По данным Cheetah Mobile, вредоносное ПО Ghost Push до сих пор собирает урожаи на полях Android, хотя его дебют состоялся почти два года назад. Исследователи попытались выяснить, почему Ghost Push и другие троянцы столь плодовиты, несмотря на усилия по сокращению масштабов угрозы.

В опубликованной в минувшую пятницу блог-записи Cheetah представлены результаты анализа основных источников мобильных троянцев. Исследование еще раз подтвердило, что причина большинства таких заражений — загрузки, осуществляемые вне Google Play. Согласно статистике Cheetah, на долю троянцев приходится 1% ежедневных загрузок приложений, общее число которых измеряется миллионами. Среди троянских программ пальму первенства по числу заражений держит Ghost Push.

Активность Ghost Push заметно возросла в 2015 году, когда такие заражения, особенно в России, начали множиться со скоростью до 600 тыс. в сутки. Зловред попадал на мобильные устройства в комплекте с легитимным приложением и в этом виде даже мог проникнуть на Google Play. Этот троянец примечателен прежде всего тем, что способен получать права root на зараженном устройстве. Авторы Ghost Push также заботятся о его защите, совершенствуя обфускацию и техники сокрытия в системе.

По наблюдениям Cheetah, после ужесточения защиты Google Play троянские программы, в том числе Ghost Push, стали чаще распространяться через вредоносные ссылки, публикуемые на специализированных сайтах. Как показала статистика, все 12 топовых троянизированных программ, раздаваемых таким способом, несут представителя семейства Ghost Push.

Тем не менее во многих случаях определить источник Android-троянца не удается. «Согласно статистике, около трети приложений загружается и устанавливается на телефоны пользователей без очевидного инсталлятора, а значит, их источник невозможно отследить, — пишут исследователи. — К сожалению, большинство мобильных троянцев исходят из таких неопределяемых источников».

Большинство вредоносных URL, изученных в Cheetah, представляют собой сокращенную ссылку; в тех случаях, когда удавалось ее развернуть, она оказывалась привязанной к рекламному, порно-, пиратскому сайту или к блогу. Исследователи полагают, что часть вредоносных загрузок также может осуществляться через рекламные сообщения, встроенные в приложения.

При активации мошеннической ссылки пользователю чаще прочих отдаются троянизированные приложения Wireless Optimizer и WiFi Master Pro, способные осуществлять рутование и показывать вредоносную рекламу. Наибольшее количество заражений Ghost Push и другими мобильными троянцами обнаружено в Малайзии, Вьетнаме и Колумбии.

«Претерпев несколько обновлений рутовальщика, данный троянец [Ghost Push] обрел возможность получать права суперпользователя на всех версиях Android, кроме Android 6.0», — констатирует Cheetah. Согласно отчету Trend Micro, к осени прошлого года было создано более 20 новых вариантов этого зловреда, которые распространялись через  600+ приложений, выложенных на сторонних сайтах.

Публикуя отчет о безопасности Android по результатам 2015 года, Google отметила, что зафиксированное на тот момент массовое заражение Ghost Push произошло из-за компрометации OTA-инфраструктуры азиатской компании, услугами которой пользуются производители Android-устройств и операторы сотовой связи.

Категории: Аналитика, Вредоносные программы, Главное