Google не стесняется докладывать об успехах в деле повышения безопасности Android. Популярная мобильная ОС постоянно совершенствуется, чтобы противостоять вредоносным приложениям и атакам.

На саммите ИБ-аналитиков (SAS), в очередной раз проведенном «Лабораторией Касперского», Google приоткрыла завесу над тем, как она борется с программами-вымогателями путем отказа от некоторых API и функций, польза которых с течением времени стала сомнительной для пользователей, но при этом эти потенциальные возможности привлекают повышенное внимание киберзлоумышленников.

Вирусный аналитик ИБ-команды Android Елена Ковакина рассказала, что Google отследила в дикой природе 30 семейств вымогателей и собрала около 50 тыс. образцов вредоносных программ. Аналитики изучили эту выборку, чтобы понять, как ведут себя зловреды и какие процессы используют, а затем внесли надлежащие изменения в Android. По словам Ковакиной, целью этих действий было снижение экономической выгоды для атакующих.

«Им должно стать невыгодно создавать зловреды для Android, — подчеркнула Ковакина. — Поэтому, когда мы анализируем образец вредоносного ПО, мы наблюдаем за тем, что и как он делает, например какие API использует. Многие улучшения ОС произросли из особенностей типовых зловредов, исполняемых на устройстве».

Вымогатели для Android, как и для других мобильных платформ, достаточно редки. Вымогатели как угроза в большей степени нацелены на ПК Windows — в этой сфере темпы их развития поистине впечатляют. Программы-вымогатели быстро эволюционировали из зловредов, блокирующих экран компьютера, до программ, способных шифровать содержимое локального жесткого диска, общих сетевых директорий и NAS-накопителей. Некоторые семейства умеют даже шифровать компьютеры на уровне BIOS.

Но если посмотреть на сферу мобильных угроз, наиболее грозные атаки воздействуют на устаревшие версии Android. Например, в прошлом году злоумышленники эксплуатировали уязвимости в Android 4.x при помощи эксплойта Towelroot и заражали устройства вымогателем Cyber.Police. Зловред блокировал домашний экран устройства и требовал выкуп в виде подарочных сертификатов iTunes за разблокировку. Другие атаки вымогателей на Android-устройства также в целом ограничивались блокировкой экрана.

«Самое интересное состоит в том, что вымогатели по своей природе нарушают ключевые принципы экосистемы Android, — сказала Ковакина. — В Android есть хорошее понимание того, что должно и чего не должно делать приложение. Например, приложения не могут нарушать установленных «поведенческих норм» приложений и самого устройства. Но в случае с вымогателями это именно так. Приложения не могут наносить вред устройству или данным. Но вымогатели нарушают это правило, шифруя устройство. Возможность деинсталляции приложений должна иметь место, но вымогатели препятствуют этому».

По словам Ковакиной, Google в основном противодействовала развитию вымогателей путем депрекации некоторых API. Например, так был выведен из эксплуатации компонент Device Admin, который использовался 70% вымогателей для повышения привилегий.

Ковакина также рассказала, что Google была осведомлена о ряде вредоносных или потенциально опасных приложений, способных осуществлять подобие DoS-атаки на пользовательский интерфейс Android. Так, например, потенциально опасное приложение постоянно провоцирует вывод подсказки Device Admin, запрашивая привилегии администраторского уровня, пока пользователь не уступит и не согласится. В последней версии Android Nougat всплывающая подсказка Device Admin содержит опцию немедленного удаления приложения, демонстрирующего такое поведение.

«То есть мы воспользовались «энтузиазмом» зловреда, чтобы предоставить пользователю возможность сразу деинсталлировать приложение», — сказала Ковакина.

Версия Android O для разработчиков, вышедшая 21 марта, содержит усовершенствования, призванные сделать Android неуязвимой для вымогателей. Для пользователей более старых версий ОС Android Google изменила принципы работы сканера VerifyApps: теперь он способен блокировать установку вымогателей, а не просто ограничиваться предупреждением о потенциально вредоносном приложении.

Категории: аналитика, вредоносные программы, Главное, Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *