Новый вид рекламного троянца встраивается в код популярных Android-приложений, получает права суперпользователя на устройстве и позволяет своим создателям зарабатывать по $2 с каждой установки.

Shuanet ведет себя как вредоносное ПО и родственен другим adware-семействам, в том числе Kemoge и Shedun, — они также получают права суперпользователя и орудуют на системном уровне мобильного устройства.

По словам исследователей из компании Lookout, специализирующейся на безопасности мобильных устройств, 20 тыс. из общего количества зловредов, относящихся к этим трем семействам, распространяются через троянские приложения, скачиваемые из сторонних магазинов Android.

«Adware-приложения, демонстрирующие навязчивую мобильную рекламу, продолжают усложняться и все чаще используют троянские методики, — отметили эксперты из Lookout. — Эта тенденция не может не беспокоить».

В Lookout подозревают, что между тремя семействами рекламных программ много общего помимо методов распространения. Например, части кода у различных вариантов этих зловредов совпадают, также они используют одни и те же эксплойты. Жертвами рекламных троянцев стали пользователи из США, Германии, России, Ирана, Индии, Ямайки, Судана, Бразилии, Мексики и Индонезии.

«Чтобы получить права суперпользователя, каждое из обнаруженных рекламных приложений использует публично доступные эксплойты, — пишут исследователи. — Например, Kemoge идет в комплекте по крайней мере с восемью эксплойтами, чтобы завладеть как можно большим числом устройств».

Те, кто стоит за атаками Shuanet, Shedun и Kemoge, перепаковывают легитимные приложения, в том числе Facebook, Twitter, WhatsApp и ряд других популярных программ, внедряя вредоносный код, а затем публикуя их в сторонних магазинах и репозиториях. Все приложения, содержащие код рекламного ПО, полностью сохраняют свою функциональность, но при этом пользователи получают агрессивную и навязчивую рекламу и не могут избавиться от напасти даже после сброса до заводских настроек.

«Что еще хуже, пользователи, скорее всего, не смогут деинсталлировать приложение — им придется либо обращаться к специалистам, либо покупать новый девайс», — сетуют в Lookout.

Помимо приложений широкого спроса рекламный зловред поразил программу Okta, которая используется для двухфакторной аутентификации и защиты устройства. В Lookout, однако, отметили, что разработчики зловреда не догадались похитить с его помощью данные пользователей Okta.

«Если посмотреть на методы распространения зловреда, то становится очевидно, что все три семейства автоматически перепаковывают тысячи популярных приложений с официальных магазинов типа Google Play, — пишут исследователи. — Интересно, что из списка «целей» исключены антивирусные программы, что говорит о тщательном планировании всех трех кампаний».

Учитывая, что джейлбрейк и рутинг в последнее время вызывают все больше беспокойства, компаниям стоит обратить внимание на эту негативную тенденцию — среди приложений, зараженных рекламным ПО, имеются и корпоративные.

«Если зловред получает права суперпользователя, владелец устройства не всегда сможет контролировать, какие именно приложения получают доступ к системному уровню. Благодаря повышенным привилегиям некоторые из этих приложений могут скомпрометировать конфиденциальные и критичные данные», — предупреждают исследователи.

Таким образом, используемая злоумышленниками модель не только позволяет им обогащаться за счет платы за установку, но и открывает возможность для повышения привилегий и проведения других атак.

«Мы считаем, что со временем такие троянские приложения только усложнятся и через получение прав суперпользователя смогут заражать другие мобильные устройства, повышать привилегии других мобильных зловредов, позволяя им записывать и читать данные в системных директориях, а также лучше маскировать свою активность», — говорится в отчете Lookout.

Категории: Вредоносные программы