Sicherheitswoche 16: xHelper - Android Survival Trojan

Vor einer Woche, am 7. April, veröffentlichten Experten von Kaspersky Lab eine detaillierte Studie zum xHelper Android-Trojaner. Es wurde erstmals Mitte letzten Jahres entdeckt, die meisten Angriffe mit dem Malware-Konto für die Telefone russischer Benutzer. Seine bemerkenswerteste Eigenschaft ist die Fähigkeit zu überleben, selbst wenn das Telefon auf die Werkseinstellungen zurückgesetzt wird.

Der Trojaner wird häufig als Anwendung zum Reinigen und Beschleunigen eines Smartphones getarnt. Nach der Installation scheint es dem Benutzer, dass ein Fehler aufgetreten ist - der Trojaner wird nicht im Programmmenü angezeigt, und Sie finden ihn nur in der Liste der installierten Anwendungen im Einstellungsmenü. Das Programm greift auf den Befehlsserver zu, sendet Informationen über das Gerät und lädt das nächste schädliche Modul herunter. Das Skript wird mehrmals wiederholt, es stellt sich als eine Art Verschachtelungspuppe heraus, bei der das Schlüsselelement die Malware AndroidOS.Triada.dd ist, die eine Reihe von Exploits zum Erhalt von Superuser-Rechten enthält.

Höchstwahrscheinlich kann das Programm auf chinesischen Smartphones mit Android 6 und 7 Root-Zugriff erhalten. Nach erfolgreichem Hacken des Geräts stellt der Trojaner die Systempartition erneut bereit (zunächst nur im Lesemodus verfügbar) und führt dort weitere schädliche Programme ein. Durch Hinzufügen eines Befehls zum Ausführen ausführbarer Dateien in das Skript für den ersten Start des Betriebssystems kann der Trojaner auch nach dem Zurücksetzen der Einstellungen wiederhergestellt werden. Andere Optionen werden geändert, um später das Verbinden der Systempartition zum Entfernen von Malware zu erschweren. Einschließlich der modifizierten Systembibliothek libc.so.

Die Fähigkeiten von xHelper in der Studie werden nicht im Detail beschrieben, da sie praktisch unbegrenzt sind. Auf dem infizierten Mobilgerät befindet sich eine Hintertür, und der Bediener kann jede Aktion mit Superuser-Rechten ausführen. Angreifer haben Zugriff auf die Daten aller Anwendungen und können andere schädliche Module herunterladen, um beispielsweise Netzwerkdienstkonten zu entführen. Die Smartphone-Behandlung ist ein komplexer Prozess. Theoretisch können Sie das Gerät in den Wiederherstellungsmodus laden und versuchen, die ursprüngliche Version der libc.so-Bibliothek an ihren Platz zurückzusetzen, wodurch schädliche Module von der Systempartition entfernt werden. In der Praxis ist es einfacher, ein Smartphone erneut zu flashen, obwohl Forscher festgestellt haben, dass einige im Netzwerk verteilte Firmware bereits xHelper enthält.

Was ist sonst noch passiert?

Informationssicherheit in einer Epidemie. Google und Apple werden gemeinsam einen Dienst entwickeln, der feststellt, ob Sie mit dem Träger des Coronavirus in Kontakt gekommen sind ( Nachrichten , ausführlicher Artikel über Habr). Der Dienst beinhaltet einen anonymen Informationsaustausch zwischen Smartphones über Bluetooth, was natürlich Zweifel an der Privatsphäre eines solchen Austauschs und der Möglichkeit aufwirft, Technologien beispielsweise für Werbezwecke neu zu profilieren. Andererseits ist dies eine Variante der technologischen Unterstützung bei der Lösung eines medizinischen Problems.

Webkonferenzdienst Zoom stellte den ehemaligen Facebook-Sicherheitsdirektor Alex Stamios ein. Der Dienst ist mittlerweile in amerikanischen Schulen und bei Google verboten. Die Entwickler arbeiten immer noch an der Sicherheit, einschließlich kleiner, aber wichtiger Änderungen an der Benutzeroberfläche. Die Konferenznummer wird nicht mehr in der Titelleiste des Zoom-Fensters angezeigt, wodurch das Szenario „Jemand hat einen Screenshot gepostet und zufällige Personen haben begonnen, sich mit dem Meeting zu verbinden“ weniger wahrscheinlich wird. In seinem Blogbeitrag bezeichnete Stamos die schnelle Umwandlung von Zoom von einem wenig bekannten Unternehmensdienst in fünf Minuten in ein kritisches Infrastrukturelement als interessant.

WhatsApp-Entwickler erlauben jetzt Fälschungen über Coronavirus (und andere "Zitate aus dem Internet")leiten Sie die Nachricht nur einmal weiter, wenn sie nicht von regulären Kontakten zu Ihnen kam.

Eine kritische Sicherheitslücke wurde in dem VMware - Directory Service (vmdir) Softwarepaket (erfasster Nachrichten , Unternehmen Newsletter ). Der Dienst wird zur zentralen Verwaltung virtueller Maschinen verwendet. Ein Fehler im Autorisierungssystem kann dazu führen, dass die Kontrolle über die gesamte virtuelle Serverinfrastruktur des Unternehmens übernommen wird.

Sophos Firma gesucht"Unangemessen teure" Anwendungen im App Store. Solche Programme, üblicherweise mit Grundfunktionen wie Lineal, Taschenrechner, Taschenlampe und dergleichen, werden als Vliesware bezeichnet. Die Analyse liefert zwei Dutzend Beispiele für Programme, von denen einige in die Liste der profitabelsten in regionalen Geschäften gelangen. Ein charakteristisches Merkmal von Fleeceware ist das Angebot einer kostenlosen Testphase beim ersten Start. Infolgedessen zahlt der Benutzer für „Horoskope“ oder „Avatare erstellen“ bis zu 100 Pfund pro Jahr, manchmal ohne etwas davon zu wissen.