Semana de la seguridad 16: xHelper - troyano de supervivencia de Android

Hace una semana, el 7 de abril, los especialistas de Kaspersky Lab publicaron un estudio detallado del troyano xHelper para Android. Fue descubierto por primera vez a mediados del año pasado, la mayoría de los ataques que utilizan malware tienen en cuenta los teléfonos de los usuarios rusos. Su propiedad más notable es la capacidad de sobrevivir incluso restableciendo el teléfono a la configuración de fábrica.

El troyano a menudo se disfraza como una aplicación para limpiar y acelerar un teléfono inteligente. Después de instalarlo, puede parecerle al usuario que se ha producido un error: el troyano no aparece en el menú del programa y solo puede encontrarlo en la lista de aplicaciones instaladas en el menú de configuración. El programa accede al servidor de comandos, envía información sobre el dispositivo y descarga el siguiente módulo malicioso. El script se repite varias veces, resulta una especie de muñeca de anidación, en la que el elemento clave es el malware AndroidOS.Triada.dd, que contiene un conjunto de exploits para obtener derechos de superusuario.

Lo más probable es que el programa pueda obtener acceso de root en teléfonos inteligentes chinos con Android 6 y 7. Después de hackear con éxito el dispositivo, el troyano volverá a montar la partición del sistema (inicialmente solo disponible en modo de lectura) e introducirá otro conjunto de programas maliciosos allí. Agregar un comando para ejecutar archivos ejecutables en el script para el primer inicio del sistema operativo permite que el troyano se recupere incluso después de restablecer la configuración. Se cambian otras opciones para que posteriormente sea difícil conectar la partición del sistema para eliminar el malware. Incluyendo la biblioteca del sistema modificada libc.so.

Las habilidades de xHelper en el estudio no se describen en detalle, ya que son prácticamente ilimitadas. Hay una puerta trasera en el dispositivo móvil infectado, y el operador puede realizar cualquier acción con derechos de superusuario. Los atacantes tienen acceso a los datos de todas las aplicaciones y pueden descargar otros módulos maliciosos, por ejemplo, para secuestrar cuentas de servicios de red. El tratamiento con teléfonos inteligentes es un proceso complejo. En teoría, puede cargar el dispositivo en modo de recuperación, puede intentar devolver la versión original de la biblioteca libc.so a su lugar, lo que eliminará los módulos maliciosos de la partición del sistema. En la práctica, es más fácil actualizar un teléfono inteligente, aunque los investigadores han notado que algunos firmware distribuidos en la red ya contienen xHelper.

Que mas paso

Seguridad de la información en una epidemia. Google y Apple desarrollarán conjuntamente un servicio que lo ayudará a determinar si se cruzó con el portador del coronavirus ( noticia , artículo detallado sobre Habr). El servicio implica un intercambio anónimo de información entre teléfonos inteligentes a través de Bluetooth, lo que, por supuesto, plantea dudas sobre la privacidad de dicho intercambio y la posibilidad de volver a perfilar la tecnología, por ejemplo, con fines publicitarios. Por otro lado, esta es una variante de asistencia tecnológica para resolver un problema médico.

El servicio de conferencia web Zoom contrató al ex director de seguridad de Facebook Alex Stamios. Mientras tanto, el servicio está prohibido en las escuelas estadounidenses y en Google. Sus desarrolladores todavía están trabajando en la seguridad, incluidos pequeños pero importantes ajustes de interfaz: el número de la conferencia ya no se muestra en la barra de título de la ventana Zoom, lo que hace que sea menos probable el escenario "alguien publicó una captura de pantalla y personas al azar comenzaron a conectarse a la reunión". En su publicación de blog, Stamos llamó interesante la rápida transformación de Zoom de un servicio corporativo poco conocido en cinco minutos a un elemento crítico de infraestructura.

Los desarrolladores de WhatsApp para combatir las falsificaciones sobre el coronavirus (y otras "citas de Internet") ahora permitenreenvíe el mensaje solo una vez si le llegó a usted no de contactos regulares.

Se descubrió una vulnerabilidad crítica en el paquete de software VMware Directory Service (vmdir) ( noticias , boletín de la compañía). El servicio se utiliza para la gestión centralizada de máquinas virtuales. Un error en el sistema de autorización puede llevar a la toma del control sobre toda la infraestructura de servidor virtual de la empresa.

La compañía de Sophos buscóAplicaciones "irrazonablemente caras" en la App Store. Dichos programas, generalmente con funciones básicas como una regla, una calculadora, una linterna y similares, se conocen como fleeceware. El análisis proporciona dos docenas de ejemplos de programas, algunos de los cuales logran ingresar a las listas de los más rentables en las tiendas regionales. Un rasgo característico de fleeceware es la oferta de un período de prueba gratuito en el primer lanzamiento. Como resultado, el usuario paga por "horóscopos" o "creando avatares" de hasta cien libras al año, a veces sin siquiera saberlo.