Semaine de la sécurité 16: xHelper - Trojan de survie Android

Il y a une semaine, le 7 avril, les experts de Kaspersky Lab ont publié une étude détaillée du cheval de Troie xHelper Android. Il a été découvert pour la première fois au milieu de l'année dernière, la plupart des attaques utilisant le compte de logiciels malveillants pour les téléphones d'utilisateurs russes. Sa propriété la plus remarquable est la capacité de survivre même en réinitialisant le téléphone aux paramètres d'usine.

Le cheval de Troie est souvent déguisé en une application pour nettoyer et accélérer un smartphone. Après l'avoir installé, il peut sembler à l'utilisateur qu'une erreur s'est produite - le cheval de Troie n'apparaît pas dans le menu du programme, et vous ne pouvez le trouver que dans la liste des applications installées dans le menu des paramètres. Le programme accède au serveur de commandes, envoie des informations sur l'appareil et télécharge le module malveillant suivant. Le script est répété plusieurs fois, il s'avère une sorte de poupée imbriquée, dans laquelle l'élément clé est le malware AndroidOS.Triada.dd, qui contient un ensemble d'exploits pour obtenir des droits de superutilisateur.

Très probablement, le programme pourra obtenir un accès root sur les smartphones chinois fonctionnant sous Android 6 et 7. Après avoir réussi à pirater l'appareil, le cheval de Troie remontera la partition système (initialement uniquement disponible en mode lecture) et y introduira un autre ensemble de programmes malveillants. L'ajout d'une commande pour exécuter des fichiers exécutables dans le script pour le premier lancement du système d'exploitation permet au cheval de Troie de récupérer même après la réinitialisation des paramètres. D'autres options sont modifiées afin de rendre ultérieurement difficile la connexion de la partition système pour supprimer les logiciels malveillants. Y compris la bibliothèque système modifiée libc.so.

Les capacités de xHelper dans l'étude ne sont pas décrites en détail, car elles sont pratiquement illimitées. Il y a une porte dérobée dans l'appareil mobile infecté et l'opérateur peut effectuer n'importe quelle action avec des droits de superutilisateur. Les attaquants ont accès aux données de toutes les applications et peuvent télécharger d'autres modules malveillants - par exemple, pour détourner des comptes de service réseau. Le traitement par smartphone est un processus complexe. En théorie, vous pouvez charger l'appareil en mode de récupération, vous pouvez essayer de remettre la version originale de la bibliothèque libc.so à sa place, ce qui supprimera les modules malveillants de la partition système. En pratique, il est plus facile de reflasher un smartphone, bien que les chercheurs aient noté que certains micrologiciels distribués sur le réseau contiennent déjà xHelper.

Que s'est-il passé d'autre

Sécurité de l'information dans une épidémie. Google et Apple développeront conjointement un service qui vous aidera à déterminer si vous avez croisé le porteur du coronavirus ( news , article détaillé sur Habr). Le service implique un échange anonyme d'informations entre les smartphones via Bluetooth, ce qui, bien sûr, soulève des doutes quant à la confidentialité d'un tel échange et à la possibilité de reprofiler la technologie, par exemple, à des fins publicitaires. Il s'agit en revanche d'une variante de l'assistance technologique pour résoudre un problème médical.

Le service de conférence Web Zoom a embauché l' ancien directeur de la sécurité de Facebook Alex Stamios. Le service, quant à lui, est interdit dans les écoles américaines et sur Google. Ses développeurs travaillent toujours sur la sécurité, y compris des modifications d'interface petites mais importantes - le numéro de conférence n'est plus affiché dans la barre de titre de la fenêtre Zoom, ce qui rend le scénario «quelqu'un a posté une capture d'écran et des personnes aléatoires ont commencé à se connecter à la réunion» moins probable. Dans son article de blog, Stamos a qualifié d' intéressante la transformation rapide de Zoom d'un service d'entreprise peu connu en cinq minutes en un élément d'infrastructure critique.

Les développeurs de WhatsApp pour lutter contre les contrefaçons de coronavirus (et d'autres "citations sur Internet") permettent désormaisne transférez le message qu'une seule fois s'il ne vous vient pas de contacts réguliers.

Une vulnérabilité critique a été détectée dans le progiciel VMware Directory Service (vmdir) ( actualités , newsletter de l' entreprise). Le service est utilisé pour la gestion centralisée des machines virtuelles. Une erreur dans le système d'autorisation peut conduire à la prise de contrôle sur l'ensemble de l'infrastructure du serveur virtuel de l'entreprise.

Société Sophos recherchéeApplications «déraisonnablement chères» sur l'App Store. De tels programmes, généralement avec des fonctions de base telles qu'une règle, une calculatrice, une lampe de poche, etc., sont connus sous le nom de fleeceware. L'analyse fournit deux douzaines d'exemples de programmes, dont certains parviennent à entrer dans les listes des plus rentables des magasins régionaux. Une caractéristique de la laine polaire est l'offre d'une période d'essai gratuite au premier lancement. En conséquence, l'utilisateur paie des «horoscopes» ou «la création d'avatars» jusqu'à cent livres par an, parfois sans même le savoir.