Semana de segurança 16: xHelper - Trojan de sobrevivência do Android

Há uma semana, em 7 de abril, os especialistas da Kaspersky Lab publicaram um estudo detalhado do Trojan xHelper Android. Foi descoberto pela primeira vez em meados do ano passado, a maioria dos ataques usando a conta de malware para os telefones dos usuários russos. Sua propriedade mais notável é a capacidade de sobreviver, mesmo redefinindo o telefone para as configurações de fábrica.

O Trojan é frequentemente disfarçado como um aplicativo para limpar e acelerar um smartphone. Após a instalação, o usuário pode pensar que ocorreu um erro - o cavalo de Troia não aparece no menu do programa e você pode encontrá-lo apenas na lista de aplicativos instalados no menu de configurações. O programa acessa o servidor de comando, envia informações sobre o dispositivo e baixa o próximo módulo malicioso. O script é repetido várias vezes, resultando em um tipo de boneca de aninhamento em que o elemento chave é o malware AndroidOS.Triada.dd, que contém um conjunto de explorações para obter direitos de superusuário.

Provavelmente, o programa poderá obter acesso root em smartphones chineses com Android 6 e 7. Depois de invadir o dispositivo com êxito, o Trojan remontará a partição do sistema (inicialmente disponível apenas no modo de leitura) e introduzirá outro conjunto de programas maliciosos. A adição de um comando para executar arquivos executáveis ​​no script para o primeiro lançamento do sistema operacional permite que o Trojan se recupere mesmo após a redefinição das configurações. Outras opções são alteradas para dificultar posteriormente a conexão da partição do sistema para remover malware. Incluindo a biblioteca do sistema modificada libc.so.

As habilidades do xHelper no estudo não são descritas em detalhes, pois são praticamente ilimitadas. Há um backdoor no dispositivo móvel infectado e o operador pode executar qualquer ação com direitos de superusuário. Os invasores têm acesso aos dados de todos os aplicativos e podem baixar outros módulos maliciosos - por exemplo, para seqüestrar contas de serviço de rede. O tratamento com smartphone é um processo complexo. Em teoria, você pode carregar o dispositivo no modo de recuperação, tentar retornar a versão original da biblioteca libc.so ao seu lugar, o que removerá módulos maliciosos da partição do sistema. Na prática, é mais fácil atualizar novamente um smartphone, embora os pesquisadores tenham notado que algum firmware distribuído na rede já contém o xHelper.

O que mais aconteceu

Segurança da informação em uma epidemia. O Google e a Apple desenvolverão em conjunto um serviço que determinará se você cruzou com a transportadora do coronavírus ( notícias , artigo detalhado em Habr). O serviço envolve uma troca anônima de informações entre smartphones via Bluetooth, o que, é claro, levanta dúvidas sobre a privacidade de uma troca e a possibilidade de redesenhar a tecnologia, por exemplo, para fins publicitários. Por outro lado, essa é uma variante da assistência tecnológica na solução de um problema médico.

O serviço de conferência na Web Zoom contratou o ex-diretor de segurança do Facebook Alex Stamios. Enquanto isso, o serviço é proibido nas escolas americanas e no Google. Seus desenvolvedores ainda estão trabalhando na segurança, incluindo pequenos mas importantes ajustes na interface - o número da conferência não é mais exibido na barra de título da janela Zoom, o que torna menos provável o cenário “alguém postou uma captura de tela e pessoas aleatórias começaram a se conectar à reunião”. Em seu blog, Stamos chamou de interessante a rápida transformação do Zoom de um serviço corporativo pouco conhecido em cinco minutos em um elemento crítico de infraestrutura.

Os desenvolvedores do WhatsApp para combater falsificações sobre coronavírus (e outras "citações da Internet") agora permitemreencaminhe a mensagem apenas uma vez se não vier de contatos regulares.

Uma vulnerabilidade crítica foi detectada no pacote de software VMware Directory Service (vmdir) ( notícias , boletim da empresa). O serviço é usado para gerenciamento centralizado de máquinas virtuais. Um erro no sistema de autorização pode levar à apreensão de controle sobre toda a infraestrutura de servidor virtual da empresa.

Empresa Sophos pesquisadaAplicativos "excessivamente caros" na App Store. Esses programas, geralmente com funções básicas como régua, calculadora, lanterna e similares, são conhecidos como artigos de lã. A análise fornece duas dezenas de exemplos de programas, alguns dos quais conseguem entrar nas listas dos mais rentáveis ​​das lojas regionais. Uma característica do fleeceware é a oferta de um período de teste gratuito no primeiro lançamento. Como resultado, o usuário paga por "horóscopos" ou "criando avatares" até cem libras por ano, às vezes sem nem mesmo saber.