Эксперты «Лаборатории Касперского» рассказали
о назойливом рекламном ПО, с которым часто сталкиваются пользователи
смартфонов. Как оказалось, зачастую оно предустановленно «из коробки», а
14,8% всех пользователей имеют дело с «неудаляемой» малварью, которая
помещает себя в системный раздел, и попытки избавиться от нее могут
привести к выходу устройства из строя.
Так как антивирус в экосистеме Android — лишь обычное приложение, он физически не может что-либо сделать с рекламным или вредоносным ПО, расположившимся в системных директориях. Это делает такую малварь серьезной проблемой, даже если речь идет лишь о рекламных программах. Стоящие за ними злоумышленники не гнушаются рекламировать (а по сути — принудительно устанавливать) практически все, за что им заплатят деньги. В итоге на устройстве пользователя может оказаться любая малварь.
Доля людей, которые сталкиваются с такими рекламными вредоносами, составляет 1–5% от общего количества пользователей защитных решений «Лаборатории Касперского» (в зависимости от конкретного бренда). В основном это владельцы смартфонов и планшетов определенных брендов из нижнего ценового сегмента. Однако у некоторых популярных производителей, предлагающих недорогие устройства, этот показатель может доходить до 27%.
Существуют смартфоны с рекламными модулями, предустановленными самими производителями. Некоторые вендоры честно говорят о том, что встраивают рекламу в оболочки своих смартфонов, но одни при этом оставляют возможность отключать ее отображение, а другие, напротив, не дают такой возможности и называют свой подход бизнес-моделью, позволяющей снизить стоимость устройства для конечного пользователя.
При этом пользователю, как правило, не предоставляется выбор: купить устройство за полную цену или же чуть подешевле, но с пожизненной рекламой. Более того, ни в одном магазине электроники специалисты не обнаружили заметного и понятного предупреждения, что после покупки телефона пользователя будут заставлять смотреть рекламу. Иными словами, покупатели могут и не подозревать, что за собственные деньги покупают себе рекламный билборд.
При этом приложение также может загружать сторонний JavaScript-код и выполнять его, и предустановленный магазин приложений AppStore может отключать звук, получать доступ к SMS, копировать их содержимое и вставлять его в загруженные страницы.
Такой подход часто используется в откровенно вредоносных приложениях, служащих для оформления платных подписок без ведома пользователя. По мнению аналитиков, здесь остается лишь верить в порядочность организаций, управляющих рекламным модулем, и надеяться, что доступ к нему не получат третьи лица.
Оданко AppStore — не единственное подозрительное приложение в аппаратах Meizu. Также было замечено, что Meizu Music (com.meizu.media.music 19e481d60c139af3d9881927a213ed88) содержит зашифрованный исполняемый файл, служащий для загрузки и исполнения некого Ginkgo SDK.
О задачах этого SDK можно только догадываться: устройства Meizu далеко не всегда скачивают его, а актуальную версию специалистам получить не удалось получить. Однако те версии Ginkgo SDK, которые были изучены, занимались показом рекламы и установкой приложений без ведома пользователя.
Приложение com.vlife.mxlock.wallpaper (04fe069d7d638d55c796d7ec7ed794a6) также содержит зашифрованный исполняемый файл и в конечном итоге несет стандартные для «серых» рекламных модулей функции, в том числе и возможность скрытой установки приложений.
Исследователи подчеркивают, что обращались в Meizu по поводу вышеперечисленных находок, однако ответа так и не получили.
К сожалению, если пользователь приобрел устройство с такой предустановленной «рекламой», гарантированно удалить ее без риска повреждения системы зачастую невозможно. Остается лишь уповать на энтузиастов, создающих альтернативные прошивки.
Также, помимо сомнительных файлов на устройствах конкретного вендора, исследователи обнаружили еще одну проблему, затрагивающую огромное количество смартфонов. В памяти многих устройств есть файл /bin/fotabinder (3fdd84b7136d5871afd170ab6dfde6ca), который может скачивать файлы на устройства пользователей и выполнять на них код, полученный от одного из удаленных серверов: adsunflower[.]com, adfuture[.]cn или mayitek[.]com
Скорее всего, данный файл является частью системы обновления или тестирования, но зашифрованные адреса C&C и функции, способные предоставить удаленный доступ к устройству, выглядят подозрительно.
Но все это — только верхушка айсберга. В своем отчете исследователи подробно рассказывают о том, с чем еще сталкиваются пользователи сегодня и в каких еще системных приложениях был обнаружен «дополнительный» код.
https://xakep.ru/2020/07/07/14-8-polzovatelej-stolknulis-s-neudalyaemym-reklamnym-po/
Опасность adware
Исследователи рассказывают, что наблюдают две основных стратегии внедрения на устройство такой рекламы: малварь получает на устройстве root-права и устанавливает рекламные приложения в системные разделы; отвечающий за отображение рекламы код (или его загрузчик) содержится в прошивке устройства еще до того, как оно попадет в руки потребителя.Так как антивирус в экосистеме Android — лишь обычное приложение, он физически не может что-либо сделать с рекламным или вредоносным ПО, расположившимся в системных директориях. Это делает такую малварь серьезной проблемой, даже если речь идет лишь о рекламных программах. Стоящие за ними злоумышленники не гнушаются рекламировать (а по сути — принудительно устанавливать) практически все, за что им заплатят деньги. В итоге на устройстве пользователя может оказаться любая малварь.
Доля людей, которые сталкиваются с такими рекламными вредоносами, составляет 1–5% от общего количества пользователей защитных решений «Лаборатории Касперского» (в зависимости от конкретного бренда). В основном это владельцы смартфонов и планшетов определенных брендов из нижнего ценового сегмента. Однако у некоторых популярных производителей, предлагающих недорогие устройства, этот показатель может доходить до 27%.
Существуют смартфоны с рекламными модулями, предустановленными самими производителями. Некоторые вендоры честно говорят о том, что встраивают рекламу в оболочки своих смартфонов, но одни при этом оставляют возможность отключать ее отображение, а другие, напротив, не дают такой возможности и называют свой подход бизнес-моделью, позволяющей снизить стоимость устройства для конечного пользователя.
При этом пользователю, как правило, не предоставляется выбор: купить устройство за полную цену или же чуть подешевле, но с пожизненной рекламой. Более того, ни в одном магазине электроники специалисты не обнаружили заметного и понятного предупреждения, что после покупки телефона пользователя будут заставлять смотреть рекламу. Иными словами, покупатели могут и не подозревать, что за собственные деньги покупают себе рекламный билборд.
Meizu
В компании Meizu не скрывают, что показывают рекламу в своих приложениях. Она довольно ненавязчивая, и ее даже можно выключить в настройках. Однако в предустановленном приложении AppStore (c4296581148a1a1a008f233d75f71821) исследователи выявили «скрытую рекламу»: она способна загружаться незаметно и отображаться в невидимых окнах (обычно такой подход используют для накрутки показов), расходуя трафик и заряд батареи.При этом приложение также может загружать сторонний JavaScript-код и выполнять его, и предустановленный магазин приложений AppStore может отключать звук, получать доступ к SMS, копировать их содержимое и вставлять его в загруженные страницы.
Такой подход часто используется в откровенно вредоносных приложениях, служащих для оформления платных подписок без ведома пользователя. По мнению аналитиков, здесь остается лишь верить в порядочность организаций, управляющих рекламным модулем, и надеяться, что доступ к нему не получат третьи лица.
Оданко AppStore — не единственное подозрительное приложение в аппаратах Meizu. Также было замечено, что Meizu Music (com.meizu.media.music 19e481d60c139af3d9881927a213ed88) содержит зашифрованный исполняемый файл, служащий для загрузки и исполнения некого Ginkgo SDK.
О задачах этого SDK можно только догадываться: устройства Meizu далеко не всегда скачивают его, а актуальную версию специалистам получить не удалось получить. Однако те версии Ginkgo SDK, которые были изучены, занимались показом рекламы и установкой приложений без ведома пользователя.
Приложение com.vlife.mxlock.wallpaper (04fe069d7d638d55c796d7ec7ed794a6) также содержит зашифрованный исполняемый файл и в конечном итоге несет стандартные для «серых» рекламных модулей функции, в том числе и возможность скрытой установки приложений.
Исследователи подчеркивают, что обращались в Meizu по поводу вышеперечисленных находок, однако ответа так и не получили.
К сожалению, если пользователь приобрел устройство с такой предустановленной «рекламой», гарантированно удалить ее без риска повреждения системы зачастую невозможно. Остается лишь уповать на энтузиастов, создающих альтернативные прошивки.
Угрозы
Эксперты пишут, что среди наиболее распространенных примеров adware, устанавливаемой в системный раздел, — трояны Lezok и Triada. Второй примечателен тем, что рекламный код был встроен не куда-нибудь, а прямо в libandroid_runtime — ключевую библиотеку, которая используется практически всеми приложениями на устройстве. Хотя эти угрозы были выявлены несколько лет назад, пользователи продолжают сталкиваться с ними и сейчас.Также, помимо сомнительных файлов на устройствах конкретного вендора, исследователи обнаружили еще одну проблему, затрагивающую огромное количество смартфонов. В памяти многих устройств есть файл /bin/fotabinder (3fdd84b7136d5871afd170ab6dfde6ca), который может скачивать файлы на устройства пользователей и выполнять на них код, полученный от одного из удаленных серверов: adsunflower[.]com, adfuture[.]cn или mayitek[.]com
Скорее всего, данный файл является частью системы обновления или тестирования, но зашифрованные адреса C&C и функции, способные предоставить удаленный доступ к устройству, выглядят подозрительно.
Но все это — только верхушка айсберга. В своем отчете исследователи подробно рассказывают о том, с чем еще сталкиваются пользователи сегодня и в каких еще системных приложениях был обнаружен «дополнительный» код.
https://xakep.ru/2020/07/07/14-8-polzovatelej-stolknulis-s-neudalyaemym-reklamnym-po/
Комментариев нет:
Отправить комментарий