В настоящей статье приведён анализ недостатков платформы Google Android с точки зрения информационной безопасности, рассмотрены существующие типы вредоносных программ для данной операционной системы, а также даны рекомендации по предотвращению заражений устройств, работающих под управлением этой системы.
3. Примеры вредоносных программ под Android
Введение
Android. Эта операционная система, возникнув в сентябре 2008 года, всего за каких-то несколько лет завоевала практически 50% от всего рынка мобильных операционных систем, став его несомненным лидером. Если точнее, то в 2011 году, по данным аналитической компании Canalys Research, было продано 237,8 млн. устройств, работающих на операционной системе Android, что составило 48,8%, рост за год составил 244,1%. По прогнозам аналитиков iSupply к 2015 году доля Android будет составлять более 58% рынка.
Для наглядности приведём распределение рынка мобильных операционных систем в виде диаграммы (рисунок 1).
Рисунок 1: Распределение рынка мобильных операционных систем в 2011 году по данным Canalys Research
И было бы странным, если бы на такую популярную ОС не обратили внимание кибер-преступники. Причина, как всегда, банально проста – чем популярнее та или иная платформа, тем существует большее количество потенциальных жертв, которых можно охватить одномоментно, написав вредоносную программу или реализовав вредоносную схему только лишь для одной платформы. Кроме того, на руку злоумышленникам играет достаточно либеральный подход распространении сторонних приложений, а также недостаточно жёсткий контроль приложений, публикуемых в Google Play (в прошлом – Android Market).
Эти выводы подтверждает и статистика – по данным аналитиков «Лаборатории Касперского» – в 2011 году 65% новых модификаций вредоносных программ для мобильных систем поставили своей целью атаковать пользователей устройств на Android (рисунок 2). Как и требовалось ожидать, распространённость новых вредоносных программ для самой популярной мобильной ОС на 16% превышает популярность самой ОС (около 49%).
Рисунок 2: Распределение модификаций мобильных вредоносных программ по платформам в 2011 году по данным «Лаборатории Касперского»
При этом платформа Android является и основным драйвером роста новых вредоносных программ для мобильных систем в целом (рисунок 3). Как видно из графика, основную часть новых вредоносных программ для мобильных ОС к концу 2011 года стали занимать вредоносные программы для Android, хотя в начале года ситуация была не столь очевидной.
Рисунок 3: Число новых модификаций всех мобильных вредоносных программ и программ для Android по месяцам 2011 года по данным «Лаборатории Касперского»
Кстати, если вспомнить тот факт, что ОС Android создана на базе ядра Linux, и сопоставить с тем фактом, что именно эта ОС на сегодня является самой уязвимой мобильной ОС из представленных на рынке, то, опять же, можно сделать вывод, что базовая архитектура системы в меньшей степени влияет на безопасность её использования, чем популярность.
Многие пользователи, увидев подобную статистику, решат, что лучшей защитой от вредоносных программ для мобильных систем будет переход на другую платформу. Но, при этом, упускают тот факт, что популярность Android обусловлена и удобством этой платформы, её положительными качествами. Поэтому, перейдя на устройство на другой платформе, пользователь потеряет и все преимущества Android, т.е. то, за что эту платформу выбирают всё большее количество пользователей.
Поэтому, предлагаем изучить основные недостатки платформы Android, которые используют злоумышленники в собственных целях, и, посмотрев на методы кибер-преступников, сформулировать основные методы противодействия их вредоносным схемам. Т.е., в очередной докажем тот факт, что следование элементарным правилам информационной безопасности может довольно легко позволить защитить конфиденциальную информацию пользователя и, при этом, позволить безопасно использовать самую популярную на сегодняшний момент мобильную платформу.
Уязвимости Android
Так как Android является наиболее «лакомой» мобильной ОС для злоумышленников, то нет ничего удивительного в том, что всё чаще в данной платформе обнаруживаются различные уязвимости, которые позволяют получать доступ к различным аппаратным компонентам устройства, а также обходить встроенные в Android механизмы защиты.
В частности, в декабре 2011 года учёные из Университета Северной Каролины обнаружили уязвимость, которая позволяет приложениям обойти защитный механизм системы, срабатывающий при попытке установки приложений. А именно, уязвимость позволяет не выводить запрос на разрешение пользователем устанавливать программы, которые при своей работе получают доступ к личной информации и функциям отправки SMS-сообщений. При этом, уязвимости подвержена не сама ОС Android, а дополнительные компоненты, которые добавляют производители телефонов для обеспечения работы собственных интерфейсов и сервисов. Среди производителей, чьи продукты оказались подверженными данной уязвимости, находятся такие известные бренды как HTC, Samsung, Google и Motorola. Специалисты разработали специальную программу Woodpecker для анализа уязвимости смартфонов этих производителей. Выяснилось, что с помощью данной уязвимости установленные программы могут получать доступ к камере, отправке сообщений, диктофону, а также к информации о местоположении пользователя.
Как видно, эта уязвимость, позволяет значительно легче реализовывать вредоносные схемы, предполагающие элементы социальной инженерии, а, с другой стороны, не все производители мобильных устройств оперативно закрывают уязвимости в собственном программном обеспечении. И за выходом этих обновлений не всегда так же просто следить, как за выходом обновлений для самой системы. Также из этого можно сделать вывод, что большинство новых мобильных устройств, продающихся в магазинах, уязвимы уже в момент покупки телефона. Прибавьте сюда достаточно вольное отношение пользователей к установке обновлений для ОС и других программ – и вероятность заразить устройство, тем самым увеличив прибыль злоумышленников, становится уже существенной.
Что касается обсуждаемой уязвимости, то специалисты сходятся во мнении, что она является прямым следствием того, что платформа Android (в отличие от той же iOS) позволяет устанавливать не только рекомендуемые производителем ОС (например, Google Play) приложения, но и любые другие, только лишь предупреждая пользователя, к каким именно ресурсам будет иметь доступ устанавливаемая программа. Пользователи и на эти сообщения, в общем-то, мало обращают внимания, а, если и их не будет – всё для кибер-преступников станет на порядок проще.
Ситуация осложняется тем, что и приложения, поставляемые через Google Play, часто содержат в себе вредоносный код, в том числе, подобный функционал обнаруживается и в довольно популярных программах. Компания Google старается осуществлять мониторинг наличия подобных программ в системе Google Play, но, по заявлениям многих специалистов, в ней постоянно находится множество программ, которые, помимо полезных функций также обеспечивают функционирование вредоносных схем, начиная от получения статистики действий пользователей, заканчивая скрытой отсылкой платных SMS-сообщений и кражей личной информации.
Также сообщалось и о других различных уязвимостях платформы Android. Например, в феврале 2011 года Сюйсянь Цзяном была обнаружена уязвимость, открывающая доступ к содержимому флеш-карт microSD.
В августе 2011 года специалисты по информационной безопасности компании Trustwave обнаружили уязвимость в Android, которая позволяет создать приложение, работающее в фоновом режиме и отслеживать, какая программа в текущий момент является активной. Данная возможность обеспечивает злоумышленникам широкое поле для деятельности – как (в лучшем случае) для показа всплывающей рекламы, так и (в худшем) для осуществления фишинговых атак. Например, на пользователей систем дистанционного банковского обслуживания пользователей (пример подобной программы – Zitmo).
В октябре 2011 года основатели компании Privateer Labs обнаружили уязвимость в Android, которая позволяет нейтрализовать все меры, направленные на повышение безопасности системы. В том числе – нейтрализовать работу антивирусных программ. Сообщалось, что информация об уязвимости в ближайшее время будет обнародована и что идёт общение с разработчиками ОС и производителями устройств над её решением, но до настоящего времени более подробной информации нет. Вполне вероятно, что уязвимость настолько глобальна, что пускать подробности о ней в Сеть преждевременно, а общего решения нет. Но пользователям мобильных устройств от этого не легче.
В марте же 2012 года проходила информация о недостатке в коде Android, которая позволяет любому приложению получать доступ к фотографиям пользователя и загружать их на удалённый сервер. При этом снова никаких дополнительных разрешений для этого не требуется. В данном случае уязвимость существует из-за, скажем, особенности работы ранних устройств на Android с содержимым, находящимся на сменных картах памяти. Раньше чаще всего фотографии сохранялись именно на сменных носителях, а при установке программ требуется подтверждать их доступ к определённым аппаратным компонентам. Если же пользователь заменит одну флеш-карту на другую, то разрешение уже действовать не будет. Поэтому разработчики Android этого разрешения при установке программ и не требуют.
Плюс многие пользователи делают свои устройства «рутованными», то есть ради сомнительной выгоды по более тонкому управлению своего устройства с помощью специального программного обеспечения обеспечивают работу пользователя в системе от имени администратора системы. При этом большинство из таких пользователей плохо себе представляют, насколько падает после этой процедуры защищённость этих устройств, открывая дорогу для «работы» групп злоумышленников.
Примеры вредоносных программ под Android
Многие пользователи мобильных устройств считают, что масштаб распространения угроз для них до сих пор достаточно несущественный. Но, на самом деле, почти каждый вид вредоносных программ, известных для ОС, предназначенных для стационарных компьютеров, в настоящее время имеет свой аналог для самой популярной мобильной ОС – Android.
Бот-сети? Пожалуйста. Ещё в декабре 2010 года специалисты сообщали о создании бот-сети из Android-устройств на основе вредоносной программы Gemini, которая была включена в состав совершенно легальных приложений, опубликованных в китайских интернет-магазинах. В частности, эта вредоносная программа имеет функции, позволяющие загружать на заражённые устройства другие приложения и удалять их, отправлять географические координаты устройства, формировать список установленных на устройстве программ и отправлять их на сервер злоумышленников.
Бэкдоры? Ещё как. В марте 2012 года получила распространение вредоносная программа Android.Anzhu, которая распространялась через китайские сайты с бесплатным ПО для Android. Программа даёт возможность злоумышленникам в буквальном смысле управлять заражённым устройством удалённо. В частности, выполнять на нём команды, отправляемые с сервера злоумышленников, устанавливать другие приложения, а также изменять закладки в браузере.
Программы-шпионы? Ну, для мобильных устройств – это святое дело. В частности, летом 2011 года, по информации компании CA Technologies, распространялась вредоносная программа, функции которой позволяют записывать телефонные переговоры, производящиеся посредством устройства, в AMR-файлы на карте памяти. А про уязвимости, связанные с доступом к информации, находящихся на съёмных дисках мобильных устройств, работающих под управлением Android, мы уже написали выше. При этом следует заметить, что телефонные переговоры имеют для злоумышленников большую ценность, чем любая текстовая информация, которая хранится на смартфонах и планшетах.
А что на счёт блокировщиков экрана? Информации о полноценных блокировщиках экрана, выполненных в виде программ для Android пока что не встречалось. В ходу лишь прогнозы о том, что такие программы рано или поздно появятся. Но, при этом, злоумышленники пошли менее хитрым путём, внедряя на сайты вредоносные скрипты. При открытии веб-страниц с подобными скриптами в браузере открывается диалоговое окно, в котором пользователя просят отправить платное SMS-сообщение и ввести полученный код для того, чтобы это окно исчезло. При этом перезапуск браузера помогает не во всех случаях.
Руткиты? Буткиты? Да, вирусописатели уже готовы и к этому шагу в применении к мобильным системам. В частности, вредоносная программа DKFBootKit внедряется в автозагрузку системы таким образом, что загружается раньше инициализации операционной системы. Работает данная программу только в «рутованных» системах, т.е. пользуется попустительством пользователей в области информационной защиты устройств, но, при этом, имеет возможность встраиваться в системный раздел и заменяет несколько основных утилит и системных служб, работающих в фоновом режиме, а также в сценарии загрузки системы. После этого программа ждёт поступления дальнейших команд с командно-контрольного сервера злоумышленников. Т.е., по сути, данная программа является бэкдором, имеющим полную власть над заражённым устройством.
Не стоит забывать и про вредоносные программы, которые просто отправляют скрытно платные SMS-сообщения. Но это уже классика Android. При этом, в подавляющем большинстве случаев, пользователи не задумываются, почему устанавливаемая, к примеру, игра запрашивает права на отправку SMS-сообщений.
Наверное, единственный тип вредоносных программ, которые пока что не распространены для платформы Android – это файловые вирусы, заражающие исполняемые файлы системы. Впрочем, и для настольных операционных систем распространение таких типов вредоносных программ постепенно сходит на нет в виду сложности написания, а также сложности организации монетизации с них.
Антивирусы для Android
Одна антивирусная компания за другой, наблюдая непраздную ситуацию по распространению вредоносных программ для Android, в последние годы выпускают свои защитные средства для этой операционной системы. При этом, необходимость установки таких программ, как мы видим из анализа угроз и уязвимостей (в т.ч. архитектурных) этой системы, несомненна.
При выборе антивируса для мобильного устройства следует исходить из реноме производителя. Т.е., в первую очередь, обращать внимание на продукты производителей, широко известных своими решениями для настольных систем. В частности, согласно тестированию антивирусов для Android, проведённому AV-Test, в десятку антивирусов с уровнем обнаружения вредоносных программ более 90% входят следующие 10 антивирусных продуктов:
1. avast! Free Mobile Security
4. IKARUS mobile.security LITE
5. Kaspersky Mobile Security (Lite)
6. Lookout Security & Antivirus
8. MYAndroid Protection Antivirus
Также следует уделять внимание тому, какие технологии используются в том или ином антивирусе. В частности, обращая внимание на то, что абсолютное число появляющихся в единицу времени угроз, постоянно растёт, следует обращать внимание на те антивирусы, которые используют облачные технологии и\или сильный эвристический анализатор.
Конечно, антивирусы не являются панацеей, но многие эффективные антивирусные продукты для Android сегодня пока ещё доступны в бесплатных вариантах. При этом платные продукты, содержащие в себе, кроме антивирусной составляющей дополнительные функциональные особенности (например, анти-вор системы для мобильных устройств) стоят дешевле своих аналогов для настольных операционных систем.
Выводы
В данной статье мы ретроспективно рассмотрели уязвимости, которым подвержены мобильные устройства, работающие под управлением операционной системы Android. Также привели примеры различных типов вредоносных программ, а также указали список наиболее эффективных на сегодняшний день антивирусных продуктов для этой платформы.
Самый главный вывод, который следует вынести из этой информации таков: защищать мобильные устройства на Android – необходимо!
При этом существенно в направлении снижения вероятности заражения мобильных устройств может помочь сам пользователь, а антивирус, при этом, может помочь ему контролировать свои действия. В самом деле, как бы там ни было, но все вредоносные программы для Android пользователь ставит сам. И, в подавляющем большинстве случаев, при установке программ, пользователь получает адекватную информацию о том, к каким объектам получает доступ устанавливаемая программа. Если же устанавливаемая программа по своим функциям, например, не имеет никакого отношения к рассылке SMS-сообщений, но, при этом, при установке запрашивает право на это действие, то стоит, по меньшей мере, задуматься, действительно ли стоит устанавливать такую программу и, по крайней мере, связаться с производителем программы для получения объяснений по этому поводу. Также не стоит делать устройства «рутованными», ибо преимущества от этого шага достаточно сомнительные, а вредоносным программам действовать на подобных устройствах значительно проще.
Из антивирусных программ следует выбирать решения известных по их продуктам для настольных систем производителей. При этом желательно выбирать те антивирусы, которые используют облачные технологии и\или имеют хороший эвристический анализатор для определения неизвестных антивирусу вредоносных программ для Android.
В целом, уходить с самой популярной мобильной платформы на другие, менее популярные, особого смысла нет. Но уделить некоторое внимание вопросам информационной безопасности, а также помнить об их наличии при установке очередной программы следует.