Мобильная adware продолжает развиваться. Недавно были обнаружены вредоносы Kemoge (ShiftyBug) и Shedun (GhostPush), которые мимикрируют под легитимные Android-приложения, даже сохраняя полную функциональность оригинала. Теперь к их семейству добавился еще один образчик: компания Lookout сообщила об обнаружении малвари, которой дали имя Shuanet.

Специалисты Lookout сообщают, что новый вектор атак пользуется у злоумышленников огромной популярностью. Суммарно было обнаружено более 20 000 различных Android-приложений, содержащих Kemoge, Shedun и Shuanet. Инфекция распространилась на самые разные страны, среди которых: США, Россия, Германия, Иран, Индия, Ямайка, Судан, Бразилия, Мексика и Индонезия.

Атакующие действуют по достаточно простой схеме – находят популярное в Google Play (или крупных сторонних магазинах) приложение, модифицируют его, добавляя вредоносные функции, но стараясь сохранить полную работоспособность оригинала, а затем распространяют через неофициальные магазины приложений и другие сторонние сайты. Эксперты полагают, что злоумышленники умышленно избегают антивирусных приложений и им подобных, так как это помогает не вызывать подозрений.

Хотя Kemoge, Shedun и Shuanet смело можно отнести к одному семейству (а именно — adware), вредоносы были созданы разными группами хакеров. Хотя код некоторых версий совпадает на 71-82%, что указывает на использование злоумышленниками одной кодовой базы, есть и различия. Так, Kemoge, будучи установлен на устройство, использует в работе сразу восемь различных эксплоитов, тогда так Shuanet применяет лишь три (и все три отнюдь неновые).

Впрочем, по словам экспертов, опасны все три представителя данного семейства. Помимо обычных adware функций, вроде навязчивой демонстрации баннеров и всплывающих окон, данная малварь получает глубокий root-доступ к зараженному устройству и способна устанавливать любые приложения, без ведома жертвы. Эксперты Lookout пишут, что избавиться от такого заражения крайне трудно, так как вредоносы внедряются очень глубоко, с super-user привилегиями и умеют эффективно восстанавливать сами себя. В блоге компании даже высказывается мысль, что, возможно, проще будет купить новый смартфон.

Фото: Scott Akerman



2 комментария

  1. droiiid

    05.11.2015 at 14:16

    >В блоге компании даже высказывается мысль, что, возможно, проще будет купить новый смартфон.
    И что, прям уж нельзя будет сделать вайп через рекавери? Или хотя бы перепрошить через ПК спец утилитами (с полным форматированием памяти естесна)?

  2. k1k0

    07.11.2015 at 02:28

    Meghan Kelly says:
    November 5, 2015 at 9:49 am

    «Бла-бла-бла…A factory reset would not remove this malware, unfortunately.»

    Read more: (https://blog.lookout.com/blog/2015/11/04/trojanized-adware/)

Оставить мнение