Мобильная adware продолжает развиваться. Недавно были обнаружены вредоносы Kemoge (ShiftyBug) и Shedun (GhostPush), которые мимикрируют под легитимные Android-приложения, даже сохраняя полную функциональность оригинала. Теперь к их семейству добавился еще один образчик: компания Lookout сообщила об обнаружении малвари, которой дали имя Shuanet.
Специалисты Lookout сообщают, что новый вектор атак пользуется у злоумышленников огромной популярностью. Суммарно было обнаружено более 20 000 различных Android-приложений, содержащих Kemoge, Shedun и Shuanet. Инфекция распространилась на самые разные страны, среди которых: США, Россия, Германия, Иран, Индия, Ямайка, Судан, Бразилия, Мексика и Индонезия.
Атакующие действуют по достаточно простой схеме – находят популярное в Google Play (или крупных сторонних магазинах) приложение, модифицируют его, добавляя вредоносные функции, но стараясь сохранить полную работоспособность оригинала, а затем распространяют через неофициальные магазины приложений и другие сторонние сайты. Эксперты полагают, что злоумышленники умышленно избегают антивирусных приложений и им подобных, так как это помогает не вызывать подозрений.
Хотя Kemoge, Shedun и Shuanet смело можно отнести к одному семейству (а именно — adware), вредоносы были созданы разными группами хакеров. Хотя код некоторых версий совпадает на 71-82%, что указывает на использование злоумышленниками одной кодовой базы, есть и различия. Так, Kemoge, будучи установлен на устройство, использует в работе сразу восемь различных эксплоитов, тогда так Shuanet применяет лишь три (и все три отнюдь неновые).
Впрочем, по словам экспертов, опасны все три представителя данного семейства. Помимо обычных adware функций, вроде навязчивой демонстрации баннеров и всплывающих окон, данная малварь получает глубокий root-доступ к зараженному устройству и способна устанавливать любые приложения, без ведома жертвы. Эксперты Lookout пишут, что избавиться от такого заражения крайне трудно, так как вредоносы внедряются очень глубоко, с super-user привилегиями и умеют эффективно восстанавливать сами себя. В блоге компании даже высказывается мысль, что, возможно, проще будет купить новый смартфон.
Фото: Scott Akerman