Совсем недавно специалисты компании Lookout сообщали о появлении крайне неприятного семейства мобильных вредоносов, в состав которого входят трояны Shedun (GhostPush), Kemoge (ShiftyBug) и Shuanet. Именно об этой малвари эксперты писали, что ее «практически невозможно удалить, проще купить новый смартфон». Теперь специалисты Lookout заметили еще один неприятный нюанс: троянец Shedun способен устанавливать сторонние вредоносные приложения на устройство пользователя, даже если последний не желает их установки.

Малварь проворачивает хитрый трюк, используя в корыстных целях системный компонент Android Accessibility Service, который предлагает слабовидящим пользователям альтернативные способы взаимодействия с устройством.

Как это работает: сначала устройство заражается трояном Shedun, замаскированным под легитимное приложение (таких хватает в сторонних магазинах). Попав в систему, Shedun начинает хитрить, он не пытается эксплуатировать какой-то баг в Accessibility Service, вместо этого троянец использует задокументированные функции ОС. Сначала он выводит на экран диалог, к примеру, обещая помочь пользователю избавиться от нежелательной рекламы. Якобы для этого нужно просто включить Accessibility Service. Очень иронично, учитывая, что семейство Shedun, Kemoge и Shuanet называют «троянизированной adware» — заразив систему, вредоносы буквально заваливают жертву рекламой, ради которой всё и затевается. Иногда Shedun предлагает включить Accessibility Service для контроля над приложениями, работающими в фоновом режиме. Якобы сервис помогает их вовремя останавливать, экономя ресурсы устройства:

Затем Shedun показывает жертве pop-up баннер, который невозможно закрыть (куда бы пользователь ни нажал — скачивается приложение). Так как Accessibility Service уже включен, малварь имеет возможность самостоятельно читать текст на экране, замечать появление запроса на установку приложения, прокручивать список разрешений, необходимых для установки приложения, и даже нажимать на кнопку «Установить», без участия пользователя. Процесс занимает считанные секунды:


Всё это очень тревожит экспертов, особенно в сочетании с тем фактом, что Shedun, Kemoge и Shuanet прописываются так глубоко в систему, что избавиться от них не помогает даже сброс устройства до заводских настроек и полное удаление из системы всего, до чего можно дотянуться. Специалисты Lookout пишут, что данный тип малвари эволюционирует очень быстро, так что стоит ожидать появления еще более сложных «представителей жанра».

Напомню, что ранее компания Lookout обнаружила более 20 000 различных Android-приложений, содержащих Kemoge, Shedun и Shuanet. В основном это подделки под реально существующие популярные программы. Инфекция распространилась на самые разные страны, среди которых: США, Россия, Германия, Иран, Индия, Ямайка, Судан, Бразилия, Мексика и Индонезия.

Фото: C_osett



4 комментария

  1. ShadowHD

    22.11.2015 at 12:43

    А что насчет перепрошивки? Тут максимум что говорят, это про сброс к заводским настройкам, но не понятно, выживет ли малварь при полной перезаписи системы (по идее не должна, если прелоадер тоже переписать)

  2. nonamer

    22.11.2015 at 15:40

    Дальше эти вирусы станут более незаметными и почти не будут мешать жить пользователям, что увеличит количество людей, кто даже не будет пытаться удалить это чудо.

    • cadet

      23.11.2015 at 10:06

      … пока у них не начнут пропадать деньги со счетов (мобильного, привязанных карт и т.п.). Только тогда включится мозг.

Оставить мнение