Исследователи Программных технологий Контрольной точки раскрыли новое нападение, назвал Мозговой Тест, против Android, который неоднократно входил в склад Google Play.Атакующие теперь используют все более и более сложные методы для получения вредоносных приложений в законные расположения. Последний инцидент является новым нападением на склад Google Play, в котором вредоносное приложение смогло закончить безопасность Google – не один раз, но дважды.
Вредоносное приложение вызывают, Мозговой Тест, и до его удаления Google 15 сентября имел целых 1 миллион пользователей.Согласно Программным технологиям Контрольной точки, Мозговое Тестовое вредоносное программное обеспечение в состоянии поместить руткит в зараженное устройство на базе Android, позволяя атакующему выполнить произвольный код. Там существуют многократные механизмы защиты в Android и сайте Google Play, чтобы препятствовать тому, чтобы вредоносное программное обеспечение работало, все же вредоносное программное обеспечение BrainTest смогло избежать их всех использование многих различных методов.Механизм эмуляции Контрольной точки поймал фазу эксплуатации вредоносного программного обеспечения BrainTest, сказал Майкл Шолов, глава мобильного предотвращения угрозы в Контрольной точке.
Т.е. вредоносное программное обеспечение было обнаружено, когда приложение выполняло использование против ядра устройства эмуляции.Нарушение безопасности Android не является никаким тривиальным вопросом, и вредоносное программное обеспечение BrainTest включает четыре различного использования расширения полномочий для получения корневого доступа на устройстве. Шаулов отметил, что потребность в четырех использовании имеет отношение к фрагментации устройства на базе Android.«Различные разновидности Android и различные устройства требуют различного использования, потому что ядро или драйверы, которые уязвимы, отличаются», сказал Шаулов eWEEK. «Как пример, одно использование будет успешно работать над Галактикой устройство S4 рабочий Android 4.4, в то время как другое использование выполнит успешно на устройстве Google Nexus рабочий Android 5».
Включение многократного использования расширения полномочий является подобным понятием к тому, как пакеты использования работают против веб-браузеров: киберпреступники упакуют многократное использование (один для Internet Explorer 11, один для Internet Explorer 9, один для FireFox и один для Chrome) и попытаются выполнить их против различных браузеров, получающих доступ к зараженному Веб-сайту, объяснил Шаулов.С вредоносной точки зрения полезной нагрузки существует инфраструктура командования и управления, связанная с Мозговым Тестовым вредоносным программным обеспечением, сказал Шаулов.
Это в настоящее время похоже, что основная цель командного пункта состоит в том, чтобы наложить агрессивные рекламные объявления на устройстве и установить дополнительные приложения, добавил он.«Учитывая архитектуру вредоносного программного обеспечения, это может повторно ставиться целью любое время, поскольку логика выполнения загружается с командного пункта», сказал Шаулов.Контрольная точка идентифицировала два приложения под названием Мозговой Тест, которые были загружены на Google Play с помощью двух различных пакетов приложения: com.zmhitlte.brain и com.mile.brain.
В то время как Google с тех пор удалил приложения, существует некоторое указание, что вредоносное программное обеспечение все еще присутствует в складе приложений для Android non-Google Play, сказал Шаулов.Google вызвали технологию, Проверяют Приложения, который используется для сканирования устройств на базе Android для потенциального вредоносного программного обеспечения, которое, возможно, прибыло из источников non-Google Play. Шаулов отметил, что Контрольная точка не проверяла, проверяют ли, что Приложения защищают от Мозгового Теста.
«В целом проверьте, что приложения только проверяют по известным хешам, таким образом, любая перестановка вредоносного программного обеспечения не будет идентифицирована Google, Проверяют Приложения», сказал Шаулов.Фиксация первопричины Мозгового Тестового вредоносного программного обеспечения может быть трудной и не ни о какой единственной уязвимости.«[Мозговой Тест] использует многократные подходы и CVEs [Общие Уязвимости и Воздействия] от многократных поставщиков, и Google не может исправить эту проблему», сказал Шаулов.
Все еще неясно, кто ответственен за Мозговое Тестовое вредоносное программное обеспечение, хотя Шаулов сказал, что источник, кажется, является китайским.Атакующие в Китае также были заняты в последние недели, следуя за App Store Apple.
Apple вытягивает по крайней мере 39 приложений после того, как вредоносное программное обеспечение XcodeGhost было обнаружено, который использовал мошенническое средство разработки XCode для инфицирования приложений.Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.