Мобильные твари и где они обитают — часть четвертая

23 октября 2018

В четвертой части материала про различные виды мобильных угроз мы расскажем о самых сложных и опасных зловредах, которые не только используют возможности Android для собственной выгоды, но и настраивают вашу систему под себя и умеют совмещать в себе несколько вредоносных функций.

RAT-трояны

Обычные люди говорят «подложить свинью», а хакеры «подкидывают крысу». RAT по-английски действительно звучит как «крыса», но на самом деле это сокращение от Remote Administration Tool, то есть «инструмент для удаленного администрирования». Суть очень проста: с помощью этого инструмента можно подключиться к удаленному устройству по сети и не только видеть содержимое экрана, но также и полноценно управлять им, то есть передавать команды со своих устройств ввода (на компьютере это клавиатура и мышь, на смартфоне — сенсорный экран).

Изначально RAT создавались с благой целью — чтобы можно было помочь кому-то разобраться с теми или иными настройками или программами: работнику техподдержки гораздо удобнее самому везде проставить нужные галки и ввести значения параметров, чем пытаться по телефону объяснить «юзеру», что тот должен сделать. А пользователю тем более удобно.

Но в руках злоумышленника RAT-средства превращаются в грозное оружие: установить на свой смартфон троян, обеспечивающий кому-то удаленный доступ к гаджету, — это все равно что отдать незнакомцу ключи от квартиры. Вредоносное использование инструментов для удаленного доступа настолько популярно, что сама аббревиатура теперь все чаще расшифровывается как Remote Access Trojan (троян удаленного доступа).

Подключившись к вашему устройству через RAT, хакер может развлекаться, как его душе угодно: подсмотреть все ваши пароли и ПИН-коды; зайти в банковские приложения и перевести себе все деньги; подписать вас на какие-нибудь «веселые картинки», которые будут по-тихому поглощать средства с вашего мобильного счета или кредитной карты; а напоследок украсть все аккаунты почты, соцсетей и мессенджеров и вымогать деньги у ваших друзей и знакомых, прикидываясь вами.

Конечно, не забыв перед этим скопировать все ваши фотографии, чтобы — если среди них есть что-то пикантное — потом шантажировать вас их публикацией. А еще он может набрать от вашего имени онлайн-микрозаймов, за которые потом расплачиваться придется опять-таки вам.

Очень часто RAT используются для шпионажа. Самое безобидное применение таких зловредов — шпионаж ревнивых мужей за женами (или наоборот), но и для кражи корпоративных секретов они еще как подходят. Например, обнаруженный весной этого года AndroRAT втихаря делает снимки камерой смартфона и записывает звук (в том числе телефонные разговоры). А еще крадет пароли от Wi-Fi с привязкой к геолокации. С ним никакие переговоры не будут конфиденциальными, а уж приехать к офису и попытаться проникнуть в сеть компании с такими сведениями сам бог велел.

Рутовальщики

Root-доступом в некоторых операционных системах, в том числе Android, называются права «суперпользователя», которому разрешено вносить изменения в системные папки и файлы. Обычному пользователю для повседневных задач такой доступ совершенно не нужен, и по умолчанию он отключен. Но некоторые продвинутые энтузиасты любят открывать его для того, чтобы сделать какой-нибудь «тюнинг» операционной системы, то есть настроить ее под себя. О том, почему стоит два раза подумать перед тем, как это сделать, у нас есть пост «Root в Android: плюсы, минусы, подводные камни».

А еще некоторые зловреды умеют получать root-привилегии, используя уязвимости в операционной системе, — они называются трояны-рутовальщики. Наличие прав root позволяет злоумышленнику сделать тюнинг вашего смартфона под свои задачи. Например, заставить его принудительно открывать рекламные окна на весь экран. Или в фоновом режиме, без всяких уведомлений, устанавливать какие угодно программы — в первую очередь, конечно, зловредные или рекламные (adware).

Один из любимых фокусов рутовальщика — незаметно удалить установленные на смартфоне приложения и заменить их либо фишинговыми, либо дополненными вредоносными функциями. А еще при помощи прав суперпользователя можно запретить вам удалять зловреды с устройства. Немудрено, что рутовальщики считаются сегодня самым опасным видом мобильных угроз.

Модульные трояны

И швец, и жнец, и на дуде игрец — это про модульные трояны, которые умеют совершать несколько разных вредоносных действий, одновременно или выбирая наиболее подходящие по обстановке. Одним из ярчайших примеров такого трояна стал Loapi, обнаруженный в конце 2017 года. Как только он проникает на устройство, сразу же обеспечивает свою безопасность: запрашивает права администратора, но не оставляет вам выбора — при отказе окно запроса тут же появляется снова, и смартфоном пользоваться не получается. А если доступ разрешить, то Loapi уже не получится удалить с устройства.

Затем троян запускает какой-либо из пяти модулей. Он умеет и показывать рекламу, и подписывать пользователя на платный контент, переходя по ссылкам, и вести DDoS-атаки по команде с удаленного сервера, и скрывать SMS-сообщения, а также отправлять их злоумышленникам — это нужно для того, чтобы пользователь не замечал, что ему активировали подписку или пытаются украсть деньги с банковской карты.

В свободное от этих важных дел время троян потихоньку майнит криптовалюту, делая это преимущественно тогда, когда смартфон подключен к розетке или внешнему аккумулятору. При этом батарея заряжается очень долго из-за того, что энергию потребляет работающий на всех парах процессор, ведь майнинг — это сложная вычислительная задача, на которую требуется бросить все ресурсы. Для телефона это может кончиться печально: наши эксперты опытным путем выяснили, что пары дней активности Loapi достаточно, чтобы аккумулятор вздулся от перегрева.

Как защититься от самых страшных троянов

Несмотря на серьезную опасность, которую несут RAT-трояны, рутовальщики и модульные зловреды, от них можно защититься. Вот несколько простых правил:

  • Не пытайтесь скачивать взломанные версии приложений, чтобы сэкономить на покупке платных. Среди тех приложений, которые гуляют по просторам Интернета, немало зараженных.
  • Не кликайте по ссылкам, где вам обещают что-то ценное бесплатно. Рассылки в WhatsApp про авиабилеты в подарок — это, как правило, попытка украсть ваши персональные данные, а заодно и загрузить на ваш смартфон зловред. То же самое касается SMS от друзей и незнакомцев типа «вот твои фотки в Интернете лежат».
  • Не пренебрегайте обновлениями Android и установленных на вашем устройстве приложений. Обновления устраняют лазейки, через которые злоумышленники могут пробраться к вам в смартфон.
  • Поставьте на смартфон хороший антивирус. Например, Kaspersky Internet Security для Android не только найдет и удалит трояны, но и заблокирует вредоносные сайты со зловредами и мобильными подписками.