Android vírusok
A VÍRUSOK INFEKCIÓJA ANDROIDBAN
A fertőzés legegyszerűbb és leggyakoribb módja, hogy népszerű programot vegyen fel, vegye fel, és helyezze be a rossz kódot. Ezután csomagoljon és adjon ki egy ingyenes verziót vagy verziót további jellemzőkkel. Az ilyen programok "meglepetés nélkül" jelennek meg, nem csak az Android nem hivatalos alkalmazásüzleteiben, és rendszeresen szivárognak a hivatalos Play Marketen.
Az ilyen hamisítás nagyon egyszerű.
Csomagolja ki az alkalmazást az apktool segítségével:
apktool - d lt; alkalmazásfájl nevét gt;
Írja be a rosszindulatú kódot, például egy nagyformátumú értesítési címzettet, amely az eszköz újraindítása után működik, és minden másodpercben parancsokat küld a rosszindulatú programok más részeire:
A program-áldozatnak ugyanazt az apktool segédprogramot kell visszaállítania, és készen áll az "ajándékkal" történő alkalmazás.
apktool b lt; alkalmazás mappáját gt;
Ha a megfelelő jogosultságokkal rendelkező alkalmazást az áldozatként választja ki, akkor a felhasználó nem okoz gyanúját. Ha nem találja meg a szükséges engedélyeket, akkor a vírusnak kényszerítenie kell a felhasználót arra, hogy speciális jogokat adjon nekik, bemutatva párbeszédét a rendszeren. Így például a Trojan-Banker.AndroidOS viselkedik. Asacub és Trojan-SMS.AndroidOS.Tiny.aw. Igen, az Android lehetővé teszi olyan ablakok létrehozását, amelyek az összes többi alkalmazás és párbeszédpanelen felül lesznek megjelenítve, beleértve a rendszereket is. Ehhez csak a szükséges nézetet kell létrehoznia és hozzáadnia a WindowManagerhez:
Az eszközadminisztrátor jogosultságait az inte használatával kérheti, ahol a VirusDeviceAdminReceiver örökli a DeviceAdminReceiveret:
A AndroidManifest kell bejelenteni a hallgató VirusDeviceAdminReceiver, valamint regisztrálni erőforrás virus_device_admin, amely információkat tartalmaz a szükséges jogokkal, és az esemény szűrő, amely reagál a hallgató, ebben az esetben -, hogy az admin jogok:
Miért olyan népszerű az Android vírusai?
- Nyílt forrás. Mindig látni tudja, hogyan működik ez a rendszer vagy a rendszer.
- Előfordulást. A biztonsági frissítések különbözõ típusú eszközökön érkeznek különbözõ idõkben, sokan frissítések nélkül maradnak, ami lehetõvé teszi a nagyon réges sebezhetõségek akadálymentesítését.
- A víruskereső programok hiányosságai. Nem számít, hány processzor van a készülékben, az antivirusok még mindig jelentősen lassítják az operációs rendszert, így a felhasználók nem szívesen teszik őket.
- Gyenge alkalmazás-ellenőrzési rendszer a piacon. A Google szakemberei által adott "többlépcsős azonosítási" garanciák ellenére a távoli fertőzött programok klónjai könnyen behatolnak a piacra, és semmilyen intézkedést nem alkalmaznak az ilyen programok fejlesztőire.
- A firmware központi felügyeletének hiánya. A firmware fejlesztő tökéletesen beilleszthet bármilyen kémprogram-szoftvert saját belátása szerint.
ANTI-VÍRUS-SZKENNEREK KÖRÜLÉSE
A Play Market bármely alkalmazásának szabad hozzáférési ideje véget ér. A Google-tól származó srácok rájöttek, hogy legalább néhány intézkedést meg kell tennie, hogy megakadályozzuk a nagyszámú vírus invázióját, és bevezetett egy alkalmazásellenőrzési rendszert. A vírusok alkotói azonnal reagáltak, és elkezdték beiktatni az ellenőrző bypass mechanizmusokat.
Az egyik érdekes módszer a rosszindulatú tevékenység késedelmes megkezdése. Például a hónap alkalmazás szabályos játék vagy könyvtárként viselkedik, több ezer felhasználó tölti le, és lelkes véleményeket hagy maga után, amelyek egyre nagyobb közönséget vonzanak. És egy idő után az alkalmazásban hirtelen felébred a gonosz, és hamarosan hamis párbeszédeket kezd, letölti és telepíti a nem kívánt szoftvert.
Miután letöltöd az osztályt, biztonságosan elmozdulhatsz a módszerekkel. A külső könyvtár vagy beilleszthető az APK-ba vagy telepítés után letölthető a webről. A rosszindulatú kód észlelésének további bonyolítása érdekében a támadók titkosítják az ilyen szoftvermodulokat, és keményen elképzelhető neveket adnak nekik.
Egyes vírusírók tovább mennek, és elterjednek a piacon az alkalmazások, amelyek a telepítés után telepítik és telepítik a vírusalkalmazásokat, maszkolva őket a rendszer segédprogramjaihoz. Tehát még akkor is, ha a felhasználó törli az eredeti alkalmazást, a vírus biztonságosan élni fog a készüléken és a számítógépen. Ezt a megközelítést például a BrainTest alkalmazásban hajtják végre.
Az új alkalmazásoknak a felhasználó tudta nélkül történő telepítéséhez a támadók a pm felhasználót használják:
Ennek a segédprogramnak a használatához az alkalmazásnak vagy kérnie kell az android.permission.INSTALL_PACKAGES engedélyt a manifesztumban, vagy root jogosultsággal kell rendelkeznie. Annak ellenőrzéséhez, hogy az alkalmazás telepítve van-e, használhatja a PackageManager class getPackageInfo módszerét:
AZ ANDROID VÍRUSOK ENERGIÁVAL KAPCSOLATOS MÓDJA
By the way, a letöltések száma ezeknek a "hasznos alkalmazásoknak" néha meghaladja a 100.000-et! Tehát, ha az alkalmazás arra kéri Önt, hogy jelentkezzen be az ablakban lévő közösségi hálózathoz, itt az ideje, hogy legyen éber, és emlékezzen arra, hogy pontosan mit tud erről az alkalmazásról.
Egy másik népszerű módszer a dúsítás vírus-zsarolásra. Miután az eszközön vannak, megkapják a gyökér jogát, gyakran titkosítják a felhasználói adatokat és megjelenítik az ablakot a megváltás igényével, megakadályozva ezzel a felhasználót más alkalmazások megpróbálásával. Így például a Fusob család vírusai viselkednek.
A zsarolási program elsődleges célja, hogy a gyökér az áldozat eszközén legyen. Sajnos a hétköznapi felhasználók számára számtalan kizsákmányolás van a weben, amely lehetővé teszi a felhasználók számára, hogy feleslegesen növeljék az alkalmazás jogát a felettes felhasználók számára. Például a törölközőt folyamatosan frissíti és javítja az alkotója. A kizsákmányolók jó bázisát a Támadó Biztonság csoport gyűjti össze. és természetesen a legújabb biztonsági réseket a CVE-ben lehet megtekinteni.
Miután megkapta a root-ot, a ActivityManager osztály segítségével a rosszindulatú programok kezelik az egyéb alkalmazások munkáját, megölve a nemkívánatosakat:
