Количество угроз для Android с начала года выросло десятикратно

В июне компания "Доктор Веб" выявила более 40 вредоносных программ для операционной системы Android (для iOS - только одна), что свидетельствует о неуклонном росте популярности этой платформы среди вирусописателей. Относительно начала года количество угроз для нее увеличилось десятикратно.

Даже несмотря на то, что мобильная платформа Android базируется на ядре Linux и обладает надежным механизмом обеспечения безопасности, с каждым днем для нее появляется все больше вредоносных программ. Мобильные устройства привлекают преступников тем, что с их помощью можно тайком рассылать SMS и осуществлять звонки на платные номера, организовывать рекламные рассылки по списку абонентов адресной книги и загружать на смартфон различный контент.

Причиной роста количества угроз для Android также является открытость исходных кодов этой ОС, благодаря чему любые обнаруженные в ней уязвимости быстро становятся достоянием общественности. Дополнительную опасность создает и то, что пользователи устройств на базе Android могут загружать приложения с различных площадок, что значительно повышает вероятность заражения.

Из всех вредоносов для Android, вышедших в июне, больше всего шума наделал троянец Android.Plankton. Угроза была выявлена в Лаборатории компьютерных исследований Университета Северной Каролины. Одной из отличительных особенностей вируса является вероятная массовость его распространения: троянец был встроен в приложение Angry Birds Rio Unlock, открывающее доступ к скрытым уровням популярной игры Angry Birds. Только с официального сайта Android Market инфицированная программа была загружена более 150 000 раз, а на альтернативных ресурсах, таких как известный сборник приложений для Android androidzoom.com, число скачиваний достигало 250 000.

Опасность приложения заключается в том, что троянец не только собирает и отправляет злоумышленникам информацию о зараженном устройстве (включая ID оборудования, версию SDK, сведения о привилегиях файла), но и позволяет выполнять различные команды, получаемые от удаленного центра.

Специалистами "Доктор Веб" также была выявлена угроза Android.Gongfu. В ходе исследований выяснилось, что она использует те же уязвимости, что и распространенный Android.DreamExploid, однако демонстрирует принципиально иной механизм действия. После запуска программа повышает собственные права до привилегий root, а вслед за этим загружает другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. По завершении загрузки ОС сервис запускается автоматически без участия пользователя и собирает идентификационную информацию о зараженном устройстве, включая версию операционной системы, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Далее эти сведения передаются злоумышленникам на удаленный сервер.

17 июня в вирусные базы Dr.Web были внесены описания четырех новых модификаций SMS-сендера Android.Wukong (4-7), похищающего средства со счетов пользователей ОС Android путем отправки платных SMS-сообщений. Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем одного из инфицированных приложений и запускается в качестве фонового процесса. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут начинает отправлять сообщения, начинающиеся со строки "YZHC". Также программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие SMS с информацией о приеме платежа оператором.

Июнь также отметился появлением большого количества вредоносных программ, использующих для реализации атак на зараженную систему модификацию загрузочной записи. Ярчайшим представителем этого класса является Trojan.MBRlock - вымогатель, изменяющий главную загрузочную запись (Master Boot Record), делая невозможным запуск ОС Windows. Вредоносная программа Win32.Rmnet крадет пароли от популярных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP, делая эту информацию доступной для сетевых атак или размещения на удаленных серверах различных вредоносных объектов.

Среди всех угроз для Mac OS X значительное большинство составляют ложные антивирусы наподобие широко известного MacDefender, а также различные троянские программы, такие как Mac.DnsChange. Тем неожиданнее стала новость об обнаружении нового бэкдора для использующих Intel-совместимую архитектуру компьютеров производства компании Apple. Данная вредоносная программа получила наименование BackDoor.Olyx. она стала вторым известным бэкдором для Mac OS X, первый назывался BackDoor.DarkHole. Вирус имеет версию как для Mac OS X, так и для Windows. Запускаясь в операционной системе, он позволяет злоумышленникам открывать на зараженной машине веб-страницы в используемом по умолчанию браузере, перезагружать компьютер и удаленно выполнять различные операции с файловыми объектами.

©  @Astera