Разное hraser 0 Комментарии

Пять андроид-угроз, от которых спасает только дисциплина

Опыт полевых тестов антивирусных систем демонстрирует: мобильный ландшафт давно перешёл порог бытовых шалостей. Вредоносный код скрывается под иконками невинных утилит, выгрызая ресурсы терминала и финансы владельца.

Содержание

Деструктивная пятёрка

Joker получил имя за желание подменять SMS-подписки: троян тащит ядро billing-fraud, внедрённое через reflection-загрузчик (динамическая загрузка классов через Reflection API). Модуль нанизывает лжедокументы на шлюз транспортного уровня, после чего устройство само оплачивает фиктивные сервисы. Диалог с системным API минимален, сигнатуры дробятся polymorph-алгоритмом (самоизменяющееся шифрование), сравнимым с биологическим дрейфом антигенов.

xHelper — паразит-невидимка, прячущийся в папке /system/bin под мутировавшим названием. Корневая область заполняется бинарём, задействующим Libsuperuser (библиотека эскалации привилегий) для перманентного доступа уровня root. Даже wipe через recovery оставляет гостя: скрипт автодеплоя хранится в init.rc и поднят атрибутом immutable (chattr +i). Благодаря подмене ключевых хэш-блоков троян перехватывает сервисы Accessibility без всплывающих окон.

Event Bot ориентирован на банковские клиенты. Инъекция поверх Accessibility-CSP считывает одноразовые коды, а собственный Canary-канал (служебный поток для раннего вывода ошибок) отправляет их через протокол gRPC, маскируясь под синхронизацию календаря. Вирус встроен в легальные приложения-клоны, мастер-раз упаковщик применяет steganoload (скрытый код внутри мультимедиа), где payload прячется внутри WEBP-миниатюр.

Продвинутые трояны

Triada принадлежит к классуу zygote-инжекторов (внедрение в одноимённый системный процесс): объект внедряется прямо в процесс создания приложений, поэтому любое новое Activity наследует заражённый Namespace. Компонент so-loader проталкивает прокси libandroid_runtime.so, через которую сети диспетчеров рекламы переключаются на подпольный RTB-аукцион. Лабораторная трассировка показала применение техники process hollowing (замена содержимого запущенного процесса), известной среди maldoc-сценариев для Windows, но редкой в мобильной среде.

FluBot идёт по принципу “червя-мессенджера”: вредоносный код перехватывает контакты, генерирует фишинговые SMS и разносит ссылку на dropper с тем же хэшем pepper-salt. Работа строится через двухуровневый DGA (Domain Generation Algorithm — динамическая генерация доменов), основанный на алгоритме Мерсенна-Твистера. Паукообразная топология ботнета напоминает съёмку тора на рентгене: пустота внутри, агрессия по краям.

Инженерные рекомендации

Сдерживание описанных угроз опирается на три практических правила. Первое: инструментарий sideloading держим отключённым, подписи проверяем через bundletool —verify. Второе: журналы logcat-buffer анализируются еженедельно при помощи regex-профиля, отфильтровывающего скрытые вызовы sendMultipartTextMessage. Третье: поток DNS выводим через DoT-резолвер с кастомным списком denylist доменов, автоматическая ротация ключей ECDSA-P256 фиксируется в cron-планировщике Termux. Такой алгоритм закрывает тройку популярных векторов проникновения.