Искусство цифровой самозащиты - Артимович Дмитрий
В современных операционных системах Android и iOS безопасности уделено достаточно много внимания. Производители учли опыт настольных операционных систем, который формировался десятилетиями. Каждое приложение запускается изолированно и на определенные действия запрашивает разрешениe пользователя.
Подавляющее большинство вредоносного программного обеспечения под Android и iOS маскируется под легитимное ПО и требует прямого участия пользователя: он сам должен скачать и установить такое ПО. Мошенники скрывают вирусы под видом безобидных приложений и файлов: браузеры, плееры, игры, навигаторы, книги, антивирусы. Затем они распространяют их:
• на сайтах для взрослых, сайтах со взломанными приложениями и пиратскими фильмами, торрент-трекерах и т. п. Например, вы ищете в интернете какую-нибудь игру или программу и попадаете на форум. Кто-то оставил нужную ссылку или файл, и все дружно его благодарят. На самом деле форум и комментаторы ненастоящие;
• по СМС, MMS и электронной почте. Как правило, это СМС от «девушек с сайтов знакомств», с сайтов бесплатных объявлений, письма от «нотариусов из Германии», сообщения о выигрыше в лотерею. Будьте осторожны, в большинстве случаев это мошенники.
Эксплойты под Android и iOS никто не отменял, и уязвимостей под эти операционные системы ничуть не меньше, чем под Windows или MacOS. Подхватить вредоноса, посещая зараженный веб-сайт, тоже можно, но таких случаев единицы, и они скорее используются спецслужбами, о чем я напишу ниже. Куда чаще ошибки в операционных системах используются вредоносным ПО, чтобы обойти ограничения операционных систем и спрятать себя из списка установленных программ, перехватить ввод или прочитать ваши СМС, получить пароли из браузеров или перенаправить вас на фишинговые сайты.
Вот несколько примеров самых опасных зловредов под Android:
Triada
Данный вирус обнаружили в марте 2017 года. Уникален он своей близостью к классическим вирусам, а не к троянам-вымогателям, как это обычно бывает на Android.
Попав в устройство, эти троянцы первым делом собирают данные о системе: модель устройства, версия ОС, объем SD-карты, список установленных приложений и т. п. Затем отправляют собранную информацию на командный сервер.
Получив сообщение от троянца, командный сервер в ответ посылает ему файл с конфигурациями, содержащий персональный ID зараженного устройства и набор настроек: через какие временные промежутки вирус должен связываться с сервером, какие модули ему нужно установить и тому подобное. После установки модулей они стираются из памяти устройства и остаются только в оперативной памяти.
Особенность «Триады» заключается в том, что это модульный вирус, к нему можно подключить самый разный функционал.
Marcher
Так называемый «банковский зловред» был разработан еще в 2013 году, но его «звездный час» настал летом 2016 года. Знаменит хорошей маскировкой и «интернационализмом».
Marcher представляет собой простой троян, который не проворачивает ничего сверхъестественного, а просто подменяет собой служебные страницы огромного количества банков с помощью всплывающих окон. Механизм следующий:
• Троян проникает в систему вместе с зараженным приложением.
• Ищет на смартфоне банковские приложения и приложения интернет-магазинов, выбирает «заготовки» в соответствии с тем, каким банком вы пользуетесь.
• Отправляет на смартфон «приманку» – сообщение в шторке уведомлений со значком банка/магазина и сообщением в стиле «на ваш счет поступило N рублей»/«купон на скидку 75 % для любого товара только сегодня!».
• Владелец смартфона кликает на уведомление, после чего троян открывает точнейшую копию – страницу, oдин в oдин похожую на ту, что вы привыкли видеть в официальном приложении. И говорит что-то в стиле «соединение с сетью прервано, повторите ввод данных банковской карты».
• Владелец смартфона вводит данные банковской карты – и деньги с карты уходят злоумышленнику.
Godless
Троян Godless впечатляет своей маскировкой – длительное время его наличие в приложениях не распознавала даже хваленая система антивирусной проверки в Google Play. Результат предсказуем: зловред заразил свыше 850 тысяч смартфонов по всему миру, причем почти половина из них принадлежит жителям Индии.
Для начала Godless добывает на смартфоне root-права. После этого троян отправляет себя в папку /system (откуда его уже не удалить без перепрошивки) и шифрует себя при помощи AES-ключа.
С полным комплектом прав доступа Godless начинает понемногу воровать личные данные пользователя со смартфона и устанавливать сторонние приложения.
Pegasus
Эксплойтами пользуются не только киберпреступники, но и спецслужбы. Спецслужбы даже скупают всевозможные уязвимости для целей взлома систем и слежения.
Одной из разработок для слежения за людьми является шпионское ПО Pegasus. Следы этой шпионской программы были найдены в телефонах множества журналистов и активистов по всему миру.
Pegasus – это основной продукт израильской компании «киберразведки» NSO Group, вероятно, наиболее известной из новых компаний, производящих шпионское программное обеспечение. Технологии NSO Group позволяют клиентам (по утверждению компании, исключительно правительствам и никогда – частным лицам или компаниям) выбирать в качестве целей конкретные телефонные номера и заражать связанные с ними устройства трояном Pegasus.
Но вместо того чтобы пытаться перехватить зашифрованные данные, передаваемые одним устройством другому, Pegasus позволяет оператору управлять самим устройством и получить доступ ко всему, что на нем хранится.
Pegasus отслеживает нажатие клавиш на зараженном устройстве – все письменные коммуникации и поисковые запросы, даже пароли – и передает данные клиенту, а также дает доступ к микрофону и камере телефона, превращая его в мобильное шпионское устройство, которое «мишень», не задумываясь, носит с собой.
Раньше для хакерских атак Pegasus требовалось активное участие самой «мишени». Операторы программы посылали текстовое сообщение с вредоносной ссылкой на телефон объекта слежки. Если человек переходил по ссылке, в браузере открывалась страница, скачивающая и запускающая вредоносный код на устройстве. NSO Group использовала разные тактики, чтобы увеличить вероятность перехода по ссылке.
Клиенты посылали спам-сообщения для того, чтобы разозлить «мишень», а затем посылали еще одно сообщение со ссылкой, по которой нужно перейти, чтобы перестать получать спам. Социотехнические приемы использовались для того, чтобы увеличить вероятность клика: вредоносные ссылки вставлялись в сообщения, которые должны были заинтересовать или напугать объектов шпионского ПО.
Со временем пользователям стало известно о таких тактиках и они научились лучше определять вредоносный спам. Требовалось что-то более изощренное.
Решением стало использование так называемых «эксплойтов без клика». Эти уязвимости не требуют никакого участия пользователя для того, чтобы Pegasus смог заразить устройство. В последние годы правительства, использующие Pegasus, предпочитают именно эту тактику.
Эксплойты без клика полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные – иногда из неизвестных источников.
Как только уязвимость обнаружена, Pegasus проникает в устройство, используя протокол приложения. Пользователю для этого не нужно переходить по ссылке, читать сообщение или отвечать на звонок.
«Эксплойты без клика составляют большинство случаев, которые мы видели с 2019 года», – говорит Клаудио Гуарнери из Лаборатории безопасности Amnesty International. Его команда опубликовала технический отчет по методологии проекта Pegasus.