Мир: Троян Shedun использует Accessibility Service для установки приложений

0

Специалисты ИБ-компании Lookout рассказали о вредоносном ПО для Android, которому для установки не требуется разрешение пользователя. Как отметил аналитик Майкл Бентли (Michael Bentley), для вредоносных целей Shedun использует службу Accessibility Service, которая обеспечивает доступ к событиям, возникающим в пользовательском интерфейсе.

Исследователи обнаружили порядка 20 тыс. Android-вредоносов, поделив их на три “семейства” в зависимости от используемого способа инфицирования – Shedun, Shuanet и ShiftyBug. Оказавшись на устройстве, трояны получают права суперпользователя и устанавливают себя в качестве системного ПО, которое крайне сложно удалить. Вредоносное ПО нового типа, содержащее функции трояна, позволяет злоумышленникам получать доступ к персональным данным, а также отображать рекламные объявления, зарабатывая на этом деньги.

Сообщается, что случаи заражения Shedun, Shuanet и ShiftyBug были выявлены в России, США, Германии, Иране, Индии, Ямайке, Судане, Бразилии, Мексике и Индонезии. Эксперты установили одну любопытную закономерность: коды всех трех вредоносов идентичны примерно на 70-80%, а это может свидетельствовать о том, что созданием ПО занималась одна и та же команда вирусописателей.

По сравнению остальными семействами, Shedun обладает более развернутым функционалом. Он не только загружает нежелательные приложения, но и пытается установить их, обманным путем заставляя пользователей предоставить контроль над службой Accessibility Service. Вместо эксплуатации уязвимости в сервисе Shedun использует его легитимные функции. Вредонос способен прочитывать текст, отображающийся на экране, определять появление командной строки программы установки приложения, просматривать список разрешений и выполнять установку без участия пользователя. (Lookout/NovostIT)