Смартфони на базі Android все частіше стають жертвами вірусів-Дроппер, які інтегруються в програми з офіційного магазину Google Play Store. Ситуацію ускладнює той факт, що Дроппер не можуть розпізнати ні служба безпеки Google, ні багато сучасних антивіруси.
Смартфони небезпеки
В епоху інформаційних технологій навіть самі непросунуті користувачі гаджетів давно запам’ятали просту інструкцію – якщо не хочеш підчепити вірус, не можна користуватися неперевіреними джерелами. На жаль, хакерські техніки не стоять на місці, і тепер власники смартфонів Android ризикують заразитися навіть після скачування з офіційного магазину Google Play Store, повідомляє портал Bleeping Computer.
Якщо взяти до уваги, що пристроями на базі Android користуються близько 80% населення Землі, то масштаби цієї проблеми стають куди небезпечніше. А причиною масових заражень стають спеціальні віруси, які називаються Дроппер (від англ. Dropper – «бомбоскидач»).
Дроппер відносяться до тих шкідливим програмам, які таємно заражають пристрій іншими вірусами, захованими в тілі Дроппер.
Такий метод зараження проходить в кілька етапів і погано розпізнається захисними програмами. Як розповів «Газеті.Ru» керівник відділу технічного супроводу продуктів і сервісів ESET Russia Сергій Кузнецов, Дроппер, на відміну від класичних вірусів, самі по собі не ведуть деструктивну або шкідливої діяльності, але є невід’ємною частиною початкових етапів багатьох вірусних атак.
Дроппер поводиться як звичайне ПО, взаємодіє з користувачем, виконує заявлені функції, але, крім цього, несе в своєму коді «корисне навантаження». Як правило, ця корисне навантаження зашифрована і не може бути детектувати на етапі стандартної антивірусної перевірки файлу. Після запуску самого Дроппер, корисне навантаження витягується в окремий файл (скидається). Звідси і назва цього сімейства вірусів. Крім того, дроппер може бути використаний для маскування роботи шкідливого коду, що додатково ускладнює детектування, – пояснив експерт.
Останнім часом Дроппер набули широкого поширення, так як користувачі часто не знають, що в їх смартфоні з’явився троян. Крім того, підчепити дроппер може будь-яка людина, що викачує додатки з магазину Play Store.
Коли такий вірус інтегрований в мобільний додаток і подається на схвалення в Play Store, захисні системи Google не бачать в ньому загрози і виставляють програму в магазині для загального доступу.
Ситуацію ускладнює той факт, що на смартфонах рідко встановлюються сучасні антивірусні програми, які могли б вчасно виявити загрозу. Крім того, згідно з даними дослідників Avast Threat Labs, деякі гаджети на базі Android, які не пройшли обов’язкову сертифікацію Google, поставляються на ринок з вже встановленими Дроппер всередині.
Трюк з Дроппер часто використовується для установки банківських троянів
За даними ІБ-дослідників, кількість заражень за допомогою Дроппер почала зростати в травні 2017 року. Останній великий сплеск був зафіксований в січні 2018 року – тоді зловредів Exobot поширився серед користувачів в Австрії, Великобританії, Нідерландах і Туреччині, які скачали заражені додатки в Google Play. Банківські трояни атакують додатки мобільного банкінгу, отримуючи дані карти користувача і викачуючи гроші з його рахунку.
За словами технічного директора Check Point Software Technologies Микити Дурова, в червні 2018 була зафіксована високуа активність завантажувача Dorkbot, який торкнувся 7% організацій по всьому світу і піднявся з восьмого на третє місце в списку найбільш активних шкідливих програм за версією Check Point. Dorkbot віддалено виконує код через оператора, а також завантажує додаткове шкідливе ПЗ на вже інфіковану систему. Основна мета шкідливий – полювання за критичною інформацією і запуск DDoS-атак.
Вірус, який не видно
Користувачі техніки Apple можуть відчувати себе трохи більш захищеними від вірусів-Дроппер, так як App Store пред’являє більш суворі вимоги до додатків і проводить більш ретельну перевірку, перш ніж допустити програму в магазин. Крім того, Apple не дозволяє додаткам на iOS завантажувати, встановлювати і запускати будь-якої було код, що було б непогано перейняти їх конкурентам з Google.
В рамках боротьби з Дроппер Google запустила сервіс Play Protect, який постійно сканує додатки в офіційному магазині додатків на предмет підозрілої активності. Проте, експерт Гетен ван Дімьен з ThreatFabric, вважає цей захід неефективною.
«Додатки з Дроппер вкрай важко обчислити. Як ви можете здогадатися, зловмисники прикладають дуже багато зусиль, щоб їх не розкрили », – заявив ван Дімьен.
На думку експерта, Google варто посилити заходи безпеки і проводити більш докладні тести на стадії допуску додатка в магазин, так як в інтернеті можна знайти велику кількість інформації про Дроппер, які допомогли б компанії без праці розпізнавати загрозу.
«Що цікаво, ми спостерігаємо, як багато антивіруси також не справляються з виявленням Дроппер. Це означає, що дане питання слід публічно обговорювати з метою підвищення обізнаності », – уклав ван Дімьен.
Поки ж абсолютний захист від Дроппер ще не придумали, експерти радять дотримуватися трьох головні рекомендації – використовувати сучасне антивірусне ПЗ, встановлювати додатки тільки з офіційного сайту розробника або з офіційних магазинів, а при завантаженні ознайомитися з відгуками і репутацією додатки.
