Первый летний месяц 2011 года, несмотря на относительно прохладную погоду, оказался достаточно жарким в плане появления новых угроз информационной безопасности. Так, специалистами компании «Доктор Веб» было выявлено более 40 вредоносных программ для операционной системы Android (для iOS — только одна), что свидетельствует о неуклонном росте популярности этой платформы среди вирусописателей.
По сравнению с началом года наблюдается десятикратный рост угроз для нее. Не остались в стороне и вирусописатели, ориентирующиеся как на персональные компьютеры под управлением Microsoft Windows, так и на «макинтоши».
Даже несмотря на то, что мобильная платформа Android базируется на ядре Linux и обладает весьма надежным механизмом обеспечения безопасности, с каждым днем для нее появляется все больше и больше вредоносных программ. Одна из очевидных причин этого — чрезвычайно широкое распространение данной ОС.
Мобильные устройства стали лакомым куском для разработчиков вредоносных программ, ведь с их помощью можно тайком от пользователя рассылать СМС и осуществлять звонки на платные номера, организовывать рекламные рассылки по списку абонентов адресной книги и загружать на смартфон различный контент. Иными словами, этот рынок открывает злоумышленникам короткий путь к быстрому обогащению.
Еще одна возможная причина роста количества угроз для Android — открытость исходных кодов этой операционной системы, благодаря чему любые обнаруженные в ней уязвимости быстро становятся достоянием широкой общественности. Дополнительную опасность создает и то обстоятельство, что, например, пользователи устройств на базе Android могут загружать приложения с различных площадок, что значительно повышает вероятность заражения. Владельцы iPhone, iPad и iPod — только из App Store.
Из всех вредоносных программ для ОС Android, появившихся на свет за истекший месяц, больше всего шума наделал троянец Android.Plankton, описание которого было добавлено в вирусные базы 9 июня. Впервые эта угроза была выявлена в Лаборатории компьютерных исследований Университета Северной Каролины (Department of Computer Science, NC State University), сотрудник которой — доцент Ксаксиан Цзян (Xuxian Jiang, Assistant Professor) — любезно предоставил специалистам «Доктор Веб» образцы инфицированного приложения, за что компания выражает ему искреннюю благодарность.
Одной из отличительных особенностей Android.Plankton является вероятная массовость его распространения: троянец был встроен в приложение Angry Birds Rio Unlock, открывающее доступ к скрытым уровням популярной игры Angry Birds. Только с официального сайта Android Market инфицированная программа была загружена более 150 000 раз, а на альтернативных ресурсах, таких как широко известный сборник приложений для Android androidzoom.com, число скачиваний достигало 250 000.
Опасность данного вредоносного приложения заключается в том, что троянец не только собирает и отправляет злоумышленникам информацию о зараженном устройстве (включая ID оборудования, версию SDK, сведения о привилегиях файла), но и позволяет выполнять различные команды, получаемые от удаленного центра.
Буквально за несколько дней до этого, 6 июня 2011 года, специалистами компании «Доктор Веб» была выявлена еще одна угроза для Android, получившая наименование Android.Gongfu (на сегодняшний день в базе присутствуют пять ее модификаций). В ходе исследований выяснилось, что Android.Gongfu использует те же уязвимости, что и широко распространенный Android.DreamExploid, однако демонстрирует принципиально иной механизм действия. После запуска вредоносная программа повышает собственные права до привилегий root, а вслед за этим загружает другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. По завершении загрузки ОС этот сервис запускается автоматически без участия пользователя и собирает идентификационную информацию о зараженном устройстве, включая версию операционной системы, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Далее эти сведения передаются злоумышленникам на удаленный сервер. Фактически данная вредоносная программа обладает функциями бэкдора, способного обрабатывать получаемые от удаленного сервера команды.
17 июня 2011 года в вирусные базы Dr.Web были внесены описания четырех новых модификаций СМС-сендера Android.Wukong (4–7), похищающего средства со счетов пользователей ОС Android путем отправки платных СМС-сообщений. Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем одного из инфицированных приложений (они распространяются с нескольких китайских сайтов, в том числе с одного из крупнейших сборников ПО www.nduoa.com) и запускается в качестве фонового процесса. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут начинает отправлять СМС-сообщения, начинающиеся со строки «YZHC». Помимо этого, вредоносная программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие СМС с информацией о приеме платежа оператором.
Анализ выявленных специалистами компании «Доктор Веб» угроз показывает, что большинство вредоносных программ для Android встроено в легитимные приложения, распространяемые через популярные сайты, — сборники ПО и игр. Для реализации атак используются не только уязвимости операционной системы, но и невнимательность самих пользователей, назначающих устанавливаемому приложению слишком высокие привилегии.
Динамика роста угроз для мобильной операционной системы Android с начала текущего года, полученная на основе статистических данных вирусной лаборатории «Доктор Веб», показана на предложенном ниже графике. Налицо практически десятикратное увеличение в течение полугода, и можно предположить, что число вредоносных программ для этой платформы будет увеличиваться и в дальнейшем.
Владельцам работающих под управлением Android устройств можно порекомендовать, прежде всего, внимательно следить за требованиями, которые предъявляет к системе устанавливаемое приложение. Если, например, речь идет о локальной однопользовательской игре, вряд ли ей действительно необходимо иметь полный доступ к функции отправки СМС и адресной книге. И, конечно же, рекомендуется защитить операционную систему с помощью Dr.Web для Android Антивирус + Антиспам или Dr.Web для Android Light, в базах которых присутствуют сигнатуры всех известных на сегодняшний день угроз.