А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Еще в 2012 году агентство собирало данные о 70 % мобильных сетей со всего мира. Причем прослушивать удалось даже GSM Association — это международная организация телекомов, где разрабатываются рекомендации по новым стандартам связи.

Еще агентство устанавливало закладки в различных приложениях для мобильных устройств, включая BlackBerry, которые считались ну очень защищенными. Смартфонами этого производителя пользовались известные политики, включая президента США Барака Обаму и множество других официальных лиц разных стран.

Это далеко не полный список проблем с прослушиванием, а просто несколько примеров. Список на самом деле гораздо, гораздо больше — и это только для известных способов прослушивания и кражи данных с мобильных устройств. То есть мы говорим лишь о вершине айсберга.

В конце 2017 специалисты компании «Доктор Веб» предупредили [16] пользователей, что в прошивку ряда мобильных телефонов прямо «из коробки» может быть внедрен троян семейства Android. Triada. Такой троян встраивается в системный процесс Zygote, который отвечает за старт программ на мобильных устройствах. За счет заражения Zygote троян включается в процессы всех работающих приложений вообще, получает их полномочия и функционирует с ними как единое целое.

Хотя другие типы данного семейства троянов, ранее обнаруженные исследователями, пытались получить root-привилегии для выполнения вредоносных операций, троян (Android.Triada.23 Г) встроен в системную библиотеку libandroidruntime.so.

Модифицированная версия библиотеки была обнаружена сразу на нескольких мобильных устройствах. В частности в отчете «Доктор Веб» упомянуты смартфоны Leagoo М5 Plus, Leagoo М8, Nomu S10 и Nomu S20. «Библиотека libandroid runtime.so используется всеми приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений», — пишут специалисты компании.

Троян встроен в libandroid runtime.so таким образом, что получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск трояна происходит именно через нее.

После инициализации вредонос выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении работает. Если малврь функционирует в среде Dalvik, она перехватывает один из системных методов, что позволяет отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта.

Так как внедрение трояна в вышеупомянутую библиотеку было реализовано на уровне исходного кода, исследователи полагают, что к распространению троянов причастны либо инсайдеры, либо недобросовестные партнеры производителей устройств, которые участвовали в создании прошивок.

Основной задачей Android.Triada.231 является незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты трояна. Для их запуска троян проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троян.

Если каталог успешно обнаружен, троян ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционных систем, соответственно). Обнаружив файл, троян расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же нужный объект не найден, проводится поиск файла 36.jmd. Он тоже расшифровывается и сохраняется под именем mms-core.jar, запускается при помощи класса DexClassLoader, после чего созданная копия удаляется с устройства.

В результате Android.Triada.231 способен внедрять практически любые троянские модули в процессы любых программ и влиять на их работу. К примеру, операторы трояна могут отдать команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальных данных и информации из банковских приложений, модулей для кибершпионажа, перехвата переписки из клиентов социальных сетей, интернет-мессенджеров и так далее. Также троян способен извлекать из библиотеки libandroid runtime.so модуль Android. Triada.l94.origin. Его основная функция — загрузка дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.

Исследователи отмечают, что удалить троян стандартными методами не получится, придется перепрошивать устройство с нуля, заведомо «чистой» прошивкой.

С помощью мобильного телефона можно контролировать практически все!

Например, разработанный уже более 10-ти лет назад небольшой внешний модуль, подключаемый к мобильному телефону (рис. 6.7), позволял:

• реализовать функции обеспечения безопасности;

• выполнять акустический контроль помещения;

• анализировать геомагнитные поля;

• использовать пассивный инфракрасный детектор в качестве беззвучной сигнализации;

• всегда быть в курсе того, где находится мобильный телефон.

Рис. 6.7. С использованием дополнительных модулей (а, б, в) обычный мобильный телефон превращается в универсальное сигнальное и подслушивающее устройство

В данном примере речь пойдет о стандартных (имеющихся на рынке) модулях расширения для мобильных телефонов, наподобие Siemens-S25… SL45, с помощью которых в случае возникновения тревожной ситуации посылается SMS или выполняется вызов с активизированной функцией прослушивания:

• SAFE-BOY — модуль акустического контроля (39 х 24 * 15 мм);

• SAFE-BAG — модуль контроля геомагнитного поля (39 х 24 * 15 мм);

• SAFE-MAN — тепловой датчик перемещения и модуль акустического контроля (71 х 32 х 14 мм).

Все три модуля вставляют в разъем мобильного телефона, имеющих встроенный факс-модем (например, Siemens S25…SL45). От этого разъема на подключаемый модуль подается напряжение питания, в результате чего емкость аккумулятора мобильного телефона снижается примерно на 25–30 %.

Электронная часть модулей полностью базируется на популярном микроконтроллере PIC 16С58 (-А и — В), причем 16С58В представляет собой усовершенствованную версию PIC 16С58А. В этих микроконтроллерах существует возможность защитить память программ от несанкционированного считывания.

Данный микроконтроллер имеет 12 линий ввода-вывода и оснащен памятью программ емкостью 2 К х 12 бит, а также рабочей памятью объемом 73 байта. Он работает при напряжении питания 2,5 В, причем потребляемый ток в ждущем режиме составляет всего лишь 0,6 мкА. Выходы имеют примечательно высокую нагрузочную способность, обеспечивая выходной ток до 6 мА. В силу этого они могут, например, напрямую управлять светодиодами.