Валентин Холмогоров - PRO вирусы. Версия 4.0

Основная причина такого бурного роста числа угроз для Android в целом очевидна: вирусописатели заинтересованы в извлечении прибыли от распространения своих вредоносных приложений, а мобильные платформы — это живые деньги. Фактически современный смартфон представляет собой мобильный электронный кошелек, и простор для творчества со стороны злоумышленников здесь поистине огромен: они могут рассылать платные СМС-сообщения, совершать в тайне от пользователя телефонные звонки на различные коммерческие номера, подписывать жертву на те или иные виртуальные услуги, за использование которых с ее счета будут ежедневно списываться денежные средства, крутить на телефоне рекламу, а если его владелец использует системы мобильного банкинга — просто красть с его счета деньги, перехватывая входящие СМС с одноразовыми паролями и кодами авторизации. Сегодня существуют даже блокировщики и троянцы-шифровальщики для Android. Потенциальная емкость этого теневого рынка огромна, и он будет освоен, причем стремительно. Сейчас мы как раз наблюдаем этот процесс вживую.

Безусловно, 99 % современных троянцев для Android неискушенный пользователь запускает на своем устройстве самостоятельно, скачав их из Интернета под видом игры или какой-либо полезной программы. Казалось бы, достаточно проявлять элементарную осмотрительность, и можно гарантированно избежать опасности заражения. Однако не стоит также сбрасывать со счетов тот факт, что ОС Android — это массовая и чрезвычайно популярная операционная система, занимающая львиную долю на современном рынке мобильных устройств. Она рассчитана на обычного, рядового, среднестатистического владельца смартфона, который может даже не знать такого термина, как «системная платформа». Все, что от него требуется, — это умение интуитивно нажимать на кнопки. И потому, когда загруженная из Интернета игра, запускаясь на выполнение, потребует от него доступа к СМС, сети, списку контактов, внутренней памяти телефона, личным данным и холодильнику на кухне, он нажмет «Ок» не задумываясь, потому что просто не поймет, что все эти слова означают. Впрочем, он и не должен этого понимать, он — пользователь, от слова «использовать». Именно это «слабое звено» и эксплуатируют в своих неблаговидных целях киберпреступники.

Вместе с тем, троянские программы встречаются и в заводских прошивках Android-устройств (чаще всего этим страдают дешевые мобильные телефоны китайского производства), а также в официальном каталоге Google Play, куда они периодически проникают несмотря на все принимаемые корпорацией Google меры безопасности. Помимо этого, в 2016 году были выявлены вредоносные программы, способные внедряться в системные процессы ОС Android. Отдельную угрозу представляют Android-загрузчики, сами по себе не имеющие опасных функций, но способные скачивать из Интернета и запускать на мобильном устройстве различных троянцев, в частности под видом обновлений установленных приложений и игр. Вредоносным программам для мобильных устройств в этой книге посвящена отдельная глава.

Третье место по распространенности в «дикой природе» занимают вредоносные программы для ОС семейства Linux. Интерес злоумышленников к данной платформе обусловлен тем, что эти операционные системы активно используются на различных «умных» устройствах, относящихся к категории IoT ( Internet of Ting s, «интернет вещей» ). К таковым относятся бытовые и промышленные wi-f роутеры, точки доступа, сетевые хранилища, кабельные модемы, телевизионные приставки, камеры с веб-интерфейсом управления, и т. д. Чаще всего вредоносное ПО проникает на подобные девайсы из-за использования на них заводских настроек, установленных производителем по умолчанию: многие владельцы ТВ-приставок или роутеров даже не подозревают, что в них предусмотрена возможность поменять пароль. Еще две причины — использование простых, нестойких к подбору паролей, и наличие ошибок в заводской прошивке устройства ( frmware ), которую пользователь ленится вовремя обновлять. Наиболее распространенный метод атак — перебор паролей по словарю ( брутфорс ), цель — внедрение на скомпрометированные устройства троянцев для проведения DDoS-атак и загрузки по команде злоумышленников другого вредоносного ПО. Известны случаи, когда такие троянские программы подменяли настройки DNS, что приводило к автоматическому перенаправлению пользователей на вредоносные интернет-ресурсы при просмотре веб-сайтов или вызывало неожиданное появление рекламных сообщений в окне браузера. Некоторые вредоносные программы подобного типа реализовывали функции прокси-сервера, осуществляя фильтрацию пользовательского трафика с различными неблаговидными целями (обеспечение анонимности злоумышленников в Интернете, организация несанкционированных подключений, фишинг, подмена поисковой выдачи, автоматическое перенаправление на вредоносные и мошеннические интернет-ресурсы и т. д.). Троянцам для IoT также будет посвящена отдельная глава.

Отдельную подкатегорию Linux-угроз составляют троянцы, предназначенные для заражения веб-серверов, а также FTP- и почтовых серверов в Интернете, благодаря чему атака на такую машину может открыть злоумышленникам, например, доступ к SMTP-серверу для организации массовых рекламных рассылок, к веб-серверу — для реализации автоматических перенаправлений посетителей сайта на интернет-ресурсы, распространяющие другое вредоносное ПО, в целях хищения пользовательских учетных данных, а также для организации массовых DDoS-атак. Причиной заражения во многих случаях является недостаточная компетентность администраторов Linux-серверов при настройке операционной системы, установка различного ПО из недоверенных репозиториев, а также использование ими «слабых» паролей, неустойчивых к взлому путем простого подбора по словарю или с применением методов «брутфорса» (подбор пароля полным перебором, также известен как взлом с использованием «грубой силы»).

Четвертую позицию по количеству известных угроз занимает операционная система Apple macOS (ранее — OS X), широко известная среди обывателей своей «неприступностью» и «безопасностью». Троянских программ для macOS и вправду существует сравнительно немного, но, тем не менее, они есть, причем первый троянец, ориентированный именно на OS X, был выявлен в 2006 году. Подавляющее большинство среди угрожающих пользователям Apple вредоносных программ составляют так называемые рекламные троянцы, многие из которых реализованы в виде надстроек (плагинов) для наиболее популярных браузеров: Safari, Chrome, Firefox. Их основное назначение заключается в демонстрации потенциальной жертве назойливой рекламы при открытии им в окне браузера различных веб-страниц. Существуют троянцы-майнеры для macOS, использующие вычислительные мощности компьютеров Apple для «добычи» электронных криптовалют путем сложных математических вычислений. Одним из немногих и весьма редких примеров вредоносной программы, способной проникнуть на «мак» вообще без участия пользователя и абсолютно незаметно для него, является уже упоминавшийся мною ранее бэкдор BackDoor. Flashback.39, использовавший для своего распространения уязвимость в Java-машине OS X. Следует, между делом, отметить, что если бы инцидента с Flashback не случилось, пользователей «маков» наверняка постигла бы другая аналогичная эпидемия — например, спустя короткое время после выявления упомянутой выше угрозы был обнаружен троянец BackDoor. Sabpub.1, использовавший для своего распространения ту же самую уязвимость, что и Flashback. Беды удалось избежать лишь потому, что корпорация Apple вовремя выпустила «заплатку» для своей реализации Java (вовремя — это спустя два месяца после выхода аналогичного обновления от Oracle). Этих двух месяцев вполне хватило на то, чтобы BackDoor.Flashback успел инфицировать 600 000 с лишним машин. По данным на июнь 2015 года во всем мире насчитывалось порядка 26 700 компьютеров Apple, зараженных Flashback, однако к началу 2017 года этот ботнет практически прекратил свое существование.