Как программы-вымогатели атакуют дешевые Android-смартфоны

Когда экономия опаснаНапример, в Африке, где в топах продаж традиционно лидируют очень дешевые китайские аппараты стоимостью меньше 100 долларов, специалисты по безопасности компании Secure D обнаружили на смартфоне вредоносную программу, которая ворует деньги пользователей, - телефон автоматически подписал незадачливого пользователя на множество платных подписок."К сожалению, дешевизна устройства может обеспечиваться не только низкой стоимостью его аппаратных комплектующих, но и программной частью, - объясняет Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. - Одни производители показывают пользователю рекламу, которую нельзя убрать, и таким образом монетизируют разницу в цене. Другие собирают данные и продают их рекламодателям".По словам эксперта, недобросовестные производители таких девайсов могут даже не вкладываться в разработку операционной системы, а просто брать готовые сборки ОС из интернета, собранные неизвестно кем. "К сожалению, встречаются случаи, когда производителя взламывают и в сам процесс сборки и публикации прошивок может внедряться вредоносный код. Защититься от подобного обычным покупателям смартфонов не представляется возможным", - резюмирует Никитин.Специалист предупреждает, что не стоит рассматривать к покупке устройства с операционной системой ниже Android 9.0. "Если ваш смартфон уже не обновляется и не получает патчи безопасности, его необходимо сменить". Кроме того, желательно покупать смартфон, который предназначен для продажи в России, и у производителя есть официальный представитель в нашей стране."В случае заказа из-за рубежа смартфона с прошивкой для другого региона, который официально не представлен в России, предъявить претензии в случае нахождения таких "сюрпризов" будет некому", - заключает Никитин."Два года назад мы обнаружили рекламное ПО Cosiloon - оно было предустановлено на несколько сотен различных моделей и версий Android-устройств. Пострадали, например, такие производители, как ZTE и Archos, - рассказывает Войтех Бочек, старший инженер по безопасности мобильных устройств Avast. - Рекламное ПО создавало оверлей (метод программирования, позволяющий создавать программы, занимающие больше памяти, чем установлено в системе) для отображения рекламы на веб-странице в браузере пользователя. Оно было активным по крайней мере три года до нашего открытия, его было трудно удалить, поскольку его устанавливали на уровне прошивки и использовали специальную маскировку на уровне кода, чтобы те, кто устанавливает прошивку на устройство, не могли найти подвох".Тогда пострадали тысячи пользователей: только за один месяц версия рекламного ПО была обнаружена примерно на 18 000 устройствах. Устройства были из более чем сотни стран, включая Россию, Италию, Германию, Великобританию, США.Могут ли пользователи iPhone чувствовать себя в безопасности?За последние годы в операционной системе iOS было обнаружено несколько уязвимостей, продолжает Войтех Бочек. Например, можно говорить о серии эксплойтов iOS, обнаруженных командой Google Project Zero. По данным исследователей, даже если пользователь просто заходил на взломанный сайт, сервер эксплойтов мог атаковать его устройство и в случае успеха установить контроль над гаджетом. Этот сценарий атаки был очень специфическим, поскольку пользователи должны были посетить взломанный сайт, чтобы потенциально заразиться. Apple выпустила обновление для уязвимости через несколько дней после того, как об этом им сообщила команда Google.Члены команды Google Project Zero представили ошибки безопасности в iOS на прошлогодней конференции Black Hat. Эти ошибки, по мнению исследователей, могли привести к выполнению вредоносного кода без вмешательства пользователя. Apple снова быстро выпустила исправления.Ранее в этом году, по данным ZecOps, злоумышленники обнаружили способ атаковать устройства iOS через почтовое приложение. Ошибка в приложении iOS Mail могла позволить злоумышленнику запустить код на устройстве пользователя при получении им специального письма. Из-за других мер безопасности iOS-код имел возможность управлять только самим приложением Mail, поэтому пользователь мог читать, удалять и изменять электронные письма, хранящиеся в приложении. Однако злоумышленник мог использовать другую уязвимость и получить контроль над всем устройством - исследователи ZecOps считают, что были попытки сделать именно это.Благодаря системе безопасности iOS эту ошибку было нелегко использовать, поэтому попытки злоумышленников, о которых сообщили исследователи ZecOps, оказались безуспешными: код запустить не удалось.Исходя из того, что было обнародовано, не похоже, что эта атака может быть направлена на большое количество устройств. Скорее можно говорить о том, что если такие атаки и будут проводиться, то только на очень известных людей. Поэтому маловероятно, что это как-то затронет рядовых пользователей iOS.В 2019 году была обнаружена серьезная уязвимость - Checkm8. Она использует первый код, который запускается на устройствах iOS при их включении. Уязвимость нельзя устранить при помощи обновлений, так как используемый код находится в постоянной памяти. Единственное решение проблемы - купить новое устройство, например iPhone XS / XR или что-то новее.Почему надо периодически обновлятьсяДля использования этого эксплойта требуется физический доступ к нужному устройству. Поэтому большинство владельцев iPhone это не должно беспокоить. Пользовательские данные на iPhone по умолчанию зашифрованы, если пользователи используют какую-либо форму блокировки экрана, например PIN-код или Touch ID.На старых устройствах, на которых отсутствует Secure Enclave, то есть на iPhone 5c и старше, этот эксплойт, к сожалению, может позволить злоумышленнику с физическим доступом создать инструмент для взлома пароля методом подбора, без каких-либо ограничений на количество попыток или "тайм-аут".Раньше это было возможно путем копирования микросхем физической памяти (модификация аппаратного обеспечения iPhone), но этот путь будет намного быстрее и проще. На более новых устройствах это смягчается за счет Secure Enclave, который ведет учет попыток расшифровать данные и не допускает брутфорса.Этот эксплойт может быть даже полезен для людей, которые хотят иметь более глубокий доступ к своим устройствам iOS. Но он может привести к новым, более серьезным уязвимостям."Я советую пользователям всегда обновлять свои операционные системы и приложения независимо от платформы и независимо от того, сообщалось ли о каких-либо уязвимостях или нет", - объясняет эксперт.Обновления не только предоставляют новые функции, но и часто содержат исправления, устраняющие уязвимости. Хотя iPhone пользуется репутацией очень безопасного устройства, ошибки по-прежнему регулярно встречаются в различных частях их программного обеспечения, как и в любом другом смартфоне."Apple действительно вкладывает много ресурсов в обеспечение максимальной защиты iPhone. Например, они увеличили вознаграждение за сообщения об ошибках безопасности", - заключает Бочек.