Low-code

от 667 руб.

Цифровая трансформация

с ELMA365

Корпоративные мессенджеры

От 200 руб/мес

Передовое

решение

IaaS

от 249,95 руб.

Для любых задач

Оплата pay-as-you-go

Корпоративные мессенджеры

от 250 руб/мес

Защищенная платформа

коммуникаций

IaaS

По

Облако VMware/Брест

ФЗ-152, SLA 99,99%

IBP

по запросу

Универсальная CPM/EPM

self-service платформа

IaaS

По запросу

ЦОД Tier III

ФЗ-152 УЗ-1 К1 и Г1 ФЗ-187

  • Корпоративные мессенджеры

    От 200 руб/мес

    Передовое

    решение

  • IaaS

    от 249,95 руб.

    Для любых задач

    Оплата pay-as-you-go

  • Корпоративные мессенджеры

    от 250 руб/мес

    Защищенная платформа

    коммуникаций

  • IaaS

    По

    Облако VMware/Брест

    ФЗ-152, SLA 99,99%

  • IBP

    по запросу

    Универсальная CPM/EPM

    self-service платформа

  • IaaS

    По запросу

    ЦОД Tier III

    ФЗ-152 УЗ-1 К1 и Г1 ФЗ-187

  • BPM

    от 12 000 руб/год

    Цифровые процессы

    с комфортом для людей

  • HRM

    от 8500 руб.

    HCM-платформа

    для автоматизации HR

  • HRM

    от 0 руб.

    Готовая HRM

    от ФАКТ

BPM

от 12 000 руб/год

Цифровые процессы

с комфортом для людей

HRM

от 8500 руб.

HCM-платформа

для автоматизации HR

HRM

от 0 руб.

Готовая HRM

от ФАКТ

ВКС

от 250 руб/мес

Платформа корпоративных

коммуникаций

IaaS

от 490руб./мес

VMware / ПО РФ

SLA 99,95% Pay-as-you-go

IP-телефония

от 0 руб.

Продуманная связь

для вашего бизнеса

На смартфоны в России и США напал троян, который невозможно удалить

Безопасность Администратору Пользователю Техника Мобильность Маркет
Компания Symantec отметила резкое распространение троянца, который не удаляется даже после аппаратного сброса. Возможно, на определённых устройствах его заново устанавливает какое-то системное приложение.

Реклама, руткиты и регулярные возвращения

Компания Symanteс обнаружила резкий рост количества заражений троянцем xHelper под Android. Вредоносная программа, заразившая за последние полгода 45 тыс. устройств преимущественно в России, Индии и США, автоматически переустанавливается на устройстве после удаления вручную и даже после сброса устройства на заводские настройки.

Помимо неудаляемости xHelper неприятен тем, что выводит огромное количество раздражающей рекламы, а также скачивает и устанавливает дополнительные вредоносы на пользовательское устройство.

Как отмечается в публикации Symantec, у xHelper «нет обычного пользовательского интерфейса. Вредоносная программа представляет собой компонент приложения, что означает, что в средствах запуска приложений заражённого устройства он не будет отображаться».

По этой же причине xHelper невозможно запустить вручную: его запуск происходит в ответ на внешние события - например, подключение устройства к источнику питания, перезагрузку или установку и удаление приложений.

Троянец xHelper, не удаляется даже после аппаратного сброса устройств на Android

После запуска троянец регистрируется как приоритетное приложение, что снижает вероятность того, что система закроет его при исчерпании памяти; если его служба всё-таки остановлена, она автоматически перезапускается снова.

В троянце также реализована защита от перехвата коммуникаций с его контрольным сервером - это делается с помощью «закрепления сертификата» (Certificate pinning).

Обосновавшись на устройстве, xHelper скачивает туда всевозможные дропперы, кликеры (троянцы - накрутчики рекламы) и даже руткиты.

В активной разработке

Symantec отмечает, что впервые xHelper попал в поле видимости компании в марте 2019 г. На тот момент это был довольно простой с технической точки зрения накрутчик рекламы. В последнее время, однако, функциональность троянца резко возрасла, и в Symantec убеждены, что его разработка по-прежнему ведётся очень активно.

Как именно троянец попадает на заражённые устройства, пока остаётся тайной. В приложениях в официальном магазине Google Play его сэмплов не обнаружено. Что означает, что пользователи скачивали заражённые им приложения откуда-то ещё. В Symantec, однако, подозревают, что троянец может скачиваться на смартфоны через какие-то приложения, предустанавливаемые на устройства определённых брендов (каких именно, в Symantec не уточнили).

«Наша телеметрия показывает, что эти приложения (связанные с xHelper - прим. CNews) устанавливаются чаще прочего на конкретные бренды, и это заставляет нас предположить, что злоумышленники заинтересованы в конкретных марках мобильных устройств. Нам кажется маловероятным, впрочем, что xHelper предустанавливается на смартфоны, учитывая, что у эти приложения не являются системными вовсе. Вдобавок множество пользователей жалуется на постоянное присутствие вредоносной программы на их устройствах, несмотря на сброс настроек до заводских и ручную переустановку. И поскольку эти вредоносные приложения не являются системными, есть основания полагать, что некое приложение, являющееся системным - и вредоносным - постоянно скачивает троянец. Сейчас мы занимаемся расследованием этой версии», - говорится в публикации Symantec.

«Версия выглядит вполне правдоподобной, во всяком случае, в теории, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Вполне вероятно, что кто-то скомпрометировал программные репозитории с предустанавливаемыми на определённые марки смартфонов приложениями, и заложил в них вредоносную функциональность. Надо сказать, это весьма эффективный способ препятствовать любым попыткам удалить троянец. По крайней мере, до тех пор, пока не выяснится, что за системное приложение себя так ведёт, и в нём ли дело вообще».

Пока точная причина повторных заражений неизвестна, Symantec даёт базовые рекомендации по борьбе с проблемой: не устанавливать приложения из непроверенных источников, обзавестись антивирусом, внимательно смотреть, какие приложения каких разрешений требуют, как можно чаще обновлять всё, что подлежит обновлению и регулярно резервировать важные данные.

Короткая ссылка