Специалисты из антивирусной фирмы Lookout нашли не удаляемый стандартными способами вирус на ОС Android. Эксперты обнаружили 20 тысяч вредоносных приложений, которые маскируются под популярные приложения и сервисы: Candy Crush, Facebook, GoogleNow, NYTimes, Snapchat, Twitter, WhatsApp. После скачивания зараженного приложения вирус рутирует систему (получает администраторский доступ) и незаметно функционирует в фоновом режиме, в то время как сама программа для пользователя работает как обычно.
Для пользователя вирус становится неудаляемым: устройство нельзя вылечить с помощью деинсталляции установленных программ или сброса к заводским настройкам системы, при котором происходит переустановка ОС. В случае заражения эксперты Lookout советуют либо обращаться за помощью к специалистам, либо покупать новое устройство. 🙁
Как подчеркнули исследователи, троян можно подхватить, только скачивая приложения в сторонних магазинах. При этом Google Play — официальный магазин — пока находится вне подозрений. В зону риска входят США, Германия, Иран, Россия, Индия, Ямайка, Судан, Бразилия, Мексика и Индонезия. Сколько именно устройств было поражено, пока не уточняется.
Всего исследователи выявили три вида вредоносного ПО, работающего таким образом. Shuanet проводит авторутирование устройства и прячется в файловой директории. Kemoge (или ShiftyBug) также рутирует смартфон и ставит приложения с вредоносным кодом. Shedun (или GhostPush) — работает по той же схеме. Как правило, приложениям не разрешается получать доступ к системным файлам других приложений, но если вирус получил рут-доступ, то это ограничение снимается.
Эксперты прогнозируют, что в будущем вредоносное рекламное ПО станет еще более незаметным, а по мере развития рынка мобильной рекламы авторы вредоносов внедрят в них новый функционал.
Исследователи отметили, что Shuanet напоминает им два аналогичных вредоноса – Kemoge и Shedun. Несмотря на то, что специалисты подозревали взаимосвязь между тремя семействами вредоносного ПО, эту теория доказать не удалось. Даже с учетом схожести исходного кода, порой достигающей отметки в 80% – 82%, исследователям не удалось доказать, что создателями Shuanet, Kemoge и Shedun являются одни и те же люди.
Однако, лично я считаю, что найденная уязвимость с фрагментами кода была опубликована в сети, где с стала доступна нескольким программистам-вирусописателям.
Как отмечает Apple Insider, обнаруженная уязвимость может сподвигнуть пользователей Android к массовой миграции на iOS, где привязка всех устройств к одному магазину приложений практически полностью исключает возможность появления подобных угроз.:)
В целом, ситуация действительно серьезная. Ждем ответа от Google.
А для начала совет: так как образцов вирусов в официальном магазине Google Play обнаружено не было (они заражают только смартфоны, у которых разрешена установка программ из альтернативных источников). Поэтому, чтобы обезопасить свое Android-устройство от этих вирусов, рекомендуется отключить возможность установки сторонних, непроверенных, взломанных и т.п. программ. Для этого зайдите в “Настройки” → “Безопасность” и снимите галку напротив “Неизвестные источники”.