Brain Test
Brain Test — вредоносное ПО, маскирующееся под приложение для теста IQ. Распространялось как приложение для ОС Android и было доступно для свободного скачивания через официальный магазин приложений «Google Play» с августа 2015 года вплоть до 15 сентября 2015 года[1][2]. Вирус впервые был обнаружен компанией Check Point[2].
Brain Test был загружен в официальный магазин приложений дважды, и оба раза встроенный антивирус площадки не смог обнаружить в нём признаки вредоносного ПО. После первого удаления, произошедшего 24 августа 2015 года, вирус был повторно загружен в Google Play, но уже в обфусцированном виде.
В отличие от более ранних вирусов на мобильных системах, данное вредоносное ПО также включало в себя руткит[3].
Согласно эксперту из Check Point, программа, вероятно, была написана китайским хакером с использованием инструмента от Baidu, предназначенного обфускации архивов. Компания Eleven Paths, принадлежащая Telefonica, обнаружила сходства с другими вирусами в виде: схожих рекламных идентификаторов, обращению к одинаковым доменам, а также использовании общих изображений форматов jpg и png[4].
Впервые программа была обнаружена на смартфоне Nexus 5 с помощью мобильного антивируса от компании Check Point. Исследователей насторожил тот факт, что антивирус не смог удалить программу сразу, что сразу поставило Brain Test в ранг необычных угроз.
Если Brain Test уже был установлен, то, вероятно, единственным эффективным методом лечения является полный сброс памяти смартфона, с последующей перепрошивкой операционной системы.
Функции[править | править код]
Вредоносное ПО распространялось в двух, идентичных формах, при этом обфускация кода присутствовала только во втором.
Вирус имел ряд особенностей:
- Возможность уклонения от обнаружения встроенным антивирусом Google Play — Google Bouncer. Программа избегает вредоносного поведения на серверах Google с IP-адресами 209.85.128.0-209.85.255.255, 216.58.192.0-216.58.223.255, 173.194.0.0-173.194.255.255 или 74.125.0.0-74.125.255.255 или доменными именами «google», «android» или «1e100».
- Наличие нескольких рутирующих эксплойтов. В программе были обнаружены четыре различных эксплойта для получения root-доступа к системе, с целью более надёжного укоренения, даже в смартфонах тех производителей, использующих иные пути доступа к правам суперпользователя[5].
- Внешнее расположение вредоносного кода. Система использовала до пяти внешних серверов для предоставления различного вредоносного кода, в первую очередь связанного с демонстрацией навязчивой рекламы.
- Запаковка кода и временная задержка перед его открытием. Основной код вируса находится в звуковом файле, и распаковывается с некоторой задержкой.
- Двойная установка и защита от удаления. Устанавливается одновременно две копии вредоносного ПО. Если одна из них удаляется, другая переустанавливает её из вышеупомянутого внешнего источника.
Примечания[править | править код]
- ↑ Graham Cluley. Malware hits the Google Play Android app store again (and again) (23 сентября 2015).
- ↑ 1 2 Polkovnichenko; Boxiner, Alon BrainTest – A New Level of Sophistication in Mobile Malware (21 сентября 2015). Дата обращения: 27 ноября 2015. Архивировано 25 ноября 2015 года.
- ↑ Cett. Brain Test malware more cunning than 1st thought. GoMo News (2 ноября 2015). Дата обращения: 27 ноября 2015. Архивировано из оригинала 26 ноября 2015 года.
- ↑ Detailed coverage at Forbes Chinese Cybercriminals Breached Google Play To Infect 'Up To 1 Million' Androids. Дата обращения: 9 июня 2023. Архивировано 9 июня 2023 года.
- ↑ Kerner. Malicious Brain Test App Thwarts Google Play Android Security (недоступная ссылка — история). eweek.com (21 сентября 2015). Дата обращения: 27 ноября 2015.
Ссылки[править | править код]
- Подробное освещение в Forbes
- Видео от Грэма Клули о Brain Test
- Вашингтон Пост .
 | На эту статью не ссылаются другие статьи Википедии. |