Экран погас ради установки апдейта? Поздравляем, кто-то только что перехватил коды из СМС.
На хакерском форуме в открытом интернете появилось объявление о продаже Oblivion , нового трояна удалённого доступа для Android. Исследователи Certo разобрали публикацию, веб-панель и видеодемонстрацию, где показана работа инструмента. По описанию и по ролику Oblivion рассчитан на покупателей с минимальными навыками: вредоносное приложение собирается в конструкторе, а управление заражёнными телефонами идёт через веб-интерфейс.
Продавец представляет Oblivion как самостоятельную разработку и отдельно подчёркивает, что инструмент не относится к типичным переработанным сборкам, которыми завален подпольный рынок. В описании говорится, что перед публичным релизом Oblivion якобы более 4 месяцев тестировали в реальных условиях, без сбоев и без поведенческих детектов.
Доступ продают по подписке. Тарифы размещены прямо в теме на форуме. Исходный код покупателям не передают, человек получает доступ к самому инструменту и его возможностям на срок, который оплатил.
В теме на форуме опубликованы тарифы: 1 месяц стоит $300, 3 месяца – $700, 6 месяцев – $1 300, доступ на 1 год – $1 900, пожизненный доступ – $2 200.
Продавец также утверждает, что обход работает не только на чистом Android, но и на популярных оболочках с дополнительными механизмами безопасности:
MIUI / HyperOS (Xiaomi)
One UI (Samsung)
ColorOS (OPPO)
MagicOS (Honor)
OxygenOS (OnePlus)
Доступ к службе специальных возможностей опасен тем, что даёт приложению широкие права на управление интерфейсом. При наличии такого доступа вредоносный код может читать содержимое других приложений, нажимать элементы интерфейса, вводить текст, перехватывать ввод с клавиатуры и скрывать уведомления, включая окна запросов разрешений. Google постепенно ужесточает правила вокруг Accessibility , поэтому заявления об обходе ограничений на новых версиях Android выглядят особенно важными.
Удалённое управление в Oblivion построено на VNC, технологии удалённого просмотра и управления экраном. В описании и демонстрации фигурирует режим HVNC, то есть скрытая VNC-сессия. В таком режиме владелец телефона видит на экране заставку System updating…, а атакующий управляет устройством в отдельной скрытой сессии, так что действия не отображаются на экране жертвы. Экран-заглушка настраивается и может имитировать обновление HyperOS, проверку антивирусом или другой экран загрузки.
Отдельно упоминается режим Screen Reader, который, по заявлению продавца, помогает обходить защиту банковских приложений и криптокошельков. В таких приложениях часто включены механизмы, которые мешают захвату экрана и показывают чёрный экран при записи. В связке с управлением через Accessibility этот режим может упростить доступ к данным из приложений, которые стараются скрывать содержимое при попытках просмотра извне.
Набор функций по сбору данных ориентирован на то, что обычно интересует злоумышленников с финансовой мотивацией:
SMS: чтение, отправка, блокировка и перехват, включая коды двухфакторной аутентификации
push-уведомления: чтение и скрытие от владельца, включая уведомления банков
перехват ввода (кейлоггер): запись нажатий в реальном времени, включая пароли, PIN-коды и другой ввод
файлы и список установленных приложений: доступ через отдельную панель управления
удалённое управление приложениями: скрытый запуск и удаление приложений
Auto Unlock: автоматическая разблокировка устройства после перезагрузки с использованием перехваченного PIN, пароля или графического ключа
Продавец делает отдельный упор на том, что Oblivion трудно удалить. В описании заявлены механизмы, которые мешают отзыву разрешений, мешают удалению приложения и мешают отключению службы специальных возможностей. Также подчёркивается, что разные производители по-разному модифицируют Android и добавляют собственные защитные слои, из-за чего многие трояны удалённого доступа быстро перестают работать на части моделей. Oblivion, по заявлению продавца, удерживается на устройстве месяцами за счёт самовосстановления, скрытия значка и маскировки процессов.
По серверной части заявлена поддержка более 1 000 одновременных сессий и работа при использовании анонимизирующих сетей вроде Tor.
Certo отмечает, что Oblivion задевает те области защиты, которые Google годами усиливает, прежде всего злоупотребления службой специальных возможностей. Если инструмент действительно получает контроль без ручной выдачи разрешений, риск возрастает даже для пользователей актуальных версий Android.
Защита в первую очередь сводится к отказу от установки приложений в обход Google Play. Большая часть заражений троянами удалённого доступа начинается с APK, загруженного из стороннего источника. Поддельные экраны обновления остаются одним из основных способов доставки, поэтому любые предложения обновить приложение вне магазина лучше считать тревожным сигналом, особенно если экран просит включить установку из неизвестных источников. Полезно проверить список приложений с доступом к специальным возможностям в настройках Android и отключить доступ у незнакомых приложений или у приложений без явной причины для такого разрешения. Неожиданная заставка обновления или загрузки после установки APK из стороннего источника тоже должна насторожить: желательно выключить телефон и проверить устройство средствами безопасности.