Ghost Push — вид вредоносного ПО, которое использует уязвимости, чтобы получить root-доступ к Android-устройствам для незаметного скачивания и оценки приложений в фоновом режиме. Используя методы социальной инженерии, злоумышленники обманным путем заставляют пользователей скачивать Ghost Push из сторонних магазинов приложений или через ссылки, отправляемые в текстовых сообщениях.

После установки Ghost Push пытается получить root-доступ. Исходя из названия эксплойта, Ghost Push, получив root-доступ к устройству, действует незаметно. Пользователи, чьи устройства заражены этим вирусом, ничего не замечают, ведь все происходит в фоновом режиме. Недавно была обнаружена новая разновидность данного типа вредоносного ПО под названием Gooligan, которое массово заражает мобильные устройства на платформе Android. Gooligan крадет адреса электронной почты и маркеры аутентификации, хранящиеся на зараженных устройствах, получая доступ к данным пользовательских учетных записей Google, в том числе Gmail и Google Play. Взломано уже более одного миллиона учетных записей пользователей данного магазина приложений.

Так ли опасен Ghost Push на самом деле? Основываясь на проведенных нами исследованиях, первой формой этого эксплойта можно считать разновидность рекламной программы под названием Xinyinhe, обнаруженной в 2014 году. Данный вирус был разработан китайской компанией из Шэньчжэна, которая в то время занималась рекламой и продвижением мобильных игр. Чтобы устанавливать приложения без ведома пользователей, программа Xinyinhe использовала Android-устройства для получения root-доступа.

Адрес сервера Xinyinhe

Так троян Ghost Push получает root-доступ с помощью GingerBreak

Учитывая огромное количество приложений, доступных в Google Play, компании-разработчики вынуждены стремиться к тому, чтобы их программы имели большое количество установок и множество положительных отзывов. В связи с этим стало появляться все больше «подпольных» рекламных платформ. На представленной ниже фотографии видно, как китайские компании, занимающиеся продвижением приложений, вручную устанавливают их с помощью большого количества Android-смартфонов.

Программа Gooligan — разновидность эксплойта Ghost Push, названная так компанией Check Point — является более сложной, чем Xinyinhe. Используя устройство для получения root-доступа, Gooligan взламывает учетную запись Google Play, чтобы незаметно скачивать оттуда приложения, а затем ставить им оценку. Большинство Android-устройств, используемых в Китае, не поддерживают инфраструктуру Google Play из-за законодательства. Поэтому китайские пользователи пользуются местными неофициальными магазинами приложений.

Из-за этого жертвами Gooligan в большинстве своем становятся жители Юго-Восточной Азии. В некоторых странах данного региона очень популярны дешевые смартфоны на платформе Android, а магазин приложений Google Play исправно функционирует. Но, к сожалению, дешевые смартфоны, как правило, поставляются с более старыми версиями Android и не имеют функциональных возможностей для их обновления. В странах Юго-Восточной Азии наиболее распространены версии, начиная с 4.2 по 4.4. Они имеют проблемы безопасности и отличаются высоким уровнем незащищенности, поэтому Gooligan может легко получить root-доступ к устройствам, использующим эти версии.

В течение последних двух лет коды таких известных эксплойтов, как DirtyCow, iovroot, Pingpong root, находились в открытом доступе. Это значительно упростило для Gooligan возможность получения root-доступа к еще большему количеству устройств. Таким образом, кроме пользователей в Юго-Восточной Азии, от вируса также пострадали пользователи в Европе и Америке, которые использовали старые версии операционной системы Android.

Как защититься от Ghost Push

• Установите на смартфоне антивирус. Avast Mobile Security выявит вредоносное ПО семейства Ghost Push, включая Xinyinhe и Gooligan, и защитит от него ваши устройства.

• Старайтесь приобретать только новые устройства от проверенных и известных брендов, на которых будет установлена новейшая версия Android.

• Скачивайте приложения только из официального магазина Google Play и будьте внимательны к ссылкам, получаемых вами по SMS. Перед переходом по ним убедитесь в их безопасности.

Хэш описанного образца Xinyinhe: e6dbf2d24c1450b2ea72604c5705bdf72dd02c92eb2873c52a0a80f97eda745a

Следите за нашими новостями в социальных сетях:
ВКонтакте 
Facebook 
Twitter
Одноклассники