■ Инструменты удаленного администрирования (RAT-трояны). Они позволяют перехватить управление мобильным устройством. Хакер может не только видеть изображение на экране, но и полноценно управлять устройством: перехватывать любые данные, устанавливать вредоносное ПО, подключаться к камере/микрофону для слежки за владельцем или копировать снимки для дальнейшего шантажа.
■ Майнеры. Эти программы генерируют криптовалюту в пользу хакеров, из-за чего устройство греется, медленнее работает и быстро разряжается. Майнеры, как и другие зловреды, могут маскироваться под «добропорядочные» приложения или даже обновления операционной системы[992].
КЕЙС В 2017 г. специалисты компании-разработчика антивирусных решений Dr.Web обнаружили, что свыше 40 моделей смартфонов под управлением операционной системы Android, Leagoo M8, Doogee X5 Max, Vertex Impress InTouch 4G, Cherry Mobile Flare S5, Prestigio Grace M5 LTE и др. заражены трояном на уровне исходного кода, т. е. на этапе производства. Данная инъекция позволяет красть персональные данные владельцев и выполнять разные другие вредоносные действия. Проблема характерна для бюджетных китайских смартфонов малоизвестных разработчиков[993]. Устройства крупных производителей, таких как ZTE, Archos, Prestigio, myPhone, OnePlus и BLU, также могут содержать вредоносный код в системных областях. Владельцы инфицированных моделей могут столкнуться как с выводом несанкционированной рекламы поверх интерфейса приложений, так и с кражей персональных данных[994].
■ Модульные трояны. Они умеют совершать различные вредоносные действия в зависимости от ситуации, например отображать рекламу, подписывать жертву на платный контент, совершать DDoS-атаки на другие устройства или на веб-ресурсы, скрывать или пересылать злоумышленникам SMS-сообщения, майнить криптовалюту и т. п.
■ Подписчики. Эти программы занимаются кражей финансовых средств, подписывая пользователя на платные WAP– и SMS-рассылки или совершая вызовы на платные номера.
■ Рекламные приложения (кликеры, баннеры). Так называемые adware-приложения искусственно генерируют[995] переходы по ссылкам на рекламные объявления в интернете (занимаются накруткой кликов), ускоряя снижение заряда батареи и расходуя трафик. Баннерные зловреды выводят на экран рекламные объявления, часто заслоняя нормальный контент и заставляя пользователя переходить по ним. Кроме того, такие приложения могут собирать информацию о поведении пользователей в Сети и перенаправлять ее на фишинговые или вредоносные сайты, а также оформлять платные подписки[996].
КЕЙС В 2019 г. исследователи в области ИБ из некоммерческой организации Security Without Borders обнаружили в магазине Google Play 25 шпионящих за пользователями вредоносных приложений, которые были разработаны итальянской компанией eSurv, в числе прочего сотрудничающей с правоохранительными органами[997]. Программа, названная Exodus, после установки извлекала и анализировала номер телефона и IMEI устройства, чтобы проверить, является ли владелец объектом слежки. Если это подтверждалось, программа скачивала вредоносный инструмент, способный перехватывать данные с телефона: записи на микрофон окружающих звуков, телефонные разговоры, журнал браузера, сведения о геопозиции, записи в календаре, содержание журналов Facebook Messenger и чатов WhatsApp, а также текстовые сообщения. Кроме того, приложение Exodus могло удаленно управлять устройством, а передача всех данных осуществлялась по незашифрованным каналам[998].
■ Рутовальщики. Эти программы умеют получать root-привилегии, используя уязвимости в операционной системе. После этого злоумышленник может управлять устройством жертвы: устанавливать на него вредоносные приложения или заменять легитимные программы фишинговыми и выполнять прочие задачи.
■ Флудеры и программы для DDoS (часто в составе ботнет-сети). Они передают с мобильного устройства огромное количество данных, чтобы вывести из строя смартфон или интернет-ресурс.
■ Шпионы (spyware). Эти программы стараются привлекать как можно меньше внимания, чтобы долго присутствовать в системе и похищать различные пользовательские данные – от логинов и паролей до сообщений, фотографий и сведений о геопозиции, а также подключаться к камере и микрофону. К шпионам относятся кейлогеры, фиксирующие прикосновения к клавишам на виртуальной клавиатуре[999],[1000],[1001],[1002].
КЕЙС В 2019 г. эксперты в области информационной безопасности выявили новый вектор потенциальной атаки Spearphone, с помощью которой злоумышленники могут перехватывать воспроизводящиеся на мобильном устройстве звуки. Вредоносное приложение, установленное на устройство, записывает реверберации с помощью акселерометра и передает полученные данные на удаленный сервер для анализа и извлечения голосовых данных. Атака осуществляется при воспроизведении звука динамиками смартфона или планшета, например при разговоре по громкой связи или прослушивании голосовых сообщений в мессенджерах[1003].
Для защиты от вредоносных объектов необходимо соблюдать стандартные правила цифровой гигиены: устанавливать приложения известных разработчиков и только из официальных магазинов, контролировать разрешения и использовать антивирусное ПО (на устройствах под управлением операционной системы Android).
Ультразвуковые маячки
Относительно новый способ наблюдения за предпочтениями[1004] пользователя – технология uXDT (ultrasound cross-device tracking – ультразвуковой трекинг между устройствами). В маркетинговых целях так называемые ультразвуковые маячки внедряются, к примеру, в телевизионные рекламные объявления, а ультразвуковой сигнал, не воспринимаемый человеческим ухом, улавливается микрофоном, встроенным в устройство (например, смартфон, ноутбук, IoT-девайс). Специальное программное обеспечение, установленное на мобильном устройстве, распознает ультразвуковой сигнал и передает на удаленный сервер информацию о том, что пользователь устройства прослушал некую рекламу. Подобные технологии позволяют составить профиль пользователя, в частности, связать с ним определенные устройства (испускающие и фиксирующие ультразвуковой сигнал), выяснить его предпочтения (переключает ли рекламу или досматривает/дослушивает до конца) и т. п.[1005] Код, необходимый для работы с uXDT, внедряется в мобильные приложения помимо их основного функционала, и количество таких программ увеличивается, причем некоторые из них загружены уже на несколько миллионов девайсов[1006]. Чтобы пользователь был заинтересован в установке соответствующего приложения, компании-разработчики или рекламные/торговые сети предлагают различные бонусы и скидки[1007].
Примечание. Программные uXDT-маячки могут использоваться для деанонимизации пользователей сети Tor. Злоумышленник настраивает onion-сайт, содержащий ультразвуковой маячок, и заманивает жертву посетить его с помощью браузера Tor. Когда жертва загружает страницу, звук маячка воспроизводится через динамики компьютера, а телефон перехватывает ультразвук и передает информацию об этом на удаленный сервер, принадлежащий рекламодателю. Затем злоумышленник может узнать от рекламодателя IP-адрес пользователя Tor и другие уникальные идентификаторы. Несмотря на существование расширений, предназначенных для фильтрации ультразвуковых сигналов, разработчики Tor Browser рекомендуют с целью дополнительной защиты отключать динамики во время веб-серфинга[1008].
uXDT-маячки могут внедряться не только в телевизионный контент, но и на страницы сайтов и любые устройства, способные излучать ультразвук. Таким образом, потенциально возможно и определение местонахождения пользователя, если сигнал таких маячков, излучаемый общедоступными устройствами, фиксируется, например, в супермаркетах или на вокзалах и содержит уникальные идентификаторы источников сигнала. Кроме того, если один и тот же сигнал фиксируется устройствами различных людей, компания, анализирующая uXDT-сигналы, может фиксировать связь между этими людьми, которую в определенных случаях те не хотели предавать огласке.
Дополнительный негативный момент, связанный с технологией uXDT, касается спектра частот сигналов, передаваемых на удаленный сервер. Проще говоря, если uXDT-приложение записывает и передает высокочастотные сигналы, оно может не отфильтровывать звуки на других частотах и захватывать, к примеру, окружающие звуки (которые опять же в определенных случаях могут выявить местонахождение пользователя) или даже его речь, тем самым раскрывая потенциально конфиденциальные сведения[1009].
Джейлбрейк и root-доступ
iOS/iPadOS-устройства
Джейлбрейком называется процедура расширения полномочий владельца устройства под управлением операционной системы iOS или iPadOS, позволяющая получить доступ к файловой системе (например, для расширенной настройки, которая недоступна при использовании стандартных средств), установке приложений из неофициальных источников (минуя Apple App Store), взлому программ (например, игр для накрутки ресурсов) и т. п. Процедура джейлбрейка имеет и свои минусы: если взломанное устройство еще на гарантии, она прекращает действовать; вместе со сторонним программным обеспечением на него могут попасть вредоносные объекты, в случае неправильных действий пользователя гаджет может выйти из строя.