Brain Test

Brain Test — вредоносное ПО, маскирующееся под приложение для теста IQ. Распространялось как приложение для ОС Android и было доступно для свободного скачивания через официальный магазин приложений «Google Play» с августа 2015 года вплоть до 15 сентября 2015 года[1][2]. Вирус впервые был обнаружен компанией Check Point[2].

Brain Test был загружен в официальный магазин приложений дважды, и оба раза встроенный антивирус площадки не смог обнаружить в нём признаки вредоносного ПО. После первого удаления, произошедшего 24 августа 2015 года, вирус был повторно загружен в Google Play, но уже в обфусцированном виде.

В отличие от более ранних вирусов на мобильных системах, данное вредоносное ПО также включало в себя руткит[3].

Согласно эксперту из Check Point, программа, вероятно, была написана китайским хакером с использованием инструмента от Baidu, предназначенного обфускации архивов. Компания Eleven Paths, принадлежащая Telefonica, обнаружила сходства с другими вирусами в виде: схожих рекламных идентификаторов, обращению к одинаковым доменам, а также использовании общих изображений форматов jpg и png[4].

Впервые программа была обнаружена на смартфоне Nexus 5 с помощью мобильного антивируса от компании Check Point. Исследователей насторожил тот факт, что антивирус не смог удалить программу сразу, что сразу поставило Brain Test в ранг необычных угроз.

Если Brain Test уже был установлен, то, вероятно, единственным эффективным методом лечения является полный сброс памяти смартфона, с последующей перепрошивкой операционной системы.

Функции

Вредоносное ПО распространялось в двух, идентичных формах, при этом обфускация кода присутствовала только во втором.

Вирус имел ряд особенностей:

  • Возможность уклонения от обнаружения встроенным антивирусом Google Play — Google Bouncer. Программа избегает вредоносного поведения на серверах Google с IP-адресами 209.85.128.0-209.85.255.255, 216.58.192.0-216.58.223.255, 173.194.0.0-173.194.255.255 или 74.125.0.0-74.125.255.255 или доменными именами «google», «android» или «1e100».
  • Наличие нескольких рутирующих эксплойтов. В программе были обнаружены четыре различных эксплойта для получения root-доступа к системе, с целью более надёжного укоренения, даже в смартфонах тех производителей, использующих иные пути доступа к правам суперпользователя[5].
  • Внешнее расположение вредоносного кода. Система использовала до пяти внешних серверов для предоставления различного вредоносного кода, в первую очередь связанного с демонстрацией навязчивой рекламы.
  • Запаковка кода и временная задержка перед его открытием. Основной код вируса находится в звуковом файле, и распаковывается с некоторой задержкой.
  • Двойная установка и защита от удаления. Устанавливается одновременно две копии вредоносного ПО. Если одна из них удаляется, другая переустанавливает её из вышеупомянутого внешнего источника.

Примечания

  1. Graham Cluley. Malware hits the Google Play Android app store again (and again) (23 сентября 2015).
  2. 1 2 Boxiner, Alon; Polkovnichenko, Andrey. BrainTest – A New Level of Sophistication in Mobile Malware (21 сентября 2015). Дата обращения: 27 ноября 2015. Архивировано 25 ноября 2015 года.
  3. Cett, Hans. Brain Test malware more cunning than 1st thought. GoMo News (2 ноября 2015). Дата обращения: 27 ноября 2015. Архивировано из оригинала 26 ноября 2015 года.
  4. Detailed coverage at Forbes Chinese Cybercriminals Breached Google Play To Infect 'Up To 1 Million' Androids. Дата обращения: 9 июня 2023. Архивировано 9 июня 2023 года.
  5. Kerner, Sean Michael. Malicious Brain Test App Thwarts Google Play Android Security (недоступная ссылка — история). eweek.com (21 сентября 2015). Дата обращения: 27 ноября 2015.

Ссылки

На эту статью не ссылаются другие статьи Википедии.
Это делает её менее доступной для читателей. Пожалуйста, установите ссылки, используя инструмент с подсказками для облегчения поиска. (10 июня 2023)

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.