Вредоносное ПО смогло преодолеть элементы безопасности Android 5.0 и 6.0

Через неделю после рассказа о том, как вредоносное ПО на Android использует атрибут target_sdk для обхождения системы безопасности Android Marshmallow компания Symantec сообщила технические подробности о двух других методах обхода защиты. Речь идёт о банковском трояне Android.Bankosy и клик-боте Android.Cepsohord, авторы которых исследуют проекты на GitHub в поисках информации о методах получения списков запущенных в системе процессов.

Этот список позволяет злоумышленникам узнавать о запущенных приложениях и попытаться обманным путём выманить логины и пароли для них. В версиях до Lollipop (5.0) использовался вызов getRunningTasks(), которые в современных системах убран.

Первая техника от Symantec взята из проекта GitHub AndroidProcesses от Джареда Раммлера. Само его приложение не вредоносное, но злоумышленники применили часть его кода для получения списка запущенных приложений. Данный метод полагается на чтение файла "/proc/". Symantec говорит, что этот метод работает на Android Lollipop и Marshmallow, но не в новой версии N.

Второй метод задействует тот же проект, а также проект GeeksOnSecurity под названием Android Malware Example. Применяется интерфейс прикладного программирования UsageStatsManager API для получения списка процессов. Этот API также содержит историю использования устройства, включая ранее применявшиеся приложения.

Android.Bankosy и Android.Cepsohord используют этот API для опроса работавших в последние две секунды приложений. UsageStatsManager API требует от пользователей дать приложениям повышенные привилегии для получения доступа к результатам. Чтобы обойти эту преграду, хакеры запрашивают разрешение, прикрываясь иконкой браузера Chrome.