Shedun

Shedun (также Kemoge, Shiftybug и Shuanet) — семейство вредоносных программ (вредоносное программное обеспечение), нацеленных на операционную систему Android. Впервые выявлено в конце 2015 года компанией Lookout, занимающейся мобильной безопасностью. Shedun поражает примерно 20 000 популярных приложений для Android^[1]^[2]^[3]. По данным Lookout, вредоносное ПО HummingBad также причислялось к семейству Shedun, однако эта классификация была опровергнута^[4]^[5].

Специалисты лаборатории защиты Avira сообщали, что количество заражений вредоносными программами семейства Shedun составляет примерно 1500—2000 ежедневно^[6]. Известно, что все три варианта вируса используют порядка 80 % идентичного исходного кода^[7]^[8].

По данным Arstechnica на середину 2016 года, приблизительно 10 миллионов устройств были заражены данным вредоносным ПО^[9], и количество новых заражений продолжало расти^[10]^[11].

Основной вектор атаки Shedun заключается в модификации (репакировке) легитимных приложений для Android (например, WhatsApp, Candy Crush, Google Now, Snapchat^[12]^[13]^[14]^[15]) с добавлением рекламных модулей. Такие приложения, оставаясь работоспособными, распространяются через сторонние магазины приложений; после загрузки они приносят доход злоумышленникам за счёт показа рекламы (по оценкам — около 2 долларов США с установки^[15]). Большинство пользователей не могут избавиться от вируса без смены устройства, поскольку единственный способ удаления — получение root-доступа и перепрошивка пользовательской ПЗУ^[16]^[17].

В ряде случаев вредоносное ПО семейства Shedun было обнаружено предустановленным на 26 моделях^[18] устройств на базе Android китайского производства, таких как смартфоны и планшетные компьютеры^[19]^[20]^[21]^[22]^[23]. Shedun также распространялся вместе с некоторыми планшетами, продаваемыми на Amazon^[24]^[25].

Вредоносное ПО Shedun известно тем, что автоматически осуществляет рутирование операционной системы Android^[14]^[26] с использованием известных эксплойтов, таких как ExynosAbuse, Memexploit и Framaroot^[27] (что приводит к эскалации привилегий^[15]^[28]^[29]^[30]), а также встраивает себя в системный раздел операционной системы, что делает невозможным удаление заражения даже через фабричный сброс^[31]^[32].

Shedun особенно известен использованием службы специальных возможностей Android (Accessibility Service)^[2]^[31]^[33], что позволяет ему без разрешения пользователя скачивать и устанавливать произвольные (обычно рекламные) приложения^[34]^[3]. Из-за этого Shedun классифицируется как «агрессивное рекламное ПО», способное устанавливать потенциально нежелательные программы^[35]^[36]^[37] и внедрять рекламу^[38].

По состоянию на апрель 2016 года большинство исследователей в области компьютерной безопасности считают полное удаление Shedun практически невозможным.^[39]^[40]^[41]^[42]^[43]^[44]

Среди наиболее пострадавших стран отмечаются государства Азии — Китай, Индия, Филиппины, Индонезия и Турция^[45].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

Shedun

Технические особенности

Алгоритмы и реализации

Проблемы и ограничения

География заражений

Примечания