Shedun

Shedun (также Kemoge, Shiftybug и Shuanet) — семейство вредоносных программ (вредоносное программное обеспечение), нацеленных на операционную систему Android. Впервые выявлено в конце 2015 года компанией Lookout, занимающейся мобильной безопасностью. Shedun поражает примерно 20 000 популярных приложений для Android^[1]. По данным Lookout, вредоносное ПО HummingBad также причислялось к семейству Shedun, однако эта классификация была опровергнута^[2]. Shedun тесно связан с семействами Shuanet и Kemoge (GhostPush), которые имеют до 82 % общего кода и были обнаружены осенью 2015 года компаниями Cheetah Mobile и FireEye^[3].^[4]

Специалисты лаборатории защиты Avira сообщали, что количество заражений вредоносными программами семейства Shedun составляет примерно 1500—2000 ежедневно^[5]. Известно, что все три варианта вируса используют порядка 80 % идентичного исходного кода.

По данным Arstechnica на середину 2016 года, приблизительно 10 миллионов устройств были заражены данным вредоносным ПО^[6], и количество новых заражений продолжало расти^[7].

По состоянию на 2025—2026 годы угроза считается исторической и неактивной, и в современных отчётах по кибербезопасности данное семейство не фигурирует^[8].^[9]

Основной вектор атаки Shedun заключается в модификации (репакировке) легитимных приложений для Android (например, Facebook, Twitter, WhatsApp, Candy Crush, Google Now, Snapchat^[10]^[11]^[12]) с добавлением рекламных модулей. Такие приложения, оставаясь работоспособными, распространяются исключительно через неофициальные магазины приложений (в официальном Google Play образцы вируса обнаружены не были)^[13]^[14]; после загрузки они приносят доход злоумышленникам за счёт показа рекламы (по оценкам — около 2 долларов США с установки^[12]). Большинство пользователей не могут избавиться от вируса без смены устройства, поскольку единственный способ удаления — получение root-доступа и перепрошивка пользовательской ПЗУ^[15]^[16].

В ряде случаев вредоносное ПО семейства Shedun было обнаружено предустановленным на 26 моделях^[17] устройств на базе Android китайского производства, таких как смартфоны и планшетные компьютеры^[18]^[19]^[20]^[21]. Shedun также распространялся вместе с некоторыми планшетами, продаваемыми на Amazon^[22].

Вредоносное ПО Shedun известно тем, что автоматически осуществляет рутирование операционной системы Android^[11] с использованием известных эксплойтов, таких как ExynosAbuse, Memexploit и Framaroot^[23] (что приводит к эскалации привилегий^[12]^[24]^[25]), а также встраивает себя в системный раздел операционной системы, что делает невозможным удаление заражения даже через фабричный сброс^[26]^[27].

Shedun особенно известен использованием службы специальных возможностей Android (Accessibility Service)^[26], что позволяет ему без разрешения пользователя скачивать и устанавливать произвольные (обычно рекламные) приложения^[28]. Из-за этого Shedun классифицируется как «агрессивное рекламное ПО», способное устанавливать потенциально нежелательные программы^[29]^[30] и внедрять рекламу^[31].

Архитектура атаки носит многоступенчатый характер. На начальном этапе заражения используется дроппер, скрытый внутри переупакованного легитимного приложения. Для усложнения обнаружения и реверс-инжиниринга применяются методы обфускации: ключевые вредоносные компоненты внутри установочного APK-файла зашифрованы, а после закрепления в системном разделе вредоносное ПО маскирует свои файлы и процессы под легитимные системные службы^[32].

Взаимодействие с управляющими серверами (C&C) осуществляется по стандартному протоколу HTTP, что позволяет маскировать трафик под обычную сетевую активность. После заражения устройства вредоносное ПО собирает и передаёт на сервер данные, включая IMEI, IMSI и список установленных приложений. В ответ сервер отправляет команды на загрузку, установку, запуск или удаление программ (в частности, задокументирована возможность удаления антивирусов для обхода защиты)^[4]. Исследователи связывают активность одного из вариантов вредоносного ПО, известного как HummingBad, с китайской рекламной компанией Yingmob^[33].

По состоянию на апрель 2016 года большинство исследователей в области компьютерной безопасности считают полное удаление Shedun практически невозможным^[34].^[35]^[36] Единственным надёжным способом полного удаления вируса со старых устройств является полная перепрошивка официального образа (ROM) от производителя, так как обычный сброс до заводских настроек не затрагивает системный раздел^[37]. На современных версиях Android (начиная с 10-й версии и выше) семейство Shedun не способно функционировать и закрепляться в системе благодаря внедрению режима «только для чтения» (Read-Only) для системных разделов и обязательной функции проверенной загрузки (Verified Boot)^[38].^[39]

Согласно отчётам 2015—2016 годов, наибольшее число заражений наблюдалось в США, Германии, Иране, России и Индии, а также в других странах Азии, включая Китай, Филиппины, Индонезию и Турцию^[33]Mathew J. Schwartz. Android Trojanized Adware 'Shedun' Infections Surge (англ.). bankinfosecurity.com. Архивировано 15 июня 2024 года.</ref>. В период 2024—2026 годов статистика по географическому распространению отсутствует, так как угроза потеряла актуальность^[40].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

Shedun

Технические особенности

Алгоритмы и реализации

Проблемы и ограничения

География заражений

Примечания

Категории