Brain Test

Brain Test — вредоносное ПО, маскирующееся под приложение для теста IQ. Распространялось как приложение для ОС Android и было доступно для свободного скачивания через официальный магазин приложений «Google Play» с августа 2015 года вплоть до 15 сентября 2015 года[1][2]. Вирус впервые был обнаружен компанией Check Point[2].

Brain Test был загружен в официальный магазин приложений дважды, и оба раза встроенный антивирус площадки не смог обнаружить в нём признаки вредоносного ПО. После первого удаления, произошедшего 24 августа 2015 года, вирус был повторно загружен в Google Play, но уже в обфусцированном виде.

В отличие от более ранних вирусов на мобильных системах, данное вредоносное ПО также включало в себя руткит[3].

Согласно эксперту из Check Point, программа, вероятно, была написана китайским хакером с использованием инструмента от Baidu, предназначенного обфускации архивов. Компания Eleven Paths, принадлежащая Telefonica, обнаружила сходства с другими вирусами в виде: схожих рекламных идентификаторов, обращению к одинаковым доменам, а также использовании общих изображений форматов jpg и png[4].

Впервые программа была обнаружена на смартфоне Nexus 5 с помощью мобильного антивируса от компании Check Point. Исследователей насторожил тот факт, что антивирус не смог удалить программу сразу, что сразу поставило Brain Test в ранг необычных угроз.

Если Brain Test уже был установлен, то, вероятно, единственным эффективным методом лечения является полный сброс памяти смартфона, с последующей перепрошивкой операционной системы.

Функции

Вредоносное ПО распространялось в двух, идентичных формах, при этом обфускация кода присутствовала только во втором.

Вирус имел ряд особенностей:

  • Возможность уклонения от обнаружения встроенным антивирусом Google Play — Google Bouncer. Программа избегает вредоносного поведения на серверах Google с IP-адресами 209.85.128.0-209.85.255.255, 216.58.192.0-216.58.223.255, 173.194.0.0-173.194.255.255 или 74.125.0.0-74.125.255.255 или доменными именами «google», «android» или «1e100».
  • Наличие нескольких рутирующих эксплойтов. В программе были обнаружены четыре различных эксплойта для получения root-доступа к системе, с целью более надёжного укоренения, даже в смартфонах тех производителей, использующих иные пути доступа к правам суперпользователя[5].
  • Внешнее расположение вредоносного кода. Система использовала до пяти внешних серверов для предоставления различного вредоносного кода, в первую очередь связанного с демонстрацией навязчивой рекламы.
  • Запаковка кода и временная задержка перед его открытием. Основной код вируса находится в звуковом файле, и распаковывается с некоторой задержкой.
  • Двойная установка и защита от удаления. Устанавливается одновременно две копии вредоносного ПО. Если одна из них удаляется, другая переустанавливает её из вышеупомянутого внешнего источника.

Примечания

  1. Graham Cluley. Malware hits the Google Play Android app store again (and again) (23 сентября 2015).
  2. 1 2 Polkovnichenko; Boxiner, Alon BrainTest – A New Level of Sophistication in Mobile Malware (21 сентября 2015). Дата обращения: 27 ноября 2015. Архивировано 25 ноября 2015 года.
  3. Cett. Brain Test malware more cunning than 1st thought. GoMo News (2 ноября 2015). Дата обращения: 27 ноября 2015. Архивировано из оригинала 26 ноября 2015 года.
  4. Detailed coverage at Forbes Chinese Cybercriminals Breached Google Play To Infect 'Up To 1 Million' Androids. Дата обращения: 9 июня 2023. Архивировано 9 июня 2023 года.
  5. Kerner. Malicious Brain Test App Thwarts Google Play Android Security (недоступная ссылка — история). eweek.com (21 сентября 2015). Дата обращения: 27 ноября 2015.

Ссылки

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!