$ sudo stay --undetected.mode
INIT-ZONE:
Персистентност в мобилни среди – изкуството да останеш
001. Какво значи "Persistence" в контекста на мобилна сигурност?
Persistence е онзи зловещ талант на зловредния код – да остане, дори след рестарт, ъпдейт, или „почистване“. Това е алхимията на невидимото присъствие. А в мобилни среди – изкуство, защото ресурсите са ограничени, а наблюдението – по-строго.
002. Техники за персистентност в Android
Ако останеш след спиране – контролираш. Ако се зареждаш незабелязано – наблюдаваш. Истинският атакуващ не бърза. Той остава.
003. Скриване в plain sight – когато няма нужда от стелт
Някои malware-и се крият, други се „интегрират“. Те използват легитимни API-та:
- Accessibility Services за шпионаж
- Contact Sync adapters за прикрито извличане на данни
- Инсталиране като Device Admin за трудна деинсталация
004. Persistence чрез supply chain атаки
Зловреден код не винаги идва директно. Понякога идва чрез модифицирани библиотеки, обфускирани зависимости или 3rd party SDK, инжектиран в популярни приложения. След като влезе – остава. Не като приложение, а като част от платформата.
Финал: Истинският зловреден код не бърза – той чака
INIT-ZONE:
Персистентност в мобилни среди – изкуството да останеш 001. Какво значи "Persistence" в контекста на мобилна сигурност?Persistence е онзи зловещ талант на зловредния код – да остане, дори след рестарт, ъпдейт, или „почистване“. Това е алхимията на невидимото присъствие. А в мобилни среди – изкуство, защото ресурсите са ограничени, а наблюдението – по-строго.
002. Техники за персистентност в Android- Registering BootReceiver – зловредно приложение се стартира при всяко boot събитие
- Foreground Services с нотификация, маскирана като системна
- Abuse на AlarmManager за периодични скрити действия
- Dynamic loading на код от отдалечен сървър (update on demand)
- Modify на системни partition-и (в случаи с root достъп)
Ако останеш след спиране – контролираш. Ако се зареждаш незабелязано – наблюдаваш. Истинският атакуващ не бърза. Той остава.
003. Скриване в plain sight – когато няма нужда от стелтНякои malware-и се крият, други се „интегрират“. Те използват легитимни API-та:
- Accessibility Services за шпионаж
- Contact Sync adapters за прикрито извличане на данни
- Инсталиране като Device Admin за трудна деинсталация
004. Persistence чрез supply chain атакиЗловреден код не винаги идва директно. Понякога идва чрез модифицирани библиотеки, обфускирани зависимости или 3rd party SDK, инжектиран в популярни приложения. След като влезе – остава. Не като приложение, а като част от платформата.
Финал: Истинският зловреден код не бърза – той чака┌──[@iflux@mob.persistent]
│ status: [undetected uptime: ∞]
└─> echo "Да останеш... означава да контролираш времето, не просто системата."
│ status: [undetected uptime: ∞]
└─> echo "Да останеш... означава да контролираш времето, не просто системата."