Обнаружена опасная программа CoffeeLoader — загрузчик вредоносного ПО, который скрывается от антивирусного программного обеспечения, используя набор хитроумных методов, вплоть до выполнения на видеокарте. Её обнаружили эксперты в области кибербезопасности компании Zscaler ThreatLabz.

Источник изображения: threatlabz.zscaler.com

Чтобы оставаться незамеченным, CoffeeLoader прибегает сразу к нескольким ухищрениям: подменяет стек вызовов, использует обфускацию сна и применяет пользовательские потоки Windows. Стек вызовов можно описать как «хлебные крошки», в которых записывается, какие функции вызывала программа. Средства безопасности проверяют их, чтобы отследить поведение программы и выявить вредоносную активность, но CoffeeLoader подменяет эти «хлебные крошки», маскируя своё присутствие.

Обычно задача загрузчика вредоносного ПО состоит в том, чтобы проникнуть в систему и загрузить вредоносные программы — например, вымогатели или шпионское ПО. Обфускация сна помогает сделать код и данные вредоносного ПО зашифрованными, пока оно неактивно, то есть находится в состоянии сна. В незашифрованном виде фрагменты вредоносного кода появляются в памяти только при его выполнении. Для этого программа использует пользовательские потоки (fibers) Windows — контексты выполнения, переключение между которыми производится вручную.

Однако наиболее тревожным аспектом CoffeeLoader оказался упаковщик Armoury, код которого выполняется на графическом процессоре, что затрудняет его анализ в виртуальных средах. «После того как графический процессор выполняет функцию, декодированный выходной буфер содержит самомодифицирующийся шелл-код, который затем передаётся в центральный процессор для расшифровки и выполнения основной вредоносной программы», — сообщили в Zscaler ThreatLabz. Этот упаковщик используется для защиты полезных нагрузок у SmokeLoader и CoffeeLoader. На практике CoffeeLoader применялся для развёртывания шелл-кода Rhadamanthys в кампаниях по краже информации.

Xiaomi на днях запустила в продажу линейку смартфонов Xiaomi 14. Отличительной особенностью новинок стала новая оболочка HyperOS UX вместо прежней MIUI. Вместе с тем, на просторах Сети уже появилась информация, что компания полностью запретила пользователям разблокировать загрузчики HyperOS и MIUI. Запрет сняли для смартфонов с MIUI, списав временное отключение разблокировки на технические работы на серверах, в то время как пользователи HyperOS не могут разблокировать загрузчик и по сей день.

Теперь Xiaomi подтвердила представителю портала Android Authority, что действительно разблокировка загрузчика отключена «из коробки» на смартфонах под управлением HyperOS. Компания объяснила это желанием увеличить стабильность и безопасность работы системы: «Для защиты безопасности устройства и во избежание утечек данных разблокировка загрузчика будет по умолчанию отключена на устройствах с HyperOS. Мы хотели бы предоставить нашим заказчикам более безопасный и стабильный пользовательский опыт».

Тем не менее, по заверению Xiaomi, возможность разблокировки будет предоставлена пользователю после подачи им соответствующей заявки на форуме сообщества. «Пожалуйста, следите за анонсом портала приложений на сайте сообщества Xiaomi», — резюмирует компания.

Аналогично складывалась ситуация и с разблокировкой загрузчика для устройств под управлением MIUI: владельцы устройств обращались за разрешениями, чтобы разблокировать загрузчик. Причём, возможность разблокировки появлялась только по истечении установленного времени работы ОС.

В Китае ситуация с разблокировкой загрузчиков HyperOS будет более жёсткой. HyperOS, как минимум, сохранит некоторые из требуемых местными законами ограничений, в то время как сама Xiaomi опубликовала дополнительные новые требования к процессу разблокировки загрузчика в Китае. По словам корреспондента MIUI Polska Каспера Скшипека (Kacper Skrzypek), владельцы смартфонов с HyperOS в Китае должны будут достичь загадочного «пятого уровня» на форумах компании, чтобы разблокировать загрузчик HyperOS. По скриншотам, предоставленным автором, можно сделать вывод о том, что разрешения на разблокировку загрузчика каким-то образом зависят от времени. Также существует ограничение в три разблокированных устройства в год.

Вместе с тем, в Xiaomi уверяют, что указанные ограничения устанавливаются только для китайской версии HyperOS. Тогда как пользователям в других частях света следует дождаться обновления на форуме компании для получения более подробной информации.

Надо отметить, что описанный ограничительный подход к разблокировке загрузчика отличается от некоторых других брендов смартфонов. Так, смартфоны Google Pixel и OnePlus дают возможность разблокировать загрузчик, перейдя в обычно скрытое меню параметров и выполнив несколько служебных команд.

Вместе с тем, Xiaomi огорчила владельцев устройств под управлением MIUI, желающих разблокировать свои смартфоны: они не получат обновление до HyperOS. «Операционные системы прошлого поколения, такие как MIUI 14, по-прежнему сохраняют возможность разблокировки, однако пользователи больше не будут получать никаких обновлений Xiaomi HyperOS, если они оставят свои устройства в разблокированном состоянии», — заявили в компании.

При этом, если пользователь разблокировал загрузчик своего смартфона, для него будут недоступны обновления HyperOS независимо от того, какую именно оболочку он использовал: HyperOS или MIUI 14. Однако владелец смартфона вновь получит возможность «обновляться» в том случае, если решит заблокировать загрузчик своего устройства. Это относится ко всем смартфонам, в том числе за пределами Китая.

Отметим, что разблокировка загрузчика действительно имеет последствия для безопасности, в результате чего некоторые приложения, такие как банковские клиенты и платежные сервисы, не работают. Тем не менее, это важный шаг для тех, кто хочет поэкспериментировать со своими смартфонами, открывая двери для кастомных прошивок, неофициальных обновлений, системных модов и многого другого.