Угрозы для Android-устройств

Тема в разделе "Новости информационной безопасности", создана пользователем SNS-amigo, 1 май 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Новая троица банкеров для Android: Всем бояцца!

    В полку банковских троянцев (банкеров) прибыло. Речь пойдет о конкурентном замещении, когда уходят одни - приходят другие.
    В апреле 2016 года у автора трояна GM Bot произошел конфликт с одним из клиентов, в результате чего разработчика заблокировали почти во всех основных магазинах даркнета. Это оказалось на руку авторам конкурентных вредоносов, давно облюбовавших перспективен сегмент Android-малвари. Сейчас за вакантное место топового мобильного банкера борются вредоносы Bilal Bot, Cron Bot и KNL Bot.

    KNL Bot считается наиболее продвинутым решением из перечисленной тройки. Автор вредоноса хвастается, что его детище обладает практически всеми теми же функциями, что и GM Bot, зато стоит вдвое меньше: самая дешевая версия GM Bot оценивалась в $8000 в месяц, а KNL Bot идет за $4000 в месяц.

    В рекламе KNL Bot-а заявлено, что он способен:
    - перехватывать входящие SMS, а также отправлять исходящие сообщения;
    - осуществлять голосовые вызовы или устанавливать их переадресацию;
    - перекрывать экран оверлеем, чтобы заставить жертву поверить в легитимность приложения;
    - работать в скрытом режиме (отключив экран, звук и вибрацию).
    Автор трояна заявляет, что KNL Bot «невозможно удалить», т. е. гарантирует устойчивый root-доступ. Также он предоставляет опциональную возможность управления вредоносом посредством SMS-сообщений.

    Bilal Bot представляет собой более простое решение, но и его цена составляет всего $3000 в месяц (плюс бесплатные патчи).
    Разработчик Bilal Bot использует наиболее агрессивный маркетинг из всей троицы: не стесняется поносить конкурентов, к примеру, заявляет, что GM Bot уже стал легко обнаруживаем из-за своей известности, содержит кучу багов, имеет плохую поддержку.
    Хотя это малварь уже сейчас обладает всеми необходимыми функциями, основную фишку автор обещает представить в скором будущем, например, что вскоре фишинговые оверлеи можно будет редактировать прямо из контрольной панели малвари.

    Cron Bot – совсем новый вредонос, и впервые замечен в начале апреля 2016 года. Основная отличительная черта Cron Bot — кроссплатформенность. Заявлено, что троян работает как на iOS, так и на Android. Цена от $4000 до $7000 в месяц, в зависимости от набора функций. Комплектуется набором различных модулей: hVNC, stealer, injects, SOCKS5, loader, keylogger, cmd и т.д.. Имеет маленький размер (400 Кб) и поставляется с билдером.
    Автор вредоноса обещает устойчивый root-доступ, перехват SMS-сообщений, перенаправление голосовых вызовов, сбор и хищение любых данных с зараженного устройства, перекрытие окон других приложений фальшивками и т.д..

    Все три вредоноса распространяются по подписке, как услуга. Аналитики IBM отмечают, что схема MaaS (Malware-as-a-Service) на сегодня набрала большую популярность. Так авторы вредоносов пытаются обезопасить себя, защищаясь от возможных утечек и копирования кода.
    Эксперты IBM X-Force отмечают, что пока не фиксировали крупных вредоносных кампаний с использованием вышеперечисленных троянов и не подвергали вредоносы детальному анализу.

     
    lilia-5-0, Theriollaria и Охотник нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Android:Banker-IR

    Специалисты компании Avast обнаружили новый банковский троян для Android, которому дали название Android:Banker-IR. Он буквально заставляет своих жертв выдать ей права администратора, безостановочно выводя на экран всплывающие окна с соответствующим запросом.

    Новый вредонос распространяется следующим образом: пользователя хитростью и обманом заставляют пройти по ссылке и установить "полезное" приложение. Как только жертва скачала и установила эту фальшивку, на ее устройстве появятся иконка приложения. Злоумышленники маскируют вредонос под приложения AVITO-MMS, KupiVip или MMS Центр. Когда пользователь его запустит, то троян начинает свою вредоносную деятельность.

    Убедившись, что работает не на эмуляторе, Android:Banker-IR включает таймер работы, теперь на экране будет всплывать запрос на выдачу приложению админ-привилегий. Если закрыть одно окно, то вместо него возникнет новое.

    android-trojan.png

    Избавиться от навязчивых просьб трояна можно только перезагрузив устройство, а затем сбросив его к заводским настройкам. Исследователи отмечают, что обладатели Android Marshmallow могут попробовать войти в настройки и удалить назойливое приложение вручную, использовав верхнюю «шторку» в системе (борясь при этом со всплывающими окнами). Но у тех, кто до сих пор пользуется Android KitKat, такой возможности нет.

    Помимо хищения данных о банковских картах, троян может заставить своих жертв установить дополнительные вредоносные приложения, а также собирает данные об их звонках, SMS-сообщениях, списке контактов, GPS-координатах, закладках браузера и установленных приложениях. Банкер оснащен функцией блокировки экрана (по приказу его операторов) и может переадресовывать голосовые вызовы на другие номера телефонов. Обе опции используются злоумышленниками для кражи данных банковских карт.

    Исследователи сообщили, что впервые троян был замечен в феврале 2016 года, и на него пришлось наибольшее число заражений. Больше всего от Android:Banker-IR пострадали пользователи из России, США и стран Европы.

     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Android.BankBot.104.origin

    «Доктор Веб» сообщил о появлении нового банковского трояна для ОС Android, атакующего любителей взломанных мобильных игр и снимающего деньги со счетов.
    Вредонос Android.BankBot.104.origin распространяется под видом программного обеспечения для взлома популярных мобильных игр и читов.
    bank72.png
    Операторы трояна размещают его на мошеннических сайтах, предлагающих информацию о более чем 1000 популярных игр. Данные ресурсы имеют цифровую подпись, поэтому не вызывают подозрений. При попытке загрузить с сайта то или иное приложение жертва перенаправляется на другой мошеннический сайт, распространяющий Android.BankBot.104.origin под видом взломанного ПО для игр или читерских программ.
    Троян устанавливается на смартфоны и планшеты жертв как приложение под именем «НАСК» и после запуска пытается получить доступ к функциям администратора устройства. Чтобы скрыть своё присутствие, вредонос удаляет свой значок из списка приложений на главном экране.
    Далее вредонос определяет наличие подключенной услуги мобильного банкинга и доступность денежных счетов. С целью проверки наличности на счетах троян отправляет SMS-сообщения со спецкомандами на номера банковских систем. В случае обнаружения денег на счету жертвы вредонос пытается незаметно перевести их на счета преступников.
    По команде C&C-сервера банковский троян может переадресовывать вызовы на заданный номер, перехватывать и скрывать от пользователя входящие SMS-сообщения, а также выполнять USSD-запросы и осуществлять прочие действия.

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Android.Bankosy и Android.Cepsohord

    С выходом Android 5.0 Lollipop и Android 6.0 Marshmallow компания Google отказалась от getRunningTasks() API, позволяющего определять открытые приложения, и банковские трояны наподобие Bankosy оказались бесполезными.

    Последние варианты банковских троянцев Android.Bankosy и Android.Cepsohord, наблюдаемые специалистами Симантек в течение последнего квартала, используют две новые уловки для обхода новых усовершенствований системы безопасности Android. Один из этих двух методов требует дополнительного специального разрешения от пользователя, в то время как другой не требует никакого дополнительного разрешения на все свои действия.

    Первый способ позволяет определить запущенную задачу, используя представленный в Android 5.0 интерфейс программирования приложений UsageStatsManager. С помощью этого API вредПО получает статистические данные об открытых приложениях и вычисляет самую последнюю активность.

    Для использования UsageStatsManager вредонос запрашивает у пользователя доступ на системном уровне "android.permission.PACKAGE_USAGE_STATS". Троян использует методы социальной инженерии чтобы вынудить пользователя предоставить доступ через приложение "Настройки". Вредонос запрашивает разрешение, отображая иконку и название браузера Chrome.

    Второй способ в использовании опубликованного на GitHub популярного проекта с исходным кодом для определения на устройстве открытого приложения. Сам по себе он не вредоносный, но используется злоумышленники в преступных целях. Он позволяет читать данные файловой системы "/proc/" для вычисления запущенных процессов и определения открытого приложения. Эксперты Symantec говорят, что данный способ не будет работать с выходом новой версии ОС от Google, пока известной как Android N.

     
    Theriollaria, lilia-5-0 и Охотник нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Marcher атакует!

    Клиенты крупнейших банков Великобритании атакованы усовершенствованным банковским Android-трояном Marcher.

    Ранее Marcher рекламировался на русскоязычных хакерских формах и не предназначался для банков. Инфицировав устройство, он отображал поверх открытой страницы в Google Play поддельную, с целью выманивая у пользователей данных кредитных карт. В 2014 году Marcher стал использоваться в атаках на клиентов финансовых организаций в Германии. Ныне в списке его жертв банки Германии, Франции, Польши, Турции, США, Австралии, Испании, Австрии, а с конца мая и Великобритании.
    marcher_fig1.png

    Теперь Marcher отображает поверх просмативаемых банковских страниц другие, поддельные страницы, созданные для каждого известного ему банка, причем точь-в-точь повторяющие настоящие.

    В большинстве (88%) случаев вредонос атакует пользователей банковских программ, но также может похищать данные кредитных карт, отображая фальшивые страницы бизнес-приложений (2%), платежных сервисов (2%), а также приложений авиакомпаний (1%), торговых площадок (1%) и пр.
    marcher_fig2.png

    Операторы трояна вовсе не ждут, пока пользователь откроет приложение, а обманным путем заставляют его запустить программу. Для этого они присылают жертве фишинговое SMS-сообщение о том, что на ее счет якобы пришли деньги. Заинтригованный пользователь открывает приложение, чтобы проверить баланс, и попадает на фальшивую страницу, где сразу вводит данные своей кредитной карты. Завладев информацией, злоумышленники проверяют ее достоверность, отправляя на сервер банка. Если данные подлинные, они перенаправляются на подконтрольный преступникам C&C-сервер.

     
    Theriollaria, lilia-5-0 и Охотник нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Godless

    Исследователи Trend Micro обнаружили вредонос Godless (с англ. "Безбожник") в Google Play, способный взломать Android-устройство и установить нежелательное ПО.

    Вредонос Godless (ANDROIDOS_GODLESS.HRX по классификации Trend Micro) рассчитан на работу под Android 5.1 (Lollipop) и более ранние версии, что составляет почти 90% от всех используемых Android-устройств. По данных исследователей он уже установлен на 850 тыс. устройств во всем мире. См. диаграмму распространения вредоносного ПО по странам:
    godless.jpg

    Godless маскируется под легитимное приложение и распространяется через известные и популярные магазины приложений, включая Google Play. В качестве примера исследователи приводят приложение “Summer Flashlight”.
    После установки на систему жертвы использует набор эксплойтов из фреймворка android-rooting-tools для получения полного контроля над уязвимой ОС.
    [​IMG]
    После получения привилегий суперпользователя на устройстве, троян маскирует себя под системное приложение, чтобы усложнить свое удаление с системы. Затем вредонос обращается к C&C-серверу (market[точка]moboplay[точка]com/softs[точка]ashx) и устанавливает приложения на телефон согласно полученным инструкциям.
    Источник краткого перевода
     
    lilia-5-0, Theriollaria, Kиpилл и 3 другим нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Triada и Horde

    Исследователи Check Point обнаружили новые версии вредоносов для мобильных устройств Triada и Horde. Эти Android-трояны получили ряд новых функций, например, они теперь могут обходить механизмы защиты Google в некоторых версиях ОС.

    Новый вариант Triada заражает браузер по умолчанию на Android-устройстве, а также браузеры 360 Secure, Cheetah и Oupeng. Инфицировав систему, он перехватывает запросы URL и отображает поддельную страницу, созданную для хищения данных банковских карт. Ранее главной функцией Triada было хищение денег через SMS-сообщения, когда жертва делала покупки внутри приложений. Новая версия Triada перехватывает URL-адреса на инфицированном устройстве, заманивает пользователей на поддельные страницы, где у них выманиваются данные платежных карт и обманным путем догружаются другие вредоносы.

    Вредонос Horde заражает приложения в Google Play, такие как Viking Jump, Parrot Copter, Memory Booster, Simple 2048 и WiFi Plus.
    С помощью новой техники обхода обнаружения новая версия Horde способна осуществлять мониторинг текущих процессов в Android Lollipop и Marshmallow. Для предотвращения подобной активности Google ранее заблокировала для приложений возможность вызывать getRunningTasks() API. Horde обходит эту меру безопасности, т.к. узнает о текущих процессах с помощью файловой системы “/proc/”.
    Источник краткого перевода
     
    lilia-5-0, Theriollaria, Охотник и ещё 1-му нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Pawost

    Исследователи Malwarebytes опубликовали анализ вредоноса Android/Trojan.Pawost, маскирующегося под обычный секундомер в магазине Google Play. Pawost оснащен интерфейсом на китайском языке и действительно может работать как обычный секундомер.

    [​IMG] [​IMG]

    После установки вредоноса на систему, Pawost собирает и отправляет злоумышленникам следующее: IMSI, IMEI, номер телефона, данные о версии и модели телефона, список установленных приложений, другую системную информацию и CCID, использующийся для управления через USB-порт кардридером для пластиковых карт. При отправке данных на подконтрольный злоумышленникам сервер информация шифруется встроенным алгоритмом шифрования.
    Кроме вышеописанной деятельности, приложение использует функционал Google Talk для осуществления звонков на телефоны абонентов китайского оператора связи.

    Иконка вредоноса выглядит следующим образом.
    [​IMG]

    Сразу после запуска вредоноса на Android-устройстве появляется пустая иконка Google Talk в списке уведомлений. Троянское приложение начинает осуществлять постоянные звонки на китайские номера. Во время звонка Pawost переводит телефон в режим частичной блокировки: процессор на устройстве продолжает работать, но экран выключен.
    Простое удаление приложения решает проблему с вредоносом, но выявить его в системе непросто.
    Источник краткого перевода
     
    lilia-5-0, Theriollaria, Kиpилл и 2 другим нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    LevelDropper

    Исследователи Lookout обнаружили и описали вредоносное ПО LevelDropper для Android, распространяющемся чрез Google Play Store.

    После того, как жертва сама устанавливает приложение на свое устройство, оно незаметно получает права суперпользователя и загружает дополнительные программы. Во время эксперимента LevelDropper за 30 минут тайно загрузил 14 программ.
    Показателем вредоносности является пустое всплывающее окно LocationServices. Это свидетельствует о возможной ошибке, используемой для повышения привилегий.
    Screen-Shot-2016-06-27-at-9.39.14-AM.png
    Разработчики LevelDropper постарались скрыть факт получения им прав суперпользователя. Исследователи догадались о функционале вредоноса лишь тогда, когда обнаружили, что системный раздел был доступен для записи (как правило, он находится в режиме чтения для предотвращения возможных модификаций). Для повышения привилегий на устройстве LevelDropper использует два эксплоита, PoC-коды которых находятся в открытом доступе.
    Источник краткого перевода
     
    lilia-5-0, Theriollaria, Охотник и ещё 1-му нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Hummer

    Эксперты компании Cheetah Mobile обнаружили и рассказали о новом семействе троянов для мобильных устройств, получившим название Hummer. Этот вредонос может получать права суперпользователя, загружать порнографические приложения и показывать рекламные баннеры.

    С начала 2016 года киберпреступники, управляющие Hummer-ом, запустили 12 доменов для обновления и продвижения трояна. В первой половине 2016 года число инфицированных устройств достигло 1,4 млн (из них 63 тыс. только в Китае). За каждое установленное вредоносом приложение его операторы получают полдоллара, а ежедневный доход может быть $500 тыс.

    1467190173511086.png

    После установки троян получает права суперпользователя на устройстве жертвы, затем в фоновом режиме загружает нежелательные или вредоносные приложения и периодически показывает рекламу. Проанализировав исходный код вредоноса, специалисты пришли к выводу, что его создали китайские разработчики.

    Полностью удалить Hummer довольно сложно. Поскольку троян получает наивысший уровень доступа, обычные антивирусы не могут полностью его нейтрализовать. Сброс до заводских настроек также не избавляет от трояна.

    Ниже представлен список стран с наибольшим количеством устройств, зараженных Hummer.
    Индия - 154248
    Индонезия - 92889
    Турция - 63906
    Китай - 63285
    Мексика - 59192
    Филиппины - 55290
    Россия - 51261
    Малайзия - 38141
    Таиланд - 34601
    Вьетнам - 29469
    Колумбия - 28685
    Украина - 26785

    Источник краткого перевода
     
    lilia-5-0, Theriollaria, Kиpилл и 4 другим нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    DroidJack

    Исследователи компании Proofpoint сообщили, что DroidJack, маскирующийся под вышедшую в текущем месяце игру Pokemon GO, позволяет злоумышленникам получить полный контроль над устройством, похитить конфиденциальные данные и следить за активностью пользователей.

    В реальном Pokemon Go игроки исследуют реальный мир в поисках покемонов, которых можно увидеть и поймать при помощи смартфона на iOS или Android. Популярность игы Pokemon GO для iOS- и Android-устройств набирает обороты и, по мнению исследователей, ее вредоносная подделка вскоре появится в неофициальных магазинах приложений.

    Т.к. даты релиза оригинальной игры в разных странах отличаются, злоумышленники рассчитывают на нетерпеливость пользователей, которые поторопятся загрузить её из сторонних источников в надежде получить Pokemon GO раньше других.

    Рекомендуется воздержаться от загрузки игры из сторонних источников. Уже скачавшим приложение из неофициального магазина, нужно посмотреть, какие права оно запрашивает. Вредоносная версия игры требует повышенных привилегий, таких как доступ к беспроводному соединению и Bluetooth, а также возможность отслеживать активность пользователя в браузере.

    Источник краткого перевода
     
    lilia-5-0, Theriollaria, orderman и 2 другим нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Fasurke

    Эксперты ESET обнаружили в Google Play восемь поддельных Android-приложений, накручивающих фолловеров (количество подписчиков) в социальных сетях. С помощью приложений, названных Android/Fasurke, злоумышленники похищали личные данные и деньги.

    В ходе мошеннической кампании эти программы установило от 250 тыс. до 1 млн пользователей. Fasurke запрашивали личные данные пользователя, постоянные платные подписки, а также согласие на получение маркетинговых сообщений и рекламы. При их запуске пользователю предлагалось ввести название модели мобильного устройства, свое имя и количество подписчиков, которое он хотел бы получить. После запуска «процесса увеличения подписчиков» необходимо было пройти проверку на робота.

    Fasurke1.png

    Пользователю предлагалось множество различных подарков, купонов и бесплатных услуг в обмен на личную информацию (имя, адрес электронной почты, адрес, телефон, дата рождения и пол). Несмотря на многочисленные негативные комментарии, популярность приложений не спадала.

    Компания Google была уведомлена о проблеме и приложения уже удалены из интернет-магазина. Однако, в Google Play могут существовать другие приложения с подобным функционалом и той же злонамеренной целью. Будьте бдительны!

    Источник краткого перевода
     
    Последнее редактирование: 20 июл 2016
    lilia-5-0 и Охотник нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Fakebank

    Исследователи из Symantec обнаружили функцию блокировки вызовов в новых версиях вредоносов семейства Android.Fakebank.B. С её помощью злоумышленники могут мешать пользователям просить у банков заблокировать скомпрометированную платежную карту. Новый Fakebank ориентирован на клиентов банков России и Южной Кореи.

    Блокируются следующие вызовы в центры обслуживания клиентов:
    KB Bank: 15999999
    KEB Hana Bank: 15991111
    NH Bank: 15442100 and 15882100
    Sberbank: 80055550
    SC Bank: 15881599 and 15889999
    Shinhan Bank: 15448000, 15778000, 15998000

    Вредноносное ПО Fakebank впервые было выявлено еще в 2013 году. Под видом приложения для Android-устройств вредонос инфицирует систему и пытается похитить деньги жертвы. Fakebank сначала сканирует устройство на наличие конкретных банковских платежных приложений. Затем троян предлагает пользователю удалить приложения и установить вместо них вредоносные версии тех же инструментов.

    Новые версии Fakebank не только собирают учетные данные пользователя, но и способны контролировать телефонные вызовы. В случае набора номера банка вредонос отменяет вызов. Исследователи настоятельно рекомендуют пользователям отказаться от установки приложений от непроверенных сторонних производителей.

    Источник краткого перевода
     
    lilia-5-0 и Охотник нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Похитители фотографий

    Android.Vibleaker

    Исследователи компании Symantec ранее сообщали о вредоносном ПО для Android-устройств, распространяемом через Google Play Store и предназначенном для похищения передаваемых через Viber фотографий и видео.
    Приложение называется Beaver Gang Counter, но детектируется антивирусными решениями как Android.Vibleaker. Злоумышленники выдают его за программу для хранения очков, заработанных в популярной карточной игре. Установившись Beaver Gang Counter ищет на устройстве файлы, связанные с Viber, а затем отправляет их на удаленный сервер.
    Android.Vibleaker может обходить автоматическую антивирусную систему Google Bouncer и откладывать вредоносную активность. Он сначала запрашивает у C&C-сервера, нужно ли собирать медиафайлы, из-за чего функция безопасности Google не срабатывает. Злоумышленники могут по желанию включать/выключать вредоносные функции приложения, позволяя ему обходить любые механизмы безопасности.
    Источник краткого перевода

    HTML Source Code Viewer
    Специалисты компании Symantec обнаружили в online-каталоге Google Play вредоносное Android-приложение, ворующее фото и видео со смартфонов жертв. Приложение позиционируется как инструмент для разработки, однако на самом деле похищает контент папок /DCIM/Camera и /DCIM/100LGDSC/ и отправляет данные на удаленный вебсервер. на сервере хранится огромный массив персональных медиафайлов, собиравшийся по крайней мере с марта 2015 года. Данная информация может использоваться в различных целях: для шантажа, атак с использованием вымогательского ПО, хищения личности и пр.
    Согласно данным сервиса Whois, сервер, на который отправляется информация, расположен в Азербайджане. На момент обнаружения вредоносного приложения, его скачали 5 тыс. раз. Эксперты Symantec проинформировали о проблеме компанию Google, в настоящее время программа уже удалена из магазина. Но там есть другая с тем же названием и еще одна без HTML в названии.
    Источник краткого перевода
     
    lilia-5-0 и Охотник нравится это.
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Android.Spy.305.origin

    Специалисты компании "Доктор Веб" обнаружили в каталоге Google Play троянское приложение Android.Spy.305.origin, способное показывать надоедливую рекламу поверх интерфейса работающих программ. Не гнушается Spy.305 и кражей конфиденциальной информации пользователей устройств.

    Выявлено несколько разработчиков, встроивших Android.Spy.305.origin в свои программы и распространяющих их через каталог Google Play. Среди них — разработчики MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps и Mothrr Mobile Apps.

    Среди приложений, в которых был найден троянец, встречаются «живые обои», сборники изображений, утилиты, ПО для работы с фотографиями, прослушивания интернет-радио и т. п. Аналитики «Доктор Веб» выявили 155 таких приложений, а общее число загрузок превысило 2.800.000. В Google уже сообщили об этих приложениях, но многие из них все еще доступны для загрузки.

    Так что же похищает этот шпион?
    Он передает на сервер своих создателей следующие данные:
    - email-адрес, привязанный к учетной записи Google;
    - список установленных приложений;
    - текущий язык и версию операционной системы;
    - наименование производителя мобильного устройства;
    - наименование модели мобильного устройства;
    - IMEI-идентификатор;
    - разрешение экрана;
    - название мобильного оператора;
    имя приложения, в котором содержится троянец;
    - идентификатор разработчика приложения;
    - версию троянского рекламного SDK.
     
    Последнее редактирование: 29 июл 2016
    lilia-5-0, Kиpилл и Охотник нравится это.
  16. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Android.Slicer.1.origin

    Вредоносное ПО для устройств на базе Android, способное покупать и ставить приложения из Google Play, обнаружили специалисты компании «Доктор Веб».

    Троян Android.Slicer.1.origin устанавливается на мобильные устройства другими вредоносными приложениями. Он может показывать данные об использовании оперативной памяти и «очищать» ее, завершая работу активных процессов. Может включать и отключать беспроводные модули Wi-Fi и Bluetooth.

    Главной задачей Android.Slicer.1.origin является показ рекламных объявлений, но троян также способен самостоятельно ставить программы из Google Play. Это осуществляется с помощью Android.Rootkit.40, аналога утилиты su для работы с привилегиями суперпользователя. При присутствии этого вредоноса в системном разделе /system/bin, Android.Slicer.1.origin может автоматически покупать и устанавливать приложения из Google Play, но лишь на устройствах, работающих под управлением Android 4.3.

    Android.Slicer.1.origin открывает раздел приложения в каталоге и с помощью Android.Rootkit.40 от имени суперпользователя запускает стандартную системную утилиту uiautomator. Так он получает информацию о всех видимых на экране окнах и элементах управления. Далее идет сбор сведений о кнопках с идентификатором com.android.vending:id/buy_button (кнопки «Купить» и «Установить») и com.android.vending:id/continue_button (кнопка «Продолжить»). Вредонос находит координаты середины кнопок и нажимает на них, пока элементы управления с необходимыми идентификаторами присутствуют на экране.

    Используемые вредоносом идентификаторы кнопок представлены в ОС Android версии 4.3 и выше. Вспомогательная вредоносная программа Android.Rootkit.40 не может работать на устройствах с активным SELinux, т. е. в ОС Android версии 4.4 и выше.

    Источник краткой версии
     
    lilia-5-0 и Охотник нравится это.
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Fake Prisma

    Подделки приложения Prisma для Android своими действиями по показу нежелательной рекламы и краже данных ставят под угрозу конфиденциальной и безопасность 1,5 миллиона пользователей.

    Оригинальная Prisma представляет собой мобильное приложение, которое позволяет пользователям изменять свои фотографии в выбранном художественном стиле, подражая самым известным в мире художникам, в их числе Ван Гог, Пикассо и другие. Prisma использует "уникальное сочетание нейронных сетей и искусственного интеллекта", чтобы помочь пользователям превратить свои фотографии в произведения искусства.

    Prisma Labs выпустила приложение для пользователей Apple в июне 2016 г. В течение недели после выпуска приложение из App Store было загружено 7,5 миллионов раз. Такая популярность вызвала немалый ажиотаж. Разработчики вредоносных приложений воспользовались этой популярностью и создали поддельные Prisma, которые стали подсовывать пользователям Android-устройств как новую версию оригинального приложения.

    Разумеется фейки не имеют тех же функциональных возможностей по редактирования фотографий, вместо этого они показывают только объявления или фальшивую информацию, заманивая пользователя тем или иным способом выложить х личную информацию или подписаться на фиктивные (и дорогостоящие) SMS-услуги. Некоторые имели базовую функциональность для редактирования фотографий, но сопровождались потоком всплывающих окон с рекламой или отображали поддельную информацию по безопасности, чтобы убедить пользователя в том, что их устройство заражено вредоносным ПО".

    Тем не менее, некоторые из приложений имели более гнусные цели и содержали троян-загрузчик Android / TrojanDownloader.Agent.GY , который тайно закачивает и устанавливает вредоносные приложения на устройства пользователей. Затем осуществляется сбор информации о пользователе, включая номер телефона, имя оператора, название страны, языка и т.д.

     
    lilia-5-0, Охотник и Kиpилл нравится это.
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    El Gato

    Эксперты McAfee Labs обнаружили новое вымогательское приложение El Gato (исп. «кот») для Android-устройств, которое шифрует файлы, похищает SMS-сообщения и блокирует экран с помощью алгоритма шифрования AES с неизменяемым паролем.

    El Gato обладает возможностями ботнета, а управление им осуществляется через веб-панель, он также запрограммирован на периодическую отправку HTTP-запросов C&C-серверу, который передает ему команды, введенные злоумышленником в панели управления. Передача данных идёт в открытом виде.

    В отличие от остальных троянов-вымогателей, El Gato отображает на экране инфицированного устройства не уведомление с требованием выкупа за восстановление зашифрованных файлов, а изображение пушистого зевающего кота. Код вредоноса содержит инструкцию по расшифровке файлов, поэтому каждый, кто сумеет её обнаружить, может избавиться от El Gato.

    По мнению исследователей, El Gato находится на стадии разработки. «Поскольку интерфейс управляющего сервера не защищен, вымогатель выглядит, как демо-версия, использующаяся для коммерциализации наборов вредоносного ПО», - отметили эксперты.

    Источник краткой версии
     
    lilia-5-0, Охотник и orderman нравится это.
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Twitoor

    Специалисты ESET выявили троянское приложение Twitoor, которое управляет Android-гаджетами через соцсеть Twitter. Распространяется через мобильный спам, маскируясь под проигрыватель или приложение для отправки MMS. В зависимости от полученных от мошенников инструкций, малварь скачивает банковские трояны или переходит на другие аккаунты.

    Обнаружить и блокировать Twitoor сложно, поскольку он действует через соцсети вместо "обычной" связи через C2-сервер. Кроме того, владельцы зомби-сети застраховали себя от блокировки мошеннических аккаунтов.
    480241.png
    Так выглядит команда на загрузку трояна Twitoor.
     
    Последнее редактирование: 29 авг 2016
    lilia-5-0 и Охотник нравится это.
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    SpyNote

    Специалисты из Unit 42 компании Palo Alto обнаружили троян для удаленного доступа (RAT), позволяющий получить права администратора на инфицированном Android-устройстве. SpyNote работает подобно таким RAT, как OmniRat и DroidJack. Пострадавшими становятся пользователи, качающие файлы в формате APK (их загрузка возможна только в случае, если настройки безопасности разрешают загрузку из сторонних источников).

    SpyNote нет нужды получать права суперпользователя. Он способен устанавливать новые APK, обновляться, копировать файлы с мобильного на ПК, читать сообщения на смартфоне, слушать звонки, читать список контактов, прослушивать «живой» и записанный звук через микрофон устройства, получать доступ к камере, данные об IMEI, Wi-Fi MAC и операторе связи, делать звонки и получать последние данные GPS.

    SpyNote APK запрашивает у пользователя целый ряд привилегий, в том числе возможность читать и редактировать текстовые сообщения, а также модифицировать и удалять содержимое SD-карты.

    Источник краткой версии
     
    lilia-5-0 и Охотник нравится это.

Поделиться этой страницей