Наша взаимовыгодная связь https://banwar.org/
Відразу кілька ІБ-компаній, поряд з фахівцями самої Google, попередили про поширення нової малварі в Google Play і не тільки.
Крадіжка облікових даних «Вконтакте»
Експерти «Лабораторії Касперського» розповіли , Що в жовтні-листопаді 2017 року компанії вдалося виявити в Google Play відразу 85 додатків, за допомогою яких зловмисники викрадали чужі облікові дані соціальної мережі «ВКонтакте». Компанія ідентифікує дане сімейство малварі як Trojan-PSW.AndroidOS.MyVk.o.
Фахівці повідомили про 72 виявлених додатках в Google, після чого їх прибрали з магазину (інші 13 програм до того моменту вже були видалені). Крім того, дослідники передали всю зібрану інформацію до таких програм, включаючи технічні деталі, адміністрації «ВКонтакте».
Дослідники пишуть, що масштаб лиха був чималим: один з шкідливий, маскувати під гру, було встановлено (згідно зі статистикою Google Play) більше мільйона разів. Інші додатки теж користувалися популярністю: сім з них було встановлено від 10 000 до 100 000 разів, ще дев'ять - від 1000 до 10 000 разів. Решта могли похвалитися приблизно 1000 установок. Як правило, додатки призначалися для прослуховування музики або відстеження гостей на сторінці профілю в соціальній мережі.
Більшість заражених програм з'явилися в Google Play в жовтні 2017 року, але деякі були завантажені туди ще в липні. Цікаво, що найпопулярніше з них було опубліковано ще в березні і не містило шкідливого коду - це була звичайна гра. Кіберзлочинці оновили її до шкідливої версії вже в жовтні, вождів більше семи місяців.
Так як додатки такого типу вимагають від користувача входу в обліковий запис, вони не викликали підозр у своїх жертв. Ніякого відношення до соціальної мережі «Вконтакте» не мали лише гри. Так як «Вконтакте» найбільш популярна в країнах СНД, оператори малварі використовували перевірку мови системи та запитували дані від облікового запису тільки у тих, хто користувався російською, українською, казахською, вірменським, азербайджанським, білоруським, киргизьким, румунським, таджицьким або узбецьким інтерфейсом.
Шкідливі програми публікувалися в Google Play більше двох років, тому їх авторам доводилося щоразу змінювати код, щоб проходити перевірки Google. Цього разу вони використовували модифікований набір засобів розробки самого «Вконтакте», але з невеликою «добавкою»: користувач вводив свої облікові дані на стандартній сторінці входу VK, але вони тут же передавалися назад в заражене додаток через шкідливий JavaScript:
Потім троян шифрував облікові дані і завантажував їх на сайт зловмисників:
Фахівці «Лабораторії Касперського» припускають, що вкрадені облікові дані використовувалися для просування певних груп «Вконтакте», куди непомітно додавали користувачів. Крім того, аналітиками вдалося виявити кілька додатків, що представляють собою неофіційні клієнти для Telegram, які теж додають користувачів в групи, і були створені тими ж зловмисник (ідентифікатор not-a-virus: HEUR: RiskTool.AndroidOS.Hcatam.a).
Tizi стежить за користувачами
Фахівці самої компанії Google представили результат роботи захисного сервісу Google Play Protect. З його допомогою вдалося виявити шкідливе сімейство Tizi, атакуючий користувачів африканських країн (Кенія, Нігерія, Танзанія). Шкідливий був виявлений у вересні 2017 року, але коли аналітики копнули глибше, виявилася, що найстаріші версії заражених Tizi додатків і зовсім датовані 2015 роком.
Дослідники пишуть, що Tizi - це повноцінний бекдор, який встановлює на заражене пристрій шпигунські рішення, які збирають і викрадають «чутливі» дані з таких додатків, як Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn, Telegram. Спайварь здатна записувати дзвінки, вчинені через WhatsApp, Viber і Skype, відправляти і приймати SMS-повідомлення, викрадати ключі шифрування Wi-Fi, записувати всі навколишні звуки і непомітно робити фото.
Для отримання root-привілеїв на пристрої Tizi експлуатує відразу ряд відомих вразливостей, включаючи VE-2012-4220, CVE-2013-2596, CVE-2013-2597, CVE-2013-2595, CVE-2013-2094, CVE-2013-6282 , CVE-2014-3153, CVE-2015-3636 і CVE-2015-1805. Якщо отримання прав пройшло успішно, Tizi викачує на пристрій додаткову спайварь. Якщо ж все уразливості виправлені, малваре робить спробу запросити у користувача привілеї відкрито, наприклад, просить доступ до читання, відправлення та моніторингу SMS-повідомлень.
Фахівці повідомили, що заражені Tizi програми були виявлені, як в Google Play, так і в сторонніх каталогах додатків. Все шкідливий були видалені з офіційного магазину, а також, завдяки Google Play Protect, з пристроїв більш ніж 1300 користувачів.
Фальшиві банківські додатки
Також варто сказати, що аналітики Центру реагування на інциденти інформаційної безпеки (CERT-GIB) Group-IB попередили про нову хвилю масового поширення троянів, що маскуються під мобільні додатки провідних банків Росії. Хоча ресурси, з яких йде поширення фальшивих додатків, регулярно блокують, їх обсяг постійно зростає.
В даному випадку малваре поширюється не через офіційний магазин Google Play, але через рекламні оголошення в пошукових системах. Користувачі, які бажають встановити мобільний додаток банку, набирали в пошуковику характерний запит формату «завантажити додаток банку ХХХ». Після чого на перших сторінках пошуку їм видавалися рекламні повідомлення, що супроводжувалися стандартним текстовим супроводом: «Встановіть додаток ХХX банку прямо зараз, сплачуйте послуги, робіть переклади і відкривайте вклади!». При натисканні на посилання, запускалася переадресація на сторонні ресурси, де і пропонувалося завантажити додаток, під яким ховався банківський троян.
«Більшість користувачів не зупинило навіть те, що для установки такого роду програм їм необхідно дозволити інсталяцію програм з недовірених джерел в настройках безпеки своїх пристроїв, - вважає Олександр Калінін, керівник CERT-GIB. - Як правило, про небезпеку такого підходу операційна система попереджає відразу ж після отримання згоди користувача. Однак, в даному випадку, жертви фішинг-атаки були згодні взяти на себе всі ризики. Варто відзначити, що якість додатків-підробок, як по дизайну, так і по механіці зараження стає дедалі більше, що збиває з пантелику багатьох користувачів, що не звертають увагу на критичні деталі: назва домену, переадресацію на сторонній ресурс і так далі ».
Після отримання відповідних дозволів, в тому числі, на читання та відправку SMS-повідомлень, встановлене фейковий додаток запитує облікові дані від особистого кабінету жертви і реквізити її платіжної картки. Таким чином, ні про що не підозрюючи користувач дає зловмисникам доступ до своїх конфіденційних даних, які можуть бути використані для будь-яких банківських операцій в особистому кабінеті, включаючи грошові перекази. При цьому справжній «хазяїн» особистого кабінету перебуває в невіданні: SMS-повідомлення про доступ до його рахунку, транзакціях і будь-яких інших операціях перехоплюються трояном.
Експерти Group-IB повідомляють, що проведене розслідування виявило зв'язок розповсюджувача цих шкідливих банківських додатків і автора шахрайських ресурсів з продажу авіаквитків, які були популярні в 2016 і на початку 2017 року (наприклад, letimranshe [.] Ru, тоді Group-IB було заблоковано понад 30 аналогічних ресурсів).
Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.
