В Google Play появилось несколько опасных Android-вирусов — Газета.Ru
В Google Play появилось несколько опасных Android-вирусов — Газета.Ru | Новости
close
100%
В Google Play появились сразу пять вредоносных приложений, которые после установки загружают на смартфоны вирусы для кражи доступа к банковским приложениям. Об этом сообщают специалисты по информационной безопасности из компании ThreatFabric.
Вредоносные программы появились в Google Play в 2022 году. Все они маскировались под полезные утилиты вроде файл-менеджеров, приложений для записи разговоров, календари и не только. За несколько месяцев суммарно их скачали более 130 тыс. раз.
После установки приложения под разными предлогами предлагали жертвам скачать обновления, в которых скрывались вирусы. Для усыпления бдительности некоторые приложения переадресовывали пользователей на фишинговые сайты, оформление которых имитировало Google Play.
Все обнаруженные вирусы использовались злоумышленниками для получения доступа к банковским приложениям. При запуске банковских клиентов вирусы выводили поверх интерфейса приложений окно авторизации. Жертвы, не подозревая подвоха, вводили логины с паролями и тем самым передавали их злоумышленникам.
Сколько людей пострадало от новой кампании киберпреступников, не сообщается. Однако в ThreatFabric утверждают, что целями вредоносов стали более 230 банковских и криптовалютных приложений для пользователей из Италии, Великобритании, Испании, Германии, Австрии, Польши, США, Австралии, Франции и Голландии.
Ранее «Газета.Ru» писала об обнаружении нового Android-вируса Drinik.
Подписывайтесь на «Газету.Ru» в Новостях, Дзен и Telegram.
Чтобы сообщить об ошибке, выделите текст и нажмите Ctrl+Enter
Новости
Дзен
Telegram
Дмитрий Воденников
Твои невыносимые георгины
О том, что наша встреча впереди неизбежна
Дмитрий Самойлов
Как не умереть во время отпуска
Почему важно рассчитывать собственные силы, собираясь отдохнуть
Анастасия Миронова
Дичь за МКАДом
Зачем заставлять студентов ездить по России
Юлия Меламед
Умер отец всех популистов
О тайнах популярности Сильвио Берлускони
Георгий Бовт
Когда загрызут – тогда и приходите
Помогут ли штрафы ответственному обращению с домашними животными
Миллионы Android-смартфонов заражены вирусами «из коробки»
Ваш смартфон может быть заражен еще до того, как вы его купили.
Компании начали продавать аппараты с предустановленным вредоносным ПО. Масштаб проблемы поражает.
Согласно экспертам по кибербезопасности из японской компании Trend Micro, производители Android-устройств продают уже зараженные смартфоны. Покупатель получает вредоносное ПО из коробки и даже не подозревает об этом.
Как это происходит
Некоторые компании, например, Xiaomi, Samsung или Google, сами разрабатывают Android-прошивки для своих девайсов. Другие компании отдают разработку прошивок на аутсорс, простыми словами, они договариваются со сторонними разработчиками — те создают прошивку и передают ее производителям, которые затем устанавливают ее на смартфоны.
В этой схеме есть большая проблема: сторонних разработчиков почти невозможно контролировать, а значит, они могут добавлять в прошивку любой софт, и даже вирусный. Так и произошло.
Сообщается, что в команды по разработке прошивок начали устраиваться злоумышленники, которые втихую внедряют вредоносное ПО в Android-прошивки.
Производители никак не проверяют эти прошивки и устанавливают их на смартфоны, а покупатели получают аппарат с предустановленными вирусами.
Эксперты сообщают, что им удалось найти более 80 различных видов злокачественных плагинов. Некоторые из них позволяют хакерам получить доступ ко всем данным пользователей: от SMS и местоположения до фотографий и банковских реквизитов. Другое ПО позволяет удаленно управлять устройством, собирать маркетинговую информацию или спамить рекламой прямо на главном экране. Еще один вид вирусов может передавать преступникам данные об IP-адресе и нажатии на экран.
Масштаб проблемы
По данным The Register, вирусное ПО обнаружено в более 8,9 млн девайсов. Среди них не только смартфоны. Предустановленных «зловредов» нашли так же в телевизорах на базе Android TV, в умных часах и фитнес-трекерах.
Больше всего таких девайсов продается в Юго-Восточной Азии и в Восточной Европе, следует из работы Trend Micro. Эксперты не называют точных стран, но в исследовании компании часто мелькает слово «Китай».
Предполагается, что все проблемы пошли именно оттуда.
Команда подтверждает, что вредоносное ПО было обнаружено в смартфонах по крайней мере 10 брендов. Самыми безопасными назвали смартфоны Samsung и Google, так как эти компании строже всех относятся к безопасности цепочки поставок и разработки прошивок.
Эксперты рекомендуют не покупать подозрительно дешевые смартфоны, телевизоры и умные часы от малоизвестных брендов из Китая, так как именно в них будут предустановленные вирусы. Лучше заплатить чуть больше и отдать предпочтение именитым производителям.
Пользовались ли вы ChatGPT? Как относитесь к искусственному интеллекту и нейросетям? Опрос Hi-Tech Mail.ru
5 вопросов
Знаете ли вы, что такое нейросеть? ДаНет
62фотографии
Это тоже интересно:
<iframe src=»https://vk.com/video_ext.php?oid=-48265019&id=456239552&hash=d6e86eaea128b528&hd=2&autoplay=1&partner_ext=123&partner_ext=123″ allow=»autoplay; encrypted-media; fullscreen; picture-in-picture;» frameborder=»0″ allowfullscreen></iframe>Автор: Никита Лактюшин
Android
безопасность
смартфоны
Китай
Подпишитесь на насНовости Hi-Tech Mail.
ru
Нажимая «Подписаться» вы соглашаетесь с условиями использования
- Mail.Ru
- О компании
- Реклама
- Редакция
- Условия использования материалов
- Обратная связь
Банда киберпреступников предварительно заражает миллионы Android-устройств вредоносным ПО и ТВ-боксы.
Злоумышленники используют Guerilla для загрузки дополнительных полезных данных, перехвата одноразовых паролей из SMS, настройки обратного прокси-сервера с зараженного устройства, перехвата сеансов WhatsApp и многого другого.
Согласно отчету Trend Micro, чьи аналитики обнаружили масштабную преступную деятельность и представили подробности о ней на недавней конференции BlackHat Asia, часть инфраструктуры злоумышленников пересекается с троянской операцией Triada 2016 года9.0003
Triada — банковский троян, который был предустановлен в 42 моделях Android-смартфонов недорогих китайских брендов, которые продают свою продукцию по всему миру.
Trend Micro заявляет, что они впервые разоблачили Lemon Group в феврале 2022 года, а вскоре после этого группа якобы была переименована в «Durian Cloud SMS». Однако инфраструктура и тактика злоумышленников остались прежними.
«Хотя мы определили ряд направлений деятельности, которыми Lemon Group занимается для больших данных, маркетинговых и рекламных компаний, основной бизнес связан с использованием больших данных: анализ огромных объемов данных и соответствующих характеристик поставок производителей, различных рекламных контент, полученный от разных пользователей в разное время, и данные об оборудовании с подробным программным обеспечением», — поясняется в отчете Trend Micro.
Внедрение вредоносного ПО
Компания Trend Micro не уточнила, каким образом Lemon Group заражает устройства вредоносной прошивкой, содержащей Guerilla, но уточнила, что исследованные ее аналитиками устройства были перепрошиты новыми ПЗУ.
Аналитики выявили более 50 различных ПЗУ, зараженных исходными загрузчиками вредоносных программ, нацеленных на различных производителей устройств Android.
«Преступная группа заразила миллионы устройств Android, в основном мобильные телефоны, а также смарт-часы, смарт-телевизоры и многое другое», — говорится в описании выступления Trend Micro Black Hat.
«Инфекция превращает эти устройства в мобильные прокси, инструменты для кражи и продажи SMS-сообщений, аккаунтов в социальных сетях и онлайн-мессенджерах, а также для монетизации с помощью рекламы и мошенничества с кликами».
Возможные способы достижения этой компрометации включают атаки на цепочку поставок, скомпрометированное стороннее программное обеспечение, скомпрометированный процесс обновления микропрограммы или привлечение инсайдеров к производству или цепочке распространения продукта.
Trend Micro заявляет, что первоначально они приобрели телефон Android и извлекли его «образ ПЗУ», чтобы обнаружить модифицированную прошивку, имплантированную Lemon Group.
Это устройство имело модификацию системной библиотеки libandroid_runtime.so, которая содержала дополнительный код для расшифровки и выполнения файла DEX.
Код файла DEX загружается в память и выполняется средой выполнения Android для активации основного подключаемого модуля, используемого злоумышленниками, под названием «Sloth», а также предоставления его конфигурации, которая содержит домен Lemon Group для использования для связи.
Поддельная системная библиотека загружает основной подключаемый модуль (Trend Micro)Вредоносное ПО Guerrilla
Основной плагин для вредоносного ПО Guerrilla загружает дополнительные плагины, предназначенные для выполнения определенных функций, в том числе: SMS.
Эти функции позволяют Lemon Group разработать разнообразную стратегию монетизации, которая может включать продажу скомпрометированных учетных записей, захват сетевых ресурсов, предложение услуг по установке приложений, создание мошеннических показов рекламы, предложение прокси-услуг и услуги подтвержденных учетных записей с помощью SMS-телефона (PVA).
Плагины и способы монетизации Lemon Group (Trend Micro)Глобальное влияние
Trend Micro сообщает, что Lemon Group ранее заявляла на своем сайте, предлагающем услуги, что контролирует почти девять миллионов устройств в 180 странах.
В число наиболее пострадавших стран входят США, Мексика, Индонезия, Таиланд и Россия.
«Кроме того, с помощью наших данных телеметрии мы подтвердили, что в мире работают миллионы зараженных устройств. Однако основной кластер этих устройств находится в Юго-Восточной Азии и Восточной Европе. , это действительно глобальная проблема», — заявили в Trend Micro.
Trend Micro предполагает, что фактическое количество Android-устройств, зараженных Guerrilla, может быть больше. Однако эти устройства еще не связались с серверами управления и контроля злоумышленников, поскольку все еще ожидают покупки.
В ходе мониторинга операции аналитики обнаружили более 490 000 мобильных номеров, используемых для генерации запросов одноразовых паролей для SMS-сервисов PVA от JingDong, WhatsApp, Facebook, QQ, Line, Tinder и других платформ.
Идентификация более полумиллиона скомпрометированных устройств, привязанных только к одной услуге, предлагаемой этим синдикатом киберпреступников, означает значительный глобальный охват их вредоносных операций.
BleepingComputer запросил Trend Micro, где они приобрели предварительно зараженный телефон, как он продается и какие бренды подвержены влиянию, но ответ не был получен немедленно.
Вредоносная программа SpinOk для Android обнаружена в других приложениях с 30 миллионами установок
Вредоносная программа SpinOk была обнаружена в новой партии приложений для Android в Google Play, которые, как сообщается, были установлены еще 30 миллионов раз.
Обнаружение исходит от группы безопасности CloudSEK, которая сообщает об обнаружении набора из 193 приложений, содержащих вредоносный SDK, 43 из которых были активны в Google Play на момент их обнаружения на прошлой неделе.
SpinOk впервые был обнаружен Dr. Web в конце прошлого месяца в наборе из ста приложений, которые в совокупности были загружены более 421 миллиона раз.
Как пояснила в своем отчете компания по обеспечению безопасности мобильных устройств, SpinOk был распространен с помощью атаки на цепочку поставок SDK, которая заразила множество приложений и, как следствие, взломала многих пользователей Android.
На первый взгляд SDK обслуживал мини-игры с ежедневными наградами, законно используемые разработчиками для возбуждения интереса своих пользователей. Однако в фоновом режиме троян может использоваться для кражи файлов и замены содержимого буфера обмена.
CloudSEK использовал IoC, представленные в отчете Dr. Web, для выявления большего количества заражений SpinOk, расширив список вредоносных приложений до 193 после обнаружения еще 92 приложений. Примерно половина из них была доступна в Google Play.
Самым скачиваемым из новой партии стал HexaPop Link 2248, у которого было 5 миллионов установок. Однако он был удален из Google Play после того, как CloudSEK составил отчет.
Другие популярные приложения, использующие SpinOk SDK и доступные для загрузки через Google Play:
- Macaron Match (XM Studio) – 1 миллион загрузок
- Macaron Boom (XM Studio) – 1 миллион загрузок
- Jelly Connect (Bling Game) – 1 миллион загрузок
- Tiler Master (технология Zhinuo) – 1 миллион загрузок
- Crazy Magic Ball (XM Studio) – 1 миллион загрузок
- Happy 2048 (Zhinuo Technology) – 1 миллион загрузок
- Mega Win Slots (Jia22) – 500 000 загрузок
CloudSEK сообщает, что общее количество загрузок дополнительных приложений, использующих SpinOK, превышает 30 000 000.
Следует отметить, что разработчики этих приложений, вероятно, использовали вредоносный SDK, думая, что это рекламная библиотека, не подозревая, что она содержит вредоносные функции.
Полный список зараженных приложений можно найти в приложении к отчету CloudSEK.
Это свидетельствует о сложности полного картирования атак цепочки поставок на крупных платформах распространения программного обеспечения, таких как магазин Google Play, где обнаружение каждого проекта, который может использовать определенный модуль, является сложной задачей и приводит к серьезным задержкам в процессе устранения рисков. .
CloudSEK проинформировал Google о новых вредоносных приложениях, обнаруженных в пятницу, 2 июня 2023 года, а BleepingComputer связался с командой Android по этому поводу.
Google еще не ответил, и многие из приложений, перечисленных в отчете CloudSEK, все еще доступны в Google Play на момент написания.
Обновление от 6/6 . Представитель Google прислал нам следующий комментарий:
Безопасность пользователей и разработчиков лежит в основе Google Play.
Ваш комментарий будет первым