В бесплатных играх для Android обнаружен опасный вирус

В бесплатных играх для Android обнаружен опасный вирус

Эксперты в области информационной безопасности рекомендуют владельцам смартфонов и планшетов на базе OC Android соблюдать предельную осторожность при загрузке приложений с посторонних сайтов. Загруженные из ненадежных источников копии популярных игр, (таких как Angry Birds и Need for Speed Most Wanted), могут содержать вредоносное приложение, которое использует ваше устройство для рассылки мобильного спама.

Информацию о новой угрозе, известной под названием SpamSoldier, недавно опубликовала компании Cloudmark, известный производитель средств защиты.

Как объясняют представители Cloudmark, первый этап спамерской кампании заключается в формировании мобильного «ботнета», предназначенного для рассылки нежелательных сообщений. Указанная стадия предполагает рассылку тысяч сообщений, в которых владельцам смартфонов предлагается загрузить бесплатные версии популярных игр. В отличие от легальных игр, приобретаемых в магазине Google Play Store, бесплатные копии загружаются с неизвестного сервера в Китае. А для запуска приложения пользователю предлагается совершить ряд небезопасных действий, в том числе собственноручно отключить существующие защитные механизмы и предоставить программе возможность выхода в сеть и отправки текстовых сообщений, пишет soft.mail.ru.

Установленное приложение удаляет собственную иконку с главного экрана смартфона, загружает список телефонных номеров с центрального сервера и приступает к рекрутированию новых «бойцов». Сообщения, рассылаемые со скомпрометированного телефона, также содержат ссылки на бесплатные игровые ресурсы или уведомляют пользователя о получении подарочного сертификата.

Изучением угрозы также занимаются аналитики из компании Lookout, которые уточняют, что SpamSoldier пытается скрыть свою активность путем редактирования журналов исходящих сообщений. Таким образом, владелец мобильника не сразу замечает, что оказался жертвой киберпреступников. До недавнего времени количество зараженных смартфонов оставалось относительно небольшим. Однако сегодня их можно обнаружить в сетях практически всех крупных операторов мобильной связи в США, а число ежедневно отправляемых мусорных сообщений превысило 500 тысяч.

«Новая разновидность вредоносных приложений способна совершить настоящую революцию в области SMS-спама, поскольку позволяет злоумышленникам не платить за отправляемые сообщения, – объясняет Эндрю Конвей (Andrew Conway) аналитик из Cloudmark, – SpamSoldier постепенно набирает обороты, а значит, в будущем нам предстоит столкнуться с еще более продуманными и сложными для отражения атаками».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru