В Индии обнаружили опасную уязвимость в старых версиях Android
Главная » Новости

Android-вирус крадет письма и SMS

Кирилл Токарев 19 Сентября 2013 - 12:08
...

Потенциально опасный вирус, который крадет SMS и персональную информацию с Android-устройств, был обнаружен в Индии. Операторы и эксперты по компьютерной безопасности просят владельцев осторожнее работать с популярной мобильной платформой. Вредоносная программа опасна для всех версий Android, выпущенных до 4.2.2 (Jelly Bean). Чтобы избежать заражения, специалисты советуют не устанавливать программы из сомнительных сетевых источников.

«Мы обнаружили критическую уязвимость в операционной системе Android. Баг позволяет взломщикам устанавливать на смартфоны и планшеты под управлением данной ОС вредоносный код, который позволяет легко вносить изменения в функционал самих программ. При этом не нарушается криптографическая подпись программы, из-за чего приложение и пропускает Android», – говорят представители Computer Emergency Response Team-India (CeRT-In).

Представленная вредоносная программа может использоваться для хищения личной информации, включая электронные адреса, IMEI-номера, SMS и даже установленные приложения. Более того, данная система может отправлять SMS и осуществлять звонки с зараженного устройства без пользовательского согласия.

Как правило, вредоносная программа распространяется вместе с другими вполне законными приложениями. Верификация программы в Android осуществляется по первом файлу в пакете, а все остальные файлы в инфицированном .APK проникают в память устройства в обход встроенной системы безопасности.

Эксперты советуют внимательно следить за тем, какие разрешения требуют программы при установке, а также не инсталлировать приложения из ненадежных сайтов.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России зафиксировали пик из 63 тыс. атак и рост таргетированных взломов
Новость
В России зафиксировали пик из 63 тыс. атак и рост таргетиров...
RED Security запустила сервис MDR для быстрого реагирования на инциденты
Новость
RED Security запустила сервис MDR для быстрого реагирования...
Вредонос внедрили в Exchange: атакованы девять российских компаний
Новость
Вредонос внедрили в Exchange: атакованы девять российских ко...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.