Злоумышленники заставили копию Google Play красть данные из Южной Кореи

Сотрудники компании FireEye Джимми Су (Jimmy Su)и Джинджаи Заи (Jinjian Zhai) обнаружил поддельное приложение Google Play. Клон крупнейшего в мире магазина приложений использует динамическийDNS-сервери протокол Gmail SSL для извлечения украденной личной информации.

Специалисты изучили поведение приложения и установили, что злоумышленники используют динамический DNS сервер с протоколом Gmail SSL для выкачивания собранной информации. После установки вредоносный софт «googl app stoy» запрашивает полномочия администратора. Вместо интерфейса на экране появляется ошибка запуска, которая информирует владельцам устройства об удалении программы и о том, что активность googl app stoy приостановлена. Судя по языку сообщений, хакеры охотятся за личной информацией жителей Южной Кореи.

При более тщательном расследовании выяснилось, что исчезла только иконка программы. Само приложение работало в фоновом режиме и запустило пять сервисов. Софт присутствовал в списке запущенных программ и не мог быть удален. Пользователям понадобится всего раз открыть «googl app stoy», чтобы она стала активной, а следы подозрительных действий оставались незамеченными, ведь иконка настоящего Google Play остается на месте.

Вредоносная программа скрывает свою сущность посредством кодирования. Исследователь FireEye смог расшифровать код и установить, что текстовые сообщения с важными данными отсылались на домен «dhfjhewjhsldie.xicp.net». Будьте осторожны и не устанавливайте приложения из подозрительных источников.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google закрыла в Chrome две 0-day, показанные на Pwn2Own 2024

Google оперативно устранила в Chrome две уязвимости нулевого дня (0-day), которые исследователи показали в ходе соревнования Pwn2Own 2024. Помимо этого, разработчики закрыли ещё пять дыр в браузере.

Одна из 0-day получила идентификатор CVE-2024-2887 и высокую степень риска. Класс этой бреши — несоответствие используемых типов данных (type confusion) в стандарте WebAssembly (Wasm).

На эту уязвимость указал Манфред Пол в первый день состязания Pwn2Own 2024, проходившего в Ванкувере. Эксперт также «пробил» и другие браузеры: Safari и Edge.

Вторую 0-day нашли исследователи из KAIST Hacking Lab. Её отслеживают под идентификатором CVE-2024-2886 (ошибка использования динамической памяти — use-after-free). Брешь затрагивает API WebCodecs, предназначенный для кодирования и декодирования аудио- и видеоконтента.

Сынхён Ли из KAIST Hacking Lab продемонстрировал удалённое выполнение кода на устройстве целевого пользователя с помощью эксплойта для CVE-2024-2886.

С выходом Google Chrome версий 123.0.6312.86/.87 (для Windows, macOS) и 123.0.6312.86 (для Linux) разработчики устранили перечисленные проблемы.

Напомним, на днях Mozilla тоже закрыла две 0-day в Firefox, показанные на Pwn2Own 2024. Девелоперы браузеров отработали качественно и оперативно, что не может не радовать.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru