Лаборатория Касперского делится статистикой по финансовым инцидентам

Лаборатория Касперского делится статистикой по финансовым инцидентам

В Бразилии, России и Италии пользователи наиболее часто подвергались атакам с целью хищения денежных средств с онлайн-счетов – таковы результаты ежемесячного исследования финансовых киберугроз, проведенного «Лабораторией Касперского» в период с 19 апреля по 19 мая этого года.

Всего в этих странах продукты «Лаборатории Касперского» обезопасили 126 тысяч пользователей от кражи данных для доступа к банковским счетам с помощью вредоносного ПО — это больше чем треть от общего числа атакованных таким способом по всему миру.

Как правило, киберпреступники пытаются перехватить данные для доступа к онлайн-счетам при помощи специализированных троянских программ. В период с середины апреля по середину мая наиболее активным оказался банковский троянец ZeuS, обнаруженный на компьютерах 198 тысяч пользователей. Около 82 тысяч человек были атакованы вредоносными программами ChePro и Lohmys, которые по большей части распространялись при помощи спам-рассылки сообщений, выдаваемых за счета из банка.

Еще одним методом кражи платежных данных служат фишинговые атаки. За отчетный период технологии «Лаборатории Касперского» предотвратили 21,5 миллиона таких атак, причем около 10% из них (2 миллиона) были нацелены именно на похищение данных доступа к онлайн-счетам.

Также исследуемый период был отмечен чередой случаев использования уязвимости Heartbleed, обнаруженной в распространенной библиотеке шифрования OpenSSL и позволяющей злоумышленникам получить несанкционированный доступ к буферу памяти устройства, который использует данную библиотеку. Эксплуатация этой бреши не оставляет никаких следов, и до сих пор неизвестно, какие именно данные и в каком объеме были похищены. Большинство занимающихся онлайн-транзакциями компаний, которые использовали уязвимую версию OpenSSL, рекомендовали клиентам сменить пароли и тщательно следить за операциями на своих банковских счетах.

«С каждым месяцем мы наблюдаем рост числа инцидентов информационной безопасности, связанных с перехватом финансовых данных и реквизитов доступа к платежным онлайн-системам, — отмечает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — Это вполне предсказуемо, так как число людей, которые совершают онлайн-транзакции, тоже увеличивается. Злоумышленники в своей массе давно уже забыли про мелкие хулиганства – их интересуют только деньги, а число способов получить их незаконным путем выросло настолько, что помнить про каждый из них обычному пользователю стало уже невозможно. Мы рекомендуем установить защитное решение с функцией обеспечения безопасности онлайн-платежей и забыть об этой проблеме раз и навсегда».

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru