Мошенники научились удаленно блокировать браузер в iPhone и iPad
Главная » Новости

Мошенники научились удаленно блокировать браузер в iPhone и iPad

Александр Панасенко 21 Июля 2015 - 09:28
...

Владельцы Apple iPhone и iPad в США и Великобритании столкнулись с новым видом мошенничества. Попадая на вредоносный сайт, они видят уведомление об ошибке с просьбой позвонить в техподдержку, чтобы она помогла решить проблему, сообщает Telegraph.

Сообщение выводится с помощью простого скрипта JavaScript на вредоносном сайте. Браузер Safari не блокирует такие уведомления. Для борьбы с ними неприменимы функция «Блокировать всплывающие окна» (поскольку эти уведомления являются частью стандартной функциональности некоторых сайтов) и функция предупреждения о вредоносном сайте, пишет cnews.ru.

Платная разблокировка

Когда пользователь звонит по указанному в сообщении об ошибке телефону, абонент на другом конце обещает решить проблему после внесения оплаты. В США мошенники требовали от пользователей за разблокировку устройств $19-80, в Великобритании — 20 фунтов.

На официальном интернет-форуме Apple некоторые пользователи пожаловались, что собеседник, когда они сделали звонок, напугал их, что они стали жертвой стороннего приложения, похитившего их персональные данные. Затем он требовал от пользователей сообщить ему данные их банковских карт для устранения проблемы.

«Техническая поддержка» мошенников, в некоторых случаях представляющаяся официальной техподдержкой Apple, объясняет, что сбой возник, якобы, из-за стороннего приложения, установленного на мобильное устройство.

Способ выявить мошенников

Редакция Telegraph позвонила по двум из указанных телефонов. Абонент на другом конце несколько раз попросил сообщить серийный номер iPad, на котором появилось сообщение. Он предупредил, что за решение проблемы будут взяты деньги. В ответ на вопрос о названии компании, в которой работает оператор, ее адреса и веб-сайта, абонент на том конце бросал трубку.

В компании Apple рассказали Telegraph, что для того, чтобы избавиться от блокирующего браузер уведомления, пользователю нужно выполнить несколько действий: нужно перевести устройство в автономный режим (выключить все каналы связи), очистить историю Safari, затем заново активировать связь.

В компании заявили, что настоящая служба технической поддержки не просит данные о банковских картах, не заставляет сообщать какую-либо информации и выполнять звонки. Как сообщает издание Telegraph, полиция занимается расследованием этого инцидента.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
FaceTime в iOS 26 блокирует звонок при попытке раздеться в кадре
Новость
FaceTime в iOS 26 блокирует звонок при попытке раздеться в к...
Баг iOS: iPhone не доставляет аудиосообщения с упоминанием ресторана
Новость
Баг iOS: iPhone не доставляет аудиосообщения с упоминанием р...
В России появился новый SOC как услуга для бизнеса
Новость
В России появился новый SOC как услуга для бизнеса

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.