Рекламное ПО обходит систему безопасности Google Bouncer

Рекламное ПО обходит систему безопасности Google Bouncer

Специалисты международной антивирусной компании ESET обнаружили новую вредоносную программу для Android – AdDisplay. Она маскируется под легитимные приложения в Google Play и была скачана уже более 200 тысяч раз.

Android/AdDisplay.Cheastom специализируется на несанкционированном показе рекламы пользователю. Программа предлагалась для загрузки больше месяца под видом приложений с чит-кодами к популярным играм Cheats for Pou, Guide For SubWay и Cheats For Subway. AdDisplay содержит механизмы самозащиты, препятствующие удалению из системы, а также использует специальные приемы, вводящие в заблуждение систему анализа файлов Google Bouncer.

При установке приложение запрашивает права администратора устройства. После активации режима администратора AdDisplay пытается определить среду своего исполнения: устройство пользователя, эмулятор или серверы Google. Для этого приложение получает IP-адрес устройства и проверяет его с помощью сервиса WHOIS.

Распознав среду Google Bouncer, приложение отключает выполнение основной функции – показа рекламы – и просто отображает чит-коды к играм. При запуске на смартфоне или планшете AdDisplay показывает полноэкранную рекламу каждые 30 или 40 минут. Если приложение запускается в среде эмулятора, реклама будет отображаться после перезагрузки устройства.

Удалить AdDisplay сложно, так как приложение обладает правами администратора устройства и может скрывать значок запуска в Android. Антивирус ESET NOD32 Mobile Security может удалить его без участия пользователя. Если на устройстве нет антивируса, AdDisplay можно удалить вручную, отключив режим администратора.

Нежелательные приложения удалены из Google Play после уведомления от вирусной лаборатории ESET. Для обеспечения безопасности пользователей мобильных устройств на базе Android аналитики компании продолжают анализировать приложения в Google Play.

ИИ-браузеры обманули игрой и заставили сливать логины пользователей

Оказывается, современный ИИ можно взломать не только сложным промптом, но и головоломкой. Исследователи из компании LayerX представили технику BioShocking, которая заставляет ИИ-браузеры добровольно воровать данные пользователя. Под удар попали сразу несколько популярных решений, включая ChatGPT Atlas, Perplexity Comet и браузерное расширение Claude от Anthropic.

Суть атаки строится вокруг так называемой косвенной инъекции в промпт. Пользователю достаточно открыть специально подготовленную веб-страницу.

Для человека это обычная игра с абсурдными правилами вроде «2 + 2 = 5». А вот ИИ воспринимает встроенные в страницу инструкции как часть задания и постепенно начинает следовать логике злоумышленника.

Финал игры выглядит так: агенту предлагают получить учётные данные пользователя и передать их атакующему. Во время эксперимента ни один из шести протестированных ИИ не распознал это как опасное действие.

 

В демонстрации LayerX агент самостоятельно открыл рабочий репозиторий GitHub пользователя, получил учётные данные SSH и отправил их злоумышленнику. Исследователи использовали безвредный текстовый файл, однако отмечают, что аналогичным способом можно добраться до открытых вкладок браузера, корпоративных сервисов, внутренних инструментов и других ресурсов.

Самое опасное здесь не сама головоломка, а возможности ИИ в режиме агента. Такие браузеры умеют нажимать кнопки, переходить по ссылкам, читать содержимое сайтов и выполнять действия от имени пользователя. Если агент уже имеет доступ к аккаунтам, вредоносная страница может превратить его в помощника злоумышленника.

 

По данным LayerX, реакция разработчиков оказалась неодинаковой. OpenAI устранила проблему в ChatGPT Atlas. Perplexity, как утверждают исследователи, закрыла отчёт без патча. Anthropic выпустила обновление для расширения Claude, но, по мнению LayerX, оно не решило проблему полностью.

Эксперты считают, что ИИ-браузеры должны запрашивать явное разрешение перед доступом к данным из сервисов. А пользователям советуют не держать агентный режим включённым без необходимости.

RSS: Новости на портале Anti-Malware.ru