Новый троян заставляет владельцев менять Android-устройства

Аналитики антивирусной компании Lookout обнаружили новый вид вредоносного программного обеспечения для Android, которое поселяется глубоко в устройстве так, что в некоторых случаях, чтобы избавиться от него, единственным выходом является замена смартфона. 

Принцип действия

Новый вредоносный софт объединяет в себе функции трояна и рекламного приложения (adware). После того он попадает на мобильное устройство, он самостоятельно выполняет рутинг (получает права на полный доступ к системе), используя любую из известных уязвимостей в платформе, и затем выполняет установку вредоносного кода как системного приложения, сообщает cnews.ru.

«После таких действий удалить вредоносный софт практически невозможно. Как правило, желание избавиться от него, ведет жертву к покупке нового устройства, если он не знает, как его вылечить или не обращается к специалисту для решения этой задачи», — сообщили представители Lookout в блоге компании. Аналитики добавили, что сброс к заводским настройкам не позволяет удалить троян. 

Что делает вредоносный софт

Вредоносный софт нового типа, так как содержит в себе функции трояна, позволяет злоумышленникам получать доступ к персональным данным, а рекламная функциональность — отображать рекламные объявления по мере того, как жертва пользуется устройством, и зарабатывать на этом деньги.

Как он попадает на устройство

Авторы нового софта распространяют его через сторонние магазины приложений для Android. Они берут из Google Play популярные программы, например, Facebook, Snapchat и Twitter, и перепаковывают их, внедряя вредоносный код. Таким образом, приложение продолжает обладать функциональностью, которую пользователь от нее ожидает.

Владелец мобильного устройства загружает с неофициального каталога Android-приложений, например, клиент  Facebook и начинает им пользоваться, ни о чем не подозревая. Приложение с внедренным в него вредоносным кодом, выполняет рутинг системы и надежно поселяется в ней в виде системного приложения.

Разновидности вредоносного софта

За последний год аналитики изучили три семейства комбинированных  вредоносных приложений. Первое из них называется Shuanet. Приложения этого семейства самостоятельно выполняют рутинг и скрываются в системной папке. Второе семейство — Kemoge (или ShiftyBug). Его представители также выполняют рутинг, после чего устанавливают в систему дополнительные компоненты. И, наконец, третье семейство — Shedun (также известное как GhostPush). Многие классифицируют эти приложения как рекламные, однако они также являются троянами. Эксперты не считают, что указанные семейства вредоносных программ были разработаны одной командой хакеров. 

Масштаб заражения

Аналитики Lookout обнаружили на просторах интернета свыше 20 тыс. образцов поддельных приложений с внедренных в них вредоносным кодом описанного действия. Были найдены поддельные модификации следующих популярных приложений, помимо упомянутых выше: Candy Crush, Google Now, New York Times, Okta и WhatsApp.

Наибольшее количество случаев заражения было зафиксировано в США, Германии, Иране, России, Индии, Ямайке, Судане, Бразилии, Мексике и Индонезии.

В официальном каталоге Google Play эксперты не нашли аналогичных подделок. 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google: 1,5% учетных данных в Сети когда-либо фигурировали в утечках

Исследование Google показало, что около 1,5% учетных данных в Сети уязвимы, так как ранее фигурировали в утечках. Эту цифру аналитики вывели благодаря анонимным данным, переданным через расширение Password Checkup.

Специально для этого исследования Google подготовила сервис уведомления об утечках и расширение браузера Chrome Password Checkup. В задачи расширения входил сбор анонимных данных и хешированных логинов.

Когда пользователь заходил на сайт, при этом имея в наличие установленное расширение, хешированные учетные данные отправлялись на сервер Google, где их проверяли по базе скомпрометированной информации. Сама база содержала 4 миллиарда имен пользователей и паролей, зафиксированных в различных утечках.

Если данные пользователя удавалось найти в базе, ему выводилось специальное предупреждение (пример на картинке ниже), в котором настоятельно рекомендовалось изменить пароль от этого аккаунта.

Такой сбор и анализ данных происходил с 5 февраля по 4 марта 2019 года. За этот период специалисты Google выяснили, что 1,5% от 21 177 237 проанализированных учетных данных были найдены в базе утечек.

При этом только 26% пользователей изменили пароль после предупреждения от расширения.

С исследованием Google под названием «Protecting accounts from credential stuffing with password breach alerting» (PDF) можно ознакомиться по соответствующей ссылке.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru