Обнаружен первый SMS-червь

Обнаружен первый SMS-червь

Компания F-Secure в своем квартальном отчете о вопросах безопасности IT Security Threat Summary, сообщает об обнаружении «первого SMS-червя», заражающего сотовые телефоны. По словам специалистов F-Secure, 2009 год станет памятным не только благодаря вирусу Conficker (Downadup), но также появлению Sexy View, червя, созданного специально для смартфонов.

Sexy View, как и Facebook-вирус Koobface, - «социальный червь», использующий для своего распространения контактные данные в смартфоне пользователя. Вирус рассылает пользователям из контактного списка SMS с предложением зайти и оценить интересные фотографии и ссылкой на веб-сайт. Ничего не подозревающий адресат (сообщение поступает от знакомого ему человека) проходит на предлагаемый сайт, где ему предлагается установить специфическое приложение для просмотра изображений. Давая согласие на установку, пользователь пополняет собой список жертв вредоносной программы и предоставляет собственный список контактов в распоряжение опасного червя. Sexy View также отправляет сведения обо всех зараженных сотовых телефонах своему владельцу, который может воспользоваться собранной информацией для рассылки SMS-спама.

«Sexy View заслуживает пристального внимания по целому ряду причин, - заявляет Микко Хиппонен, глава исследовательского отдела F-Secure, – Во-первых, ранее мы не сталкивались с подобным способом распространения опасных программ. Во-вторых, это единственный на сегодняшний день мобильный червь, способный обойти механизмы проверки сигнатур, которыми комплектуются все новые модели смартфонов. Наконец, своевременная разработка эффективных защитных мер обеспечит производителям ПО преимущество в борьбе с мобильным спамом, который на данный момент представляет собой весьма серьезную проблему в некоторых странах мира». 

Источник

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Coyote — первый вредонос, который шпионит через Windows UI Automation

Исследователи из Akamai зафиксировали реальное применение новой техники кражи данных — теперь банковский троян Coyote использует функции Windows, предназначенные для людей с ограниченными возможностями, чтобы следить за действиями пользователя.

Речь идёт о Microsoft UI Automation (UIA) — это фреймворк, который позволяет программам вроде экранных дикторов считывать содержимое интерфейса. Идея отличная, но в руках злоумышленников она становится инструментом для кражи логинов и паролей.

Троян Coyote появился в начале 2024 года и изначально использовал классические методы вроде кейлоггинга и фишинговых наложений. Теперь он стал умнее. Если раньше вредонос искал в названии окна упоминание банка или криптобиржи, то теперь он «залезает» в сам интерфейс браузера и вытаскивает оттуда адрес сайта — через UIA.

Если троян находит совпадение с одним из 75 заранее зашитых в него сервисов (банки вроде Banco do Brasil, Santander, CaixaBank, и криптобиржи вроде Binance, Electrum, Foxbit), он начинает активную фазу кражи данных. При этом сам метод UIA пока используется только на этапе разведки, но Akamai уже показала, что через него можно считывать и введённые логины, и пароли.

«Если не удаётся определить цель по заголовку окна, Coyote использует UIA, чтобы добраться до элементов интерфейса — вкладок и адресной строки, — и сравнивает найденное с зашитым списком», — говорится в отчёте Akamai.

 

Изначально Akamai предупреждала о такой уязвимости ещё в декабре 2024 года — тогда это была теоретическая угроза. Теперь она стала реальностью.

Особенность подхода — обход защит EDR. UIA не вызывает подозрений у антивирусов и систем мониторинга, потому что считается частью стандартной функциональности Windows. При этом такие же проблемы есть и в Android — там службы доступности давно используются в вредоносах, и Google уже не первый год борется с этой лазейкой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru