Клавиатура Flash Keyboard для Android шпионит за пользователями

Клавиатура Flash Keyboard для Android шпионит за пользователями

Исследователи британской компании Pentest представили подробный отчет (PDF), который рассказывает о странном поведении популярного приложения для Android. Клавиатура Flash Keyboard была загружена более 50 млн раз, но исследователи утверждают, что популярное приложение следит за пользователями, отправляет данные на серверы в Китае, а также запрашивает подозрительно высокие привилегии для обычной клавиатуры.

Исследователи пишут, что разработчики Flash Keyboard вряд ли умышленно стремились создать малварь. При этом, для обозначения масштабов проблемы, специалисты Pentest отмечают, что установок у Flash Keyboard больше, чем у WhatsApp. В погоне за монетизацей бесплатного приложения разработчики, очевидно, решили пренебречь правилами. В конечном счете, приложение стало попросту опасным, и теперь умышленно обманывает пользователей и шпионит за ними.

В частности, для работы Flash Keyboard запрашивает доступ к функциям, которые никак не связаны с работой клавиатуры. Так, приложению нужен доступ к камере устройства, оповещениям почтовой системы, локационным данным GPS и Wi-Fi. Также клавиатура требует разрешения на подмену дефолтного экрана блокировки (чтобы заменить его своей версией, со встроенной рекламой). Более того, Flash Keyboard просит разрешения на ликвидацию фоновых процессов, которое обычно запрашивают только антивирусные продукты, передает xakep.ru.

Отчет гласит, что Flash Keyboard пользуется практически всеми выданными ей привилегиями. Так, приложение собирает исчерпывающие сведения об устройстве, включая версию ОС, номер IMEI, информацию о Wi-Fi и MAC, email-адрес владельца, а также координаты GPS (с точность до 1-3 метров) и данные о работающих на устройстве прокси. Собранная информация отправляется на некие серверы, расположенные в США, Нидерландах и Китае.

Исследователи признают, что эти данные могут не представлять угрозы для пользователей прямо сейчас, однако излишне усердный подход к сбору информации в сочетании со столь широкими полномочиями в системе с легкостью могут быть использованы в криминальных целях.

«В руках злоумышленника это приложение может скрыто загрузить любые обновления, что “вооружит” его и сделает орудием массовой (или узконаправленной) слежки», — пишут исследователи.

Связаться с разработчиками Flash Keyboard, гонконгской компанией DotC United, исследователям не удалось и они, еще в апреле 2016 года, пожаловались на приложение в Google. В отчете сказано, что в начале текущей недели приложение Flash Keyboard было удалено из официального каталога Google Play, однако эксперты Pentest заметили, что клавиатура почти сразу вернулась в каталог под другим именем. Теперь приложение называется Flash Keyboard Lite, хотя анализ кода показал, что поменялось исключительно название. На момент написания данной заметки, оригинальная Flash Keyboard по-прежнему доступна в Google Play. Очевидно, разработчики сумели оспорить бан.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Novabev подтвердила факт атаки и вымогательства

Алкогольный холдинг Novabev подтвердил факт масштабной кибератаки, в результате которой пострадала часть ИТ-инфраструктуры группы. По заявлению компании, инцидент сопровождался шантажом: злоумышленники потребовали выкуп за восстановление работы систем. Novabev отказалась выполнять эти требования.

Как сообщили в компании, атака произошла еще 14 июля. Сильнее всего она сказалась на работе сети алкомаркетов «ВинЛаб». Полностью прекратилась работа сайта, а также физических магазинов компании.

Также 15 июля резко (на 5,5% в моменте) упал курс акций компании. Однако к концу дня темпы падения, как сообщил «Финам», составили около 1%. На следующий день 16 июля падение составило 0,35%.

Также, как сообщили «Ведомости» со ссылкой на представителей двух розничных сетей, 14 июля прекратились отгрузки основной продукции Novabev, в том числе водки «Белуга» и «Беленькая». Также приостановлены все платежные операции компании.

«14 июля группа подверглась беспрецедентной кибератаке — масштабной и скоординированной акции, осуществленной хакерами. В результате инцидента была временно нарушена работоспособность части ИT-инфраструктуры, что отразилось на доступности некоторых сервисов и инструментов группы и сети «ВинЛаб». Злоумышленники вышли на связь и выдвинули требование о выплате денежного вознаграждения. Компания придерживается принципиальной позиции неприятия любых форм взаимодействия с киберпреступниками и категорически отказывается от выполнения их требований», - говорится в официальном сообщении Novabev, которое вышло вечером 16 июля.

Характер и масштаб инцидента компания не раскрыла. По неофициальным данным, произошло заражение инфраструктуры шифровальщиком.

Между тем, как сообщили в Novabev, утечки персональных данных в ходе инцидента не произошло. Компания работает над восстановлением ИТ-инфраструктуры. Ущерб от инцидента, по оценке «Ведомостей», по состоянию на конец рабочего дня 16 июля составил 1,5 млрд рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru