Всю прошлую неделю покемоны не покидали заголовки новостей. Вряд ли сами создатели игры дополненной реальности Pokemon GO могли спрогнозировать такой ажиотаж. Но подстраиваться к стремительно изменяющимся обстоятельствам сейчас приходится не только разработчикам.
На ажитацию вокруг Pokemon GO также чутко отреагировали преступники, начиная от обыкновенных грабителей и заканчивая хакерами. Специалисты по информационной безопасности сообщают, что подделок под Pokemon GO становится все больше, а серверы игры ушли в оффлайн, тогда как хакеры из группы PoodleCorp заявили, что это их заслуга.
Сразу несколько компаний, занимающихся защитой пользователей от киберугроз, сообщают, что малвари, которая маскируется под популярное приложение, становится больше. Так, по данным специалистов RiskIQ, выдать себя за Pokemon GO пытаются уже более 215 приложений, более чем в двадцати разных каталогах.
Исследование компании ESET, в свою очередь, гласит, что вредоносные подделки добрались и до Google Play Store. Эксперты ESET обнаружили в официальном магазине сразу три опасных приложения, паразитировавших на успехе Pokemon GO.
Приложение Pokemon GO Ultimate обещало пользователям доступ к игре, даже если Pokemon GO еще официально не работает в их регионе. По данным исследователей, скачать и установить приложение успели от 500 до 1000 человек. Разумеется, никакого доступа к игре малварь не предоставляла, она вообще не устанавливала игру, вместо игры на устройство попадало APK PI Network. Если пользователь нажимал на иконку этого приложения, желая посмотреть, что это такое, экран устройства блокировался. Снять блокировку после этого возможно лишь перезагрузив устройство. Эксперты отмечают, что в ряде случаев не получится осуществить даже «мягкую» перезагрузку девайса. В таком случае придется делать «хард резет», достав аккумулятор устройства, и воспользоваться Android Device Manager,
Даже после перезагрузки девайса приложение продолжит работать в фоновом режиме: без ведома пользователя оно будет открывать сайты для взрослых и кликать на порно-баннеры. Чтобы прекратить активность малвари полностью, нужно зайти в управление приложениями и удалить PI Network вручную.
Кроме того, специалисты ESET нашли в официальном каталоге приложений «игры» Guide & Cheats for Pokemon Go и Install Pokemongo. Вместо обещанной игры эти приложения отображали рекламу, или угрозами склоняли пользователей подписаться на дорогостоящие сервисы. Интересно, что Install Pokemongo успело набрать 10000-50000 установок.
Сейчас все три приложения уже удалены из Google Play, однако нет никаких гарантий, что на смену им не придут новые.
Между тем, поиграть в Pokemon GO сложно, даже если на устройстве установлено легитимное приложение. Пока игра доступна далеко не во всех странах мира, к примеру, в России официальный запуск Pokemon GO ожидается на этой неделе, но точная дата релиза неизвестна. И хотя обойти региональные ограничения возможно, серверы Pokemon GO работают с заметными перебоями. Похоже, Nintendo и Niantic не справляются с огромным количеством игроков, к тому же ситуацию ухудшают хакеры.
В минувшую субботу, 16 июля 2016 года, представители Nintendo сообщили, что Pokemon GO заработала еще для 26 стран мира, в число которых вошли Австрия, Бельгия, Болгария, Дания, Финляндия, Польша, Румыния и так далее. Вскоре после этого сообщения серверы игры ушли в глухой оффлайн, что, на первый взгляд, легко объяснить притоком новых игроков.
Однако, похоже, перебои серверов Pokemon GO в выходные связаны вовсе не с тем фактом, что европейские страны официально допустили до охоты на покемонов. Хакерская группа PoodleCorp заявила в своем твиттере, что уход серверов в оффлайн – их рук дело. Хакеры утверждают, что перебои в работе были вызваны DDoS-атакой, которая была лишь «небольшой проверкой». Также злоумышленники сообщают, что новая волна DDoS’а планируется 1 августа 2016 года.
Команда PoodleCorp пока малоизвестна, но в прошлом месяце хакеры уже атаковали ряд популярных ютюберов (к примеру, Pewdiepie), а также серверы StreamMe, Battle.NET и League of Legends.
Вероятно, PoodleCorp не лгут и не пытаются записать на свой счет обычный технический сбой. В конечном итоге, такие атаки совсем не новы. Достаточно вспомнить, как хакерские группы Lizard Squad и Phantom Squad устраивали атаки на сервисы Xbox и PSN в рождественские каникулы, когда желающих поиграть было больше всего.
Исследователи из Cyble обнаружили необычный Windows-бэкдор, раздаваемый под видом уведомления о переподготовке белорусских военнослужащих для нужд недавно созданных войск беспилотных авиационных комплексов.
Целью атак с применением зловреда, открывающего SSH-доступ через Tor, по всей видимости, является шпионаж.
Анализ показал, что распространяемый злоумышленниками документ «ТЛГ на убытие на переподготовку.pdf» на самом деле является архивным файлом, содержащим LNK с тем же русскоязычным именем и скрытую папку FOUND.000.
Ее содержимым оказался вложенный persistentHandlerHashingEncodingScalable.zip, который с помощью PowerShell-команд, встроенных в LNK, распаковывается в специально созданную папку %appdata%\logicpro.
При запуске вредонос вначале проверяет систему на наличие песочниц и автоматизированных средств анализа. При обнаружении враждебной среды дальнейшее исполнение откатывается; при благоприятном стечении обстоятельств жертве отображается маскировочный PDF-документ, а остальные действия выполняются в фоне.
Чтобы обеспечить себе постоянное присутствие, зловред с помощью командлета Register-ScheduledTask создает запланированные задания — на свой запуск при первом же входе жертвы в систему, а потом ежедневно в 10:21 AM UTC (13:21 по Москве).
Когда он активен, на порту 20321оживает служба SSH стараниями githubdesktop.exe, подписанного Microsoft (Windows-версия OpenSSH); удаленный доступ при этом возможен лишь по ключу RSA (публичный вшит в код зловреда). Дополнительно запускается SFTP с кастомными настройками для вывода данных.
Параллельно создается скрытый сервис Tor и организуется проброс портов для ряда Windows-служб с тем, чтобы обеспечить оператору анонимный доступ к различным системным ресурсам (в том числе по RDP и SMB).
Подключение к Tor реализовано через транспортный протокол obfs4, использующий шифрование. Подобный трюк позволяет скрыть вредоносный трафик, выдав его за обычную сетевую активность.
Найденный образец, по словам аналитиков, несколько похож на инструменты, используемые APT-группы Sandworm. Попыток загрузки дополнительного пейлоада или постэксплуатации тестирование не выявило.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
