Исследователи Doctor Web сообщают, что троян для Android, которому удалось заразить более 150 приложений в Google Play, был скачан более 2,8 миллионов раз. Ныне детектируемый как Android.Spy.305.origin, троянец реализован в виде набора для разработки рекламного программного обеспечения (SDK), который позволит разработчикам получать доход от загрузки приложений.
По данным Doctor Web, более 7 разработчики уже используют этот набор для разработки при создании своих приложений, следовательно, в конечном итоге троян был внедрен в их разработки. В своем исследователи перечисляют список затронутых разработчиков, который включает в себя: MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps, Mothrr Mobile Apps. Приложения, созданные этими разработчиками включают в себя живые обои, фото редакторы, радио приложения и другие виды утилит.
Исследователи Доктор Веб говорят, что 155 вредоносных приложений были созданы с использованием вышеупомянутого SDK и они были загружены более 2,8 миллионов раз. Кроме того, многие из этих программ по-прежнему числились в Google Play, даже после того, как Google были проинформированы о наличии Android.Spy.305.origin внутри них.
Исследователи отметили, что после запуска приложения, содержащего Android.Spy.305.origin, троян пытается подключиться к командному центру и загрузить другой вредоносный модуль, именуемый Android.Spy.306.origin.
Кроме того, исследователи в области безопасности обнаружили, что троянец был создан для кражи пользовательской информации, которую он отправляет на удаленный сервер.
Среди персональных данных, которые вредонос отправляет на удаленный сервер можно отметить: адрес электронной почты, связанный с учетной записью Google, список установленных приложений, настройки системного языка, название производителя устройства, модель мобильного устройства, IMEI-идентификатор, версия ОС, разрешение экрана, оператор мобильной связи, название приложения, содержащего троян, идентификатор разработчика и версию SDK для платформы.
Вредоносная программа также была создана для показа рекламных сообщений, запускаемых поверх приложений и интерфейса операционной системы. Троянец также может побудить пользователей загружать сторонние приложения, запугивая наличием несуществующих вредоносных программ на устройстве.
Несмотря на то, что Google Play является официальным и надежным источником программного обеспечения для Android, там все же могут встречаться вредоносные программы. Поэтому специалисты Доктор Веб рекомендуют пользователям обращать внимание на отзывы других пользователей.
В CMS-системе российского разработчика PARTS SOFT присутствуют две уязвимости, которые в комбинации представляют серьезную угрозу для интернет-магазинов, построенных на этой платформе.
Компания «Сайбер ОК», чей специалист выявил проблемы, опубликовала предупреждение в своем телеграм-канале, так как вендор за четыре месяца так и не удосужился выпустить патчи. В интернете обнаружено более 5 тыс. веб-сервисов, использующих PARTS SOFT CMS.
Согласно алерту, уязвимость BDU:2025-05287 (7,5 балла CVSS) позволяет получить ID пользователей перебором. Данная возможность возникла из-за разницы в ответах сервера и облегчает задачу фишерам и авторам брутфорс-атак по методу password spraying («распыление паролей»).
Проблема BDU:2025-05286 (6,1 балла) классифицируется как CSRF, межсайтовая фальсификация запросов. Причиной ее появления является неадекватная проверка подлинности входящих сообщений; эксплойт осуществляется передачей на сервер вредоносных данных по методу HTTP POST.
В отсутствие патчей админам рекомендуется ограничить интенсивность обращений к конечным точкам авторизации на уровне WAF или веб-сервера и мониторить соблюдение лимитов по логам, блокируя аномалии — такие, как многочисленные попытки входа с одного IP.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
