Более 16000 пострадали от троянца, шифрующего и крадущего личные данные

Более 16000 пострадали от троянца, шифрующего и крадущего личные данные

Эксперты «Лаборатории Касперского» обнаружили новую модификацию мобильного банковского троянца Faketoken, которая способна не только блокировать экран устройства, вымогая деньги, но и шифровать с этой же целью файлы пользователя.

Под видом разных игр и программ, включая Adobe Flash Player, зловред крадет информацию из более чем 2000 финансовых приложений для Android. Жертвами Faketoken стали свыше 16000 человек в 27 странах. В основном это пользователи из России, Украины, Германии и Таиланда.

Способность зашифровывать информацию нетипична для банковского троянца. Большинство мобильных зловредов-вымогателей блокируют само устройство, а не данные на нем, потому что те обычно хранятся еще и в облаке. Faketoken же зашифровывает именно данные, причем как документы, так и медиафайлы (изображения, музыку и видео). Троянец использует алгоритм симметричного шифрования AES, что оставляет пользователю шанс на расшифровку данных без уплаты выкупа. Дело в том, что в этом алгоритме для кодирования и декодирования информации применяется один и тот же криптографический ключ, который остается на устройстве после шифрования. К тому же из-за популярности AES существует большое количество программ для зашифровки и расшифровки с его помощью.

При заражении устройства троянец запрашивает права администратора, право перекрывать окна других приложений или стать приложением по умолчанию для работы с SMS. В случае отказа диалоговое окно перезапускается снова и снова, поэтому часто пользователь просто вынужден согласиться.

Троянец крадет данные практически на любом языке: после того, как права получены, зловред загружает базу с фразами на 77 языках для разных локализаций устройства. Faketoken использует эти фразы, чтобы генерировать фишинговые сообщения и воровать пароли от аккаунтов Gmail. Также он способен перекрывать окно Google Play Store для кражи данных банковской карты жертвы.

«Последняя модификация Faketoken интересна тем, что некоторые из новых возможностей не дают ощутимой выгоды для злоумышленника. Выигрыш от функции шифрования сомнителен, потому что обычно у пользователя есть резервная копия данных в облаке. Это не значит, что стоит пренебрегать такими изменениями: возможно, они рассчитаны на неопытных пользователей, которые готовы не задумываясь заплатить выкуп. К тому же модификация может быть базой для будущего усовершенствования троянца, этапом на пути развития постоянно эволюционирующего и успешного семейства зловредов. Рассказывая об угрозе, мы помогаем людям сохранить свои устройства и данные в безопасности», — прокомментировал ситуацию антивирусный эксперт «Лаборатории Касперского» Роман Унучек.

«Лаборатория Касперского» рекомендует пользователям Android принять следующие меры для того, чтобы защитить себя от троянца Faketoken и других зловредов:

  • удостовериться в том, что у вас есть резервная копия всех данных;
  • избегать машинального предоставления прав и разрешений приложениям, которые просят об этом, и всегда обращать внимание на то, какие именно права запрашиваются и зачем;
  • установить защитное решение на все устройства и регулярно обновлять операционную систему.
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google открыла исходный код песочницы для библиотек C, C++ на Linux

Google открыла исходный код своего проекта, который предоставляет песочницу для библиотек C и C++, запущенных в системе Linux. Sandboxed API — именно так называется разработка, которую Google активно использовала годами внутри корпорации для дата-центров.

Теперь Sandboxed API доступен на GitHub, там же можно найти документацию, которая поможет разработчикам обеспечить изолированную среду для своих библиотек C и C++. Предполагается, что с новыми возможностями программисты также смогут защитить свои библиотеки от эксплойтов и вредоносных вложений.

В сущности, Sandboxed API представляет собой библиотеку, которая помогает разработчикам автоматизировать запуск кода C и C++ в Sandbox2 — специальной кастомной песочнице Google для систем Linux.

Исходный код Sandbox2 также был открыт, его можно найти в том же репозитории GitHub. В своем блоге американская корпорация рассказала о планах добавить поддержку других языков программирования.

Помимо этого, разработчики Google подумывают над портированием Sandbox2 под FreeBSD, OpenBSD и macOS.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru