В смартфонах Samsung, LG, Xiaomi нашли предустановленную малварь

В смартфонах Samsung, LG, Xiaomi нашли предустановленную малварь

В смартфонах Samsung, LG, Xiaomi нашли предустановленную малварь

Специалисты Check Point совершили неприятное открытие: 38 различных моделей смартфонов известных брендов, например, Samsung, LG, Xiaomi, Asus, Nexus, Oppo и Lenovo, содержат вредоносное ПО прямо «из коробки».

Исследователи пишут, что проведенное ими расследование показало, что малварь не являлась частью официальной ROM производителей, то есть вредоносное ПО попало на устройства не на фабриках. Однако оно также не было установлено и самими пользователями. Исследователи делают вывод, что внедрением малвари в смартфоны занимался один из участников длинной логистической цепочки, которую устройства проходят от конвейеров фабрик до прилавков магазинов, пишет xakep.ru.

На смартфонах были обнаружены шесть образчиков различных вредоносов, включая Loki —мощное шпионское решение, похищающее пользовательские данные и умеющее показывать рекламу, и мобильного шифровальщика Slocker.

Специалисты Check Point не пишут, кто именно стал жертвами этих предустановленных вредоносов, но отмечают, что в одном случае это была крупная телекоммуникационная компания, а во втором случае — международное IT-предприятие.

В блоге компании приведен полный список вредоносных APK и устройств, на которых приложения были обнаружены. Его можно увидеть ниже. 

com.fone.player1 Galaxy Note 2
LG G4
com.lu.compass Galaxy S7
Galaxy S4
com.kandian.hdtogoapp Galaxy Note 4
Galaxy Note 8.0
com.sds.android.ttpod Galaxy Note 2
Xiaomi Mi 4i
com.baycode.mop Galaxy A5
com.kandian.hdtogoapp Galaxy S4
com.iflytek.ringdiyclient ZTE x500
com.android.deketv Galaxy A5
com.changba Galaxy S4
Galaxy Note 3
 
 
Galaxy S4
Galaxy Note Edge
Galaxy Note 4
com.example.loader Galaxy Tab S2
com.armorforandroid.security Galaxy Tab 2
com.android.ys.services Oppo N3
vivo X6 plus
com.mobogenie.daemon Galaxy S4
 
com.google.googlesearch 5 Asus Zenfone 2
LenovoS90
com.skymobi.mopoplay.appstore LenovoS90
com.example.loader OppoR7 plus
com.yongfu.wenjianjiaguanli Xiaomi Redmi
air.fyzb3 Galaxy Note 4
com.ddev.downloader.v2 Galaxy Note 5
com.mojang.minecraftpe Galaxy Note Edge
com.androidhelper.sdk Lenovo A850
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В ExpressVPN для Windows устранили уязвимость слива IP за считаные дни

ИБ-команда ExpressVPN опубликовала информацию об уязвимости, закрытой в Windows-клиенте версии 12. Возможность раскрытия IP-адреса пользователя возникает при установке RDP-соединения на порту 3389.

Уведомление о найденной уязвимости было подано 25 апреля в рамках программы bug bounty, запущенной для ExpressVPN. К 30 апреля вышла сборка 12.101.0.45 с исправлениями; фикс разошелся по всем каналам распределения, получил одобрение автора находки, и к концу июня тикет был официально закрыт.

В появлении проблемы был повинен отладочный код, по недосмотру оставшийся в промышленных сборках VPN-клиента для Windows с 12.97 по 12.101.0.2-beta. Из-за этого трафик на порту 3389/TCP (его также использует RDP) не попадал в VPN-туннель с предусмотренным шифрованием.

В итоге IP юзера ExpressVPN и факт RDP-подключения к конкретному серверу могли быть слиты интернет-провайдерам и другим обитателям сети. История посещения сайтов при этом не раскрывалась, компрометация шифрования трафика тоже была невозможна.

Эксплойт уязвимости возможен лишь в том случае, когда автор атаки о ней знает и удастся спровоцировать трафик на порту 3389 — к примеру, заставить намеченную жертву зайти на вредоносный сайт из-под VPN.

Данная угроза актуальна для организаций: RDP в основном используется в корпоративном окружении.

Полтора года назад в ExpressVPN была устранена другая уязвимость раскрытия информации. Реализация функции раздельного туннелирования привнесла баг, из-за которого на сторону сливались DNS-запросы пользователей и, как следствие, история посещения веб-ресурсов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru