Критический баг в Android эксплуатируют вымогатели

Александр Панасенко 11 Мая 2017 - 23:33

...

Критический баг в Android эксплуатируют вымогатели

Специалисты компании Check Point обнаружили проблему в одном из защитных механизмов Android, которую активно эксплуатируют вымогатели, банковские трояны и адварь. Начиная с Android 6.0.0 (Marshmallow) разработчики Google представили новую модель выдачи разрешений приложениям.

В частности некоторые права получили пометку «опасных» (dangerous), то есть когда приложение впервые запрашивает доступ к каким-то «опасным» ресурсам и функциям, система спрашивает у пользователя, нужно ли разрешать данные действия.

Но наряду с «опасными» правами есть и другая категория — SYSTEM_ALERT_WINDOW. В отличие от других разрешений, в данном случае пользователь должен войти в меню (Settings -> Apps -> Draw over other apps) и вручную предоставить приложению данные права. В дальнейшем SYSTEM_ALERT_WINDOW фактически позволяет приложению без спроса перекрывать окна любых других приложений, к примеру, именно так на экране всплывает Facebook Messenger, когда кто-то из контактов хочет пообщаться.

Как не трудно догадаться, SYSTEM_ALERT_WINDOW также может использоваться в совсем других целях, в частности позволяет мошенникам показывать пользователям навязчивую рекламу, перекрывать окна других приложений оверлеем (как часто делают банковские трояны), устраивать фишинговые атаки и так далее. Специалисты Check Point отмечают, что согласно их данным, 74% вымогателей, 57% адвари и 14% банковских троянов эксплуатируют недочеты в системе выдачи разрешений, пишет xakep.ru.

Проблема заключается в том, что полностью запретить такое поведение невозможно, ведь им пользуются и легитимные приложения. Поэтому разработчики Google выпустили патч в составе Android 6.0.1, который выдает run-time разрешения приложениям, загруженным из официального каталога Google Play, что впоследствии может использоваться для получения прав SYSTEM_ALERT_WINDOW. Фактически это означает, что если малварь была загружена из Google Play (что встречается совсем нередко), проблем с эксплуатацией SYSTEM_ALERT_WINDOW у нее не возникнет. По данным Check Point, около 45% приложений, использующих SYSTEM_ALERT_WINDOW, пользователи загружают именно из Google Play.

Специалисты уже уведомили о проблеме разработчиков Google, и те согласились, что так быть не должно, однако исправления проблемы стоит ожидать не ранее третьего квартала 2017 года, то есть не раньше релиза Android O. Ограничить злоупотребление SYSTEM_ALERT_WINDOW должна новая функция TYPE_APPLICATION_OVERLAY, которая появится в новой версии ОС. Она не позволит приложениям размещать окна поверх критических системных окон, так что пользователь в любой момент сможет войти в настройки и блокировать вредоносную активность.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 13 Мая 2026 - 20:40

Трояны Уязвимости программ Общее

Open source под ударом: число вредоносных пакетов превысило 20 тысяч

«Лаборатория Касперского» сообщила о росте числа вредоносных пакетов в проектах с открытым исходным кодом. По данным телеметрии компании, к концу 2025 года по всему миру было обнаружено 19,5 тыс. таких пакетов — на 37% больше, чем годом ранее. В начале 2026 года их число уже превысило 20 тыс.

Open source давно стал обычной частью современной разработки: компании используют готовые библиотеки, фреймворки и утилиты, чтобы быстрее создавать продукты.

Но у этой удобной модели есть и обратная сторона — злоумышленники всё чаще используют популярные экосистемы для атак на цепочки поставок.

Один из свежих примеров — атака Mini Shai-Hulud, которую в мае 2026 года провела группа TeamPCP. Она была нацелена на npm и PyPI. В результате оказались скомпрометированы более 170 пакетов и сотни вредоносных релизов, включая проекты, связанные с TanStack, Mistral AI, UiPath и OpenSearch Project. Основным вектором стала цепочка уязвимостей в сборочном конвейере GitHub Actions.

В 2026 году были и другие заметные атаки. В марте был скомпрометирован Axios — один из популярных HTTP-клиентов для JavaScript. Злоумышленники получили доступ к аккаунту сопровождающего проекта и опубликовали заражённые версии пакета. Вместо прямого внедрения вредоносного кода в Axios они добавили фантомную зависимость, которая разворачивала кросс-платформенный RAT на macOS, Windows и Linux.

В феврале авторы Notepad++ сообщили о компрометации инфраструктуры из-за инцидента на стороне хостинг-провайдера. По данным Kaspersky GReAT, атакующие использовали несколько цепочек заражения, а среди целей были ИТ-поставщики, госучреждения и финансовые организации в Австралии, Латинской Америке и Юго-Восточной Азии.

В апреле злоумышленники взломали официальный сайт разработчика CPU-Z и HWMonitor и подменили легитимные установщики вредоносными. Период компрометации, по оценке исследователей, составил около 19 часов. За это время были выявлены более 150 жертв в разных странах.

В начале мая эксперты также обнаружили вредоносный код в установщиках DAEMON Tools. Заражёнными оказались версии с 12.5.0.2421 до 12.5.0.2434, распространявшиеся с 8 апреля. Всего было атаковано более 2 тыс. пользователей в более чем ста странах. После массового заражения злоумышленники выбрали около десятка организаций для более точечных атак.

В «Лаборатории Касперского» отмечают, что атаки на цепочки поставок остаются одной из самых заметных угроз для организаций. Разработчикам и компаниям рекомендуют внимательнее контролировать используемые опенсорс-компоненты, проверять сборочные конвейеры, отслеживать зависимости, готовить план реагирования на инциденты и не полагаться только на репутацию популярного проекта.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!