Критический баг в Android эксплуатируют вымогатели

Александр Панасенко 11 Мая 2017 - 23:33

...

Критический баг в Android эксплуатируют вымогатели

Специалисты компании Check Point обнаружили проблему в одном из защитных механизмов Android, которую активно эксплуатируют вымогатели, банковские трояны и адварь. Начиная с Android 6.0.0 (Marshmallow) разработчики Google представили новую модель выдачи разрешений приложениям.

В частности некоторые права получили пометку «опасных» (dangerous), то есть когда приложение впервые запрашивает доступ к каким-то «опасным» ресурсам и функциям, система спрашивает у пользователя, нужно ли разрешать данные действия.

Но наряду с «опасными» правами есть и другая категория — SYSTEM_ALERT_WINDOW. В отличие от других разрешений, в данном случае пользователь должен войти в меню (Settings -> Apps -> Draw over other apps) и вручную предоставить приложению данные права. В дальнейшем SYSTEM_ALERT_WINDOW фактически позволяет приложению без спроса перекрывать окна любых других приложений, к примеру, именно так на экране всплывает Facebook Messenger, когда кто-то из контактов хочет пообщаться.

Как не трудно догадаться, SYSTEM_ALERT_WINDOW также может использоваться в совсем других целях, в частности позволяет мошенникам показывать пользователям навязчивую рекламу, перекрывать окна других приложений оверлеем (как часто делают банковские трояны), устраивать фишинговые атаки и так далее. Специалисты Check Point отмечают, что согласно их данным, 74% вымогателей, 57% адвари и 14% банковских троянов эксплуатируют недочеты в системе выдачи разрешений, пишет xakep.ru.

Проблема заключается в том, что полностью запретить такое поведение невозможно, ведь им пользуются и легитимные приложения. Поэтому разработчики Google выпустили патч в составе Android 6.0.1, который выдает run-time разрешения приложениям, загруженным из официального каталога Google Play, что впоследствии может использоваться для получения прав SYSTEM_ALERT_WINDOW. Фактически это означает, что если малварь была загружена из Google Play (что встречается совсем нередко), проблем с эксплуатацией SYSTEM_ALERT_WINDOW у нее не возникнет. По данным Check Point, около 45% приложений, использующих SYSTEM_ALERT_WINDOW, пользователи загружают именно из Google Play.

Специалисты уже уведомили о проблеме разработчиков Google, и те согласились, что так быть не должно, однако исправления проблемы стоит ожидать не ранее третьего квартала 2017 года, то есть не раньше релиза Android O. Ограничить злоупотребление SYSTEM_ALERT_WINDOW должна новая функция TYPE_APPLICATION_OVERLAY, которая появится в новой версии ОС. Она не позволит приложениям размещать окна поверх критических системных окон, так что пользователь в любой момент сможет войти в настройки и блокировать вредоносную активность.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Марта 2026 - 19:44

Малый и средний бизнес Корпорации Средства защиты веб-сайтов (приложений)Защита от DDoS

WMX представила систему защиты сайтов от «умных ботов»

Российская компания WMX (ООО «Вебмониторэкс») представила новое решение для защиты веб-ресурсов от автоматизированных атак — WMX SmartBot Protection. Продукт рассчитан не только на массовый бот-трафик, но и на более сложных ботов, которые умеют имитировать поведение обычных пользователей.

Проблема здесь вполне прикладная. Значительная часть интернет-трафика сегодня создаётся не людьми, а автоматизированными скриптами.

Такие боты могут собирать данные с сайтов, перебирать пароли, создавать фейковые аккаунты, искать уязвимости и в целом мешать нормальной работе онлайн-сервисов. Особенно чувствительны к этому интернет-магазины, финансовые сервисы, агрегаторы, доски объявлений, медиаплатформы и стриминговые площадки.

При этом боты становятся всё менее примитивными. Если раньше их можно было сравнительно легко отсечь по шаблонному поведению, то теперь они нередко умеют маскироваться под живого пользователя: заходят через браузер, имитируют движение мыши и даже проходят простые CAPTCHA. Из-за этого стандартных фильтров уже часто недостаточно.

В WMX говорят, что их система использует несколько уровней проверки. Сначала трафик фильтруется по базовым признакам — например, по IP-адресам и User-Agent. Если этого недостаточно, дальше подключается анализ браузерного окружения: параметров экрана, шрифтов, а также особенностей canvas и WebGL, которые могут указывать на эмуляторы или headless-браузеры.

Следующий этап — поведенческий анализ. Система смотрит, как именно ведёт себя пользователь: есть ли движения мыши, насколько быстро заполняются формы и не выглядят ли действия слишком механическими. После этого подключаются эвристики, которые оценивают уже не отдельные признаки, а их сочетание. Например, если кто-то кликает строго по центру кнопок через одинаковые интервалы времени, это может выглядеть подозрительно, даже если по отдельности такие действия не кажутся аномальными.

При необходимости могут использоваться и дополнительные проверки, включая CAPTCHA.

Новое решение работает в связке с WMX ПроWAF, веб-экраном компании. Логика здесь довольно понятная: антибот-система должна отсеивать автоматизированный трафик, а WAF — уже защищать приложение от попыток эксплуатации уязвимостей вроде SQL-инъекций, XSS или RCE. Заодно это снижает нагрузку на инфраструктуру, потому что до основного контура доходит уже более «чистый» трафик.

В компании также сообщили, что в будущих версиях собираются добавить систему скоринга угроз и механизмы, связанные с ML, для автоматического формирования новых эвристик.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!