Приложение о погоде AccuWeather шпионило за пользователями

Приложение о погоде AccuWeather шпионило за пользователями

Приложение о погоде AccuWeather шпионило за пользователями

Популярное iOS-приложение о погоде AccuWeather собирало данные о пользователях и передавало их компании Reveal Mobile, которая занимается монетизацией информации о местоположении, сообщает TechCrunch. То, что «погодный» сервис отправляет пользовательские данные третьей стороне, выяснил исследователь безопасности Уилл Страфах (Will Strafach).

Причем передача данных осуществлялась даже в тех, случаях когда приложение не получало на это согласия. Специалист отметил, что за 36 часов наблюдений AccuWeather отправило информацию в RealMobile в общей сложности 16 раз. Приложение собирало следующие данные: точные GPS-координаты пользовательского устройства; имя и идентификатор базового набора услуг (BSSID) сети Wi-Fi, в которой используется устройство; статус персональной сети Bluetooth (включено/выключено), передает infowatch.ru.

Используя данные о местонахождении пользователя, Real Mobile могла отслеживать его предпочтения – например, то, где он обедает, какие магазины посещает. Такие сведения в сочетании с демографическими показателями представляют очень ценную информацию для предприятий сферы торговли и услуг, которые могут на ее основе делать фокусные рекламные предложения мобильным пользователям.

В совместном заявлении AccuWeather и RealMobile утверждают, что данные о местоположении не собираются и не передаются без дополнительного разрешения пользователей. Компании отмечают, что информация о Wi-Fi не относится к пользовательской, но признают, что некоторое время она была доступна  SDK Reveal. Чтобы избежать недоразумений, компании приняли решение исключить данный комплект разработки из iOS-версии AccuWeather до того времени, пока он не будет обновлен. Компания RevealMobile предполагает, что код SDK мог быть искажен. Разработчики уверяют, что никогда не занимались обратным проектированием данных о местоположении пользователей, и даже не имели такого намерения.

В конце августа шпионский характер был выявлен и у ряда приложений для устройств Android. Исследователи компании Lookout определили, что в Google Play находились более 500 приложений, содержащих  программы-бэкдоры для установки на устройства пользователей шпионского ПО. В приложения с общим числом скачиваний более 100 млн был установлен SDK Igexin, который, в частности, мог узнавать историю звонков и GPS-координаты. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru