Новый опасный вредонос RedDrop атакует Android-приложения

Новый опасный вредонос RedDrop атакует Android-приложения

Исследователи из британской компании Wandera обнаружили новую вредоносную программу, действующую через приложения на Android. RedDrop может похищать данные с мобильных устройств, записывать аудио происходящего вокруг, выводить украденные данные на Dropbox и Google Drive и подписывать владельцев Android на премиальные SMS-сервисы. 

По данным Wandera, на данный момент RedDrop атаковал 53 приложения. При этом программа обладает невиданным до этого уровнем сложности и защиты.

RedDrop скрывает все следы установки опасной программы на устройство и маскирует вредоносные приманки под различные инструменты, например, калькуляторы, графические редакторы, учебные пособия, а также контент для взрослых и многое другое. Пользователю кажется, что приложение чисто, хотя на деле при том или ином виде его использования вредонос либо собирает личные данные, либо отправляет SMS на премиальные сервисы. В конце месяца владелец устройства получает огромный счет за телефон. В худших случаях украденные данные могут быть использованы для шантажа жертв.

Вредонос распространяется через приложения, которых нет в Google Play, поэтому пока больший ущерб нанесен пользователям из Китая. Поскольку там Google Play запрещен, люди вынуждены искать приложения через поисковики и скачивать через сторонние сайты и сервисы. 

Заражение происходит в несколько этапов:

  1. Пользователь ищет Android-приложение через китайский поисковик, например, Baidu.
  2. Результат поиска перенаправляет его через множество доменов и в конце концов приводит в магазин приложений.
  3. Пользователь устанавливает приложение, зараженное RedDrop, которое запрашивает разрешения на доступ к данным.
  4. Вредоносная программа собирает данные устройства и отправляет их на удаленный C&C-сервер.
  5. RedDrop загружает и устанавливает семь других приложений, которые содержат вредоносные программы с дополнительными функциями.
  6. Пользователь взаимодействует с приложениями.
  7. RedDrop подписывается на премиальные SMS-услуги и удаляет все запросы подтверждения, которые могут предупредить пользователя об опасности.
  8. Вредонос похищает данные устройства, например, фотографии, файлы и список контактов. Также он может записывать аудио. 
  9. RedDrop отправляет все эти файлы в облачные хранилища Dropbox и Google Drive. Затем злоумышленники могут использовать похищенные данные для шантажа.

Впервые программа была замечена в китайском приложении для взрослых CuteActress. Затем в список зараженных RedDrop приложений попали Space Game Free, Video Blocker, Cosmos FM, Plus Italy, Paint It, Hot Tone, Ninja Slice и многие другие. Ни одно из них не доступно в Google Play. 

cuteactress

“Эта гибридная атака совершенно уникальна, — сообщил ZDNet д-р Майкл Ковингтон, вице-президент направления Product Strategy компании Wandera. — Злоумышленник умело использует, казалось бы, полезное приложение для выполнения невероятно сложной операции. Это одна из наиболее устойчивых вредоносных программ, которую мы встречали за последнее время”.

Пока неизвестно, кто именно стоит за разработкой вредоноса, но продуманность RedDrop говорит о том, что команда может быть заинтересована в шпионаже и имеет достаточно ресурсов для разработки множества приложений и поддержки сложных вредоносных программ.

Чтобы не стать жертвой RedDrop, пользователям следует убедиться, что настройки их устройства запрещают установку сторонних приложений, и несколько раз проверять, к каким данным запрашивает доступ новое приложение.

Напомним, что недавно мы рассказывали про то, как устройства на Android используются для незаконного майнинга криптовалюты. Также, по мнению лаборатории ESET, наибольшую опасность для Android представляют вирусы-вымогатели.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Ростелеком открыл крупнейший центр мониторинга на базе Solar JSOC

«Ростелеком» и его дочерняя компания «Ростелеком-Солар», национальный провайдер сервисов и технологий информационной безопасности, открыли в Нижнем Новгороде крупнейший в России региональный центр мониторинга и реагирования на кибератаки.

В церемонии торжественного открытия приняли участие заместитель губернатора Нижегородской области Игорь Носов, вице-президент ПАО «Ростелеком» по информационной безопасности Игорь Ляпунов и вице-президент, директор макрорегионального филиала «Волга» ПАО «Ростелеком» Дмитрий Проскура.

«Сегодня мы задаём тренды федерального уровня. Вопросы информационной безопасности не раз поднимались в ходе прямой линии Президента. Это касается и импортозамещения в сфере разработки программных продуктов, и защиты от кибератак, и распространения ложных новостей. Отмечу, что, в Нижегородской области очень мощно развит IT-сектор. Около 700 компаний, в том числе ведущие мировые игроки, более 24000 специалистов, ежегодный рост их числа на 10-15%. Думаю, во многом именно это стало причиной того, что такой центр открылся именно в нашем регионе. Для области это новые рабочие места, уверен, что наши вузы смогут подготовить под них высококвалифицированных специалистов. Насколько мне известно, «Ростелеком-Солар» давно и плодотворно сотрудничает с ННГУ им. Лобачевского», – отметил заместитель губернатора Нижегородской области Игорь Носов.

Центр создан на базе Solar JSOC – лидирующего российского центра мониторинга и реагирования на кибератаки, который обеспечивает безопасность более 100 крупнейших российских компаний и организаций. Среди них федеральные ведомства, правительства субъектов Российской Федерации, финансовые институты, энергетические предприятия. В рамках информационного обмена об актуальных киберугрозах Solar JSOC активно взаимодействует с ГосСОПКА ФСБ России и ФинЦЕРТ ЦБ РФ.

Игорь Ляпунов, вице-президент ПАО «Ростелеком» по информационной безопасности, генеральный директор «Ростелеком-Солар»:

«Одним из главных препятствий на пути развития кибербезопасности в России является острая нехватка квалифицированных кадров и, как следствие, активная конкурентная борьба за них. Мы считаем, что правильнее заниматься формированием кадрового резерва; взращиванием, а не переманиванием профессионалов. Поэтому мы активно претворяем в жизнь стратегию по развитию региональных центров компетенций. Так, нижегородский Solar JSOC уже прошел длинный путь от небольшого регионального офиса до самостоятельного центра экспертизы по мониторингу и реагированию на компьютерные атаки. Сегодня это серьезная команда из высококлассных экспертов по информационной безопасности, способная обеспечить заказчикам полноценную защиту от киберугроз».

Нижегородский центр входит в состав Solar JSOC и является его крупнейшим региональным подразделением. Его штат насчитывает свыше 70 аналитиков и инженеров –высококвалифицированных специалистов по информационной безопасности. Это первый в России региональный центр мониторинга и реагирования на кибератаки такого масштаба. Подразделение Solar JSOC в Нижнем Новгороде будет отвечать за безопасность всех региональных клиентов, обеспечивая им полный комплекс сервисов от контроля защищенности и управления системами защиты заказчика до отражения и расследования кибератак.

Вице-президент, директор макрорегионального филиала «Волга» ПАО «Ростелеком» Дмитрий Проскура:

«Проблема взращивания квалифицированных кадров остро стоит во всех регионах, в том числе в Поволжье, поэтому совместная инициатива «Ростелеком» и «Ростелеком-Солар» по формированию экспертного ИБ-сообщества в Нижнем Новгороде крайне важна. Открытие нового центра мониторинга позволит более активно привлекать молодых специалистов, формируя кадровый потенциал, способствуя развитию отрасли информационной безопасности в регионе и увеличивая количество рабочих мест».

Стратегией развития регионального центра является плотное сотрудничество с профильными вузами региона, программа стажировок студентов с последующим трудоустройством и активным наращиванием экспертизы молодых специалистов. Ежегодно в программе стажировок Solar JSOC участвуют более 70 выпускников и студентов старших курсов, примерно 30 из них получают предложение о работе. Далее новые сотрудники проходят интенсивную программу обучения и развития профессиональных навыков. Благодаря ей через год они становятся сильными специалистами, через три – уникальными экспертами на рынке информационной безопасности.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru