Новый опасный вредонос RedDrop атакует Android-приложения

Новый опасный вредонос RedDrop атакует Android-приложения

Новый опасный вредонос RedDrop атакует Android-приложения

Исследователи из британской компании Wandera обнаружили новую вредоносную программу, действующую через приложения на Android. RedDrop может похищать данные с мобильных устройств, записывать аудио происходящего вокруг, выводить украденные данные на Dropbox и Google Drive и подписывать владельцев Android на премиальные SMS-сервисы. 

По данным Wandera, на данный момент RedDrop атаковал 53 приложения. При этом программа обладает невиданным до этого уровнем сложности и защиты.

RedDrop скрывает все следы установки опасной программы на устройство и маскирует вредоносные приманки под различные инструменты, например, калькуляторы, графические редакторы, учебные пособия, а также контент для взрослых и многое другое. Пользователю кажется, что приложение чисто, хотя на деле при том или ином виде его использования вредонос либо собирает личные данные, либо отправляет SMS на премиальные сервисы. В конце месяца владелец устройства получает огромный счет за телефон. В худших случаях украденные данные могут быть использованы для шантажа жертв.

Вредонос распространяется через приложения, которых нет в Google Play, поэтому пока больший ущерб нанесен пользователям из Китая. Поскольку там Google Play запрещен, люди вынуждены искать приложения через поисковики и скачивать через сторонние сайты и сервисы. 

Заражение происходит в несколько этапов:

  1. Пользователь ищет Android-приложение через китайский поисковик, например, Baidu.
  2. Результат поиска перенаправляет его через множество доменов и в конце концов приводит в магазин приложений.
  3. Пользователь устанавливает приложение, зараженное RedDrop, которое запрашивает разрешения на доступ к данным.
  4. Вредоносная программа собирает данные устройства и отправляет их на удаленный C&C-сервер.
  5. RedDrop загружает и устанавливает семь других приложений, которые содержат вредоносные программы с дополнительными функциями.
  6. Пользователь взаимодействует с приложениями.
  7. RedDrop подписывается на премиальные SMS-услуги и удаляет все запросы подтверждения, которые могут предупредить пользователя об опасности.
  8. Вредонос похищает данные устройства, например, фотографии, файлы и список контактов. Также он может записывать аудио. 
  9. RedDrop отправляет все эти файлы в облачные хранилища Dropbox и Google Drive. Затем злоумышленники могут использовать похищенные данные для шантажа.

Впервые программа была замечена в китайском приложении для взрослых CuteActress. Затем в список зараженных RedDrop приложений попали Space Game Free, Video Blocker, Cosmos FM, Plus Italy, Paint It, Hot Tone, Ninja Slice и многие другие. Ни одно из них не доступно в Google Play. 

cuteactress

“Эта гибридная атака совершенно уникальна, — сообщил ZDNet д-р Майкл Ковингтон, вице-президент направления Product Strategy компании Wandera. — Злоумышленник умело использует, казалось бы, полезное приложение для выполнения невероятно сложной операции. Это одна из наиболее устойчивых вредоносных программ, которую мы встречали за последнее время”.

Пока неизвестно, кто именно стоит за разработкой вредоноса, но продуманность RedDrop говорит о том, что команда может быть заинтересована в шпионаже и имеет достаточно ресурсов для разработки множества приложений и поддержки сложных вредоносных программ.

Чтобы не стать жертвой RedDrop, пользователям следует убедиться, что настройки их устройства запрещают установку сторонних приложений, и несколько раз проверять, к каким данным запрашивает доступ новое приложение.

Напомним, что недавно мы рассказывали про то, как устройства на Android используются для незаконного майнинга криптовалюты. Также, по мнению лаборатории ESET, наибольшую опасность для Android представляют вирусы-вымогатели.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Флант выпустил первую версию платформы виртуализации на Kubernetes

Компания «Флант» выпустила первую стабильную версию Deckhouse Virtualization Platform (DVP) — российской платформы виртуализации на базе Kubernetes. Она позволяет запускать и управлять в одной среде как виртуальными машинами, так и контейнерами. Сейчас продукт проходит завершающую стадию сертификации в ФСТЭК России.

В DVP виртуальные машины управляются так же, как и контейнеры, через единый API Kubernetes.

Это упрощает администрирование и позволяет применять одни и те же политики безопасности, использовать единый мониторинг и сетевые настройки. Кроме того, есть веб-интерфейс для администраторов и пользователей.

Появление платформы совпало с окончанием срока поддержки VMware vSphere 7 — одной из самых распространённых в России систем виртуализации. Это повышает интерес к российским решениям. В современных инфраструктурах требуется не только классическая виртуализация, но и интеграция с контейнерными технологиями, и именно на это сделан акцент в DVP.

Платформа поддерживает до 1000 серверов и 50 000 виртуальных машин, может работать в закрытых контурах без интернета и совместима с отечественными ОС. Она подходит для миграции с устаревших систем, работы с гибридными нагрузками и постепенного перехода от монолитных приложений к микросервисам.

В DVP реализованы встроенный мониторинг на базе Grafana и переработанной версии Prometheus, сканирование образов на уязвимости, микросегментация сети через Cilium, поддержка мультитенантности и ролевая модель доступа. Есть интеграция с системами хранения данных и собственное программно-определяемое хранилище.

Одно из направлений развития связано с сотрудничеством с Postgres Pro. Совместно создано решение для управления жизненным циклом баз данных PostgreSQL — с автоматизацией развёртывания, обновлений, резервного копирования и масштабирования.

Deckhouse Virtualization Platform включена в Единый реестр российского ПО. Платформа регулярно обновляется, а её возможности уже используются в проектах партнёров — в том числе для миграции с VMware и запуска гибридных приложений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru