Новый опасный вредонос RedDrop атакует Android-приложения

Новый опасный вредонос RedDrop атакует Android-приложения

Новый опасный вредонос RedDrop атакует Android-приложения

Исследователи из британской компании Wandera обнаружили новую вредоносную программу, действующую через приложения на Android. RedDrop может похищать данные с мобильных устройств, записывать аудио происходящего вокруг, выводить украденные данные на Dropbox и Google Drive и подписывать владельцев Android на премиальные SMS-сервисы. 

По данным Wandera, на данный момент RedDrop атаковал 53 приложения. При этом программа обладает невиданным до этого уровнем сложности и защиты.

RedDrop скрывает все следы установки опасной программы на устройство и маскирует вредоносные приманки под различные инструменты, например, калькуляторы, графические редакторы, учебные пособия, а также контент для взрослых и многое другое. Пользователю кажется, что приложение чисто, хотя на деле при том или ином виде его использования вредонос либо собирает личные данные, либо отправляет SMS на премиальные сервисы. В конце месяца владелец устройства получает огромный счет за телефон. В худших случаях украденные данные могут быть использованы для шантажа жертв.

Вредонос распространяется через приложения, которых нет в Google Play, поэтому пока больший ущерб нанесен пользователям из Китая. Поскольку там Google Play запрещен, люди вынуждены искать приложения через поисковики и скачивать через сторонние сайты и сервисы. 

Заражение происходит в несколько этапов:

  1. Пользователь ищет Android-приложение через китайский поисковик, например, Baidu.
  2. Результат поиска перенаправляет его через множество доменов и в конце концов приводит в магазин приложений.
  3. Пользователь устанавливает приложение, зараженное RedDrop, которое запрашивает разрешения на доступ к данным.
  4. Вредоносная программа собирает данные устройства и отправляет их на удаленный C&C-сервер.
  5. RedDrop загружает и устанавливает семь других приложений, которые содержат вредоносные программы с дополнительными функциями.
  6. Пользователь взаимодействует с приложениями.
  7. RedDrop подписывается на премиальные SMS-услуги и удаляет все запросы подтверждения, которые могут предупредить пользователя об опасности.
  8. Вредонос похищает данные устройства, например, фотографии, файлы и список контактов. Также он может записывать аудио. 
  9. RedDrop отправляет все эти файлы в облачные хранилища Dropbox и Google Drive. Затем злоумышленники могут использовать похищенные данные для шантажа.

Впервые программа была замечена в китайском приложении для взрослых CuteActress. Затем в список зараженных RedDrop приложений попали Space Game Free, Video Blocker, Cosmos FM, Plus Italy, Paint It, Hot Tone, Ninja Slice и многие другие. Ни одно из них не доступно в Google Play. 

cuteactress

“Эта гибридная атака совершенно уникальна, — сообщил ZDNet д-р Майкл Ковингтон, вице-президент направления Product Strategy компании Wandera. — Злоумышленник умело использует, казалось бы, полезное приложение для выполнения невероятно сложной операции. Это одна из наиболее устойчивых вредоносных программ, которую мы встречали за последнее время”.

Пока неизвестно, кто именно стоит за разработкой вредоноса, но продуманность RedDrop говорит о том, что команда может быть заинтересована в шпионаже и имеет достаточно ресурсов для разработки множества приложений и поддержки сложных вредоносных программ.

Чтобы не стать жертвой RedDrop, пользователям следует убедиться, что настройки их устройства запрещают установку сторонних приложений, и несколько раз проверять, к каким данным запрашивает доступ новое приложение.

Напомним, что недавно мы рассказывали про то, как устройства на Android используются для незаконного майнинга криптовалюты. Также, по мнению лаборатории ESET, наибольшую опасность для Android представляют вирусы-вымогатели.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый ботнет использует утилиту hping3 для проведения DDoS-атак

В интернете объявился новый, активно развиваемый DDoS-зловред. Проведенный в NSFOCUS анализ показал, что новобранец, нареченный hpingbot, написан с нуля на Go и нацелен на платформы Windows и Linux/IoT.

Обнаруженный в прошлом месяце троян (результат VirusTotal на 4 июля — 13/72) также поддерживает множество архитектур CPU, включая amd64, mips, arm и 80386. В настоящее время в состав созданного на его основе ботнета входят немногим более 14,6 тыс. зараженных устройств.

Для своей работы hpingbot использует совсем другие ресурсы, нежели многочисленные производные Mirai и Gafgyt: прячет полезную нагрузку на Pastebin, а DDoS-атаки проводит с помощью hping3 — бесплатного инструмента диагностики сетей, похожего на ICMP ping.

Подобный подход не только повышает шансы зловреда на сокрытие от обнаружения, но также значительно снижает стоимость его разработки и операционные расходы.

Ссылки на Pastebin жестко прописаны в коде hpingbot. Отдаваемый с сайта пейлоад (IP-адреса C2, скрипты для загрузки дополнительных компонентов) часто сменяется.

Из техник DDoS вредоносу подвластен флуд — SYN, TCP, ACK, UDP и многовекторный. Примечательно, что Windows-версия трояна не способна оперировать hping3 из-за ограничений по внешним условиям, она в основном заточена под загрузку и запуск дополнительных модулей.

Из последних был выявлен написанный на Go генератор DDoS-флуда (UDP и TCP), который с 19 июня загружается на ботнет для тестирования. Он связан с теми же C2, но не имеет доступа к Pastebin, не вызывает hping3 и не умеет обновляться.

Распространяется hpingbot через брутфорс SSH, используя специальный модуль. Закрепиться в системе зловреду помогают Systemd, SysVinit и Cron, после выполнения своих задач он удаляет свои файлы и подчищает логи.

Зафиксированные DDoS-атаки с ботнета пока немногочисленны — по всей видимости, операторы пока сосредоточены на наращивании потенциала.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru