Новый вредонос для Android маскируется под легитимные приложения

Олег Иванов 15 Марта 2018 - 11:32

Домашние пользователи

...

Новое семейство вредоносных программ для Android маскируется под целый ряд легитимных приложений, а также похищает широкий спектр конфиденциальной информации. Об обнаружении этой киберугрозы сообщили специалисты компании Palo Alto Networks.

Получившая имя HenBox вредоносная программа отличается тем, что устанавливает легитимные версии приложений в попытке скрыть свое присутствие на скомпрометированных устройствах. HenBox распространяется через сторонние магазины приложений, атакуя преимущественно устройства Xiaomi.

Попав на устройство, зловред может похищать информацию из популярных приложений для обмена сообщениями и мобильных клиентов социальных сетей. Он собирает как личные данные, так и информацию об устройстве, может отслеживать местоположение пользователя, получать доступ к микрофону и камере и фиксировать исходящие телефонные номера с префиксом «86» (код страны для Китайской Народной Республики).

Palo Alto Networks сообщает об обнаружении около 200 образцов HenBox, самые старые из которых датируются 2015 годом. Всплеск активности этого вредоноса пришелся на вторую половину 2017 года, однако в этом году экспертам также удалось заполучить несколько образцов HenBox.

Проанализировав эту киберугрозу, специалисты Palo Alto Networks пришли к выводу, что она связана с целой вредоносной инфраструктурой, занимающейся таргетированными атаками. Частью этой инфраструктуры, по словам экспертов, также являются такие вредоносные программы, как PlugX, Zupdax, 9002, и Poison Ivy.

Одним из приложений, под которые старается маскироваться HenBox, является DroidVPN — сервис VPN, обещающий повышенную безопасность и конфиденциальность, а также возможность обойти региональные ограничения в интернете.

Эта версия зловреда распространяется через uyghurapps[.]net, как полагают исследователи, злоумышленники использовали уязвимый веб-сервер Apache, работающий на 32-разрядной Windows, для замены легитимного приложения вредоносной копией.

Внешне вредоносное приложение HenBox полностью копировало DroidVPN, а также содержало оригинальную версию приложения в своем пакете APK. Наличие легитимной составляющей, выполняющей свои функции, позволяло киберпреступникам скрыть вредоносные действия своей программы.

DroidVPN — это только один из примеров. Также HenBox маскировался под пакет уйгурского языка для клавиатуры, под приложение настроек Android и под приложение «Islamawazi».

После запуска на зараженном устройстве служба HenBox загружает библиотеку ELF, которая собирает информацию об устройстве: запущенные процессы и приложения, информация об аппаратной составляющей.

Также на устройство загружается инструмент, позволяющий получить права суперпользователя. После этого зловред извлекает информацию из популярных приложений для обмена сообщениями, таких как Voxer Walkie Talkie Messenger и WeChat от Tencent.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Екатерина Быстрова 27 Января 2026 - 10:18

Соответствие законодательству РФ Корпорации Сетевая безопасность Защита контейнерных сред (Container Security)Соответствие требованиям регуляторов

ФСТЭК России сертифицировала решения «Базиса» по контейнеризации

Компания «Базис», российский разработчик ПО для управления динамической ИТ-инфраструктурой, получила сертификаты ФСТЭК России сразу для двух своих продуктов — платформы управления контейнерами Basis Digital Energy и решения для защиты информации в виртуализированных и контейнерных средах Basis Virtual Security. Информация о сертификации уже внесена в Государственный реестр сертифицированных средств защиты.

Для Basis Virtual Security это не первая сертификация — продукт проходит инспекционный контроль ФСТЭК уже пять лет подряд. При этом новый сертификат оказался заметно шире предыдущего. Если раньше соответствие подтверждалось только по требованиям к средствам виртуализации, то теперь решение дополнительно отвечает требованиям приказа №118, который распространяется и на средства контейнеризации.

А вот для Basis Digital Energy сертификация стала первой. Получить её удалось после доработок платформы, направленных как на расширение функциональности, так и на усиление встроенных механизмов безопасности.

По итогам проверки оба решения подтвердили соответствие 4-му уровню доверия по общим требованиям к средствам технической защиты информации и 4-му классу защиты по требованиям к средствам контейнеризации. Для Basis Virtual Security этот класс защиты также распространяется и на виртуализацию.

В Basis Virtual Security реализованы механизмы управления доступом, единый вход (SSO), многофакторная аутентификация, контроль целостности, изоляция контейнеров, выявление уязвимостей и подробная регистрация событий. Basis Digital Energy, в свою очередь, использует ролевую модель доступа (RBAC), SSO, инструменты проверки политик в кластере, централизованное управление сертификатами и контроль конфигураций.

Полученные сертификаты расширяют сценарии использования продуктов. Теперь их можно применять не только в защищённых виртуализированных средах, но и при построении инфраструктур на базе контейнерных технологий — в том числе в наиболее чувствительных сегментах. Речь идёт об объектах КИИ до первой категории значимости, государственных информационных системах до первого класса защищённости, системах обработки персональных данных до первого уровня и АСУ ТП до первого класса.

Технический директор «Базиса» Дмитрий Сорокин отметил, что соответствие актуальным требованиям ФСТЭК потребовало серьёзных усилий и выстроенных процессов безопасной разработки, в том числе при участии ИСП РАН. По его словам, результат подтверждает зрелость продуктов и их готовность использоваться в динамичной и при этом защищённой ИТ-инфраструктуре.

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »