Новый вредонос для Android маскируется под легитимные приложения

Олег Иванов 15 Марта 2018 - 11:32

Домашние пользователи

...

Новое семейство вредоносных программ для Android маскируется под целый ряд легитимных приложений, а также похищает широкий спектр конфиденциальной информации. Об обнаружении этой киберугрозы сообщили специалисты компании Palo Alto Networks.

Получившая имя HenBox вредоносная программа отличается тем, что устанавливает легитимные версии приложений в попытке скрыть свое присутствие на скомпрометированных устройствах. HenBox распространяется через сторонние магазины приложений, атакуя преимущественно устройства Xiaomi.

Попав на устройство, зловред может похищать информацию из популярных приложений для обмена сообщениями и мобильных клиентов социальных сетей. Он собирает как личные данные, так и информацию об устройстве, может отслеживать местоположение пользователя, получать доступ к микрофону и камере и фиксировать исходящие телефонные номера с префиксом «86» (код страны для Китайской Народной Республики).

Palo Alto Networks сообщает об обнаружении около 200 образцов HenBox, самые старые из которых датируются 2015 годом. Всплеск активности этого вредоноса пришелся на вторую половину 2017 года, однако в этом году экспертам также удалось заполучить несколько образцов HenBox.

Проанализировав эту киберугрозу, специалисты Palo Alto Networks пришли к выводу, что она связана с целой вредоносной инфраструктурой, занимающейся таргетированными атаками. Частью этой инфраструктуры, по словам экспертов, также являются такие вредоносные программы, как PlugX, Zupdax, 9002, и Poison Ivy.

Одним из приложений, под которые старается маскироваться HenBox, является DroidVPN — сервис VPN, обещающий повышенную безопасность и конфиденциальность, а также возможность обойти региональные ограничения в интернете.

Эта версия зловреда распространяется через uyghurapps[.]net, как полагают исследователи, злоумышленники использовали уязвимый веб-сервер Apache, работающий на 32-разрядной Windows, для замены легитимного приложения вредоносной копией.

Внешне вредоносное приложение HenBox полностью копировало DroidVPN, а также содержало оригинальную версию приложения в своем пакете APK. Наличие легитимной составляющей, выполняющей свои функции, позволяло киберпреступникам скрыть вредоносные действия своей программы.

DroidVPN — это только один из примеров. Также HenBox маскировался под пакет уйгурского языка для клавиатуры, под приложение настроек Android и под приложение «Islamawazi».

После запуска на зараженном устройстве служба HenBox загружает библиотеку ELF, которая собирает информацию об устройстве: запущенные процессы и приложения, информация об аппаратной составляющей.

Также на устройство загружается инструмент, позволяющий получить права суперпользователя. После этого зловред извлекает информацию из популярных приложений для обмена сообщениями, таких как Voxer Walkie Talkie Messenger и WeChat от Tencent.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Мая 2026 - 15:20

Общее

Киберучения, ИИ и защита КИИ: что обсудят на КиберV-2026

С 8 по 11 июня 2026 года в Томске пройдёт V юбилейный форум КиберV-2026, посвящённый кибербезопасности. На площадках города, включая БКЗ Томск, соберутся специалисты по ИБ, представители государства, бизнеса, образования, а также школьники, студенты и молодые ИТ-специалисты.

За несколько лет КиберV вырос из отраслевой конференции в заметную региональную площадку для обсуждения практических вопросов информационной безопасности.

В этом году программа рассчитана на четыре дня и охватывает сразу несколько направлений: обучение молодых специалистов, киберучения, соревнования, деловую программу и практические мастер-классы.

Первый день, 8 июня, будет посвящён молодёжи. Участников ждут киберучения на полигоне Ampire от компании «Перспективный мониторинг», мастер-классы от UserGate, лекции, карьерные консультации и интерактивные стенды. Студенты смогут попробовать себя в роли специалистов CSIRT и пройти сценарии обнаружения атак и защиты инфраструктуры.

9 июня состоятся соревнования КиберСибирь’2026 в формате Attack-Defense. Команды студентов вузов и колледжей будут защищать собственную инфраструктуру, искать уязвимости, отражать атаки соперников и захватывать «флаги». Формат близок к реальной работе ИБ-специалистов: мало теории, много давления, ограниченное время и постоянные попытки что-нибудь сломать.

Главный день деловой программы запланирован на 10 июня. На конференции обсудят защиту критической информационной инфраструктуры, требования Приказа ФСТЭК №117, применение ИИ, роботизацию производств, финансовую безопасность, защиту от мошенничества и импортозамещение в сфере ИБ. В программе заявлены пленарная сессия, панельные дискуссии, круглые столы, выставка отечественных решений и демонстрации технологий.

11 июня пройдёт день КиберV Специалист, ориентированный на практику. Участников ждут мастер-классы, разбор реальных кейсов, работа со средствами защиты информации и общение с разработчиками. Также предусмотрена возможность получить удостоверения о повышении квалификации от ТУСУР.

Отдельно в рамках форума проведут образовательный трек КиберV Образование для школьников, родителей и педагогов. Темы вполне приземлённые: цифровая безопасность детей, кибергигиена, защита от интернет-мошенничества, безопасное использование соцсетей и мессенджеров, а также угрозы, с которыми подростки сталкиваются в интернете.

Организаторы ожидают, что в 2026 году форум соберёт более 1000 участников. Для Томска это ещё один повод показать, что разговор о кибербезопасности давно вышел за рамки узкого профессионального круга: теперь это и про кадры, и про образование, и про бизнес, и про обычных пользователей, которым тоже приходится жить в цифровой среде.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!