Новый троян KevDroid записывает звонки на Android-устройствах

Олег Иванов 03 Апреля 2018 - 08:20

Домашние пользователи

...

Эксперты Cisco Talos проанализировали маскирующийся под антивирус вредонос для мобильной платформы Android. Ранее EST Security уже сообщала об активности этого зловреда, связывая его с деятельностью северокорейской киберпреступной группы Group 123.

Специалисты выделили два образца этой вредоносной программы, у обоих образцов отмечались одинаковые возможности — кража информации на зараженном устройстве (например, контактов, SMS и истории вызовов) и запись телефонных звонков жертвы. Один из семплов использовал известный эксплойт для уязвимости в Android CVE-2015-3636, что позволяло ему получить root-доступ на атакованном устройстве.

Оба варианта вредоноса отправляли данные на уникальный командный центр (C2-сервер) с помощью HTTP POST. Возможность записи вызовов была реализована на основе проекта с открытым исходным кодом, доступного на GitHub. Специалисты Cisco назвали эту программу «KevDroid».

Еще один образец, проанализированный исследователями (атакующий Windows), был найден на сервере злоумышленников и использовался KevDroid. Вредоносная программа использует платформу PubNub в качестве C2-сервера. PubNub представляет собой IaaS-решение, обеспечивающее передачу сообщений в реальном времени. В частности, злоумышленники используют PubNub API для передачи команд скомпрометированным системам. Этот образец получил имя «PubNubRAT».

В настоящее время эксперты не могут точно установить связь этих вредоносных программ с группой Group 123, они лишь отметили отдельный набор общих методов и техник, что, пожалуй, не может свидетельствовать о стопроцентной связи.

KevDroid получил возможность записывать разговоры жертвы благодаря проекту aykuttasil project. Этот проект предоставляет библиотеку для записи телефонных звонков, совершаемых на устройстве Android.

Вредонос сообщает злоумышленникам следующую информацию о зараженном устройстве:

Установленные приложения;
Номер телефона;
Уникальный идентификатор устройства;
Местоположение;
Сохраненные контакты;
СМС;
Записи разговоров;
Электронные письма;
Фотографии.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 13 Января 2026 - 16:26

BI.ZONE EDR Соответствие законодательству РФ Корпорации Государство Защита конечных точек сети Системы обнаружения целевых атак на конечных точках сети (EDR)Соответствие требованиям регуляторов BI.ZONE

BI.ZONE EDR получил сертификат ФСТЭК России и готов к работе в ГИС и КИИ

Система BI.ZONE EDR официально получила сертификат ФСТЭК России. Это означает, что продукт теперь можно использовать в российских информационных системах, где требуется обязательная сертификация средств защиты информации — в том числе в госсекторе и на критически важных объектах.

Сертификат подтверждает, что BI.ZONE EDR соответствует требованиям 4-го уровня доверия и относится к средствам обнаружения вторжений уровня узла 4-го класса защиты.

На практике это открывает продукту дорогу в системы с защитой информации до 1-го класса защищённости — включая государственные информационные системы (ГИС), объекты критической информационной инфраструктуры (КИИ) и АСУ ТП. Кроме того, решение можно применять для защиты персональных данных.

BI.ZONE EDR предназначен для раннего выявления и расследования сложных целевых атак. Но на практике его возможности выходят далеко за рамки классического EDR.

По данным BI.ZONE TDR, в рамках которого используется BI.ZONE EDR, 2 из 3 корпоративных компьютеров содержат как минимум одну небезопасную настройку. При этом 20% хостов имеют некорректные конфигурации уровня high — то есть такие, которые позволяют злоумышленнику провести компрометацию буквально за один шаг.

На сегодняшний день у BI.ZONE EDR уже более 900 тысяч инсталляций, что делает его одним из самых распространённых EDR-решений на российском рынке.

Отдельный плюс — полноценная работа BI.ZONE EDR на Linux. Это позволяет использовать решение в инфраструктурах, которые уже перешли на отечественные дистрибутивы. Продукт имеет сертификаты совместимости с Astra Linux, РЕД ОС 8 и ОС «Альт».

Кроме того, BI.ZONE EDR поддерживает работу в контейнерных средах, что делает его актуальным для современных микросервисных и облачных архитектур.

Директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров отмечает, что получение сертификата — важный этап в развитии продукта:

«Получение сертификата ФСТЭК подтверждает, что BI.ZONE EDR соответствует самым строгим требованиям по защите информации и готов к использованию в государственных и критически важных системах. Это шаг, который подтверждает технологическую зрелость нашего продукта и позволяет заказчикам использовать его в самых требовательных средах. Мы создаем технологии, которые позволяют не просто реагировать на инциденты, а предотвращать их ещё до возникновения угрозы».

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »