Миллионы Android-приложений подвергают риску данные пользователей

Миллионы Android-приложений подвергают риску данные пользователей

Исследователи «Лаборатории Касперского» проанализировали несколько популярных приложений для Android и обнаружили, что некоторые из них передают незашифрованные данные пользователей через протокол HTTP. Этим они подвергают такую информацию опасности раскрытия. Как выяснили эксперты, это в основном происходит из-за того, что разработчики используют готовые сторонние рекламные SDK. Суммарное количество установок исследованных приложений составляет несколько миллиардов по всему миру.

SDK — это специальные наборы инструментов для создания ПО для той или иной платформы. Часто они распространяются бесплатно и позволяют разработчикам сфокусироваться на уникальных особенностях приложения, предоставляя готовые решения для стандартных функций. Например, рекламные SDK собирают пользовательские данные, чтобы показывать релевантные объявления. Для этого модуль передаёт данные на домены популярных рекламных сетей.

Дальнейший анализ приложений показал, что данные передаются незашифрованными по протоколу HTTP. Это значит, что во время передачи на сервер они никак не защищены: из-за отсутствия шифрования данные может перехватить кто угодно. Например, это могут сделать злоумышленники через незащищённый Wi-Fi или заражённый домашний роутер.

Кроме того, перехваченные данные могут быть изменены. Например, приложение может начать показывать вредоносные объявления вместо легитимных. В результате, пользователя могут побудить скачать вредоносное приложение и таким образом подвергнуть ещё большей опасности.

Исследователи «Лаборатории Касперского» проанализировали логи и сетевой трафик приложений во внутренней виртуальной среде (так называемой «песочнице») Android. Это необходимо чтобы понять, какие приложения передают незашифрованные данные по HTTP. Они выявили несколько известных доменов, большинство из них относятся к популярным рекламным сетям. Количество приложений, использующих эти SDK, достигает нескольких миллионов.

Среди информации, которая может быть украдена в таких случаях:

  • личные данные: имя пользователя, возраст, пол; иногда сюда включают уровень дохода, номер телефона и адрес электронной почты (согласно другому исследованию «Лаборатории Касперского», в приложениях для знакомств люди делятся довольно большим количеством информации);
  • информация об устройстве: производитель, модель, разрешение экрана, версия ОС и название приложения;
  • местоположение устройства и потенциально пользователя.

«Сначала мы подумали, что это просто несколько случаев небрежного отношения к безопасности со стороны разработчиков. Однако реальный масштаб проблемы поражает. Сторонние SDK используются в миллионах приложений. Это подвергает личные данные угрозе: они могут быть украдены и модифицированы. А это, в свою очередь, может привести к заражениям вредоносным ПО, попыткам шантажа и другим атакам на пользователей и их устройства», — отметил Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вирусописатели из FIN7 выдают своих зловредов за инструменты Check Point

Исследователи из BI.ZONE обнаружили новую версию вредоносного тулкита Lizar, который участники преступной группы FIN7 использовали в недавних атаках на территории США. Это орудие разведки и закрепления в Windows-сети злоумышленники пытаются замаскировать под легитимный инструмент для пентеста, используя имя Check Point или Forcepoint.

Криминальная группировка FIN7, также известная как Carbanak, объявилась в интернете больше пяти лет назад. По данным ФБР, эта ОПГ насчитывает более 70 участников, занимающихся целевыми взломами, разработкой вредоносных программ и рассылкой поддельных писем с вредоносными вложениями. От ее атак пострадали сотни организаций по всему миру, в том числе представители сферы финансов, ритейла и индустрии гостеприимства.

В своих атаках FIN7 зачастую использует набор инструментов Carbanak Backdoor/RAT, но в прошлом году в ее арсенале появился еще один похожий тулкит — Tirion, впоследствии переименованный в Lizar. Чтобы вызывать меньше подозрений, и тот, и другой злоумышленники пытаются выдать за инструментарий известной ИБ-компании.

 

В BI.ZONE проанализировали образец Lizar (версии 2.0.4, скомпилирован в конце января) и пришли к выводу, что по структуре он схож с Carbanak Backdoor и активно развивается. Новый набор вредоносных инструментов состоит Windows-клиента, серверного приложения (оба написаны на .NET), загрузчика плагинов и ряда плагинов, устанавливаемых на стороне клиента и сервера.

Взаимодействие этих компонентов исследователи схематично представили следующим образом:

 

Загрузчик плагинов и сами такие модули работают на зараженной машине (тело плагина передается с сервера вместе с командой) как составные части бота. Анализ показал, что Lizar-бот способен выполнить полтора десятка команд, в том числе:

  • предоставить информацию о зараженной системе;
  • сделать скриншот;
  • составить список запущенных процессов;
  • запустить Mimikatz;
  • запустить плагин, собирающий пароли из браузеров и в ОС;
  • запустить плагин для сбора информации о сети и Active Directory;
  • запустить Carbanak Backdoor.

Модульная архитектура Lizar позволяет злоумышленникам с легкостью добавлять плагины, а также облегчает доработку и тестирование отдельных компонентов. На настоящий момент эксперты обнаружили три вида Lizar-ботов: DLL, EXE и скриптовый вариант, исполняющий DLL в адресном пространстве процесса PowerShell.

Стоит отметить, что группировка FIN7 начала практиковать наём «белых хакеров» под видом компаний по кибербезопасности. Заместитель генерального директора — технический директор компании «Газинформсервис» Николай Нашивочников рассказал, может ли эта схема коснуться бизнес-структур в России:

«К сожалению, проблема становится актуальной и для нашей страны, так как с прошлого года мошенники начали активно нанимать российских пентестеров. Вероятно, когда американский рынок будет исчерпан, киберпреступники сосредоточат свои усилия на российских компаниях.

Не секрет, что многие IT-специалисты предпочитают заниматься "белым хакерством", так как сфера услуг информационной безопасности активно развивается, поэтому логично, что у кибермошенников образовался кадровый дефицит. Отсюда и новая схема с привлечением "сторонней помощи".

Американская практика показывает, что схема выстроена грамотно и нанятые сотрудники даже не подозревают, что работают на злоумышленников. Поэтому призываю всех наших IT-специалистов и особенно пентестеров быть очень внимательными при трудоустройстве, чтобы не стать участником киберпреступления.

Представителям бизнеса, решившим воспользоваться услугами "белых хакеров", тоже нужно быть начеку — лучше не экономить на проведении нормального пентеста, делая выбор в пользу проверенных компаний с многолетней безупречной репутацией».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru