145 Android-приложений в Google Play заражены Windows-вредоносом

145 Android-приложений в Google Play заражены Windows-вредоносом

145 Android-приложений в Google Play заражены Windows-вредоносом

Исследователи из Palo Alto Networks сообщили об обнаружении в официальном магазине Google Play 145 приложений для Android, содержащих вредоносные исполняемые файлы Microsoft Windows. То есть Android-приложения заражены Windows-вредоносном.

Само собой, этот код не может навредить самой операционной системе Android, так как предназначен для запуска в ОС от Microsoft.

Однако такая ситуация все равно вызывает беспокойство экспертов. Как они объясняют в своем блоге, разработчик, известный под псевдонимом «odieapps», создает приложения не в безопасной среде.

«Примечательно, что зараженные файлы APK не представляют угрозы для устройств Android, так как вредоносный код может работать только в Windows. Факт наличия такого кода в приложениях объясняется тем, что разработчики создают свои программы на зараженных системах Windows», — пишут исследователи.

«Это представляет угрозу для цепочки поставок приложений. Уже были случаи, когда скомпрометированные разработчики становились причиной киберэпидемий: KeRanger, XcodeGhost и NotPetya».

Специалисты обращают внимание, что некоторые из этих вредоносных приложений просуществовали в Google Play более полугода. Многие из них были загружены более тысячи раз и даже получили рейтинг в четыре звезды.

Среди зараженных приложений эксперты выделили:

  • Learn to Draw Clothing
  • Hair Paint Color
  • Men’s Design Ideas
  • Modification Trail
  • Gymnastics Training Tutorial

Исследователи объяснили, что произойдет, если содержащийся в этих приложениях код запустить на системах Windows. Вредоносная программа будет пытаться перехватывать нажатия клавиш, красть пароли, данные кредитных карт и любую другую конфиденциальную информацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Clevo допустила утечку ключей Intel Boot Guard

CERT/CC бьёт тревогу: в UEFI-прошивках компании Clevo нашли утечку закрытых ключей Intel Boot Guard — тех самых, что отвечают за проверку подлинности прошивки ещё до загрузки операционной системы. Уязвимость получила идентификатор CVE-2025-11577.

Эксплуатация грозит тем, что злоумышленники смогут подписывать и устанавливать вредоносную прошивку, которая будет выглядеть «доверенной» для системы.

Исследователи обнаружили, что в обновлениях прошивок Clevo случайно оказались закрытые ключи, используемые в механизме Intel Boot Guard.

Этот механизм — своего рода «охранник» на старте системы: он проверяет, что прошивка подлинная, прежде чем запустить загрузку. Если скомпрометировать Boot Guard, рушится вся цепочка доверия — дальше уже не помогут ни Secure Boot, ни защита ОС.

Clevo — не просто производитель ноутбуков, а ODM/OEM, то есть делает «железо» и прошивки для множества брендов по всему миру. Поэтому утечка затрагивает не только устройства с логотипом Clevo, но и другие ноутбуки, в которых используется её UEFI-код.

Скомпрометированные ключи дают злоумышленникам возможность:

  • подписывать поддельную прошивку, которая будет считаться «официальной»;
  • устанавливать её через обновление BIOS/UEFI или при физическом доступе;
  • сохранять контроль над устройством даже после перезагрузок, вне видимости антивирусов и ОС.

CERT/CC сообщает, что Clevo уже удалила прошивки с утёкшими ключами из публичного доступа, но пока не предложила чёткого плана по отзыву или замене ключей. Поэтому пользователям и производителям, использующим прошивки Clevo, рекомендуют:

  • проверить, есть ли у них устройства с уязвимыми версиями прошивки;
  • следить за признаками неавторизованных обновлений;
  • устанавливать только официальные обновления BIOS/UEFI из доверенных источников.

Ошибка с закрытыми ключами — редкий и очень серьёзный сбой в цепочке поставок. Если Boot Guard можно обмануть, вся система защиты превращается в фикцию. Пока Clevo не опубликует инструкций по замене ключей, риск остаётся — особенно для тех, кто использует устройства, где внутри «прошивка от Clevo».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru