145 Android-приложений в Google Play заражены Windows-вредоносом

145 Android-приложений в Google Play заражены Windows-вредоносом

Исследователи из Palo Alto Networks сообщили об обнаружении в официальном магазине Google Play 145 приложений для Android, содержащих вредоносные исполняемые файлы Microsoft Windows. То есть Android-приложения заражены Windows-вредоносном.

Само собой, этот код не может навредить самой операционной системе Android, так как предназначен для запуска в ОС от Microsoft.

Однако такая ситуация все равно вызывает беспокойство экспертов. Как они объясняют в своем блоге, разработчик, известный под псевдонимом «odieapps», создает приложения не в безопасной среде.

«Примечательно, что зараженные файлы APK не представляют угрозы для устройств Android, так как вредоносный код может работать только в Windows. Факт наличия такого кода в приложениях объясняется тем, что разработчики создают свои программы на зараженных системах Windows», — пишут исследователи.

«Это представляет угрозу для цепочки поставок приложений. Уже были случаи, когда скомпрометированные разработчики становились причиной киберэпидемий: KeRanger, XcodeGhost и NotPetya».

Специалисты обращают внимание, что некоторые из этих вредоносных приложений просуществовали в Google Play более полугода. Многие из них были загружены более тысячи раз и даже получили рейтинг в четыре звезды.

Среди зараженных приложений эксперты выделили:

  • Learn to Draw Clothing
  • Hair Paint Color
  • Men’s Design Ideas
  • Modification Trail
  • Gymnastics Training Tutorial

Исследователи объяснили, что произойдет, если содержащийся в этих приложениях код запустить на системах Windows. Вредоносная программа будет пытаться перехватывать нажатия клавиш, красть пароли, данные кредитных карт и любую другую конфиденциальную информацию.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимости BIOSConnect ставят под удар 30 миллионов компьютеров Dell

Компания Dell обновила прошивки, устранив уязвимости, которые при использовании в связке позволяют по сети скомпрометировать BIOS и захватить контроль над системой. Проблема затрагивает около 130 моделей планшетов, лэптопов и настольных компьютеров — суммарно порядка 30 млн устройств.

Причиной появления уязвимостей является некорректная реализация механизма BIOSConnect в утилите SupportAssist, которую Dell часто ставит вместе с Windows на свои машины. Эта программа обычно используется для получения помощи от службы тежподдержки в диагностике, устранении проблем, восстановлении ОС, загрузке новых прошивок. Шифрованный обмен BIOS с бэкенд-серверами Dell при этом происходит при помощи BIOSConnect.

В этом компоненте SupportAssist исследователи из Eclypsium обнаружили четыре уязвимости:

  • CVE-2021-21571 — неадекватная проверка SSL-сертификата при установке соединения с Dell, 5,9 балла по CVSS; проблема позволяет из положения «человек посередине» (MitM) подменить содержимое ответа, обеспечив доставку вредоносного кода жертве;
  • CVE-2021-21572, CVE-2021-21573, CVE-2021-21574 — переполнение буфера, 7,2 балла; при наличии локального доступа с правами администратора эти ошибки позволяют выполнить любой код в обход ограничений BIOS/UEFI.

Авторы находок отметили, что сочетание этих уязвимостей (8,3 балла по CVSS) может обеспечить злоумышленнику контроль над процессом загрузки ОС. Он также сможет отключить системные средства защиты, чтобы скрыть свое присутствие в системе. Примечательно, что подобная атака возможна даже при включенном режиме безопасной загрузки, который предотвращает внедрение руткитов.

Аналогичная проблема возникает при неправильно настроенном HTTPS Boot — механизме, обеспечивающем загрузку в режиме UEFI с HTTP(S)-сервера. Этот модуль присутствует далеко не во всех системах сборки Dell. Полный список уязвимых продуктов приведен в бюллетене компании.

Вендор устранил все выявленные уязвимости; CVE-2021-21573 и CVE-2021-21574 закрыты на стороне сервера, для остальных вышли обновления прошивки, которые пользователям рекомендуется установить. При отсутствии такой возможности BIOSConnect и HTTPS Boot лучше отключить.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru