Российский ботнет имитирует клики пользователей Android

Российский ботнет имитирует клики пользователей Android

Исследователи Check Point рассказали о ботнете, который разрабатывает группа русскоговорящих киберпреступников «The Lucy Gang». Злоумышленники распространяют свое детище по схеме Malware-as-a-Service (вредонос-как-услуга, MaaS).

Ботнет получил имя Black Rose Lucy, как говорят эксперты, принцип его работы не отличается от сотни других таких же ботнетов. Black Rose Lucy специализируется на атаках мобильных устройств под управлением операционной системы Android.

Известно, что Android постоянно контролирует поведение приложений, запрашивая у пользователя разрешение на выполнение операций, в которых косвенно или прямо участвуют персональные данные или чувствительные настройки.

Однако Black Rose Lucy научился использовать функцию Android Accessibility Service, с помощью которой он обманом заставляет пользователя разрешить вредоносу совершить действия, приводящие в конечном итоге к запуску злонамеренных файлов APK.

После установки Black Rose Lucy регистрирует себя в качестве сервиса Monitor. Через минуту вредоносная программа отображает владельцу устройства уведомление, в котором утверждается, что система пользователя находится в опасности.

Для решения проблемы юзеру предлагается разрешить использование Android Accessibility Service для приложения «Security of the system».

Далее жертву просят предоставить права администратора Black Rose, после этого вредонос сможет отображать окна поверх других приложений, а также игнорировать настройки оптимизации использования ресурсов батареи.

Ботнет может связываться с командным центром C&C, благодаря этому на зараженное устройство устанавливаются другие вредоносные программы. Вся собранная зловредом информация отправляется также на этот сервер.

Помимо прочего, Black Rose оснащен механизмом определения антивирусных решений, установленных в системе.

Самый интересный момент, который отметили эксперты, — ботнет может имитировать клики пользователя. Именно так вредоносное приложение может устанавливать APK-файлы в системе.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Новый метод позволяет коду JavaScript шпионить за серфингом юзеров

Специалисты в области информационной безопасности открыли новую технику, которая позволяет провести атаку по сторонним каналам. Благодаря этому методу вредоносный код JavaScript, запущенный в одной из вкладок браузера, может перехватывать происходящее в других вкладках. Следовательно, открывается отличный вектор для шпионажа за пользователем.

Используя этот метод, злоумышленник может отследить, какие веб-сайты посещает тот или иной пользователь. Такая информация пришлась бы очень кстати для различных маркетинговых схем и рекламных кампаний.

О методе сообщили специалисты Университета имени Давида Бен-Гуриона в Негеве, Аделаидского университета в Австралии и Принстонского университета в Америке. Сама техника подробно описана в исследовании «Robust Website Fingerprinting Through the Cache Occupancy Channel» (PDF).

Эксперты использовали JavaScript для получения данных и идентификации посетителей сайтов.

«Продемонстрированная нами атака может скомпрометировать личные данные пользователей. Используя информацию о посещенных пользователем сайтах, злоумышленники могут определить сексуальную ориентацию юзера, религиозные предпочтения, политические взгляды, состояние здоровья и тому подобное», — объясняет один из ученых, обнаруживших вектор атаки.

Несмотря на то, что эта атака не настолько опасна, как, например, возможность удаленного выполнения кода, эксперты полагают, что ее можно будет использовать для компрометации ключей шифрования или уязвимых программ, установленных в системе.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru