Мобильный Криминалист обзавелся уникальной функцией извлечения данных
Главная » Новости

Мобильный Криминалист обзавелся уникальной функцией извлечения данных

Олег Иванов 03 Апреля 2019 - 12:47
...
Мобильный Криминалист обзавелся уникальной функцией извлечения данных

«Оксиджен Софтвер», российский разработчик и поставщик передовых средств для экспертного исследования данных мобильных устройств, облачных сервисов, дронов и ПК, представляет новую версию своего флагманского продукта «Мобильный Криминалист Детектив» 11.3, в которой представлены уникальные возможности по расшифровке физических образов устройств на чипсетах MTK MT6737, реализовано извлечение и расшифровка ключей шифрования из Android KeyStore, добавлена поддержка приложения для iOS и облачного сервиса Яндекс.Такси.

Мы первые в области мобильной криминалистики предоставляем извлечение и расшифровку физического образа устройств на чипсетах MT6737, защищенных аппаратным шифрованием и с активированным режимом Secure Startup. Расшифрованный физический образ содержит полную файловую структуру исследуемого устройства.

Более того, нами было реализовано извлечение и расшифровка ключей шифрования приложений из Android KeyStore. В этом хранилище содержатся ключи таких приложений, как Signal, Threema, Amazon Alexa и др. С помощью полученных ключей открывается полный доступ к данным приложений, для которых они предназначены. В версии 11.3 возможность расшифровки реализована для мессенджера Signal, но список приложений, поддерживающих данную функциональность, будет пополняться.

В новостях все чаще появляются заголовки о противоправных действиях, совершенных в автомобилях такси. Это подтолкнуло нас на добавление поддержки самого популярного в России приложения онлайн-заказов такси Яндекс.Такси и его облачного сервиса. Программа извлекает из приложения данные учетных записей, информацию о кредитных картах, поездках, сохраненных адресах для Android-устройств. Для iOS-устройств доступны данные учетной записи, информация о последней поездке и координаты последнего местоположения владельца устройства. Из облачного сервиса Яндекс. Такси извлекаются персональные данные владельца учетной записи, информация о поездках, водителях, автомобилях и избранные места.

«Добавление нового функционала для извлечения данных из мобильных устройств – это то, над чем постоянно работают наши специалисты», - говорит Сергей Соколов, генеральный директор «Оксиджен Софтвер». «Постоянное исследование актуальных проблем в мире мобильной криминалистики указало нам на необходимость внедрения в программу дополнительных инструментов по работе с аппаратным шифрованием. Поэтому уже в версии 11.3 реализована расшифровка физических образов на чипсетах MTK, защищенных аппаратным шифрованием и добавлено извлечение ключей шифрования из системного хранилища Android KeyStore. Для нас потребности и запросы пользователей всегда являются приоритетом, поэтому мы сделали поддержку приложения для iOS и облачного сервиса Яндекс.Такси, а также расширили категории данных, извлекаемых из этого приложения на Android-устройствах. Мы всегда стараемся делать акцент на уникальности добавляемого функционала, это отличает нас в своей отрасли».

В 11.3 был обновлен модуль «Скаут». Была добавлена возможность поиска и сохранения резервных копий iTunes. Найденные резервные копии можно импортировать и проанализировать. Кроме того, появилась возможность извлечения учетных данных из портативных версий программ и программ, установленных по нестандартному пути. Теперь эксперты могут выбрать подходящий режим поиска: Быстрый, Оптимальный или Полный. Рассматриваемый функционал работает при выборе режимов поиска Оптимальный или Полный.

Наконец, мы расширили список сервисов Apple и добавили поддержку картографического облачного сервиса Apple Maps, содержащего информацию о владельце учетной записи, гео-координаты и фотографии мест из истории поиска и избранных точек.

Помимо представленных улучшений программы, можно отметить другие важные обновления версии 11.3:

  • Мастер Извлечения Данных. Реализован импорт физического образа Android, полученного при помощи MSAB XRY.
  • Мастер Извлечения из Облачных Сервисов. В сервис Google Drive добавлена возможность выбора формата загружаемых файлов, таких как: документы, таблицы, презентации и т.д. 
  • Мастер Извлечения Данных. Импорт логов полета дронов. Реализован фильтр данных на основе серийного номера дрона, запрещающий одновременный импорт логов полета от разных дронов одной и той же модели.
  • Мастер Извлечения из Облачных Сервисов. Добавлена поддержка нового API для сервиса Google Photos. 
  • Мастер Извлечения из Облачных Сервисов. Добавлена поддержка сервиса My Parrot Cloud. 
  • Мастер Извлечения из Облачных Сервисов. Обновлен алгоритм авторизации для всех сервисов iCloud.

«Мобильный Криминалист» 11.3 поддерживает 461 уникальное приложение, более 9 600 версий приложений и 27 000 моделей устройств!

Следующая главная новость »
AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Для macOS появился первый зловред, написанный с помощью ИИ
Екатерина Быстрова 10 Января 2026 - 20:29
macOS ТрояныGenAI (генеративный искусственный интеллект) Домашние пользователи
Для macOS появился первый зловред, написанный с помощью ИИ

Специалисты Mosyle обнаружили необычную и довольно тревожную вредоносную кампанию под macOS. И дело тут не только в том, что речь снова идёт о криптомайнере. По данным исследователей, это первый зафиксированный в «дикой природе» macOS-зловред, в коде которого явно прослеживаются следы генеративного ИИ.

На момент обнаружения вредонос не детектировался ни одним крупным антивирусным движком, что само по себе уже неприятно.

И это особенно интересно на фоне предупреждений Moonlock Lab годичной давности — тогда исследователи писали, что на подпольных форумах активно обсуждают использование LLM для написания macOS-зловредов. Теперь это перестало быть теорией.

Кампанию назвали SimpleStealth. Распространяется она через фейковый сайт, маскирующийся под популярное ИИ-приложение Grok. Злоумышленники зарегистрировали домен-двойник и предлагают скачать «официальный» установщик для macOS.

После запуска пользователь действительно видит полноценное приложение, которое выглядит и ведёт себя как настоящий Grok. Это классический приём: фейковая оболочка отвлекает внимание, пока вредонос спокойно работает в фоне и остаётся незамеченным как можно дольше.

При первом запуске SimpleStealth аккуратно обходит защитные функции системы. Приложение просит ввести пароль администратора — якобы для завершения настройки. На самом деле это позволяет снять карантинные ограничения macOS и подготовить запуск основной нагрузки.

С точки зрения пользователя всё выглядит нормально: интерфейс показывает привычный ИИ-контент, ничего подозрительного не происходит.

А внутри — криптомайнер Monero (XMR), который позиционируется как «конфиденциальный и неотслеживаемый». Он работает максимально осторожно:

  • запускается только если macOS-устройство бездействует больше минуты;
  • мгновенно останавливается при движении мыши или вводе с клавиатуры;
  • маскируется под системные процессы вроде kernel_task и launchd.

В итоге пользователь может долго не замечать ни повышенной нагрузки, ни утечки ресурсов.

Самая интересная деталь — код зловреда. По данным Mosyle, он буквально кричит о своём ИИ-происхождении: чрезмерно подробные комментарии, повторяющаяся логика, смесь английского и португальского — всё это типичные признаки генерации с помощью LLM.

Именно этот момент делает историю особенно тревожной. ИИ резко снижает порог входа для киберпреступников. Если раньше создание подобного зловреда требовало серьёзной квалификации, теперь достаточно интернета и правильно сформулированных запросов.

Рекомендация здесь стара как мир, но по-прежнему актуальна: не устанавливайте приложения с сомнительных сайтов. Загружайте софт только из App Store или с официальных страниц разработчиков, которым вы действительно доверяете.

Индикаторы компрометации приводим ниже:

Семейство вредоносов: SimpleStealth

Имя распространяемого файла: Grok.dmg

Целевая система: macOS

Связанный домен: xaillc[.]com

Адрес кошелька:

4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3

Хеши SHA-256:

  • 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
  • e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (Grok wrapper)
  • 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
  • 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
  • 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)
AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »
В Microsoft Edge пропала настройка для Chrome-расширений
Новость
В Microsoft Edge пропала настройка для Chrome-расширений
Мошенники маскируются под силовиков, используя номера ведомств в Telegram
Новость
Мошенники маскируются под силовиков, используя номера ведомс...
Пользователей LastPass атакуют письмами с запросом доступа
Новость
Пользователей LastPass атакуют письмами с запросом доступа

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.