Найден способ превратить любой смартфон Samsung в кирпич

Найден способ превратить любой смартфон Samsung в кирпич

Популярный этичный хакер из Франции Роберт Баптисте, известный в Twitter под ником @fs0c131y, обнаружил метод, позволяющий вывести из строя любую модель смартфонов от Samsung и превратить устройство в кирпич.

Все началось с того, что несколько месяцев назад Баптисте приобрел смартфон от Samsung, а затем решил подробно исследовать устройство. В ходе различных тестирований, которые длились несколько часов, эксперт наткнулся на ресивер в приложении ContainerAgent.

Имя ресивера — SwitcherBroadcastReceiver, его версия на момент исследования устройства — 2.7.05001015.

После того как эксперт понял, что ресивер активирован по умолчанию, он сосредоточил свое внимание на его имплементации. Цель была — понять, как его можно вызвать.

Как пишет Баптисте в своем отчете, метод onReceive позволяет сделать следующие выводы:

  • Ресивер ожидает com.samsung.android.knox.containeragent.LocalCommandReceiver.ACTION_COMMAND в качестве действия.
  • Далее проверяется значение com.samsung.android.knox.containeragent.LocalCommandReceiver.EXTRA_COMMAND_ID, которое может иметь два вида: 1001 и 1002.
  • Также ресивер проверяет значение android.intent.extra.user_handle.

Эксперт обратил внимание, что если значение ACTION_COMMAND установить на «1001», то это вызывает метод immediateLock. А в качестве параметра используется значение user_handle.

В итоге, установив значение user_handle на «150» (идентификатор, связанный с «Knox user»), можно заблокировать Knox (решение мобильной безопасности, предварительно установленное на большинстве смартфонов, планшетов и носителей Samsung).

Также исследователь выяснил, что установка значения ACTION_COMMAND на «1002», позволяет вызвать метод switchToProfile.

Эксперт создал PoC-код — приложение под названием Locker application, которое можно найти на GitHub. Это приложение, в сущности, вызывает локальную DoS-атаку за счет отправки объектов intent каждую секунду. После этого смартфон превращается в нерабочее устройство.

Команда безопасности Samsung посчитала, что эта уязвимость (если ее можно так назвать) не представляет серьезной опасности для пользователей смартфонов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Программа-вымогатель Cuba заручилась поддержкой нового RAT-вредоноса

Операторы программы-вымогателя Cuba используют ранее не встречавшиеся экспертам техники, включая новую вредоносную программу, открывающую удалённый доступ к устройству жертвы (RAT). Троян получил имя “Tropical Scorpius“.

На интересную киберугрозу обратили внимание специалисты из подразделения Unit 42, принадлежащего Palo Alto Networks. Именно они и связали троян с операциями киберпреступников, стоящих за распространением Cuba.

Известно, что в первом квартале 2022 года программа-вымогатель Cuba получила небольшие, но весомые нововведения: обновлённый компонент шифровальщика, оснащённый дополнительными опциями, и quTox для связи с жертвами в режиме реального времени.

Тем не менее Tropical Scorpius ещё усилил операции киберпреступников, сделав их опаснее, а также продемонстрировал новую тактику злоумышленников.

Tropical Scorpius использует стандартный пейлоад Cuba, который остаётся преимущественно неизменным с 2019 года. Однако новизна заключается в том, что с июня 2022 года используется легитимный сертификат NVIDIA, украденный LAPSUS (стоит отметить, что сертификат не проходит валидацию).

С помощью упомянутого сертификата операторы Cuba подписывают драйвер уровня ядра, который выступает дроппером на начальном этапе заражения.

 

Задача драйвера — вычислить процессы антивирусных продуктов и завершить их, чтобы атакующие как можно дольше оставались в системе. Вот список процессов, на которые охотится дроппер:

 

Следующим шагом Tropical Scorpius задействует инструмент для локального повышения прав, который эксплуатирует уязвимость CVE-2022-24521 (была пропатчена в апреле). По словам специалистов Unit 42, киберпреступники использовали стратегию, похожую на то, что описывал Сергей Корниенко.

Далее Tropical Scorpius загружает инструменты ADFind и Net Scan для латерального передвижения по сети жертвы. На этом этапе в дело также вступает новая тулза, собирающая учётные данные Kerberos. Кроме того, злоумышленники начали использовать ZeroLogon для эксплуатации CVE-2020-1472.

В заключительной фазе Tropical Scorpius запускает троян “ROMCOM RAT“, ранее не встречавшийся экспертам. Он обеспечивает взаимодействие с командным сервером с помощью ICMP-запросов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru