Google привлёк ESET и Lookout для сканирования Android-приложений

Google привлёк ESET и Lookout для сканирования Android-приложений

Google привлёк ESET и Lookout для сканирования Android-приложений

Google привлёк три компании, специализирующиеся на кибербезопасности — ESET, Lookout и Zimperium, — для более эффективного сканирования официального магазина Android-приложений Play Store.

В результате появился новый проект — App Defense Alliance, задача которого — объединить движки для сканирования вредоносных программ и других киберугроз.

По мнению Google, такая реализация повысит эффективность санирования приложений для Android на этапе проверки (до того, как они будут опубликованы в официальном магазине).

На сегодняшний день присылаемые разработчиками приложения проверяют сотрудники Google с помощью системы Bouncer и инструмента Google Play Protect.

Интернет-гигант ранее утверждал, что такой подход позволяет детектировать тысячи вредоносных Android-приложений, пытающихся пробраться в Google Play Store.

Однако всем понятно, что свои недостатки при таком сканировании всё же были. Тому подтверждением являются участившиеся в последнее время случаи проникновения в магазин откровенно злонамеренных программ.

При этом злоумышленники, естественно, затачивают свои инструменты под обход Bouncer и Play Protect. Именно поэтому Google решил привлечь ESET, Lookout и Zimperium, с чьей помощью корпорация планирует повысить безопасность Play Store.

На прошлой неделе эксперты компании Bitdefender решили описать все методы, помогающие злоумышленникам обходить защитные меры Google Play Store.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фанатов Minecraft атакует новый Python-троян удаленного доступа

Эксперты Netskope обнаружили неизвестного ранее RAT-зловреда, раздаваемого под видом Nursultan Client — легитимного приложения для Minecraft, пользующегося популярностью в геймерских сообществах Восточной Европы и России.

Анализ экзешника весом 68,5 Мбайт, созданного с помощью PyInstaller, показал, что это многофункциональный троян, способный воровать данные из Discord и браузеров пользователей Windows, а также облегчать слежку на других платформах (macOS, Linux).

Для получения команд и вывода украденных данных новобранец использует Telegram. Токен доступа к боту и ID авторизованного юзера жестко прописаны в коде Python-зловреда.

При запуске под Windows зловред отображает в консоли фейковый процесс установки легитимного Nursultan Client, пытаясь скрыть свое присутствие.

 

Вредонос также прописывается на автозапуск, создавая новый ключ в системном реестре. Как оказалось, при реализации механизма персистентности автор нового RAT допустил ошибку: команду на запуск исполняемого файла соответствующий код строит некорректно:

 

Новоявленный троян умеет извлекать токены аутентификации из Discord-клиентов, а также сохраненные в браузерах данные (Google Chrome, Microsoft Edge, Firefox, Opera, Brave).

По команде info он собирает исчерпывающую информацию о зараженной системе: имя компьютера, имя пользователя, версия ОС, используемый CPU, емкость памяти и заполнение дисков, локальный и внешний IP-адреса. Закончив профилирование, зловред отправляет оператору русскоязычный отчет.

Возможности слежки с помощью нового RAT включают получение скриншотов и фото с подключенной к компьютеру веб-камеры. Вредонос также наделен функциями adware: умеет отображать полученные с C2 тексты / картинки в виде всплывающих сообщений и автоматически открывать встроенные в них ссылки.

Отсутствие средств противодействия анализу и кастомной обфускации кода, а также вшитая строка ALLOWED_USERS навели исследователей на мысль, что новый зловред удаленного доступа предоставляется в пользование по модели MaaS — Malware-as-a-Service, как услуга.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru