Android-вредонос Joker всё ещё обходит защитные меры Google Play Store

Android-вредонос Joker всё ещё обходит защитные меры Google Play Store

Эксперты из Google борются с Android-вредоносом Joker (также известен под именем Bread) с сентября 2019 года. Судя по всему, зловред до сих пор не сдался, поскольку он продолжает обходить защитные меры официального магазина Google Play Store.

В сентябре прошлого года команда безопасности Google удалила из Play Store 24 приложения, так как в них был обнаружен шпионский модуль «Joker».

Данный вредоносный код маскируется под системное приложение, позволяя атакующему выполнять ряд несанкционированных операций на устройстве пользователя. Например, с помощью «Джокера» злоумышленник может отключить сервис Google Play Protect, установить дополнительные вредоносные приложения, сгенерировать фейковые отзывы и даже выводить назойливую рекламу.

Помимо этого, шпионский модуль в состоянии перехватывать SMS-сообщения, список контактов, а также информацию об устройстве. Всё это позволяет операторам подписывать жертву на платные сервисы без её ведома и согласия.

В январе Google сообщил об удалении из Play Store 1700 приложений, заражённых Joker. Эта чистка, по словам интернет-гиганта, продолжалась последние три года.

Также стоит учитывать, что вредонос совершенствуется, авторы постоянно добавляют новые возможности и модернизируют старые. Последние образцы, например, оснащены функциями обхода защитных мер Google Play Store.

Всего специалисты обнаружили в официальном магазине четыре джокера. В общей сумме эти приложения скачали 130 тыс. раз. Примечательно, что авторы зловреда предприняли попытку скрыть злонамеренные функции, модифицировав отдельные строки.

Эксперты из компании Check Point, обнаружившие последние семплы, сообщили, что «Joker» не атакует Android-устройства из США и Канады.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RCE-уязвимость в BillQuick помогла хакерам запустить в сеть шифровальщика

При разборе вымогательской атаки на инжиниринговую компанию эксперты Huntress обнаружили, что точкой входа в сеть послужила критическая уязвимость в веб-приложении BillQuick. Проблема позволяет без аутентификации получить закрытые данные сотрудников, использующих биллинговую систему, и выполнить любую команду на бэкенд-сервере базы данных.

Уязвимость CVE-2021-42258 классифицируется как возможность SQL-инъекции; такие ошибки грозят удаленным исполнением кода. Компания BQE Software, разработчик BillQuick Web Suite, уже устранила опасную проблему, выпустив обновление 22.0.9.1 (PDF), и работает над исправлением восьми других ИБ-ошибок, также выявленных Huntress. Платформу BillQuick, по оценке производителя, используют более 400 тыс. клиентов в разных странах.

Эксплойт уязвимости, по словам исследователей, тривиален: достаточно лишь пройти на страницу входа и ввести неприемлемый знак в поле Username — например, апостроф («'»).

Поскольку обработчик ошибок для этой страницы выдает полную трассировку, злоумышленник также имеет шанс получить не только шифрованные пароли и разрешения на доступ сотрудников, но также информацию о коде на стороне сервера.

Более того, атака SQLi позволяет запустить в Windows-системе подпроцесс командной оболочки и добиться исполнения стороннего кода. Эту возможность обеспечивает тот факт, что BillQuick взаимодействует с базой данных на уровне системного администратора.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru