29 вредоносов для Android, 3,5 млн загрузок — новая кампания мошенников

29 вредоносов для Android, 3,5 млн загрузок — новая кампания мошенников

29 вредоносов для Android, 3,5 млн загрузок — новая кампания мошенников

29 вредоносных Android-приложений, которые в общей сложности загрузили 3,5 млн раз, заваливают пользователей странной рекламой. Так выглядит новая кампания кибермошенников в Google Play Store.

Все вредоносные программы прикрываются софтом для обработки фотографий. На деле же ни одна из заявленных функциональных возможностей не реализуется, вместо этого пользователя бомбят случайными рекламными объявлениями.

Мошеннические приложения пытаются скрыть своё присутствие в системе — прячут иконки с рабочего стола сразу после установки.

В общей сумме, если верить отчёту специалистов из White Ops, в Google Play Store нашли 29 вредоносных программ. После анализа мошеннического софта стало ясно, что он генерирует подозрительно большой объём рекламного трафика.

Исследователи назвали кампанию злоумышленников «ChartreuseBlur», поскольку большинство приложений содержало в названии слово «Blur». Неудивительно, ведь софт был заявлен как фоторедакторы, позволяющие замазать (или «заблюрить») отдельные части фотографии.

Все навязчивые рекламные объявления появляются буквально ниоткуда и мешает людям нормально пользоваться своими девайсами.

При этом, как подчеркнули изучавшие софт эксперты, вредоносная составляющая проявляет себя далеко не сразу. Всего есть три ступени «эволюции» кода злонамеренных Android-приложений. На первых двух код вполне безобиден, а уже третья ступень отмечается нездоровой активностью программы.

С полным списком зловредов, их разработчиками и количеством загрузок можно ознакомиться здесь [PDF].

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Модули на Go стирают диски на Linux-серверах: опасная атака через GitHub

Исследователи из компании Socket, занимающейся безопасностью цепочек поставок, обнаружили новую волну атак на Linux-серверы — и на этот раз злоумышленники действуют через модули на Go, опубликованные на GitHub.

Вредоносный код был обнаружен в трёх модулях, замаскированных под легитимные проекты. Внутри — сильно запутанный код, который тянет на сервер скрипт с говорящим названием done.sh и тут же запускает его.

Что делает скрипт? Он запускает команду dd, которая затирает весь диск нулями. Да-да, весь: основной том /dev/sda, где хранится всё — от операционной системы до пользовательских файлов и баз данных. После такого «обнуления» восстановить систему уже невозможно — она становится полностью неработоспособной.

Атака нацелена исключительно на Linux-среду — скрипт предварительно проверяет, что выполняется именно на ней (runtime.GOOS == "linux"). И если всё «по плану» — начинается уничтожение данных.

Socket отмечает, что всё происходит практически мгновенно: модули скачивают скрипт с помощью wget и сразу запускают его. Реагировать просто не успеешь.

Вот список зловредных модулей, которые были удалены с GitHub после обнаружения:

  • github[.]com/truthfulpharm/prototransform
  • github[.]com/blankloggia/go-mcp
  • github[.]com/steelpoor/tlsproxy

Все трое выглядели как нормальные разработки: один якобы конвертировал данные сообщений, второй реализовывал протокол Model Context, а третий предлагал TLS-прокси для TCP и HTTP. Но на деле — лишь прикрытие для деструктивного кода.

Проблему усугубляет сама архитектура Go-экосистемы: из-за децентрализации и отсутствия строгой модерации злоумышленники могут создавать модули с любыми именами — даже такими, что выглядят как «настоящие». И если разработчик случайно подключит такой модуль — последствия могут быть катастрофическими.

Вывод простой: даже кратковременный контакт с этими модулями — это прямой путь к полной потере данных. Будьте осторожны, проверяйте зависимости и не доверяйте незнакомым репозиториям, даже если они выглядят «по-настоящему».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru