Новый Android-вредонос использует старое доброе WAP-мошенничество

Екатерина Быстрова 25 Ноября 2020 - 09:08

Домашние пользователи

Android

Check Point

Потенциально опасные программы

Мошенничество

Онлайн-мошенничество

...

Новый Android-вредонос использует старое доброе WAP-мошенничество

Новый мобильный вредонос WAPDropper скрытно подписывает пользователей Android на платные сервисы. В настоящее время киберпреступники активно распространяют зловред в реальных атаках.

Новое семейство вредоносных программ для Android обнаружили специалисты компании Check Point. Распространяется WAPDropper через сторонние магазины приложений.

Как только программа попадает на мобильное устройство жертвы, сразу запускается механизм подписки на платные сервисы. В результате пользователи будут получать огромные счета за услуги сотовой связи до тех пор, пока не отпишутся или не сообщат о проблеме оператору.

Такой тип атаки получил название «WAP fraud», в 2000-х это была очень распространённая мошенническая схема. В начале 2010-х она постепенно начала отмирать с приходом смартфонов.

Однако вскоре киберпреступники поняли, что современные телефоны и операторы связи всё ещё поддерживают стандарт WAP, что привело к воскрешению «WAP fraud» в конце 2010-х.

Как сообщили специалисты Check Point, стоящие за распространением WAPDropper преступники, скорее всего, располагаются в Таиланде или Малайзии. Другой вариант — они сотрудничают с кем-то из стран Юго-Восточной Азии.

Сам вредонос использует два разных модуля, одним из которых стал дроппер, а второй отвечал непосредственно за WAP-мошенничество. При этом второй модуль загружался уже после установки зловреда в систему.

Команда исследователей Check Point также выразила мнение, что подобные атаки продолжатся и в следующем году.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 26 Апреля 2024 - 15:38

Атаки на сайты Уязвимости сайтов Взлом сайтов Заражение веб-сайта Домашние пользователи

Критическая дыра в WordPress-плагине WP-Automatic используется в атаках

Киберпреступники пытаются использовать в атаках критическую уязвимость в плагине WP‑Automatic для сайтов на WordPress. В случае успешной эксплуатации брешь позволяет получить полный контроль над целевым веб-ресурсом.

Проблему, о которой идёт речь, отслеживают под идентификатором CVE-2024-27956. По шкале CVSS ей присвоили почти максимальный балл — 9,9.

«Уязвимость представляет собой возможность SQL-инъекции и создаёт серьёзные риски для владельцев веб-сайтов, поскольку злоумышленники могут получить несанкционированный доступ», — пишут специалисты WPScan в официальном уведомлении.

«Например, атакующие создают аккаунты с правами администратора, загружают вредоносные файлы и получают полный контроль над ресурсом».

По словам исследователей, проблема кроется в механизме аутентификации, реализованном в плагине WP-Automatic. Условный злоумышленник может обойти его с помощью SQL-запросов к базе данных.

В тех атаках, которые удалось отследить экспертам, CVE-2024-27956 используется для отправки несанкционированных запросов к БД и создания учётных записей уровня администратора (имена обычно начинаются на «xtw»).

После этого злоумышленники могут менять код и загружать любые файлы. В данных кампаниях атакующие устанавливают бэкдор и обфусцируют вредоносный код.

С 13 марта 2024 года команда Patchstack отследила уже 5,5 млн попыток эксплуатации CVE-2024-27956.