Хакеры используют 0-day дыры в изощрённых атаках на Windows и Android

Хакеры используют 0-day дыры в изощрённых атаках на Windows и Android

Команда Google Project Zero совместно с Google Threat Analysis Group (TAG) выявили непростую кампанию киберпреступников, которые эксплуатируют уязвимости нулевого дня (0-day) в операционных системах Windows и Android.

Особенность этих атак заключается в использовании сразу множества брешей двух ОС в связке с дырами в браузере Google Chrome. При этом атакующие задействуют как 0-day эксплойты, так и известные лазейки.

В отчёте исследователи отмечают, что им удалось обнаружить разные цепочки эксплойтов, которые злоумышленники использовали в «атаках водопоя» (watering hole). Один из вычисленных серверов специализировался на пользователях Windows, другой — атаковал исключительно Android-устройства.

Оба сервера при этом задействовали эксплойты для уязвимостей в Chrome, чтобы с их помощью удалённо выполнить код (RCE). Среди эксплойтов для Chrome и Windows были и 0-day, а вот в случае с Android атакующие прибегали к известным дырам.

«Учитывая профессиональный подход киберпреступников, мы считаем, что у них есть доступ к 0-day уязвимостям в Android. Однако в процессе собственного анализа мы не выявили этих дыр», — пишут специалисты.

 

Среди уже известных уязвимостей команда Google Project Zero отметила следующие:

  • CVE-2020-6418 – уязвимость в Chrome TurboFan (устранена в феврале 2020).
  • CVE-2020-0938 – брешь шрифта в Windows (устранена в апреле 2020).
  • CVE-2020-1020 – также дыра шрифта в Windows (устранена в апреле 2020).
  • CVE-2020-1027 – CSRSS-уязвимость в Windows (устранена в апреле 2020).
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Android-зловред распространяет себя по WhatsApp, используя Quick Reply

Новая вредоносная программа для Android способна быстро распространяться через автоответы WhatsApp по всем контактам владельца зараженного устройства. По мнению эксперта, в дальнейшем ее могут сориентировать и на другие мессенджеры, поддерживающие функцию быстрых ответов (Quick Reply).

Опция Quick Reply позволяет при получении уведомлений автоматически отправлять типовые ответы на входящие сообщения. В данном случае такой автоответ содержит ссылку на вредоносное приложение для смартфонов Huawei, загруженное на сайт, имитирующий Google Play Store.

При установке этот вредонос запрашивает разрешение на доступ к уведомлениям, на работу в фоновом режиме и вывод своего окна поверх окон других приложений. Последнее требование обычно характерно для оверлейных зловредов, ворующих банковские реквизиты и персональные данные с помощью фишинговых экранов.

Однако анализ, проведенный экспертом ESET Лукасом Стефанко (Lukas Stefanko), показал, что новобранец, вероятнее всего, используется для навязчивого показа рекламы или мошенничества с подпиской на платные услуги.

 

Текущие настройки Android-зловреда позволяют ему отправлять автоответ на один и тот же номер один раз в час. Текст сообщения и вредоносную ссылку он получает с удаленного сервера, то есть потенциально способен распространять и другие вредоносные программы.

Каким образом происходили первые заражения, доподлинно установить не удалось. Стефанко лишь отметил, что число жертв может очень быстро возрасти с считанных единиц до целой армии. Инфекция при этом способна распространяться по SMS, email, через социальные сети, чат-сообщества и т. п.

Появление столь необычного Android-зловреда еще раз подтвердило правильность базовых рекомендаций для владельцев мобильных устройств: 

  • Загрузку сторонних приложений следует производить только из доверенных источников.
  • Проверка наличия подписи разработчика должна войти в привычку.
  • Тщательный просмотр разрешений, запрашиваемых приложением перед установкой, способен уберечь пользователя от многих неприятностей.
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru