AM Camp, послесловие: формат скучных слайдов здесь запрещён

AM Camp, послесловие: формат скучных слайдов здесь запрещён

AM Camp, послесловие: формат скучных слайдов здесь запрещён

Новый опыт и возможности — участники второго AM Camp рассказали о своих впечатлениях. Конференция «Национальная платформа кибербезопасности» проходила на полях AM Live.

26 мая YouTube-канал Anti-Malware.ru работал в прямом эфире почти 10 часов. Трансляция велась из трех секций, объединивших заказчиков и вендоров. Эксперты обсуждали изменения на рынке ИТ и ИБ, делились стратегиями и рабочими кейсами.

“Очень надоели конференции, где все просто показывают свои скучные одинаковые слайды, — делится впечатлениями Иван Чернов из компании UserGate. — Мне приятно, что на AM Camp такой формат был запрещен! Мы весь день провели в диалогах, дискуссиях, общались и обсуждали интересные вещи”.

Сегодня безопасность переформатируется целиком, говорит бизнес-консультант и модератор второй дискуссии по стратегии и тактике перехода на российские решения — Алексей Лукацкий. Всё, чем пользовались заказчики раньше, теперь недоступно.

Участники рынка обсудили ситуации, в которых сейчас оказались многие, и то, что можно сделать в этой ситуации. Возможность задать вопрос была не только у тех, кто присутствовал в зале, но и у зрителей эфира.

“То, что лежало на поверхности, оказалось не очень работающей схемой. — формулирует основную проблему Лукацкий. — А то, что было неочевидно — позволяет решать насущные задачи ближайших месяцев. Всё это прозвучало на AM Camp”.

Участники конференции в кадре и кулуарах обсуждали, как объединить продукты, которые никто раньше не комбинировал.

“Всё прошло на высшем уровне”, — резюмирует Лукацкий. — На мой взгляд, те, кто будут пересматривать секцию, найдут для себя новые идеи”.

С ним согласен Руслан Ложкин из Абсолют Банка:

“Сразу после эфира я получил несколько сообщений от коллег с предложениями по той теме, которую затронул на дискуссии. В частности, потребности банка в NGFW и смежных продуктах. Ждем теперь комплексного предложения”.

Андрей Ерин представлял на AM Camp компанию “Каркаде-лизинг”:

“Я в инфобезе уже 15 лет, — говорит Ерин. — Все события от Anti-Malware.ru мне интересны. Нравятся спикеры и сам формат AM Camp. Мы сегодня много общались с коллегами и вне дискуссий. Обсуждали проблемы и потенциал развития”.

Андрей Ерин выразил надежду, что новый опыт позволит российским вендорам взяться за дело, вкладываясь в разработки и специалистов.

Константин Родин ("АйТи БАСТИОН") говорит о важных для себя выводах по итогам мероприятия:

“Во-первых, всё не встало. Всё продолжает работать — есть план А, план Б и план С”.

Глава Anti-Malware.ru Илья Шабанов вёл на AM Camp первую дискуссию — “Изменения рынка безопасности в условиях санкционного давления”:

“Было немного волнительно. Я считаю, что нам удалось разложить по полочкам все факторы, которые сейчас влияют на российский рынок кибербеза. Таким образом, миссия этой дискуссии была выполнена”.

Все три секции дискуссии AM Camp «Национальная платформа безопасности» можно посмотреть по ссылке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Найден Android-бэкдор в фейковом Telegram X: заражены 58 тысяч устройств

Специалисты «Доктор Веб» нашли опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных вариантах мессенджера Telegram X. Зловред распространяется в формате APK, обеспечивает полнофункциональный удалённый контроль над аккаунтом и умеет красть и модифицировать данные — от логинов и паролей до истории чатов.

Что умеет троян:

  • Скрывать от пользователя подключённые устройства в списке активных сеансов Telegram, чтобы компрометация не бросалась в глаза.
  • Добавлять и удалять пользователя из каналов, вступать в чаты от его имени и выходить из них — злоумышленники могут накручивать подписчиков и управлять активностью аккаунта.
  • Перехватывать содержимое буфера обмена, загружать СМС и контакты, вытаскивать историю сообщений и токены аутентификации.
  • Работать через классический C2 и — что необычно для Android — через базу данных Redis: злоумышленники публикуют команды в Redis, а бэкдор подхватывает их как второй канал управления.
  • Создавать прокси-сервисы на заражённых устройствах (NPS), загружать обновления трояна и показывать фишинговые окна прямо в интерфейсе мессенджера.

По оценкам «Доктор Веб», число заражённых устройств превысило 58 000, при этом аналитики фиксируют примерно 20 000 активных подключений одновременно. Под удар попали около 3 000 моделей устройств — это не только смартфоны и планшеты, но и ТВ-приставки, а иногда и автомобили с Android-бортовыми системами.

Распространяется бэкдор главным образом через рекламные баннеры в приложениях: жертве предлагают скачать «Telegram X» с сайта, где мессенджер подаётся как сервис для знакомств или видеочатов. Сайт выглядит как магазин приложений с фиктивными отзывами и кнопкой загрузки APK.

 

Авторы кампании готовят шаблоны на португальском (ориентир — Бразилия) и индонезийском — эти страны в приоритете, но атаки могут выйти и на другие регионы.

 

Кроме вредоносных сайтов, модификации были найдены и в сторонних каталогах приложений — APKPure, ApkSum, AndroidP — иногда даже под подписью настоящего разработчика, хотя цифровые подписи не совпадают с оригиналом. «Доктор Веб» уведомил площадки о проблеме.

Как встроен бэкдор

Обнаружены три основных подхода злоумышленников: встраивание бэкдора прямо в DEX-файл приложения, динамический патч через LSPatch и загрузка дополнительного DEX-файла из ресурсов. При запуске модифицированного Telegram X бэкдор инициализируется незаметно — для пользователя приложение выглядит обычным, но при этом злоумышленники получают полный контроль.

 

Для изменения поведения используют и фреймворк Xposed, и зеркала методов приложения, чтобы подсовывать фальшивые окна и перехватывать действия.

Какие команды выполняет троян

Список возможностей длинный: скрывать чаты, блокировать уведомления, показывать фишинговые сообщения, подписывать и отписывать от каналов, выгружать базы данных чатов, слать на сервер содержимое буфера обмена, присылать список установленных приложений и многое другое. Команды приходят и через C2, и через Redis — при этом реализована дублирующая логика, если один канал недоступен.

Что делать пользователям:

  • Не скачивайте APK с сомнительных сайтов и не переходите по рекламным баннерам с предложениями «удобных видеочатов».
  • Загружайте приложения только из официальных магазинов и проверяйте цифровые подписи.
  • Включите двухфакторную аутентификацию в Telegram и регулярно проверяйте список активных сеансов (Settings → Devices). Если видите неизвестные устройства — разлогиньтесь на них.
  • Не храните пароли и критичные фразы в буфере обмена, используйте менеджеры паролей.
  • Обновляйте ОС и приложения, ставьте официальные обновления безопасности; при сомнении — переустановите приложение из официального источника.
  • Рассмотрите установку мобильного антивируса и проверку устройства на наличие вредоносные программы.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru