Троян Godless впечатляет даже не своей, так сказать, функциональностью, а маскировкой — длительное время его наличие в приложениях не распознавала даже хваленая система антивирусной проверки в Google Play. Результат немного предсказуем — зловред заразил свыше 850 тысяч смартфонов по всему миру, причём почти половина из них принадлежит жителям Индии, что как бы намекает на происхождение трояна.
Функциональность трояна слабо отличается от его многочисленных коллег в 2016 году, новым стал только «зачин»:
Пользователь смартфона загружает приложение из Google Play , включает его, в результате чего вместе с приложением запускается и троян. Вы только не подумайте что-то плохое о проверке Google, ведь в этом «комплекте» нет зловредного кода — зловредный код троян скачивает при первом запуске.
Для начала Godless добывает на смартфоне root-права , бесплатно без SMS. С помощью примерно такого же набора средств, как в этих ваших Towelroot, например. Такие операции троян проводит при выключенном экране.
После этого наглый троян отправляет себя в папку /system (откуда его уже не удалить без перепрошивки ) и шифрует себя при помощи AES-ключа.
С полным комплектом прав доступа Godless начинает понемногу воровать личные данные пользователи со смартфона и устанавливать сторонние приложения. В первоначальных своих версиях троян, кстати, прятал с глаз пользователя стандартный Google Play и заменял его «пародией», через которую воровал имя и пароль от учётной записи.
Среди приложений, к которым чаще всего «прикручивали» Godless, были многочисленные «фонарики» и клоны известных игр для Android.
Камни не исполняют желаний. Их исполняем мы сами, четко следуя однажды выбранному пути. - майор Кальтер - Свинцовый закат
Первое, что нужно знать о вирусах для платформы Android: не все из них — это вирусы в исконном значении этого слова. Так нередко случается в живом языке: орнитологи различают филинов, сычей и сов, но в народе все эти птицы — «совы». Специалисты отличают хакеров от «детворы со скриптами» и кракеров, но для неспециалистов все эти категории людей остаются хакерами.
Со зловредными приложениями такая картина — технически они подразделяются на вирусы , черви , трояны , adware (навязчивую рекламу) и «страшилки» , но почти никого не заботят такие тонкости. Мол, вирусы — они и есть вирусы.
Различия между «сортами радости» следующие:
Вирус — зловредная программа, которая незаметно проникает на компьютер благодаря уязвимости системы. И, что самое важное — не занимается вредительством самостоятельно, а заражает другие файлы в системе. Такой зловред в случае с Android должен бы был проникать после банального клика на рекламу или посещения сайта, а потом «переписывать» под себя Gmail, ВКонтакте и другие приложения таким образом, чтобы после удаления оригинального вируса заражённые приложения продолжали делать своё чёрное дело.
Червь — делает плохое дело и жёстко, беспощадно, всеми возможностями распространяет самого себя по всем каналам связи. На компьютерах черви рассылали себя по e-mail, мессенджерам, локальной сети, флешкам — то есть, клонировали себя самым бесстыжим образом.
Троян никогда не стучится в систему извне — вы устанавливаете и запускаете зловредную программу собственноручно. Так происходит, потому что трояны подменяют рядовые, привычные и известные всем приложения, а иногда их просто «пришивают» к вполне работоспособным программам. То есть, покупаете скачиваете полезную программу — и получаете вредоносную в подарок!
«Страшилки» (scareware) — приложения, наводящие панику: «О боже, да у вас весь смартфон в вирусах и приложениях для прослушки спецслужбами всего мира! Скачайте наш антивирус и узнайте всю правду!». Скачиваете, запускаете, проводите так называемую проверку, после которой программа говорит: «Ужасающее количество вирусов в системе! Ваш телефон умрёт, если не удалить вирусы, но для этого Вы должны ввести данные своей банковской карты здесь и вот здесь». Такую прелесть зачастую игнорируют все антивирусы, потому что она ничего не взламывает и не ворует в системе — просто обманывает покупателя и просит денег.
Большинство зловредных приложений для Android представляют собой трояны. И, сколько бы энтузиасты не хихикали, вероятность подхватить троян на смартфоне далеко не нулевая. Потому что, если Google Play проверяет исполняемый код приложений, то порядочность софта и игр из «неизвестных источников» никак не гарантируется.
А к «неизвестным источникам» не всегда прибегают по глупости. Там можно найти облегчённые мессенджеры WhatsApp, Viber, Skype, которые занимают меньше места в памяти и работают быстро даже на старых смартфонах. Или перепакованные банковские клиенты, которые не будут ругаться на Cyanogenmod вместо официальной прошивки. А еще из Google Play периодически удаляют эмуляторы консолей, позволяющие сыграть, например, в Gran Turismo на Android. В конце-концов, в Play просто есть не все приложения.
Источник - www.ferra.ru
Камни не исполняют желаний. Их исполняем мы сами, четко следуя однажды выбранному пути. - майор Кальтер - Свинцовый закат
Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play вредоносные приложения, ворующие логины и пароли пользователей Facebook. Эти трояны-стилеры распространялись под видом безобидных программ, общее число установок которых превысило 5 856 010.
Начали удалять какие то приложения.
Android-система является самой популярной во всем мире, поэтому именно на эту ОС мошенники и хакеры ориентируются больше всего.
Одним из самых востребованных считается взлом аккаунтов социальных сетей, и для этого кибермошенники используют самые разные способы.
Среди них есть, распространение программного обеспечения со «вшитым» трояном. Недавно специалисты по безопасности в магазине Google Play обнаружили девять популярных приложений, которые у пользователей крали пароли от соцсети Facebook.
После обнаружения опасных приложений специалисты проинформировали модераторов Google Play, которые в свою очередь уже удалили программы.
Осталось только пользователям удалить это ПО со своего смартфона. Так, после проверки выяснилось что PIP Photo, Processing Photo, Rubbish Cleaner, Inwell Fitness, Horoscope Daily, App Lock Keep, Lockit Master, Horoscope Pi, App Lock Manager крали пароли от Facebook, а также и других социальных сетей.
Сообщение отредактировал DDD - Четверг, 08.07.2021, 07:38
Дата: Воскресенье, 21.11.2021, 21:31 | Сообщение # 9
Гадский Админ
Администрация
Сообщений: 2582
Статус: Offline
Банковский троян для операционной системы Android BrazKing вернулся в строй с новыми функциями динамического наложения окон поверх легитимных приложений. Обновлённые возможности позволяют вредоносу спокойно работать в системе без необходимости запрашивать подозрительные права.
На новый образец BrazKing наткнулись исследователи из IBM Trusteer, которые отметили, что зловред распространяется на сторонних площадках и через смишинговые СМС-сообщения. В Google Play Store его присутствие пока замечено не было.
Операторы трояна используют старый трюк: пользователя пугают наличием устаревшей и уязвимой версии Android и предлагают скачать APK, который якобы обновит софт до актуального релиза.
После загрузки на устройство жертвы BrazKing запросит лишь одно разрешение — на доступ к специальным возможностям операционной системы (Accessibility Service). Это необходимо вредоносу для снятия скриншотов, записи нажатий клавиш виртуальной клавиатуры и т. п.
Помимо этого, троян выполняет функции софта для удалённого доступа и успешно взаимодействует с банковскими приложениями. BrazKing может читать СМС-сообщения жертв без прав «android.permission.READ_SMS» и перехватывать коды двухфакторной аутентификации.
Ещё одна особенность последних семплов — возможность накладывать свои окна поверх легитимных приложений без доступа к «System_Alert_Window». Именно так троян перехватывает учётные данные, вводимые пользователем.
В новой версии вредоносного приложения исследователи также увидели механизмы сокрытия внутренних ресурсов, для чего применяется XOR-операция с жёстко запрограммированным ключом.
Источник - www.anti-malware.ru
Камни не исполняют желаний. Их исполняем мы сами, четко следуя однажды выбранному пути. - майор Кальтер - Свинцовый закат
Компания по обеспечению кибербезопасности ThreadFabric обнаружила 12 приложений для Android, способных в обход защитных механизмов «Play Маркета» красть данные банковских приложений. Компания отметила, что приложения загружают вредоносный компонент только при работе в определенных регионах, в том числе в России. В числе российских банков, данные чьих приложений отслеживаются вирусом,— Сбербанк, Тинькофф-банк, «Уралсиб», Почта-банк и ОТП-банк. Вредоносные приложения мимикрируют под сканеры документов и QR-кодов.
Исследователи выделили три группы вредоносных приложений в зависимости от вредоносного кода, который они загружают. На Россию наряду с США, Великобританией, Австрией и другими странами нацелена одна из них — Anatsa. Приложения этой группы были установлены 200 тыс. раз, одно из них — сканер QR-кодов от издателя QrBarCode LDC — было установлено более 50 тыс. раз. ThreatFactor отмечает, что приложения работают в точности, как указано в описании, и на их страницах оставлено много положительных отзывов.
После установки вредоносное приложение определяет, стоит ли загружать вирус на телефон. Если условия соответствуют этому, программа просит пользователя скачать «обновление» и предоставить разрешение на установку неизвестных приложений. Под видом обновления загружается собственно вредоносный код, который затем запрашивает разрешение на предоставление полного доступа к телефону. Из-за того что вредоносный код загружается отдельно от приложения, вирус проходит проверки при публикации в «Play Маркете».
В числе приложений, работающих подобным образом и ориентированным на другие страны, ThreatFactor обнаружила программу по занятиям фитнесом. При загрузке вредоносного кода приложение убеждает пользователя, что «обновление» добавляет новые тренировки и упражнения.
Камни не исполняют желаний. Их исполняем мы сами, четко следуя однажды выбранному пути. - майор Кальтер - Свинцовый закат
Приветствую тебя гость! Что-бы иметь более широкий доступ на сайте и скачивать файлы, советуем вам зарегистрироваться, или войти на сайт как пользователь это займет менее двух минут.Авторизация на сайте
Зловреды и трояны - Страница 2 - Форум о Зоне Отчуждения и о модах игры Stalker
