 |
McAfee Mobile Research: Новые «умные» приложения для мошенничества в Google Play
В магазин Google Play проникла новая волна мошеннических приложений, нацеленная на пользователей Android в Юго-Западной Азии и на Аравийском полуострове – было уже более 700 000 скачиваний, прежде чем McAfee Mobile Research обнаружила их, и совместно с Google приступили к их удалению.
Вредоносные программы встроены в фоторедакторы, обои, головоломки, оболочки клавиатуры и другие приложения. Вредоносные программы перехватывают уведомления о SMS-сообщениях, а затем совершают несанкционированные покупки. Легальные приложения перед тем, как попасть в Google Play, проходят процесс проверки, а мошеннические приложения попали в магазин, отправив на проверку «чистую» версию приложения, а вредоносный код внедряется туда после обновления.
McAfee Mobile Security определяет эту угрозу как Android/Etinu и предупреждает мобильных пользователей, что есть угроза при использовании данного приложения. Команда McAfee Mobile Research продолжает отслеживать эту угрозу, и сотрудничает с Google по удалению этих и других вредоносных приложений из Google Play.
Технический анализ
Встроенное в эти приложения вредоносное ПО использует динамическую загрузку кода. Зашифрованные данные вредоносного ПО появляются в папке, связанной с приложением под именами «cache.bin», «settings.bin», «data.droid» или безобидными файлами «.png».
Скрытый вредоносный код в основном .apk приложения открывает файл «1.png» в папке assets, расшифровывает его в «loader.dex», а затем загружает измененный .dex. «1.png» зашифрован с использованием RC4 с именем пакета в качестве ключа. Первая полезная нагрузка создает запрос HTTP POST к серверу C2.
Интересно, что эта вредоносная программа использует серверы управления ключами. Он запрашивает у серверов ключи, и сервер возвращает ключ как значение «s» JSON. Также у этой вредоносной программы есть функция самообновления. Когда сервер отвечает значением «URL», содержимое URL используется вместо «2.png». Однако серверы не всегда отвечают на запрос или возвращают секретный ключ.
Как всегда, самые вредоносные функции проявляются на финальной стадии. Вредоносная программа захватывает прослушиватель уведомлений для кражи входящих SMS-сообщений, как это делает вредоносная программа Android Joker , без разрешения на чтение SMS. Как по цепочке вредоносная программа затем передает объект уведомления на финальную стадию. Когда уведомление приходит из пакета SMS по умолчанию, сообщение, наконец, отправляется с использованием интерфейса JavaScript WebView.
Исследователи пришли к выводу, что мошенники могли получать сведения об операторе связи пользователя, номере телефона, SMS-сообщениях, IP-адресе, стране и др.
Будут ли подобные угрозы в будущем?
Мы ожидаем, что угрозы, использующие функцию прослушивания уведомлений, будут продолжать развиваться. Команда McAfee Mobile Research продолжает отслеживать эти угрозы и защищать клиентов, анализируя потенциальные вредоносные программы и работая с магазинами приложений для их удаления. Однако важно обращать особое внимание на приложения, которые запрашивают разрешения, связанные с SMS и прослушиванием уведомлений. Настоящие приложения для обработки фотографий или установки обоев просто не будут запрашивать их, потому что они не нужны для их запуска. Если запрос кажется подозрительным, не принимайте его.
Контактное лицо: McAfee (написать письмо автору)
Компания: McAfee (все новости этой организации)
Добавлен: 21:37, 03.05.2021
Количество просмотров: 408
Страна: Россия
| «ДиалогНаука» подтвердила свой статус Approved Scanning Vendor, АО ДиалогНаука, 03:54, 17.11.2024, Россия |
25 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, подтвердила свой статус Approved Scanning Vendor (ASV) по стандарту безопасности данных в индустрии платежных карт PCI DSS. Интегратор успешно выполнил все требования программы PCI Scanning Vendor Program. |
|
| «ДиалогНаука» включила в продуктовый портфель ИБ-решения вендора НОТА, АО ДиалогНаука, 04:30, 11.11.2024, Россия |
87 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и НОТА (Холдинг Т1) мультипродуктовый вендор отечественного ПО, заключили соглашение о сотрудничестве. Одним из основных направлений партнерства станет поставка и использование решения «НОТА КУПОЛ. Управление» в рамках комплексных проектов для корпоративных заказчиков интегратора. |
|
| «ДиалогНаука» – партнер SOC Forum 2024, ДиалогНаука, 18:13, 26.10.2024, |
74 |
| Компания «ДиалогНаука», примет участие в десятом, юбилейном мероприятии SOC Forum, посвященном практической кибербезопасности в современных реалиях. SOC Forum пройдет с 6 по 8 ноября 2024 года в московском Центре Международной торговли по адресу Краснопресненская набережная, 12. «ДиалогНаука» представит экспозицию, посвященную решениям «Лаборатории Касперского» и собственным услугам в области информационной безопасности. |
|
| «ДиалогНаука» – партнер третьей межотраслевой конференции АБИСС, ДиалогНаука, 03:15, 26.10.2024, |
30 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, участвует в ежегодной межотраслевой конференции АБИСС по вопросам регуляторики в сфере информационной безопасности. Конференция пройдет 22 октября 2024 года в Москве, в отеле Soluxe Hotel Moscow, расположенном по адресу: улица Вильгельма Пика, дом 16. |
|
| «ДиалогНаука» примет участие в конференции SOC Tech, АО ДиалогНаука, 04:51, 14.10.2024, Россия |
1036 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, участвует в конференции «SOC Tech», которая состоится 15 октября 2024 года в Москве в Loft Hall на Автозаводской. |
|
| «ДиалогНаука» и «Цифровые решения» заключили соглашение о сотрудничестве, АО ДиалогНаука, 06:29, 06.10.2024, Россия |
153 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания «Цифровые решения», разработчик и производитель сетевого оборудования для информационной безопасности, заключили договор о партнерстве. Основная задача сотрудничества – предоставить российскому бизнесу эффективные и надежные инструменты для обеспечения безопасности информационных систем. |
|
|
|
