Появилась новая малварь для Android, которая не атакует смартфоны в России


Оглавление (нажмите, чтобы открыть):

В России появился новый вирус для Android, который невозможно удалить со смартфона

Жизнь

Специалисты по кибербезопасности Symantec предупредили пользователей смартфонов о том , что появился новый вирус , которые поражает гаджеты на Andro >, что от вредоносного ПО смартфон не спасает даже такая манипуляция , как сброс до заводских настроек.

Источником нового вируса Xhelper являются редиректы и подозрительные сайты , которые перенаправляют пользователя на страницы с приложениями для Andro >, а также спамерские уведомления. Они , в свою очередь , приводят пользователей в Play Store для установки приложений.

Очистить смартфон от вредоносного ПО не так-то просто , так как вирус действует даже после очистки гаджета. Не помогает от Xhelper и сброс до заводских настроек. По данным специалистов кибербезопасности , число зараженных вирусом смартфонов уже достигло 45 тыс. и продолжает расти. Большая часть пострадавших проживает в России , Индии и США.

Ранее мы писали о том , что российские разработчики запустили мобильное приложение , которое борется с депрессией Российские разработчики запустили мобильное приложение, которое борется с депрессией Оно уже доступно для скачивания .

УДАЛЯЕТ ВРЕДОНОСНЫЕ ПРОГРАММЫ, УГРОЖАЮЩИЕ МОБИЛЬНЫМ УСТРОЙСТВАМ Malwarebytes for Android

Эффективная защита устройств Android от вредоносного ПО, программ-вымогателей и других быстро развивающихся угроз.

Бесплатная загрузка и ознакомление с premium-версией в течение 30 дней.

Феноменальная космическая защита. Крошечный объем памяти.

Люди, которым Вы доверили безопасность своего компьютера, теперь предлагают мощное средство защиты мобильных устройств. Программа Malwarebytes for Android автоматически находит и удаляет опасные объекты, например вредоносное ПО и программы-вымогатели, поэтому теперь Вы можете быть абсолютно уверены в безопасности устройства, которое сопровождает Вас всегда и всюду. Благодаря агрессивным алгоритмам обнаружения рекламного ПО и потенциально нежелательных программ Ваши устройства Android или планшетные компьютеры будут работать безотказно. А система проверки приватности сможет точно определить, какие приложения пытаются отслеживать каждое Ваше движение. И вся эта защита использует минимальные ресурсы устройства.

Обнаруживает программы-вымогатели до того, как им удастся заблокировать Ваше устройство

Система защиты в реальном времени ограждает Ваше устройство от вирусов. Сегодня, когда вредоносное ПО все чаще проникает на мобильные устройства, только совершенные технологии способны дать отпор программам-вымогателям и другим опасным «непрошеным гостям», прежде чем они станут причиной проблем.

Безопасное посещение веб-страниц

Выполняет проверку на наличие фишинговых ссылок при использовании браузера Chrome и мгновенно предупреждает Вас в случае их обнаружения, что делает работу в Интернете более безопасной. (Функция доступна только на телефонах и планшетных устройствах.)

Осуществляет проверку приватности в отношении всех приложений

Определяет права доступа каждого приложения на устройстве Android: теперь Вы точно знаете, какой информацией Вы делитесь с другими. Собирает и хранит информацию о приложениях, которые пытаются отслеживать Ваше местоположение, контролировать звонки или взимать с Вас дополнительную плату через скрытые комиссии.

Находит и удаляет рекламное и вредоносное ПО

Быстро и эффективно проверяет файлы и приложения на наличие вредоносного ПО и потенциально нежелательных программ, в том числе рекламного ПО и вирусов, блокирующих экран, а также избавляет Ваше устройство Android от программ с избыточными ресурсоемкими функциями.

Мощный инструмент борьбы с вредоносным ПО, ставший уже привычным на стационарных компьютерах и ноутбуках, теперь доступен и на платформе Android. Незаметно работая в фоновом режиме, эта программа превосходно защищает систему Вашего мобильного устройства. Она потребляет очень мало ресурсов, но обладает огромными преимуществами.

Mark E.
Google Play

Эта программа заслуживает только самой высокой оценки! Мне досаждали рекламные объявления, то и дело возникающие на начальном экране телефона, а установленный в то время антивирус не мог найти ровным счетом ничего. Я установил эту замечательную программу – и она обнаружила в системе рекламное ПО и успешно удалила его. Теперь на моем телефоне нет никакой рекламы! Искренне благодарю разработчиков!

Появилась новая малварь для Android, которая не атакует смартфоны в России

В истории замешаны исламские боевики и ГРУ.

Исследовательская компания Lookout обнаружила вирус Monokle. В подробном отчете эксперты рассказали, что он атакует Android-устройства и связан с российскими силовиками.

Monokle – программа, которая маскируется под популярные приложения, такие, как Skype, Google Play, PornHub, Evernote и прочие. Пользователь может случайно установить вирус на свой аппарат, увидев логотип знакомого приложения в магазине Android.

По мнению Lookout, этот вирус имеет крайне большие права – он может делать практически все, что заблагорассудится его оператору. Троян получает доступ ко всем данным на смартфоне жертвы, может прослушивать разговоры и звонить на любые номера, отправлять SMS, записывать видео с камер, подслушивать владельца аппарата через встроенный микрофон.

Специалисты выявили четыре телефонных номера, которые якобы связаны с вредоносным приложением. Все четыре прописаны в России, например, в Москве и СПб.

Из отчета следует, что главная цель Monokle – интересующиеся исламом люди, верующие мусульмане и исламские радикалы. В частности, их интересуют боевики и приспешники группировки «Бригада Ахрар-аш-Шам» из Сирии, которые выступают против правительства Башара Асада.

Мастер Йода рекомендует:  Насколько программисту важно знать английский язык Можно ли обойтись без этого

Эксперты считают, что программа была разработана Специальным технологическим центром (СТЦ) – организацией из Петербурга, которую связывают с российскими силовиками. Например, три года назад СТЦ якобы помогала ГРУ в нескольких кибероперациях, в частности, эту компанию обвиняют во вмешательстве в американские выборы 2020 года.

По мнению Lookout, сейчас СТЦ работает над iOS-версией приложения, которая будет атаковать iPhone и iPad. Специалисты компании якобы плохо знакомы с особенностями этой системы, поэтому в 2020 году набирали разработчиков под iOS.

Мобильный банк под угрозой: новый вирус атакует Andro >

МОСКВА, 22 сентября — РИА Новости, Мария Салтыкова. Новый вирус крадет данные банковских карт с мобильных устройств под управлением операционной системы Android. Об этом сообщила «Лаборатория Касперского». Число таких случаев в последние годы увеличилось, появляются вирусы, созданные и под iPhone. Как защитить от угрозы данные своих карт и что делать, если их уже успели украсть, — в материале РИА Новости.

Как работает новый троян под Android

Банковский троян Svpeng научился записывать нажатия клавиш на мобильном устройстве, сообщили в «Лаборатории Касперского». Вредоносная программа работает так: она маскируется под фальшивый Flash-плеер и после активации запрашивает права доступа к функциям для людей с ограниченными возможностями. Это позволяет трояну делать скриншоты экрана каждый раз, когда на виртуальной клавиатуре набирается символ.

Специалисты отмечают, что Svpeng работает даже на новейшей версии Android, где есть специальная «кнопка паники» для быстрого закрытия опасных приложений. Общее число атак пока невелико — авторы троянца еще не развернули свою активность на полную силу. Треть из них пришлась на Россию (29%), еще треть (27%) — на Германию, также вирус затронул Турцию, Польшу и Францию.

Как понять, что ваш телефон заражен, и что делать


Защититься от Svpeng все-таки можно, считают опрошенные РИА Новости специалисты по информационной безопасности. Схема, когда вирус представляется поддельным Flash-проигрывателем, используется примерно с 2011-2012 годов, отмечает аналитик компании Digital Security Егор Салтыков. Новшество, по его словам, заключается лишь в его функционале (способности записывать нажатия клавиш).

Чтобы защитить свою информацию на смартфоне, пользователю достаточно не выдавать запрашиваемые им разрешения: не выдавать вредоносной программе доступ к SMS, звонкам и прочему.

«Важно не устанавливать приложения из сомнительных источников. Если заражение уже произошло, пользователь может попытаться отключить опасные разрешения, выданные приложению ранее, через настройки, а затем удалить его», — добавил эксперт.

По словам Салтыкова из Digital Security, понять, заражен ли смартфон, можно без подключения к компьютеру: для этого в настройках надо проверить список администраторов устройства, а также то, какие приложения по умолчанию обрабатывают звонки, SMS и другие подобные функции. Там не должно быть никаких подозрительных данных. После этого необходимо проверить, какие приложения просто имеют доступ к этому функционалу (во всех телефонах, начиная с версии Android 6.0+, введена новая система управления правами приложений). «Насторожить должна любая странная активность», — пояснил он.

Могут ли считать себя в безопасности владельцы iPhone

Сделать подобные Svpeng-трояны под iOS, вероятно, не выйдет: приложениям для iOS доступно гораздо меньше функций, чем в системе Android, указал Анисеня. По его словам, трояны под iOS все же бывают, но их сложнее написать и распространить, так как для установки приложения не через App Store пользователям iPhone надо установить сертификат и подтвердить доверие к нему. «Для Android достаточно просто поставить галочку в настройках «установка из ненадежных источников», — отметил эксперт.

По словам Салтыкова, вирусы и трояны для iPhone сейчас распространены только для телефонов с установленным JailBreak, который сильно понижает уровень безопасности ОС и всего устройства.

При этом все вирусы, которые были найдены для iPhone без JailBreak, за последнее время использовались для слежки за людьми, а не для кражи денежных средств. Таким вирусом был, например, Pegasus — шпионское ПО, обнаруженное в начале 2020 года. (По данным «Лаборатории Касперского», Pegasus использовал три уязвимости в iOS для чтения SMS и электронной почты жертвы, но выпущенное обновление Apple их устранило.)

Такие атаки очень дороги — их проведение могут себе позволить только спецслужбы и преступные группы с большими бюджетами, указал аналитик. «Например, известный скупщик эксплоитов — компания Zerodium — за такую атаку (эксплоит) предлагает до 1 500 000 долларов. Так что использовать его массово для получения наибольшей финансовой выгоды нецелесообразно. Это приведет лишь к тому, что он достаточно быстро будет раскрыт компаниями по безопасности», — пояснил Салтыков.

Общие правила: как обезопасить свой телефон и данные банковских карт

Пользователям мобильных устройств под Android следует придерживаться общеизвестных рекомендаций: устанавливать приложения только из официального магазина, не открывать незнакомые ссылки из писем, SMS и других мессенджеров и так далее, указал Салтыков.

По словам Анисеня, также им надо использовать новейшие версии ОС (Android 5 или более поздние версии с последними обновлениями), не получать права суперпользователя (так называемый root) и использовать антивирус.

«В вопросе обеспечения безопасности не повредит и собственная бдительность: не стоит устанавливать подозрительные приложения от сомнительных разработчиков даже из Play Store», — добавил эксперт Positive Technologies.

В случае с iOS пользователям достаточно просто вовремя обновлять версию ОС, считает Салтыков из Digital Security. «В iOS находят очень опасные уязвимости, но появление на них вредоносного кода менее вероятно, чем на устройствах с ОС Android», — указал он. Что касается безопасности банковских приложений для iPhone и iPad — это зависит от их разработчика. В них также возможны уязвимости, которые могут привести к краже денег и без вредоносного кода на устройстве, заключил специалист.

Базовая рекомендация для владельцев банковских карт, которую обычно приводят специалисты: лучше подключить SMS-оповещение обо всех операциях по счету — тогда удастся быстро отреагировать на внезапные списания. Также можно поставить лимит на снятие крупных сумм наличных — так мошенники не смогут снять все деньги за один раз.

Malwarebytes для Android

Разработчик: Malwarebytes (США)
Лицензия: Free (бесплатно) / Premium (пробная 30 дней)
Версия: 3.7.2.1 (APK, Google Play)
Обновлено: 2020-08-13
Система: Android 4.4 и выше
Интерфейс: русский / английский
Рейтинг:
Ваша оценка:
Категория: Мобильные антивирусы
Размер: 38.6 MB

О программе

Что нового

Новое в версии 3.7.2.1 (13.08.2020)

  • Исправлена проблема с загрузкой обновлений, которая могла вызвать высокое использование трафика.
  • Исправлена проблема с настройками оптимизации батареи.
  • Незначительные исправления и улучшения.

Новое в Malwarebytes для Android (3.0)

  • Модель Freemium (удаление угроз и восстановление всегда бесплатно)
  • Пробная версия (30-дневный Premium)
  • Текущие пользователи получат защиту реального времени без дополнительных затрат
  • Расширенная защита (Premium)
  • Защита от шифровальщиков с возможностью восстановления
  • Защита реального времени от угроз
  • Расширенное сканирование для обнаружение видоизмененных шифровальщиков
  • Сканирование приложений при установке
  • Виджеты для домашнего экрана
  • Автоматическая проверка ссылок на фишинг
  • Контроль устройств с помощью SMS-команд

Системные требования

Полезные ссылки

Подробное описание

Malwarebytes для Android (ранее Malwarebytes Anti-Malware Mobile) в режиме реального времени защитит ваш смартфон или планшет от вредоносных приложений, шифровальщиков, рекламных модулей и несанкционированных попыток отслеживания.

Основные возможности Malwarebytes для Android

  • Обнаруживает шифровальщики и вредоносные приложения перед тем, как они смогут инфицировать устройство Android.
  • Сканирует приложения в поисках вредоносного кода, распознает потенциально нежелательные (ПНП) и рекламные приложения для поддержания оптимальной работоспособности и производительности мобильного устройства.
  • Во время проверок по требованию обнаруживает вредоносные ссылки в тексте, в том числе в сообщениях электронной почты, в мессенджерах (Facebook, Whatsapp), а также на веб-сайтах.

  • Идентифицирует приложения, которые отслеживают ваше местоположение, выполняют мониторинг вызовов и могут взимать дополнительную плату.

Мощная защита в вашем кармане

Malwarebytes для Android автоматически защищает ваше устройство от широкого спектра киберугроз, включая вредоносные приложения, шифровальщики и попытки несанкционированного отслеживания. Ваше устройство Android будет всегда находится в безопасности.

Сделайте смартфон умнее

Вы уверены, что загруженное приложение действительно безопасно? С Malwarebytes для Android вам никогда не нужно будет беспокоиться о том, содержит ли приложение вредоносный код или включает потенциально нежелательное содержимое. Мощные средства защиты от вредоносных программ, шифровальщиков и рекламного ПО обнаруживают опасные или ненужные программы, прежде чем они смогут украсть персональные данные, шпионить за вами или нарушить работу устройства. Агрессивное обнаружение рекламных и нежелательных приложений позволяет поддерживать оптимальную производительность и работоспособность устройства.

Выберите, что нужно держать в секрете

Не только вредоносные, но и легитимные приложения, могут собирать персональную информацию, например, ваше местоположение, список контактов и др. Malwarebytes для Android обнаруживает, что делают ваши приложения и к каким данным имеют доступ. В результате вы получаете прозрачную информацию о деятельности приложений и можете принимать дальнейшее решение.

Исправьте проблемы безопасности

Malwarebytes для Android автоматически обнаруживает уязвимости безопасности в настройках устройства и дает рекомендации по устранению проблем.

Незаметное влияние на производительность

Malwarebytes для Android сохраняет высокую производительность вашего устройства за счет добавления только необходимых функций безопасности. Вы можете обновлять базы данных только в беспроводных сетях Wi-Fi для экономии мобильного трафика.

Основные функции Malwarebytes для Android

  • Сканирование приложений и файлов в поисках вредоносного кода, шифровальщиков и шпионских модулей.
  • Автоматическое сканирование в режиме реального времени при доступе к файлам или только при самостоятельном запуске (по требованию).
  • Распознавание и блокировка высокоуровневых маскирующихся шифровальщиков с помощью глубокого сканирования.
  • Обнаружение ПНП, включая рекламное ПО и отображение советов, почему не нужно использовать определенные приложения.
  • Сканирование памяти устройства и SD-карты.
  • Сканирование приложений, загруженных за пределами экосистемы Google Play, перед их установкой.
  • Автоматическое обновление базы данных защиты.
  • Текущие пользователи получают защиту реального времени без дополнительных затрат.
Мастер Йода рекомендует:  Редиректы с использованием HTTPS

Аудит приватности

  • Детально определяет права доступа каждого приложения
  • Отменяет права доступа по категориям: контакты, идентификационная информация, служба текстовых сообщений (SMS) и настройки безопасности

Аудит безопасности

  • Обнаруживает уязвимости безопасности
  • Предлагает рекомендации по устранению проблем

Менеджер приложений

  • Идентифицирует запущенные приложения
  • Идентифицирует установленные приложения
  • Активирует белый список доверенных приложений

Виджет для главного экрана

  • Показывает статус безопасности устройства на главном экране
  • Позволяет запускать сканирования с домашнего экрана

SMS-контроль устройства


  • Позволяет удаленно защищать ваш телефон, отправляя SMS-команды

На Andro >Маргарита Герасюкова 10.06.2020, 10:10
  • Компания Google опубликовала исследование, в котором рассказала о семействе приложений-вирусов Triada. Главной задачей этого семейства была установка на устройство пользователя программ, которые показывали большое количество рекламных объявлений. Создатели Triada получали деньги за показы этой рекламы. Google отмечает, что методы, которые использовала Triada, были очень продвинутыми и нетипичными для подобного вида приложений.

    Несмотря на то, что Google активно блокировала деятельность Triada, злоумышленники, стоящие за вирусами, не оставляли попыток заразить гаджеты на базе операционной системы Android. Как сообщает The Verge, хакерам в конце концов удалось разработать метод, согласно которому зловредное ПО проникает на смартфоны еще на заводе во время сборки и задолго до того, как пользователь распаковывает коробку с телефоном или устанавливает свое первое приложение.

    Этот способ задействует сторонних разработчиков программного обеспечения — дело в том, что зачастую у производителей мобильных гаджетов нет ПО, которое обеспечило бы все задуманные функции на смартфоне, поэтому они обращаются к третьим лицам для его создания.

    Таким образом, заражение вирусом происходит в обход системы безопасности производителя — он отдает ОС стороннему разработчику, злоумышленники атакуют разработчика и заражают устройство, разработчик возвращает ОС производителю с уже предустановленным вирусом.

    Google не стала раскрывать детали заражения, но подчеркнула, что случай с Triada наглядно демонстрирует, как хакеры становятся все более изощренными в своих атаках. Компания также не сообщила, какие именно смартфоны были заражены этим вирусом, но портал Ars Technica указывает на то, что в 2020 году случаи контаминации Triada встречались на гаджетах Leagoo и Nomu.

    Также Google отметила важность установки Google Play Services на все телефоны с ОС Android, чтобы своевременно сканировать устройство на вирусы и предотвращать глобальные атаки.

    Впрочем, учитывая количество антимонопольных дел, заведенных в отношении Google за последние пару лет, у Европейского союза наверняка появятся вопросы относительно этой инициативы.

    В январе 2020 года стало известно о новом вирусе-вымогателе на базе Windows. Зловред попадал в систему жертвы при скачивании определенных файлов, а после шифровал практически все документы пользователя. Этот вирус получил название Djvu.

    Метод распространения этого вируса достаточно прост, так как он скачивается вместе с «кряками» — так называют специальные программы, позволяющие обойти защиту легального ПО, чтобы, например, пользоваться им бесплатно. Кроме того, некоторые жертвы Djvu также скачивали утилиты для блокировки рекламы на интернет-сайтах.

    После запуска зловреда на экране появлялось фейковое сообщение, в котором говорилось об установке обновления для Windows. На самом деле в этот момент происходит шифрование практически всех файлов пользователя на компьютере. В каждой папке, содержащей зашифрованные документы, появлялся текстовый файл, в котором злоумышленники объясняли работу вируса. Они предлагали заплатить им денежный выкуп за дешифровку, призывая не пользоваться сторонними программами, так как это может привести к удалению всех документов.

    В сообщении были указаны два адреса электронной почты, по которым можно связаться с хакерами. Кроме того, ниже говорилось о «щедром» предложении — 50%-й скидке, если жертва пришлет выкуп в течение трех ближайших суток.

    В октябре 2020 года эксперты Cisco обнаружили другой опасный вирус на Android.

    Этот троян под названием GPlayed маскировался под магазин приложений и имел большое количество встроенных возможностей — от отправки SMS-сообщений и смены пароля пользователя до вымогательства денег за разблокировку и полной чистки памяти смартфона.

    Сообщается, что главная опасность этого вируса заключалась в том, что он умеет адаптироваться после того, как попадает в систему смартфона на базе Android. Хакер, осуществивший атаку на устройство с помощью GPlayed, получает возможность удаленно загружать плагины и внедрить собственный код.

    «Наш анализ показал, что этот троян пока находится в стадии тестирования, но учитывая его потенциал, каждый владелец смартфона должен знать о GPlayed», — заявили специалисты Cisco Talos.

    Иследование современного Malware Cerberus под Android

    На носу 2020 год и сегодня мы имеем уже версию Android 9.0 Pie, где компания Google бьет себе в грудь и говорит что их продукт защищен. Но злодеи не дремлют и создают свои вредоносы для Android.

    Случайным образом мне попался на руки обфусцированный apk файл, который является банковской малварью под названием «Cerberus», и появился он в 2020 году.

    APK файл данного ботнета попал мне с недействительным адресом соединения с сервером, по этому часть логики работы и функционала осталась неизученной, так как данный ботнет использует «модульную» систему, и подгружает функционал напрямую со своего сервера.

    Анализ apk пакета

    После анализа apk-пакета, я составил структуру троянской программы:

    1. Receiver, autorun + alarm;
    2. Service, работает в цикле с интервалом 8 секунд, он отвечает за показ всплывающего сообщения для включения Accessibility Service, активации функции блокировки экрана и отключения прав администратора;
    3. Service, собирающий данные с датчиков девайса, таким образом малварь получал физическое активность девайса;
    4. Service, в цикле блокирует экран девайса;
    5. Service, отвечает за обмен данных с сервером;
    6. Activity, подгружает html код в WebView, и показывает содержимое, служит для подмены активити приложения банка;
    7. Activity, запрашивает опасные разрешения.
    8. Class, хранит в себе основные строки(String) проекта

    Начнём с манифеста

    Манифест у приложения достаточно интересный, и уже по нему можно определить что это не простое приложение, а обыкновенная малварь.

    Например рассмотрим разрешения для приложения:

    Тут можно заметить, что приложение получает доступ к СМС, контактам, звонкам, интернету, работа приложения в спящем режиме.

    Идём дальше, и видим привилегии, которые позволяют приложению становиться основным для получения\отправки смс, это злодеи используют для скрытия СМС сообщений на телефонах жертв.

    Ну и конечно Ресивер, он служит для автозапуска сервисов, и перехвата СМС.

    Права администратора, это уже намного интереснее. Приложению они нужны для блокировки удаления приложения (при включенных правах администратора, кнопки «удалить» у приложения просто не будет), так же эти права позволят удалить всё с устройства, блокировать девайс.

    Ну и самое интересное, это Accessibility Service. Он используется для того, чтобы малварь могла сама кликать по экрану, и давать себе нужные разрешения, в том числе и админ права. Через это разрешение злоумышленники отслеживают все действия пользователя на устройстве.


    Ну и остальные сервисы и активити, которые не представляют особого интереса без валидного адреса сервера малвари.

    В общем малварь не использует ничего сверхъестественного, в ней нету ни использования каких либо 0-day на андроид. Злоумышленникам нужно добиться от жертвы включения одного разрешения, и не более, дальше малварь всё сделает сама.

    Google надо бы ограничить некоторые возможности API для приложений не из плей маркета.

    Receiver

    Код данного класса обфусцирован, но это не мешает его изучить.

    А теперь немного пояснений по коду.

    Настройки малвари хранятся XML файле, файл находится в директории /data/data/имя_пакета/shared_prefs/Settings.xml

    • public String ReadXML — метод для чтения настроек
    • public String SaveXML — метод для сохранения настроек
    • public boolean DozeMode — Проверяет включен ли режим Doze Mode
    • public class Service_fa extends Service — Сервис для сборки физической активности девайса (шаги, тряска телефона и прочее)
    • public class Service_server extends Service — Сервис для соединения с сервером
    • public class Service_event_loop extends Service — Сервис работающий в беcконечном цикле для выполнений некоторых функций малвари
    • public void startOffDozeMode — запрос для отключения режима Doze Mode
    • public void startAlarm — Запуск ресивера каждые 10 секунд
    • public void interceptionSMS — Метод для работы с перехатом СМС
    • public boolean isAccessibilityService — метод для проверки включен ли Accesibility Service или нет
    • public boolean cis — метод, который блокирует работу малвари по странам, входящим в СНГ, а конкретно это: ua, ru, by, tj, uz, tm, az, am, kz, kg и md (сокращённые названия стран)

    Я постарался привести обфусцированный код выше, в более читаемый и нормальный вид:

    Так думаю код стал более понятен многим читателям.

    У Receiver есть 3 триггера на срабатывание, а это при перезагрузке устройства, получении СМС или при запуске Alarmon.

    Так же Receiver запускает 3 сервиса:

    • Cбор физической активности девайса(Service_fa)
    • Сервис для соединения с сервером(Service_server)
    • Сервис работающий в беcконечном цикле для выполнений некоторых функций малвари(Service_event_loop)

    В первую очередь запускается Service_fa и только после проявления активности устройства (если владелец телефона ходит, и трясёт телефон), запускаются Service_server и Service_event_loop. Они являются основным процессом малвари, таким методом малварь может отъсеять реальный девайсы от эмуляторов и девайсов ресёчеров, ав и прочих.

    Так же Receiver запускает запрос отключения Doze Mode и запрос подтверждения прав администратора.

    Так как малварь имеет привилегии администратора, его нельзя удалить с девайса пока не будут сняты права.

    Права администратора

    Давайте рассмотрим какие возможности мы имеем благодаря Admin Device.

    элемент force-lock отвечает за права блокировки экрана девайса, а wipe-data за удаление раздела DATA, CACHE, и всей памяти на устройстве (его полный сброс).

    Service_fa

    На этом мы закончим рассматривать Receiver, и рассмотрим другие сервисы. Сервис который снимает данные с сенсорных датчиков используя класс SensorManager, этот сервис просто получает данные активности и сохраняет их в файл XML.

    Благодаря этому злодеям получатся получить историю активности и произвести её анализ для отсеивания эмуляторов и особо ленивых пользователей.

    Service_server

    Этот поток создан для общения с сервером, данные передаются на сервер в зашифрованном виде используя алгоритм шифрования RC4 кодируя после него все в base64.

    При запуске сервиса первый запрос на сервер выглядит так:

    Данные отправляемые на сервер я заполнил случайным образом, по названию параметров думаю всё понятно, какой за что отвечает, по этому на их разборе останавливаться не будем.
    Теперь смотрим какие могут быть ответы сервера, малварь проверяет возвращает ли пустой ответ, если да, то начинает перебирать массив доменов серверов в цикле, и отправлять этот запрос на каждый домен, и если в ответе будет строка == «

    «, то малварь останавливается на этом домене и начинает работать с ним.

    Мы определились с каким доменом работаем, теперь смотрим остальные ответы.

    Если возвращается Response == «||youNeedMoreResources||» то сразу идет запрос на сервер для получения дополнительного модуля малвари:
    gate_url?action=getModule&data=
    Идем дальше, Response == «||no||»
    отравляет на сервер запрос gate_url?action=registration&data=JSON:

    Этот запрос служит для регистрации нового пользователя в админ панели, на этом запросы к серверу закончились.

    Но ниже есть условие которое проверяет наличие файла «system.apk».

    если файл присутствует, формируется JSON в виде:
    В параметр response передается ответ с сервера, далее json передается в метод который находится модуле «system.apk» и с помощью класса DexClassLoader он выполняется.

    Service_event_loop

    Данный сервис работает в цикле и ждет команды на блокировку девайса. Девайс блокируется в цикле при помощи прав администратора.

    Данный сервис умеет отключать права администратора, видимо автор малвари это решил сделать для «самоуничтожения» малвари, чтобы не оставлять следов на телефоне жертв.

    Так же цикл имеет 2 скорости работы, 1 секунда и 8 секунд, если Accessibility Service отлючен, то работает на 1-й секунде и просит включить данный сервис, просто открывая Activity и заставляет включить специальные возможности, на практике подробно это рассмотрим.


    В конце цикла также есть реализация как и в Service_server, а конкретне отправка команд в метод, который находится внутри подгруженного модуля «system.apk», но параметры не много другие, смотрим JSON:

    tick — секунды которые считает цикл сервиса, accessibility — проверяет включен ли Accesibility Service.

    Класс String(s)

    Все строки внутри класс зашифрована алгоритмом RC4, после чего закодированы в base64.

    зашифрованный строка: yyshybiwijujYzdkZDdkMjRlYjJmYjU5Y2Qw
    где первые 12 символов страки это ключь расшифрования алгоритма RC4
    Ключи: yyshybiwijuj
    Зашифрованный текст: YzdkZDdkMjRlYjJmYjU5Y2Qw

    Вот часть кода класса String(s)

    Я написал скрипт, для преобразования данных строк в нормальный вид, это помогло мне скоротать немного времени.

    Так же видим что в этом классе хранится:

    URL сервера указан твиттер ресечера Lukas Stefanko(@LukasStefanko), видимо автор хотел пошутить или что-то сказать Лукасу (Это аналитик из NOD32), так же тут хранится имя Accessibility Service + то же название хранится в манифесте andro >

    Остальное

    Кратко опишу работу инжектов. Она реализована просто, если включен Accessibility Service, то данный сервис просто ловит событие о запуске банковского приложения и запускает поверх активити банка свое активити, где оно имеет объект WebView который прогружает html-фейк банка, после чего получает данные с помощью JavaScript и отправляет данные на сервер малвари.

    Так же в этом сервисе реализован Keylogger, блокировки удаления малвари и автоклик по подтверждениями. Было обнаружено взаимодействие отключения безопасности в приложение «com.miui.securitycenter». Это приложение называется «Безопасность» которые используется на девайсах Xiaomi, его основные задачи следить за безопасностью ваших конфиденциальных данных. Так же был обнаружен код для автоматического отключения «Google Play Protect» методом автоклика.

    Перейдем к практике

    Мне удалось найти твиттер злодеев и добыть скриншот админ панели

    Устанавливаю apk-пакет на эмулятор с API 27.

    На рабочем столе появилась иконка флеш плеера с названием «Flash Player»

    Ждем по иконке, и у нас запускается малварь.

    После запуска малвари, автоматический запускается Активити с требованием включения Accessibility Service, если свернуть ее, она появится снова и это происходит в цикле до тех пор пока я не включил сервис.

    После включения галочки Accessibility Service, выполнился автоматический переход с настроек на рабочий стол, и больше у меня не получилось попасть в настройки Accessibility Service, также исчезла иконка с рабочего стола, через несколько секунд появился запрос отключения Doze Mode, он автоматически отключился благодаря автоклику специальных возможностей.

    Cледом таким же образом было авто подтверждения прав администратора. Удалить малварь в ручном режиме не удалось так как при открытие настроек данного приложение был автоматический выход назад (GLOBAL_ACTION_BACK).

    Собственно это все по первой части, в скором времени напишу вторую часть с дополнительным а возможно с основным модулем данного бота, так как найти apk файл малвари с валидной ссылкой на сервер мне не удалось.

    Реверс малвари был реализован совместно с keklick1337

    Смартфоны на Android атаковал опасный вирус

    Специалисты компании Malwarebyte Labs обнаружили, что несколько миллионов смартфонов на базе Android инфицированы вредоносной программой, которая втайне от пользователя майнит криптовалюту.

    Вирус способен временно превращать смартфон или планшет на Android в «криптоферму» — для этого пользователя обманом заманивали на определенный сайт.

    Все выработанные средства автоматически переводятся на кошелек злоумышленников в системе Monero. В среднем одно мобильное устройство тратит около четырех минут в день на майнинг криптовалюты в пользу злоумышленников.

    Для того чтобы добыча Monero прекратилась, пользователям предлагалось ввести код CATPCHA, чтобы «доказать, что вы человек, а не бот».

    Криптовалюта Monero майнится главным образом ботнетами, то есть инфицированными устройствами, объединенными в сеть ради общей цели, а не добропорядочными пользователями, утверждает Андрей Зимин, руководитель компании Clarus, разработчика блокчейн-решений. По его словам, злоумышленники используют фишинговые сайты, различные вложения под видом музыки или приложений для скачивания, чтобы установить майнер на мобильное устройство.

    Одним из главных симптомов заражения криптовирусом является нагрев смартфона. Кроме того, нужно обратить внимание на повышенный расход заряда батареи, подчеркивает эксперт.

    Пользователей смартфонов в РФ и США атаковал модернизированный троян

    Фирма Symanteс выявила серьезный скачок случаев заражения смартфонов трояном xHelper под Android. Эта программа проникла за минувшие 6 месяцев на 45 тыс. аппаратов в РФ и США. Ее особенностью является тот факт, что программа может сама переустановиться на телефон, даже если ее удалят вручную и сбросят все настройки.

    При этом, xHelper атакует пользователя большими объемами рекламы, после чего устанавливает другие вирусы на смартфон. Эксперты указывают, что у xHelper отсутствует привычный пользовательский интерфейс. Эта программа является компонентом приложения, из-за этого она не отображается в списке запущенных приложений. xHelper также не активируется вручную. Его работа стартует поле конкретного события, которым может быть подключение питания к аппарату или установка приложений. Троян регистрируется в роли приоритетной программы. Это уменьшает возможность того, что он будет закрыт системой после исчерпании памяти.

    Перезапуск трояна проходит автоматически. Эксперты сообщают, что xHelper ими был зафиксирован в первый раз весной текущего года. Тогда еще это был обычный накрутчик рекламы. При этом, его функциональность серьезно увеличилась. Эксперты Symantec полагают, что разработка трояна активно продолжается. Специалисты не установили, как точно троян попадает на смартфон. Его следов не было найдено в магазине Google Play.

    Есть мнение, что какое-то приложение, которое является одновременно вредоносным и системным, скачивает регулярно троян. Эксперты прорабатывают такую версию.

    Пока не установлена причина заражения, эксперты Symantec обнародовали рекомендации по борьбе с xHelper. Нельзя скачивать программы с непроверенных сайтов. Не лишним будет использование антивируса и регулярное обновление всех программ. Всю важную информацию нужно сохранять на резервных источниках.

    Почти половина всех Andro >

    Злоумышленники научились подделывать специальные SMS-сообщения, которые обычно приходят от операторов связи. В результате такой атаки пользователям меняют настройки устройства, что позволяет перенаправлять электронную почту и трафик через вредоносный сервер. По словам экспертов, под угрозой почти половина всех смартфонов на Android.

    О новом векторе атаки подробно рассказали в своём отчете эксперты компании Check Point. Речь идёт о сообщениях, в которых операторы рассылают инструкции OMA CP.

    Такие инструкции используются для автоматической установки настроек сети на мобильном устройстве пользователя. Для этого оператор отправляет специальное SMS-сообщение.

    Стандарт OMA CP используется не только при взаимодействии абонента и поставщика связи — крупные предприятия задействуют рассылку таких сообщений для установки прокси на всех корпоративных устройствах.

    Согласно отчёту Check Point, четыре крупных производителя смартфонов на Android не смогли обеспечить безопасную имплементацию этого стандарта. Этими производителями стали: Samsung, Huawei, LG и Sony.

    Устройства вышеозначенных компаний принимают такие сообщения даже от непроверенных источников.

    Легче всего в этом случае атаковать смартфоны от Samsung. По словам команды Check Point, устройства корейского производителя принимали любые сообщения OMA CP без аутентификации и верификации.

    Смартфоны Huawei, LG и Sony оказались защищены чуть лучше — прежде чем принять сообщение, они требовали, чтобы отправитель предоставил код IMSI.

    IMSI-код является эквивалентом IP-адреса, именно благодаря этому коду операторы отличают своих абонентов.

    В теории код IMSI не должен быть легкодоступен, но на деле все печальнее. Мобильные операторы предоставляют платные сервисы, с помощью которых можно перевести номера телефонов в IMSI-коды.

    Это значит, что атакующий может получить IMSI непосредственно у оператора за небольшую плату. Более того, почти треть приложений для Android имеют доступ к IMSI. Другими словами, злоумышленник может получить этот код через вредоносное приложение.

    Большинство затронутых производителей смартфонов уже выпустили патчи:

    • Samsung устранил уязвимость SVE-2020-14073.
    • LG выпустила патч для LVE-SMP-190006.
    • Huawei планирует устранить эту проблему с выходом следующего поколения Mate.

    Sony — единственная на данный момент компания, отказавшаяся признать наличие уязвимости. Стало быть, патчи для смартфонов этой компании пока не планируются.

  • Добавить комментарий