Мне подарили

18:44 08.10.2014

SMS-трояни стали найбільшою загрозою для Android-користувачів

Найпоширенішим типом шкідливого програмного забезпечення (ПО) для користувачів Android-пристроїв за період з серпня 2013 року по липень 2014 стали троянські програми, що розсилають без відома власника пристрою SMS-повідомлення на платні номери. Про це йдеться в спільному дослідженні «Лабораторії Касперського» і Інтерполу.

На їх частку припало 57 відсотків усіх спрацьовувань захисних продуктів «Лабораторії Касперського» для Android-пристроїв.

На другому місці за поширеністю сімейство RiskTool (21,5 відсотка інцидентів) — умовно легальні програми, які, тим не менш, можуть бути знаряддям зловживань (відсилання SMS, передача геолокаційні даних і пр). На третьому, з часткою 7,4 відсотка — додатки з нав'язливою рекламою, яка відображається у спливаючих вікнах і повідомлення в рядку стану.

Всього за період з серпня минулого року по липень 2014 захисні продукти компанії зареєстрували понад 3,4 мільйона спрацьовувань на небезпечне ПО для мобільних Android-пристроїв у більше одного мільйона користувачів.

За даними компанії, з жовтня минулого року число атак на Android-пристрої стало активно рости. Так, тільки за перші два квартали 2014 аналітики виявили 175,4 тисячі нових унікальних шкідливих програм під Android, що на 18,3 відсотка (або на 32,2 тисячі програм) більше, ніж за весь 2013 рік.

Основними цілями кіберзлочинців, які заробляють на шкідливих програмах для Android, є користувачі з Росії, Індії, Казахстану, В'єтнаму, України та Німеччини. Аналітики пов'язують це з поширеністю в зазначених країнах сервісів оплати контенту і онлайн-послуг за допомогою платних SMS-повідомлень — для зловмисників це привабливий спосіб монетизації шкідливих атак, оскільки він дозволяє анонімно виводити гроші з передплатних рахунків абонентів стільникового зв'язку на сторонні банківські рахунки.

Джерело

Метки: Android, SMS-троян
17:03 12.09.2014

Новий троянець-вимагач встановлює пароль на Android-пристрої

Судячи з постійно зростаючого числа модифікацій троянців-вимагачів, що заражають мобільні Android-пристрої, кіберзлочинцям припало до смаку нове джерело незаконного заробітку. Більшість розповсюджуваних ними шкідливих програм діє за вже відпрацьованою схемою: після запуску вони блокують заражені пристрої і вимагають оплату за розблокування. Однак виявлений вірусними аналітиками компанії «Доктор Веб» черговий троянець-вимагач володіє більш широким функціоналом: крім блокування зараженого пристрою з типовим вимогою викупу, він також може самостійно встановити пароль на розблокування екрану, задіявши для цього стандартну системну функцію. Більш того, ця шкідлива програма здатна виконувати відправку різних СМС-повідомлень, що може нанести потенційній жертві ще більший фінансовий збиток.

Новий троянець, доданий в вірусну базу Dr.Web під ім'ям Android.Locker.38.origin , є представником зростаючого сімейства шкідливих програм ,що блокують мобільні пристрої користувачів і вимагають викуп за їх розблокування. Даний Android-вимагач поширюється кіберзлочинцями під видом системного оновлення та після свого запуску запитує доступ до функцій адміністратора пристрою. Далі троянець імітує процес установки оновлення, видаляє свій значок з головного екрана, після чого передає на віддалений сервер інформацію про успішне зараження і чекає подальших вказівок.

Команда на блокування цільового пристрою може бути віддана зловмисниками як за допомогою JSON-запиту з веб-сервера, так і у вигляді СМС-повідомлення, що містить директиву set_lock. Як і багато троянці сімейства Android.Locker, Android.Locker.38.origin блокує пристрій, демонструючи повідомлення з вимогою викупу, яке практично неможливо закрити.

Однак якщо потерпілий користувач все ж спробує видалити вимагача, відкликавши у шкідливої ​​програми права адміністратора, Android.Locker .38.origin задіє додатковий рівень блокування, який відрізняє його від інших подібних Android-загроз.

Спочатку троянець переводить заражений пристрій в режим очікування, блокуючи екран стандартною системною функцією. Після його розблокування він демонструє помилкове попередження про видалення всієї що зберігається в пам'яті пристрою інформації. після підтвердження вибраної дії екран пристрою знову блокується, і троянець активує вбудовану в операційну систему функцію захисту паролем при виході з режиму очікування.

Незалежно від того, була задіяна ця функція раніше чи ні, шкідлива програма встановлює на розблокування мобільного пристрою власний пароль, що складається з числової комбінації «12345». Таким чином, заражений Android-смартфон або планшет остаточно блокується до отримання зловмисниками оплати (блокування може бути знято ними за допомогою керуючої команди set_unlock) або виконання користувачем повного перезавантаження пристрою.

Крім блокування мобільних пристроїв, Android.Locker.38.origin також може виступати і в ролі СМС-бота, виконуючи по команді кіберзлочинців відправку різних СМС-повідомлень, що може привести до додаткових фінансових втрат.

http://www.bezpeka.com/ru/news/2014/09/12/ransom-trn.html

Метки: Android, пароль, троянець вимагач
09:17 12.09.2014

Додатки Microsoft і eBay для Android-пристроїв уразливі до атак "людина посередині"

350 додатків для Android-пристроїв уразливі до атак типу "людина посередині" через код, який не дозволяє перевіряти справжність цифрових сертифікатів по SSL-протоколу.

Про це заявив представник команди швидкого реагування на кібрзагрози США (CERT) Вілл Дорманн (Will Dormann).

Більшість з цих додатків розміщені в Google Play і магазині Amazon. Серед вразливих програм можна виділити Microsoft Tech Companion, eBay Germany, а також додаток мережі магазинів Cole, який працює з кредитними картками клієнтів, та інші.

Дорманн заявив, що автори небезпечних додатків були повідомлені про проблему і в даний час намагаються її вирішити.

За заявами Дорманн, уразливості в додатках вже можуть використовуватися зловмисниками. Зокрема, клієнти додатків від Cole можуть стати жертвами витоку конфіденційної інформації.

Хакери можуть отримати доступ до їх особистих даних, провівши атаку типу «людина посередині», перехоплюючи передану по Wi-Fi інформацію. Для того щоб не стати жертвами зловмисників, користувачі повинні видалити додатки зі своїх пристроїв до того часу, поки вони не будуть виправлені.

Джерело

Метки: Microsoft, Android, атаки, eBay, Додатки, викрадення персональних даних
08:26 12.09.2014

Платформа Android обігнала Windows по числу заражених пристроїв

Як повідомляє ресурс ITWire, кількість Android-пристроїв, заражених шкідливим програмним забезпеченням, перевищило число персональних комп'ютерів на базі операційної системи Windows. Варто відзначити, що мова йде тільки про пристрої, підключених до мобільних мереж.

Цим питанням зайнялася дослідницька лабораторія Kindsight Security Labs компанії Alcatel-Lucent. Згідно з отриманими даними, число заражених Android-пристроїв за перші шість місяців 2014 збільшилося на 14%, що показує в два рази більше зростання в порівнянні з попереднім роком. На даний момент, за результатами першого півріччя поточного року, 15 мільйонів (0,65%) Android-пристроїв заражені шкідливими програмами, що в значній мірі більше, ніж 11300000 (0,55%) пристроїв в кінці 2013 року.

Згідно звітом, в мобільних мережах 60% заражених пристроїв працюють на Android, а інші 40% припадають на ноутбуки на базі Windows, підключені до Мережі за допомогою смартфонів або мобільних модемів. При цьому сумарна кількість заражених пристроїв на базі Windows Phone, iPhone і BlackBerry досягає значення менше 1%.

"Смартфони на Android є найпростішою мішенню для шкідливих додатків. При цьому ноутбуки на Windows як і раніше залишаються головною метою для професійних кіберзлочинців", — заявив Кевін МакНейм, глава з безпеки і директор Alcatel-Lucent Kindsight Security Labs.

У більшості випадків шкідливі додатки ховаються під виглядом звичайних програм та ігор, які Android-користувачі скачують з сторонніх магазинів додатків або неперевірених ресурсів. Такі додатки часто націлені на "крадіжку" особистої інформації користувача або відправки платних SMS-повідомлень.

Шкідливе ПЗ було виявлено в списку 20 найпопулярніших Android-додатків, чотири з яких віддалено відстежували розташування користувача, його зв'язки та історію браузера.

Джерело

Метки: windows, Android
10:21 19.08.2014

Найден способ превратить смартфон в подслушивающее устройство

Исследователи нашли способ превратить в прослушивающее устройство почти любой современный смартфон. Снятие звуковых колебаний они предложили осуществлять с помощью гироскопа, доступ к которым в операционных системах Android и iOS открыт любым приложениям.

Ученые из Стэнфордского университета и Национального центра исследований и моделирования Рафаэль в Израиле придумали способ превращения в прослушивающее устройство практически любого смартфона. Снятие звуковых колебаний они предложили осуществлять не с помощью микрофона, а с помощью детали смартфона, мысль о которой возникает в последнюю очередь, — гироскопа.

Гироскоп — это датчик, позволяющий отмечать положение смартфона в пространстве. В современных смартфонах используются гироскопы MEMS — представляющие собой электронную версию вибрационного гироскопа. Круг их задач широк: это управление в играх путем отклонения устройства, работа оптической системы стабилизации в камерах, и поворот изображения на экране при изменении положения самого устройства.

Исследователи выяснили, что чувствительность гироскопов, устанавливаемых в смартфоны, достаточна для того, чтобы использовать их для фиксирования звуковых колебаний. Причем доступ приложений к этому датчику ничем не ограничен — у пользователя даже не надо спрашивать на это разрешения. Ученые написали приложение для Android, которое подключается к гироскопу смартфона и записывает звуковые колебания. И дополняющее программное обеспечение для ПК — в него записанные колебания выгружаются для распознавания человеческой речи в этих колебаниях.

Решение способно верно распознать до 65% цифр, произнесенных одним и тем же человеком в одном помещении и с точностью до 84% определить его пол, а также распознать интонацию пяти отдельных собеседников в помещении. Один из участников исследовательской группы Дэн Боне (Dan Boneh) утверждает, что точность распознавания можно повысить, если продолжить работу над программным обеспечением.

Этих результатов исследователям удалось добиться на смартфонах под управлением Android. Дело в том, что эта операционная система считывает с гироскопа сигнал с частотой до 200 Гц, что составляет более половины частотного интервала человеческого голоса (80-250 Гц). С iPhone ситуация иная — операционная система Apple iOS использует частоту только до 100 Гц, что существенно снижает качество распознавания.

Речь исследователи пока распознавать не научились. «Мы сможем вычленить несколько слов из фразы. Для прослушки этого явно не достаточно. Но нашей целью и не было создание подслушивающего прибора — мы лишь хотели показать, что теоретически это возможно делать таким необычным способом», — рассказал Боне. Команда собирается выступить с докладом на следующей неделе на конференции Usenix, в комитет которого входят сотрудники Google.

Между тем, это не первый случай, когда опасными признают, казалось бы, совсем безобидные датчики в смартфонах. В 2011 г. исследователи из Технологического института Джорджии показали, что акселерометр мобильного устройства можно использовать для идентификации клавиш, нажимаемых на расположенной рядом компьютерной клавиатуре.

http://www.bezpeka.com/ru/news/2014/08/18/gyro-phone.html

Метки: смартфон, Android, подслушивающее устройство, гироскоп
17:09 03.02.2014

Google і Samsung домовилися почистити Android

"Батьки" Андроїда і найуспішніші виробники "телефонних лопат" вирішили, що пора перейти від взаємних звинувачень до співпраці. Останнім часом Samsung намагалися активно відійти від додатків і магазину від Google, сконструювавши свій «Samsung Hub» і помістивши його в планшети і смартфони лінійки Galaxy в якості альтернативи для магазину додатків Google Play.

Власні аналоги в Samsung створили і для поштових клієнтів, браузера, системи відправки повідомлень і одержання повідомлень. Тепер же, згідно інформації від Re/code , між Гуглом і Самсунгом досягнута домовленість, що корейська компанія не буде більше дублювати додатки від Google на своїх пристроях сімейства Galaxy. Не уточнюється, які саме фірмові самсунговскі додатки будуть видалені / більше не будуть поставлятися на смартфонах і планшетах з Південної Кореї.

Переговори між Samsung і Google почалися ще напередодні виставки Consumer Electronics Show. Ще тоді в Google були незадоволені тим, що корейський бренд активно копіює і являє власні аналоги тим мультимедіа — можливостям і сервісів, які і так є в мобільній ОС Android.

Повідомляється також, що інсайдери, що працювали над проектом ОС Tizen, кажуть, що вже кілька місяців всі роботи над цією операційною системою заморожені, і навряд чи вона зможе конкурувати з Android (хіба що буде створений якийсь форк за аналогією з тим, що організували в Amazon для лінійки планшетів Kindle Fire, грунтуючись все на тому ж старому доброму Андроїд). Але це — справа майбутнього; а поки що власників телефонів і планшетів Samsung чекає «чистка» від дублюючих додатків.

http://www.bezpeka.com/ua/news/2014/02/03/google-samsung.html

Метки: Google, Android, Samsung
07:52 09.12.2013
Андрій Крупко опубликовал запись в сообщество Интересное для всех!

"Фонарик" для Android уличили в сборе данных о пользователях

Федеральная торговая комиссия США (FTC) уличила разработчиков приложения «Фонарик» для операционной системы Android в незаконном сборе данных о пользователях. Об этом говорится в пресс-релизе FTC, опубликованном 5 декабря.

Программа, в русском переводе носящая название «Яркий Фонарик Бесплатно», включает вспышку смартфона или планшета и заставляет экран светиться белым цветом, позволяя тем самым использовать устройство в роли осветительного прибора.

Выяснилось, что помимо выполнения своих основных функций, приложение фиксирует «точное местоположение» пользователя и отправляет эти данные, вместе с идентификатором устройства, «третьим лицам», в том числе и рекламодателям.

Факт сбора данных упоминается в «Лицензии», которая отображается на экране при первом запуске программы. Пользователь может принять условия документа и продолжить работу с программой, либо отказаться — в этом случае приложение закроется.

Торговая комиссия, однако, установила, что на самом деле «Яркий Фонарик Бесплатно» начинал собирать и отправлять информацию еще до того, как пользователь принимал или отклонял условия «Лицензии».

Какой объем данных успели собрать разработчики программы — компания GoldenShores Technologies, LLC, — не уточняется, однако по данным Google Play приложение загрузили из магазина свыше пятидесяти миллионов раз.

GoldenShores и FTC заключили мировое соглашение: комиссия не будет накладывать на разработчиков штраф, если они проинформируют пользователей о факте сбора данных, расскажут, куда эти данные поступают, и удалят всю ранее собранную информацию.

Пользователи Android имеют возможность запретить приложениям использовать данные о своем местоположении. Для этого нужно снять соответствующую «галочку» в меню настроек операционной системы. Аналогичная функция есть и в iOS.

http://naked-science.ru/

Метки: Android, сбор данных, «Фонарик»
12:52 13.11.2013

F-Secure: В третьому кварталі виросла кількість загроз для мобільних платформ

Згідно звіту F-Secure Labs, з липня по вересень 2013 року, було виявлено 259 нових видів шкідливого ПЗ і різновидів існуючих вже видів вірусів. 252 з них призначені для платформи , 7 — Symbian.

З них 88% — трояни, 2,7% — трояни-шпигуни, 1,6 – трояни-завантажувачі.

До того ж було виявлено новий набір інструментів Androrat APK, який спрощує процес впровадження шкідливого коду в легітимні Android-додатки. Росте не лише кількість шкідливого ПЗ для мобільних платформ, вони постійно удосконалюються та ускладнюються. Так, кожна п’ята загроза – бот.

http://slovo-motivator.webnode.com.ua/novosty/novini-%D1%96t/

Метки: Android, звіт, F-Secure
05:52 08.11.2013

Доктор Веб: Октябрь текущего года стал месяцем троянов-вымогателей

В течение октября 2013 года в Сети наблюдался всплеск активности вредоносных приложений, вымогающих у владельцев зараженных компьютеров плату за расшифровку их файлов. Кроме того, в отчетный период была выявлена новая схема обмана владельцев карт Сбербанка, связанная с рассылкой фальшивых СМС-уведомлений.

Так, злоумышленники используют номера, похожие на короткие номера Сбербанка (900, 9000, 9001, 8632, 6470, SBERBANK), для рассылки мошеннических СМС-сообщений о блокировке карты якобы из-за подозрительной активности.

"Для получения инструкций о дальнейших действиях жертве предлагают позвонить по номеру +7(499)504-88-24. Мошенник, представляясь оператором call-центра, сообщает, что клиенту необходимо как можно скорее дойти до ближайшего банкомата и перевести денежные средства со счета карты на новый счет", — поясняют Доктор Веб.

Что касается угроз непосредственно для мобильных устройств, то наибольшего внимания заслуживает появление трояна Android.Spy.40, созданного для кражи конфиденциальных данных. При его создании разработчики использовали уязвимость в Android, что позволяет вирусу избегать обнаружения антивирусными решениями.

Ознакомиться с отчетом можно здесь.

http://www.bezpeka.com/ru/news/2013/11/07/ransom-trns.html

Метки: Android, ТРОЯН, Доктор Веб
08:16 02.11.2013

Патентные баталии ведущих IT-компаний

Apple, Microsoft, BlackBerry, Ericsson и Sony, входящие в консорциум Rockstar, предъявили иски о нарушении патентных прав против Google и нескольких крупных компаний-производителей смартфонов на базе Android.

В Окружной суд США по Восточному округу штата Техас поступило заявление от Rockstar, в котором популярнейший поисковик обвиняется в нарушении 6 патентов, связанных с контекстной рекламой. Компаниям, производящим Aandroid-смартфоны, досталось не меньше – они обвиняются в нарушении 7 патентов. В них идет речь о «навигационном инструменте для графического пользовательского интерфейса», «интегрированном центре сообщений», «фильтре интернет-протокола» и других технологиях.

Rockstar считает, что корейские производители Samsung не имеют права использовать технологию, превращающую аппарат в точку доступа W-Fi, а также незаконно используют поддержку «функции галереи, электронной почты, карт и браузера»в своей операционной системе.

Напомним, что этот консорциум образовался в 2011 году. На данный момент Rockstar владеет портфелем Nortel Networks, состоящем из более чем 6 тысяч патентов. На него в свое время претендовал также и Google, но на аукционе они предложили сумму в 4,4 миллиарда, тогда как консорциум «гигантов» – 4,5 миллиарда долларов.

Компания Google не смирилась с таким исходом и приобрела у IBM более тысячи патентов, а в феврале 2012-го купила Motorola Mobility и ее разработки за 12,5 миллиарда. Таким образом, интернет-гигант постарается защитить Android от атак Rockstar в этой мировой патентной войне.

http://naked-science.ru/

Метки: Microsoft, Apple, Android, BlackBerr, Ericsson и Sony, Окружной суд США
18:02 15.10.2013

Ослабление шифрования в Android SSL после версии 2.3

Как выяснилось, операционная система Android использует крайне уязвимые RC4 и MD5 в качестве первого шифра по умолчанию для всех SSL-соединений. Проблема затрагивает приложения, в которых явно не прописано использование других шифров, то есть де-факто почти все приложения Android.

Что самое интересное, комбинацию RC4-MD5 стали использовать по умолчанию с декабря 2010 года, когда состоялся релиз Android 2.3. До этого момента в SSL использовалась более сильная криптография. Первым шифром по умолчанию была комбинация DHE-RSA-AES256-SHA.

Расследование показало, что ослабление шифра по умолчанию произошло перед выходом Android 2.3. До этого момента Android просто использовал стандартный список OpenSSL, однако сделанное сотрудниками Google в мае 2010 года изменение в коде добавило в Android собственный список шифров, который соответствует стандартам CipherSuite из JDK 6, принятым в 2002 году.

Список шифров в Java обновился c выходом JDK 7, но в Android он остался старым из JDK 6

http://www.bezpeka.com/ru/news/2013/10/15/RC4-MD5.html

Метки: Android, Java, шифрование
20:34 10.09.2013

Раскрыты пути распространения Android-бекдора Oba

В конце мая этого года, был обнаружен один из самых многофункциональных Android-троянов под названием Obad.a.

Основными жертвами трояна стали пользователи мобильных сетей России и стран СНГ. При инфицирование системы, Obad.a использовал сразу несколько, на тот момент, неизвестных уязвимостей: ошибки в программе dex2jar, а также в ядре ОС Android, позволяющие получить расширенные права DeviceAdministrator. Получив контроль над системой, троян отправлял информацию об устройстве и состояние счета абонента в управляющий центр, вместе с тем организуя бэкдор для выполнения удаленных команд: отправка SMS-сообщений; организация прокси-сервера; DDoS-атака; открытие заданного веб-адреса; загрузка и установка произвольного ПО; получение списка контактов; выполнение удаленных команд в консоли; взаимодействие с Bluetooth-устройствам; и многие другие.

Одним из основных способов распространения трояна была спам-рассылка. Но, как показало новое исследование, это был не единственный способ распространения. Самым интересным среди обнаруженных способов стал мобильный ботнет на основе трояна Trojan-SMS.AndroidOS.Opfake.a. С его помощью злоумышленники рассылали SMS-сообщения с приглашением просмотреть MMS, содержащее ссылку для загрузки Backdoor.AndroidOS.Obad.a.

Еще одним источником распространения Obad.a стали поддельные магазины приложений, позволяющие установить популярные мобильные приложения и игры. В ходе мониторинга было обнаружено два таких каталога приложений. Кроме того, для распространения трояна использовалась сеть из более чем 120 взломанных веб-сайтов. Эти веб-сайты содержали модифицированный файл ".htaccess" переадресовывающий пользователя на скрипт загрузки и установки бэкдора Obad.a.

Процесс заражения скрывался под предложением посетить мобильную версию просматриваемого веб-сайта.

Делая выводы, эксперты компьютерной безопасности акцентируют внимание на большом финансирование проводимой атаки, связанным с организацией платной SMS-рассылки, а также покупкой мобильного ботнета и взломанных веб-сайтов. Вместе с тем, возможности трояна Obad.a демонстрируют растущую угрозу информационной безопасности со стороны мобильных устройств.

Антивирусные эксперты обращают внимание, что далеко не все мобильные устройства позволяют производить обновление ОС Android до текущих версий из-за жесткой привязки к оборудованию и модификаций, проводимых производителями устройств. Поэтому, для защиты мобильных устройств, уже сейчас, следует применять современные антивирусные средства, которые сокращают возможное время разговоров по телефону, но обеспечивают защиту персональных данных и денежных средств абонентов мобильной связи.

http://www.bezpeka.com/ru/news/2013/09/10/Obad-a.html

Метки: Android, ТРОЯН, бекдор, Obad.a
13:30 01.09.2013
Андрій Крупко опубликовал запись в сообщество Интересное для всех!

Силовые структуры США признали Android самой небезопасной мобильной платформой

Департамент национальной безопасности США (DHS) и Федеральное бюро расследований (ФБР, FBI) провели исследование безопасности современных мобильных платформ и пришли к выводу о том, что Android является самым слабым звеном в этой цепи.

Большого открытия специалисты не сделали. Все-таки это самая популярная мобильная платформа в мире, как магнит привлекающая всяких кибер-хулиганов и вирусописателей. Но столь масштабного исследования безопасности этой ОС ранее не проводилось. Для силовых структур США это важный вопрос, так как многие госслужащие пользуются смартфонами на базе мобильной платформы Google.

DHS и ФБР рекомендуют пожарным, полицейским и другим кризисным службам осторожно использовать Android-смартфоны. Причина простая — 79% зарегистрированных вредоносных атак произошли именно на Android.

Для сравнения, у iOS этот показатель составляет 0,7%, у Symbian — 19%, у Windows Mobile и BlackBerry – по 0,3% соответственно. Половина атак осуществлена с помощью SMS-сообщений, которые устанавливали вредоносное ПО.

Одной из причин такого положения мобильной платформы Google в плане электронной безопасности силовые ведомства США назвали фрагментацию платформы.

Да, интернет-компания старается оперативно закрывать дыры и постоянно повышает качество электронной защиты ОС, но новейшее ПО очень медленно распространяется на устройствах других производителей, а многие модели вообще не получают программного обновления.

http://www.bezpeka.com/ru/news/2013/08/29/Android-vulnerability.html

Метки: Android, вредоносное ПО
17:20 15.08.2013

Google подтвердила наличие в Android уязвимости, связанной с Bitcoin


Google подтвердила наличие уязвимости в Android, используя которую можно похищать цифровые кошельки Bitcoin. Инженер по системной безопасности Android Алекс Клюбин в среду опубликовал на ресурсах Google данные о причинах уязвимости. "Мы обнаружили, что приложения, которые используют Java Cryptography Architecture (JCA) для генерации ключей, подписей или генерации случайных чисел, не всегда получает криптографически стойкие значения на Android-устройствах, что происходит из-за неверной реализации технологии PRNG… Приложения, которые напрямую используют OpenSSL PRNG без инициализации механизма Android тоже подвержены уязвимости", — пишет он.
Серьезная уязвимость была выявлена в воскресенье рядом Bitcoin-разработчиков. Уязвимость возникала в компоненте генерации случайных чисел. Так как проблема крылась в самой ОС, то ей оказались подвержены все Bitcoin-программы, работающие с данной ОС.
По оценкам Symantec, в результате похожей уязвимости в Android SecureRandom-компоненте могут быть уязвимы и порядка 360 000 других приложений. В Symantec говорят, что некоторые bitcoin-приложения используют данный класс не только для защиты кошельков, но и для генерации чисел-идентификаторов транзакций, что позволяет подделывать платежные операции в Bitcoin.

"Так как транзакции в Bitcoin являются публичными, атакующие могут использовать генераторы чисел нужной последовательности, чтобы ставить под угрозу всех пользователей системы", — говорят в Symantec.

http://www.bezpeka.com/ru/news/2013/08/15/Bitcoin-flaw.html

Метки: Google, Android, уязвимости, Bitcoin
17:48 07.08.2013

Хакеры начали использовать уязвимость с мастер-ключом Android

ИТ-специалисты обнаружили еще одно вредоносное приложение, эксплуатирующее критическую уязвимость в операционной системе Android и позволяющее организаторам атак встраивать вредоносный код в приложение, не изменяя цифровой подписи самого приложения. Впервые новая вредоносная техника была обнаружена в Android-приложении крупнейшего южнокорейского банка NH Nonghyup Bank при помощи систем мониторинга японской антивирусной компании Trend Micro.

В Trend Micro говорят, что в оригинальной версии банковского приложения никаких вредоносов нет, но в обновлении они уже есть. Издатели "обновления" использовали для реализации задумки ранее появившуюся уязвимость, связанную с так называемым мастер-ключом Android. За счет наличия мастер-ключа операционная система в любом случае пропускает приложение, хотя его вторичная подпись уже была нарушена. На практике такой подход открывает для злоумышленников новые методы по проникновению к пользовательским данным и компрометации устройств.

В Google обещают закрыть уязвимость с мастер-ключом уже в следующем обновлении Android.

http://www.bezpeka.com/ru/news/2013/08/07/hackers-exploit-master-key-flaw.html

Метки: хакеры, Android, уязвимость, мастер-ключ
19:40 02.08.2013

Обнаружен новый троян, использующий уязвимость Android-смартфонов

Вредоносная программа, использующая уязвимость ОС Android, обнаружена производителем антивирусов Dr. Web, говорится в официальном сообщении компании. Троян, который внесен в вирусную базу под названием Android.Nimefas.1.origin, способен отправлять SMS без ведома пользователя, передавать злоумышленникам конфиденциальную информацию и выполнять ряд команд, полученных с удаленного управляющего узла.

Программа заражает смартфоны под управлением ОС Android при установке приложений, используя уязвимость Master Key (Полезная ссылка: прошивка iPad). Как ранее сообщал Digit.ru, эта уязвимость была недавно обнаружена специалистами компании Bluebox Security. Суть уязвимости — в методе обработки устанавливаемых программ одним из компонентов Android: если в подкаталоге apk—пакета содержатся два файла с одинаковым названием, проверяется цифровая подпись только первого файла, а второй устанавливается без проверки. Android.Nimefas.1.origin как раз является тем самым вторым одноименным dex-файлом, модифицированным киберпреступниками, и уязвимость позволяет легко обходить защиту операционной системы.

Новый троян, запустившись на инфицированном мобильном устройстве, проверяет активность антивирусов и наличие root-доступа. В случае если таковых не обнаружено, Android.Nimefas.1.origin отправляет IMSI (международный идентификатор мобильного абонента) на случайный номер из адресной книги зараженного телефона. Затем вирус рассылает по базе контактов SMS с текстом, загруженным с удаленного узла управления. Сама база контактов в свою очередь передается на сервер злоумышленников. Кроме того, Android.Nimefas.1.origin способен скрывать входящие сообщения от пользователя, используя фильтр по номеру или тексту SMS, также полученный с узла управления.

Троян распространяется вместе с приложениями, доступными для загрузки с одного из китайских сайтов-каталогов ПО. Руководство сайта оповещено об угрозе для пользователей, а удаленный сервер, который использовался злоумышленниками для управления Android.Nimefas.1.origin, на данный момент уже не функционирует.

Однако техническая легкость, с которой возможен взлом Android через уязвимость Master Key, делает весьма вероятным широкое распространение похожего вредоносного ПО во всем мире в ближайшее время.

http://www.bezpeka.com/ru/news/2013/08/02/Android-rrn.html

Метки: смартфон, Android, ТРОЯН, Dr. Web
16:15 23.07.2013

В Google Play обнаружились два приложения, использующих опасную уязвимость Android

Старший аналитик антивирусной компании Bitdefender Богдан Ботезату обнаружил в Google Play две игры, использующие потенциально опасную уязвимость для Android, самой популярной операционной системы для смартфонов и планшетов. Первую игру — Rose Wedding Cake Game — установили до 10 000 пользователей, вторую — Pirates Island Mahjong — до 50 000.

Причин для паники пока нет, пишет Ботезату в блоге: игрушки не делают ничего опасного. Они содержат по два файла формата PNG (компьютерный формат изображения) с одинаковым названием, это часть интерфейса обеих игр. При установке система проверяет сертификат одного изображения, а устанавливает второе. Скорее всего, это происходит по ошибке, считает Ботезату, но точно так же можно установить взамен известной игры или программы вредоносное приложение.

Первым об обнаруженной уязвимости в Android написал в начале июля Джефф Форристэл, технический директор компании Bluebox Security. «Дыру» назвали Master Key («ключ от всех дверей»), с ее помощью можно запустить на устройстве под управлением Android вместо легального приложения, подписанного цифровым сертификатом известного разработчика, вредоносную программу безо всякого сертификата. Описать уязвимость подробнее Форристэл пообещал на хакерской конференции BlackHat 1 августа. Но, не дожидаясь этого, суть проблемы описали разработчики альтернативной Android-прошивки CyanogenMod. Действует Master Key на устройствах под управлением Android начиная с версии 1.6 (четырехлетней давности).

Google уже выпустила программу-заплатку для Master Key, знает представитель антивирусной компании «Доктор Веб» Кирилл Леонов, но этого мало: нужно, чтобы такие же заплатки для конкретных телефонов и планшетов выпустили и сами их производители. Между тем производители обычно не выпускают обновления для старых моделей, выпущенных несколько лет назад. Поэтому, если злоумышленники возьмут Master Key на вооружение, от них может пострадать значительная часть пользователей Android-фонов, предупреждает Леонов.

http://www.bezpeka.com/ru/news/2013/07/23/apps-using-android-flaw.html

Метки: Android, приложения, уязвимость, Google Play
18:23 22.07.2013

RAT-вредоносы атакуют Android

Рынок программ класса RAT (Remote Access Tools) уже давно развивается и пользуется спросом у хакеров, организующих как индивидуальные, так и корпоративные атаки. Такие решения были в свое время использованы для атаки на неправительственные организации, политические партии или просто для перехвата данных с веб-камер. Однако до сих пор пользователи смартфонов оставались вне поля зрения авторов RAT.

Впрочем, сейчас ситуация меняется. Антивирусная компания Symantec сообщает о росте рынка RAT для операционной системы Android. Так, новый код Androrat представляет собой средство удаленного администрирования, дающее атакующему полный контроль над устройством на базе Android. Первая версия Androrat появилась в ноябре 2012 года, тогда же на GitHub был опубликован исходный код этого решения. Код упаковывается в стандартное для Android APK-приложение. После попадания на смартфон Androrat устанавливается на устройстве как системный сервис и стартует при каждом запуске устройства или работает как "активное" приложение. После того, как Androrat установлен в системе, пользователю уже не приходится взаимодействовать с кодом — программа работает автономно. Она способна снимать все системные журналы, данные контакт-листа, все SMS-сообщения, перехватывать фото с камеры, а также сообщать о входящих и исходящих звонках, передавая различные данные на сервер оператора вредоноса. Также вредонос может передавать "тосты" (сообщения от приложений на экран), отправлять звонки и текстовые сообщения.

Недавно на ряде черных площадок, где производится трейдинг вредоносными кодами, появилась версия Androrat, оснащенная встроенным биндером, который позволяет подключать Androrat к легитимным программам, чтобы обретать дополнительную легитимную оболочку для проникновения в систему. В Symantec говорят, что нашли как минимум 23 приложения для Android со встроенным Androrat. Код был встроен в том числе и в коммерческие решения, такие как Adwind для работы на разных ОС.

http://www.bezpeka.com/ru/news/2013/07/22/rat-malware.html

Метки: Android, RAT, вредоносные программы
18:48 12.07.2013

В Android внедрят созданный разведывательными ведомствами США код

Компания Google готова включить в операционную систему Android код, созданный разработчиками Агентства национальной безопасности (АНБ) США. Представители ведомства подчеркивают, что таким образом они намерены повысить безопасность платформы.

Среди прочего, набор различных дополнений от АНБ, получивший название Security Enchancements for Android (SE for Android), изолирует различные приложения, что позволяет скрыть персональную и корпоративную информацию от хакеров.

«Исходный код находится в открытом доступе, и доступен в том числе для проверки каждой его строки», — заявила представитель АНБ Вэни Вайнс (Vanee Vines).

Издание Bloomberg Businessweek, в свою очередь, напоминает, что в ходе презентации SE for Android в 2011 году разработчик разведывательного ведомства Стивен Смолли (Stephen Smalley) сообщил, что отличительной чертой их продукта является способность работать скрытно от владельца устройства.

В качестве еще одного аргумента, ставящего под сомнение мотивы АНБ, издание отметило, что компания Google была участником программы PRISM, в рамках которой правительству США предоставлялся доступ к личным данным пользователей.

http://www.bezpeka.com/ru/news/2013/07/12/secret-code-in-android.html

Метки: сша, Android, код, АНБ
16:24 10.07.2013

Опубликован код для подмены APK с сохранением цифровой подписи на Android-устройствах

Несколько дней назад компания Bluebox Security анонсировала, что на конференции Black Hat USA 2013, которая начнется 27 июля 2013 года, они расскажут о феерической уязвимости в модели безопасности операционной системы Android, которая позволяет злоумышленнику модифицировать содержимое файла APK, не меняя его криптографической подписи.

Другими словами, в любое приложение можно добавить троян, сохранив криптографическую подпись оригинального автора приложения. Уязвимость существует уже четыре года, начиная с Android 1.6, то есть присутствует как минимум в 900 миллионах устройств. О баге сообщено в Google в феврале, он зарегистрирован под номером 8219321 и вроде бы уже закрыт в новых версиях прошивок Samsung, но остался на всех остальных устройствах.

Хакеры из компании Via Forensics не стали дожидаться конференции — и опубликовали PoC код эксплойта.

Декомпиляцию, внедрение кода и повторную компиляцию APK можно осуществить с помощью программы для обратной разработки APKTool.

Простой код, опубликованный http://www.bezpeka.com/ru/news/2013/07/10/exploit-code-released-for-android-security-hole.html

Метки: Android, код, подмена APK, цифровая подпись
18:45 05.07.2013

Уязвимость в Android позволяет изменить код приложения, не повреждая его криптографическую подпись

Команда исследователей Bluebox Security Labs сообщила об уязвимости в модели обеспечения безопасности Android, позволяющей изменять код приложения .APK. Уязвимость использует несоответствие, которое допускается при модификации приложения, при этом не повреждая его криптографическую подпись. То есть, уязвимость позволяет обмануть Android, который не обнаружит изменений в приложении.

Эксплуатируя уязвимость, которая присутствует в версиях Android начиная с Android 1.6 "Donut", злоумышленники могут превращать любое подписанное приложение в троянское ПО для хищения данных или создания ботнета.

"Установка троянского ПО в приложение от производителя устройства может предоставить полный доступ к системе Android и всем установленным приложениям (или их данным)", — подчеркивают эксперты Bluebox Security Labs.

С помощью троянского приложения злоумышленники могут получать доступ не только к письмам электронной почты, SMS-сообщениям, документам и т.д., но также к учетным записям пользователя. Более того, измененное приложение может контролировать любую функцию мобильного устройства (произвольно совершать звонки и отправлять SMS-сообщения, включать камеру, записывать звонки).

Троянские приложения распространяются по электронной почте, а также загружаются с web-сайтов. Кроме того, используются сторонние репозитории приложений. По словам экспертов, через Google Play такие приложения не распространяются, поскольку Google обновила процесс записи приложения в магазин.

http://www.bezpeka.com/ru/news/2013/07/05/bluebox-uncovers-android-master-key.html

Метки: Android, ТРОЯН, уязвимость, приложение, Bluebox Security Labs
18:15 10.06.2013

Обнаружен очень сложный Android-троянец

Специалисты по антивирусной безопасности говорят об обнаружении ранее неизвестного троянца, использующего уязвимость в операционной системе Android. Новый вредонос задействует технику, которая используется вредоносами, создаваемыми под Windows для сокрытия собственного присутствия в системе.

В "Лаборатории Касперского" рассказали об обнаружении нового вредоносного кода Backdoor.AndroidOS.Obad.a. По словам антивирусных аналитиков, выявленный код является одним из самых сложных на сегодняшний день. Код создан для отправки SMS на премиум-номера и позволяет атакующим исполнять шпионские команды на зараженных устройствах, открывая фоновую shell-оболочку.

Атакующие могут использовать этот код для кражи широкого диапазона данных, хранящихся на скомпрометированных устройствах, или для загрузки дополнительных вредоносных программ, причем код может подгружать дополнительные коды в том числе и через порт Bluetooth. В "Лаборатории Касперского" говорят, что вредонос использует стойкий алгоритм шифрования и сокрытия кода для затруднения анализа. "Авторы вредоносных программ, как правило, пытаются максимально усложнить свой код, чтобы антивирусные компании как можно дольше анализировали разработку. Однако у Odad.a код действительно сложный для анализа, он превосходит другие мобильные вредоносы", — говорит Роман Унучек, эксперт "Лаборатории Касперского".

Создатели Backdoor.AndroidOS.Obad.a нашли ошибку в популярной программе dex2jar, которая обычно используется аналитиками для конвертирования APK-файла в более удобный для работы формат JavaArchive (JAR). Обнаруженная злоумышленниками уязвимость нарушает процесс конвертации Dalvik байт-кода в Java байт-код, что в итоге затрудняет статический анализ троянца.

Также злоумышленниками была найдена ошибка в OCAndroid, связанная с обработкой AndroidManifest.xml. Этот файл встречается в каждом Android-приложении и используется для описания структуры приложения, определения параметров его запуска и т.д. Вирусописатели модифицировали AndroidManifest.xml таким образом, что тот не соответствовал заданному Google стандарту, но при этом, благодаря найденной уязвимости, правильно обрабатывался на смартфоне. В результате динамический анализ троянца крайне затруднен.

Создатели Backdoor.AndroidOS.Obad.a использовали еще одну неизвестную ранее ошибку в ОС Android, которая позволяет вредоносному приложению пользоваться расширенными правами DeviceAdministrator, но при этом отсутствовать в списке приложений, обладающих такими правами. В результате удалить со смартфона вредоносную программу, получившую расширенные права, невозможно.

Наконец, Backdoor.AndroidOS.Obad.a не имеет интерфейса и работает в фоновом режиме, говорят в компании. Набор команд для Obad.a позволяет зловреду распространять файлы по Bluetooth. С сервера приходит адрес файла, который должен быть скачан на зараженное устройство. После скачивания файла по очередной команде с сервера вредоносное приложение определяет ближайшие устройства с включенным Bluetooth и пытается передать им загруженный файл.

Несмотря на такие внушительные возможности, Backdoor.AndroidOS.Obad.a не очень распространен. По данным KasperskySecurityNetwork за три дня наблюдений на его заблокированные установки приходится не более 0,15% всех попыток заражения мобильных устройств различными вредоносными программами.

http://www.bezpeka.com/ru/news/2013/06/10/complicated-android-trn.html

Метки: Android, троянец
06:52 30.04.2013

Около полутора месяцев тому назад пользователи Android-версии клиента Facebook могли обратить внимание на то, что их попросили установить обновленную версию приложения, причем сделать это предлагалось без непосредственного захода на Google Play. Сама по себе система Android в плане политики безопасности значительно более лояльная, нежели iOS, даже когда дело касается инсталляции приложений из третьих источников. Впрочем, подобная лояльность уже успела обернуться для Google проблемами.

Теперь компания решила изменить собственную политику в Google Play, чтобы гарантировать, что пользователи ее мобильной операционной системы будут инсталлировать приложения только из доверенных источников, в частности из ее собственного каталога. В обновленных справочных материалах для разработчиков компания указывает на то, что приложения, загруженные в обход Google Play, не будут работать, кроме того, те решения, что уже были скачаны мимо Google Play, теперь не будут обновляться, их нельзя будет модифицировать или заменять другими решениями из "недоверенных источников".

По данным ресурса Droid Life, обновленная политика работает в компании с минувшего четверга. Ресурс отмечает, что теперь Android допускает только использование подписанных APK-файлов, которые были получены из официального каталога приложений.

В документации Google не говорится, что ранее у компании возникали какие-то пользовательские инциденты, связанные с инсталляцией приложений из недоверенных источников, но компания указывает на то, что некоторые разработчики приложений вводили пользователей в заблуждение относительно источников обновлений, создавая иллюзию относительно того, что апдейты были скачаны из Google Play, хотя в реальности это было не так.

Также в компании заявили, что хотя в Android предусмотрена техническая возможность удаления приложений, Google не будет удалять загруженные в обход Google Play софт со смартфонов и планшетов.

http://www.bezpeka.com/ru/news/2013/04/29/no-side-updates.html

13:26 11.02.2013

http://fireku.narod2.ru/novini_t/

Компания AdaptiveMobile сообщила об обнаружении хакерской атаки, ориентированной на русскоязычных пользователей Android. Речь идет о вредоносном SMS-трояне, эксплуатирующим тягу молодых пользователей к обнаженной натуре в интернете.

В компании AdaptiveMobile говорят, что отслеживали работу трояна в рамках мониторинга Ongoing Threat Analysis и установили, что первый очаг распространения вредоносного кода был именно в России, хотя теперь очаги отмечаются и в других регионах.

Как рассказали в компании, заразив компьютер пользователя, кибер-преступники пытаются обманным путем вынудить первого перевести на их счет сумму в 20 долларов. Все российские жертвы нового Android-трояна получают SMS-сообщение на смартфон, в котором говорится, что для них пришло MMS-сообщение и для просмотра его содержимого необходимо перейти по указанной в SMS гиперссылке. При переходе на указанный адрес они перемещаются на мошенническую страницу, подделывающую настоящую страницу сотового оператора абонента. Одновременно с этим, на смартфон абонента загружается вредоносное приложение, которое в фоновом режиме начинает рассылать SMS на платные номера.

Всего приложение отправляет сообщений на сумму в 20 долларов. В компании Adaptive Mobile говорят, что мошенники специально ограничивают размер ежемесячного съема денег лимитом в 20 долларов, чтобы абоненту было труднее заметить присутствие вредоносного кода и тот как можно дольше оставался в рабочем состоянии. По словам специалистов Adaptive Mobile, изменения происходят незаметно для большинства пользователей, так как вредоносное ПО отправляет немного сообщений, которые на месячной расшифровке счет не слишком заметны.

В отчете компании говорится, что сейчас данный троян уже зафиксирован далеко за пределами России и он уже атакует операторов и их абонентов в США и других странах.

"SMS все еще остается самым популярным средством коммуникаций как среди молодежи, так и среди взрослых пользователей. Не удивительно, что телефонные мошенники и хакеры пытаются тем или иным образом использовать эту популярность в своих целях", — говорят в компании. Также компания заявляет, что многие операторы уже внедрили различные меры по защите абонентов от SMS-спама и SMS-троянов, но вредоносные коды, так или иначе использующие SMS все еще остаются в топ-рейтингах вредоносного ПО, что однозначно говорит о необходимости дополнительных защитных мер как со стороны абонентов, так и со стороны операторов.http://www.bezpeka.com/ru/news/2013/02/11/sms-trn.html

Метки: Android, SMS-троян
Мы — это то, что мы публикуем
Загружайте фото, видео, комментируйте.
Находите друзей и делитесь своими эмоциями.
Присоединяйтесь
RSS Андрій Крупко
Войти