Взломанные сайты угрожают пользователям мобильных устройств

Взломанные сайты угрожают пользователям мобильных устройств

В последнее время участились случаи взлома веб-сайтов с целью перенаправления пользователей мобильных устройств на ресурсы, распространяющие вредоносное ПО. Подобные атаки отмечались и ранее, однако в последнее время их число заметно возросло. По оценкам специалистов, в Рунете одновременно работает порядка 100 взломанных злоумышленниками площадок, при этом оперативное устранение следов заражения на некоторых из них компенсируется новыми взломами.



Многочисленные владельцы смартфонов и планшетов, работающих под управлением ОС Android и других системных платформ с поддержкой Java (например, Symbian), в последнее время стали замечать, что они лишились возможности посетить свои любимые сайты. При открытии некоторых веб-страниц происходит автоматическое перенаправление пользователя на интернет-ресурс, имитирующий оформление официального веб-сайта Opera Mini и предлагающий загрузить обновление браузера. Под видом такого обновления, распространяемого в зависимости от типа клиентской ОС в виде либо, файлов .jar либо, приложений для Android (.apk), обычно скрывается троянец семейства Android.SmsSend, сообщает компания Dr.Web.

Антивирусное ПО не в состоянии предотвратить редирект пользователя на принадлежащие сетевым мошенникам сайты (но при этом блокирует попытку загрузки с подобных ресурсов вредоносных программ), так как перенаправление осуществляется самим веб-сайтом, к которому обращается пользователь.

Эксплуатируя уязвимости установленных на подобных сайтах серверных приложений, таких как «движки» форумов и системы управления контентом (CMS), злоумышленники получают доступ к сайту и подменяют хранящийся на сервере файл .htaccess. В результате этих изменений при каждом обращении к взломанному интернет-ресурсу сервер проверяет user-agent пользователя, и в том случае, если клиентский браузер работает на мобильной платформе с поддержкой Java (в том числе Symbian и Android), происходит переадресация пользователя на принадлежащий злоумышленникам сайт.

Поскольку злоумышленники используют одни и те же уязвимости для организации несанкционированного доступа к различным ресурсам и действуют по стандартной схеме, можно предположить, что взлом осуществляется автоматически с использованием специализированного ПО. Администрации многих интернет-ресурсов сообщают о многократных случаях взлома: несмотря на то, что владельцам сайта удается быстро удалить вредоносные объекты, через некоторое время злоумышленники вновь берут ресурс под свой контроль. Также можно предположить, что взломщики действуют в кооперации с владельцами партнерских программ, распространяющих Android.SmsSend под видом поддельных обновлений для Opera Mini. В этом случае действуют две независимые группы злоумышленников, одна из которых специализируется на взломе сайтов, а вторая — на «раздаче» вредоносного ПО. В настоящее время известно несколько «партнерских программ», предлагающих хакерам плату за перенаправление трафика на распространяющие троянцев сайты. Пример внутренней статистики одной из них показан на иллюстрации ниже.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость 0-click в декодере MonkeyAudio грозила RCE телефонам Samsung

Участники Google Project Zero раскрыли детали уязвимости удаленного выполнения кода, обнаруженной в Samsung Galaxy в прошлом году. Патч для нее вендор выпустил в составе декабрьского набора обновлений для мобильных устройств.

Уязвимость CVE-2024-49415 (8,1 балла CVSS) связана с возможностью записи за границами буфера, которая может возникнуть при декодировании аудиофайлов формата MonkeyAudio (APE). Подобные ошибки позволяют удаленно выполнить произвольный код в системе.

Виновником появления проблемы является библиотека libsaped.so, а точнее, функция saped_rec. Эксплойт, по словам автора находки, не требует взаимодействия с пользователем (0-click), но возможен лишь в том случае, когда на целевом устройстве включены RCS-чаты (дефолтная конфигурация Galaxy S23 и S24).

Атаку можно провести, к примеру, через Google Messages, отправив намеченной жертве специально созданное аудиосообщение. Согласно бюллетеню Samsung, уязвимости подвержены ее устройства на базе Android 12, 13 и 14.

Декабрьский пакет обновлений Samsung закрывает еще одну опасную дыру — CVE-2024-49413 в приложении SmartSwitch (некорректная верификация криптографической подписи, 7,1 балла CVSS). При наличии локального доступа данная уязвимость позволяет установить вредоносное приложение на телефон.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru