Сложный Android-вредонос избегает обнаружения системами Google Play
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Сложный Android-вредонос избегает обнаружения системами Google Play

Олег Иванов 16 Ноября 2017 - 11:56
...
Сложный Android-вредонос избегает обнаружения системами Google Play

Исследователи ESET отметили, что недавно обнаруженные вредоносные программы для Android, проникнувшие в Google Play, используют расширенные функции анти-детектирования.

ESET сообщает, что новое семейство Android-зловредов, детектируемое как Android/TrojanDropper.Agent.BKY, использует интересные функции, чтобы остаться незамеченным. По словам экспертов, все образцы мобильного трояна используют многоступенчатую архитектуру и шифрование.

При этом троян не запрашивает никаких подозрительных разрешений, а также имитирует ту легитимную активность, которая была заявлена в описании.

Параллельно вредонос совершает скрытые от пользователя действия — например, поэтапно расшифровывает и запускает два вредоносных компонента. Эти шаги осуществляются в качестве обфускационных мер, утверждают в ESET.

После вышеперечисленных шагов троян загружает вредоносное приложение из жестко заданного в коде URL, все это скрыто от пользователя. Далее следует 5-минутная задержка, после которой жертве предлагается установить следующий вредоносный компонент.

Этот компонент маскируется под Adobe Flash Player или другое популярное приложение, используя имя вроде Android Update или Adobe Update. После установки этого компонента и предоставления ему необходимых разрешений, вредоносное приложение расшифровывает и выполняет заключительный пейлоад четвертого этапа.

Этот троян подставляет поддельные формы входа, позволяющие красть учетные данные пользователей, включая данные платежных карт. Отследив сокращенный вредоносный URL-адрес, исследователи пришли к выводу, что ссылка использовалась почти 3000 раз по состоянию на 14 ноября, а большинство переходов было из Нидерландов.

Пострадавшим от этого зловреда пользователям рекомендуется сначала деактивировать права администратора для установленного пейлоада (Adobe Flash Player, Adobe Update или Android Update), а затем удалить все, что было загружено приложением, включая изначальный файл с Play Store.

С этой вредоносной кампанией ассоциируют следующие приложения: MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS, World News PRO, Игровые Автоматы Слоты Онлайн, и Слоты Онлайн Клуб Игровые Автоматы.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость 0-click в декодере MonkeyAudio грозила RCE телефонам Samsung
Татьяна Никитина 10 Января 2025 - 19:57
Android ЭксплойтыУязвимости программ Домашние пользователи
Уязвимость 0-click в декодере MonkeyAudio грозила RCE телефонам Samsung

Участники Google Project Zero раскрыли детали уязвимости удаленного выполнения кода, обнаруженной в Samsung Galaxy в прошлом году. Патч для нее вендор выпустил в составе декабрьского набора обновлений для мобильных устройств.

Уязвимость CVE-2024-49415 (8,1 балла CVSS) связана с возможностью записи за границами буфера, которая может возникнуть при декодировании аудиофайлов формата MonkeyAudio (APE). Подобные ошибки позволяют удаленно выполнить произвольный код в системе.

Виновником появления проблемы является библиотека libsaped.so, а точнее, функция saped_rec. Эксплойт, по словам автора находки, не требует взаимодействия с пользователем (0-click), но возможен лишь в том случае, когда на целевом устройстве включены RCS-чаты (дефолтная конфигурация Galaxy S23 и S24).

Атаку можно провести, к примеру, через Google Messages, отправив намеченной жертве специально созданное аудиосообщение. Согласно бюллетеню Samsung, уязвимости подвержены ее устройства на базе Android 12, 13 и 14.

Декабрьский пакет обновлений Samsung закрывает еще одну опасную дыру — CVE-2024-49413 в приложении SmartSwitch (некорректная верификация криптографической подписи, 7,1 балла CVSS). При наличии локального доступа данная уязвимость позволяет установить вредоносное приложение на телефон.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
ОКБ САПР и Кросс технолоджис будут вместе удовлетворять спрос на ПАК СЗИ
Новость
ОКБ САПР и Кросс технолоджис будут вместе удовлетворять спро...
Минцифры и Роскомнадзор обсуждают ограничения на голосовые вызовы
Новость
Минцифры и Роскомнадзор обсуждают ограничения на голосовые в...
Вышла бесплатная российская служба каталогов Avanpost DS Public от Аванпост
Новость
Вышла бесплатная российская служба каталогов Avanpost DS Pub...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.