Новый опасный вредонос RedDrop атакует Android-приложения

Новый опасный вредонос RedDrop атакует Android-приложения

Новый опасный вредонос RedDrop атакует Android-приложения

Исследователи из британской компании Wandera обнаружили новую вредоносную программу, действующую через приложения на Android. RedDrop может похищать данные с мобильных устройств, записывать аудио происходящего вокруг, выводить украденные данные на Dropbox и Google Drive и подписывать владельцев Android на премиальные SMS-сервисы. 

По данным Wandera, на данный момент RedDrop атаковал 53 приложения. При этом программа обладает невиданным до этого уровнем сложности и защиты.

RedDrop скрывает все следы установки опасной программы на устройство и маскирует вредоносные приманки под различные инструменты, например, калькуляторы, графические редакторы, учебные пособия, а также контент для взрослых и многое другое. Пользователю кажется, что приложение чисто, хотя на деле при том или ином виде его использования вредонос либо собирает личные данные, либо отправляет SMS на премиальные сервисы. В конце месяца владелец устройства получает огромный счет за телефон. В худших случаях украденные данные могут быть использованы для шантажа жертв.

Вредонос распространяется через приложения, которых нет в Google Play, поэтому пока больший ущерб нанесен пользователям из Китая. Поскольку там Google Play запрещен, люди вынуждены искать приложения через поисковики и скачивать через сторонние сайты и сервисы. 

Заражение происходит в несколько этапов:

  1. Пользователь ищет Android-приложение через китайский поисковик, например, Baidu.
  2. Результат поиска перенаправляет его через множество доменов и в конце концов приводит в магазин приложений.
  3. Пользователь устанавливает приложение, зараженное RedDrop, которое запрашивает разрешения на доступ к данным.
  4. Вредоносная программа собирает данные устройства и отправляет их на удаленный C&C-сервер.
  5. RedDrop загружает и устанавливает семь других приложений, которые содержат вредоносные программы с дополнительными функциями.
  6. Пользователь взаимодействует с приложениями.
  7. RedDrop подписывается на премиальные SMS-услуги и удаляет все запросы подтверждения, которые могут предупредить пользователя об опасности.
  8. Вредонос похищает данные устройства, например, фотографии, файлы и список контактов. Также он может записывать аудио. 
  9. RedDrop отправляет все эти файлы в облачные хранилища Dropbox и Google Drive. Затем злоумышленники могут использовать похищенные данные для шантажа.

Впервые программа была замечена в китайском приложении для взрослых CuteActress. Затем в список зараженных RedDrop приложений попали Space Game Free, Video Blocker, Cosmos FM, Plus Italy, Paint It, Hot Tone, Ninja Slice и многие другие. Ни одно из них не доступно в Google Play. 

cuteactress

“Эта гибридная атака совершенно уникальна, — сообщил ZDNet д-р Майкл Ковингтон, вице-президент направления Product Strategy компании Wandera. — Злоумышленник умело использует, казалось бы, полезное приложение для выполнения невероятно сложной операции. Это одна из наиболее устойчивых вредоносных программ, которую мы встречали за последнее время”.

Пока неизвестно, кто именно стоит за разработкой вредоноса, но продуманность RedDrop говорит о том, что команда может быть заинтересована в шпионаже и имеет достаточно ресурсов для разработки множества приложений и поддержки сложных вредоносных программ.

Чтобы не стать жертвой RedDrop, пользователям следует убедиться, что настройки их устройства запрещают установку сторонних приложений, и несколько раз проверять, к каким данным запрашивает доступ новое приложение.

Напомним, что недавно мы рассказывали про то, как устройства на Android используются для незаконного майнинга криптовалюты. Также, по мнению лаборатории ESET, наибольшую опасность для Android представляют вирусы-вымогатели.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч

Эксперты Positive Technologies выявили в Yealink Meeting Server уязвимость, позволяющую аутсайдеру получить учетные данные всех пользователей системы видео-конференц-связи (ВКС) в целевой организации.

Патч включен в состав сборки 26.0.0.67 и давно доступен, однако далеко не все корпоративные клиенты провайдера удосужились его применить, в том числе в России. Тем, кто этого еще не сделал, рекомендуется обновить софт в кратчайшие сроки.

Уязвимость CVE-2024-48352 (7,5 балла CVSS) классифицируется как раскрытие конфиденциальной информации. Эксплойт осуществляется подачей на сервер HTTP-запроса с ID атакуемого предприятия.

«До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы, — уточнил старший специалист PT по пентесту Егор Димитренко. — Это означает, что атакующий мог бы входить в ВКС-систему от имени любого пользователя и перехватывать информацию внутри организации».

По данным ИБ-компании, в прошлом месяце в интернете присутствовал 461 непропатченный экземпляр Yealink Meeting Server. Больше половины установок расположены в Китае, 13% — в России.

 

В начале этого года исследователи из PT обнаружили в том же продукте Yealink еще одну, более опасную проблему — CVE-2024-24091 (инъекция команд, 9,8 балла CVSS). Использование обеих уязвимостей в связке, по словам экспертов, позволяет получить начальный доступ к корпоративной сети.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru