98 тыс. вредоносных Android-приложений проникли на 43 млн смартфонов

Екатерина Быстрова 29 Января 2020 - 17:18

Домашние пользователи

Android

Потенциально опасные программы

Рекламные программы

Мошенничество

Онлайн-мошенничество

...

98 тыс. вредоносных Android-приложений проникли на 43 млн смартфонов

Специалисты компании Upstream, специализирующейся на безопасности мобильных устройств, сообщают, что им удалось выявить 98 тыс. вредоносных приложений для Android. Эксперты отметили, что в общей сумме этим программам удалось проникнуть на 43 млн Android-устройств.

Собранные Upstream данные были получены от 31 оператора связи, они охватывают 20 различных стран. Димитрис Маниатис, один из исследователей, изучавших угрозы для Android, утверждает, что из 98 тыс. вредоносов 5 самых опасных скачали 700 млн раз.

Приблизительно 50% выявленных вредоносных приложений располагались на площадке официального магазина Google Play Store. Такие цифры, по словам экспертов, по-настоящему пугают.

В отчёте Upstream говорится, что сначала злоумышленники стараются любыми методами заставить пользователей установить вредоносное приложение. Затем уже сама жертва предоставляет зловреду гораздо больше разрешений в системе, чем ему нужно для работы.

После этого вредонос связывается со своими операторами, ждёт инструкции и команды. Все злонамеренные приложения пытаются действовать незаметно, не вызывать подозрений и всячески противодействовать удалению с устройства.

Основная цель таких программ — показ назойливых рекламных объявлений и кликфрод (накручивание кликов и переходов по ссылкам).

По данным Upstream, в 2019 году 93% мобильных транзакций были заблокированы по подозрению в мошенничестве. Если бы их пропустили, убытки бы достигли $2 миллиардов.

При этом количество вредоносных Android-приложений растёт. В прошлом году Upstream зафиксировала 63 000, в этом — уже 98 000. Исследователи опубликовали инфографику, которая отражает наиболее часто встречающиеся категории вредоносных приложений.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.