Пользователям Android угрожает веб-скрипт, добывающий криптовалюту

Эксперты лаборатории Malwarebytes Labs обнаружили новый способ по обращению мощностей тысяч Android-смартфонов на скрытый майнинг криптовалюты Monero. Для этого злоумышленники используют скрипт Coinhive, встраивая его на страницы подконтрольных веб-ресурсов с капчей, заведомо не подлежащей решению.

1

В моменты, когда пользователи переходят на страницу с капчей, скрипт максимально нагружает процессор устройства, направляя полученную мощность на добычу криптовалюты. Любая попытка ввода символов приводит к перезагрузке страницы, поскольку основная цель мошенников — вынудить пользователя как можно дольше оставаться на зловредном ресурсе.

По данным Malwarebytes, всего существует как минимум 5 злонамеренных ресурсов, использующих мощности смартфонов для скрытого майнинга:

— recycloped [.] com
— rcyclmnr [.] com
— rcyclpd [.] com
— rcyclmnrepv [.] com
— rcyclmnrhgntry [.] com

Ежедневная аудитория таких сайтов может достигать 800 000 уникальных посетителей. Столь высокая популярность объясняется агрессивным продвижением криптодобывающих ресурсов на страницах популярных веб-сервисов.

Обсудить эту и другие новости из мира Android вы можете в официальном Telegram-чате AndroidInsider.ru. Желающим узнать больше о майнинге, криптовалютах и блокчейне рекомендуем посетить дружественные ресурсы 2miners.com и 2bitcoins.ru.

Троян-вымогатель для Android расскажет, что делать с iTunes-картами

Эксперты антивирусной компании ESET узнали о распространении нового трояна-вымогателя для устройств на базе операционной системы Android, принимающего выкуп в промокодах от карт iTunes. По своей сути зловред является типичным локером, блокирующим зараженные устройства и предлагающим платную разблокировку.

Как правило, сообщают эксперты, вредонос выдает себя за приложения Dropbox, Flash Player, утилиту для расширения возможностей камеры или антивирус. Его распространение производится через скомпрометированные файлообменники и форумы, чью поддержку, по данным ESET, могут обеспечивать сами злоумышленники.

Попав на устройство, троян ведет себя так же, как и все аналогичные решения — запрашивает у пользователя разрешение на доступ к правам администратора. После их получения зловред устанавливает свой пароль для разблокировки и присылает сообщение с требованием уплатить «штраф» за якобы противозаконные действия.

Одним из способов оплаты «штрафа» является передача злоумышленникам промокодов iTunes-карт номиналом от 25 до 50 долларов США. На случай низкой информированности жертвы о предназначении таких карт, троян предлагает подробную инструкцию по их покупке и дальнейшим действиям по передаче цифро-буквенного кода.

Эту и другие новости тематики Android вы можете обсудить в официальном Telegram-чате AndroidInsider.ru.

Android-смартфонам угрожает новый ботнет-майнер

Эксперты в области кибербезопасности компании Qihoo 360 обнаружили новый ботнет ADB.miner, объединяющий устройства под управлением Android в виртуальную сеть для скрытой добычи криптовалюты Monero. С 3 февраля 2018 года (именно в этот день были зафиксированы первые атаки) ботнет атаковал более 7000 аппаратов.

Попадая на устройство, ботнет нацеливается на порт отладки 5555, который в Android отвечает за доступ к ключевым функциям операционной системы. После укоренения ADB.miner начинает добывать криптовалюту, затрачивая на этот процесс львиную долю ресурсов. Зараженные устройства резко теряют в производительности и автономности.

В настоящее время, утверждают представители Qihoo 360, ботнет наиболее активен в азиатском регионе. Около 70% всех заражений приходится на пользователей из Китая и Южной Кореи. При этом, как отмечают эксперты, ADB.miner может работать не только на смартфонах, но и других девайсах, функционирующих на базе ОС Android.

Важно отметить, что ADB.miner не представляет опасности для подавляющего большинства устройств вне зависимости от их местонахождения. Поскольку порт 5555 по умолчанию принудительно отключен производителем, ботнет может проникнуть только в девайс, чей владелец произвел его активацию вручную.

Больше информации о майнинге, криптовалютах и блокчейне в целом — на страницах дружественных ресурсов 2miners.com и 2bitcoin.ru.

Поддельный кошелек MyEtherWallet снова проник в Google Play

Спустя около двух недель с момента удаления поддельного Ethereum-кошелька MyEtherWallet из каталога Google Play на его месте возник еще один. О том, что новое приложение, использующее прежнее название, является фальшивкой, рассказали создатели оригинального веб-кошелька.

«Господи… ну неужели еще один? — с разочарованием и явной усталостью от происходящего пишут представители MyEtherWallet. — Google, и где же обязательная верификация? Где ваша осмотрительность? Сообщество… вы знаете, что нужно сделать. Закидайте эту чертовщину жалобами».

Интересно, что в отличие от предшественника, новая версия все еще не удалена и имеет большое количество явно накрученных, но все же положительных отзывов, которые могут обмануть неподготовленного пользователя. К счастью, на данный момент приложение имеет не более 500 загрузок.

Если вам интересна тематика майнинга криптовалют или блокчейна в целом, рекомендуем посетить дружественные ресурсы 2miners.com и 2bitcoins.ru. Там вы найдете самую актуальную и полезную информацию о цифровой наличности, способах ее заработка и изменениях, ежедневно происходящих в отрасли.

Google не справилась с масштабным троянцем DressCode

Android-ботнет DressCode, чье распространение Google якобы остановила осенью 2016 года, по-прежнему активен, пишет ArsTechnica со ссылкой на доклад анонимного хакера. По его собственному заявлению, ему удалось взломать учетную запись GitHub с исходным кодом вредоноса и выяснить, что его сеть уже насчитывает около 4 миллионов ботов.

За 16 месяцев с момента мнимого прекращения эпидемии принцип действий DressCode практически не изменился. Троян по-прежнему проникает на устройства под видом другого полезного приложения, устанавливает удаленное соединение с командным центром, куда передает информацию обо всех действиях, которые совершает жертва.

Особая опасность трояна состоит в его способности собирать сведения о точках доступа, к которым подключена жертва, получая таким образом контроль над локальными сетями целых предприятий. Это, в свою очередь, позволяет злоумышленникам эксплуатировать существующие уязвимости и даже красть информацию со стационарных компьютеров.

Новый троян для Android способен слушать вас и читать сообщения в WhatsApp

Владельцам устройств на Android угрожает новый троянский конь — Skygofree, выяснили в «Лаборатории Касперского». Эксперты уже успели окрестить зловреда одним из наиболее продвинутых шпионских инструментов современности — ему под силу отслеживать передвижения своих жертв, активируя запись звука, когда те оказываются в пределах заданных координат, читать их переписку и анализировать интернет-трафик.

Возможность следить за перемещениями пользователя позволяет Skygofree прослушивать его окружение — от ближайших друзей до начальства. Чтение личных сообщений в популярных мессенджерах (Skype, WhatsApp, Viber, Facebook Messenger) зловреду также под силу. Для доступа к содержанию переписки он задействует режим «Специальные возможности», применяемый пользователями с нарушениями слуха и зрения.

Анализ трафика, а также сбор персональных данных (логины, пароли, данные банковских карт и PIN-коды), вводимых пользователем в процессе взаимодействия со всевозможными веб-сервисами, производится посредством подключения зараженного устройства к сетям Wi-Fi, контролируемым злоумышленникам. Это может показаться невероятным, но с той же целью Skygofree использует сведения о местонахождении своих жертв.

Skygofree проникает на устройства через поддельные сайты сотовых операторов, выдавая себя за утилиту для увеличения скорости интернет-соединения. Будучи загруженным, троян выводит на экран оповещение о якобы начавшейся процедуре отладки подключения, а сам в это время прячется от пользователя и начинает загружать на устройство необходимые для дальнейшей деятельности злоумышленников программные компоненты.

В Google Play пробралось поддельное приложение «Ашан»

В каталоге Google Play появилось поддельное приложение сети магазинов «Ашан Россия», передает vc.ru со ссылкой на представителей компании. Программа, замаскированная под официальный сервис (своего приложения для Android у «Ашан Россия» нет), занималась демонстрацией рекламы и подписывала пользователей на платные рассылки без их ведома.

С момента появления «Ашан Россия» в Google Play в декабре 2017 года его успели загрузить от 5 до 10 тысяч раз. Это говорит о том, что в настоящее время опасности подвержены несколько тысяч пользователей, по-прежнему приносящие мошенникам деньги путем просмотра демонстрируемых объявлений и сохранения подписки на разного рода рассылки.

По состоянию на 17 января 2018 года поддельное приложение удалено из каталога Google Play. Этому поспособствовали представители компании, обратившиеся в Google с соответствующим требованием. Правда, суть претензии «Ашан Россия» заключалась в нарушении авторских прав, а не дискредитации компании или публикации сведений, порочащих ее доброе имя.

В Google Play обнаружен троян, замаскированный под приложение для чистки памяти

Приложение для чистки памяти смартфонов и удаления файлов кеша Swift Cleaner из каталога Google Play содержит вредоносный код и может выполнять ряд незаявленных разработчиком действий. К такому выводу пришли эксперты в области кибербезопасности компании Trend Micro.

По состоянию на январь 2018 года приложение Swift Cleaner загружено несколько тысяч раз, подвергая опасности тысячи пользователей. После загрузки на устройство вредонос может выполнять множество необычных для клинера действий вроде чтения и отправки SMS, копирования данных и перехода по URL-адресам.

Перечисленные действия, совершаемые Swift Cleaner, не подходят под представленное описание приложение и, очевидно, служат для обогащения разработчиков. Таким образом программа может просматривать рекламные объявления и даже незаметно подписывать пользователя на платные рассылки.

Любопытна реакция представителей Google на сообщение экспертов о наличии в Google Play троянца. Сотрудники компании, по свидетельству Trend Micro, сообщили о полной защищенности фирменного каталога приложений, обеспечиваемой встроенным антивирусом Google Play Protect.

Россиян атакует поддельное приложение Uber

Эксперты лаборатории Symantec узнали о существовании нового вредоносного приложения, выдающего себя за Uber и ворующего данные пользователей. Подделка распространяется посредством скомпрометированных веб-сайтов и пользуется достаточной популярностью среди россиян.

Отмечается, что фальшивка, выдающая себя за Uber, осуществляет сбор не только данных о местоположении пользователя, которые впоследствии могут быть проданы рекламодателям, но и его платежной информации. Владея последней, мошенники могут без труда обчистить банковские счета жертвы.

«Мы хотим защитить своих клиентов, а потому интегрировали в сервис надежную систему безопасности и контроля, которая способствует обнаружению несанкционированного доступа к учетным записям и блокирует их», — прокомментировали ситуацию в пресс-службе Uber.

Во избежание столкновения с подделками настоятельно рекомендуем не загружать ПО из ненадежных источников и следить за разрешениями, которые запрашивает приложение. Очевидно, что большинству загружаемых утилит не следует открывать доступ к SMS-сообщениям и списку контактов.

Россиянам угрожает новый банковский троян для Android

Владельцам устройств под управлением Android угрожает новый троян, получивший название Catelites Bot, выяснили эксперты антивирусной компании Avast. Вредонос способен маскироваться под более чем 2000 банковских приложений, имитируя их стартовые страницы и выманивая подобным образом данные для доступа к счетам своих жертв.

По состоянию на 21 декабря трояном заражено порядка 9000 пользователей. Catelites Bot распространяется посредством сторонних магазинов приложений или фишинговых сайтов, откуда он загружается под видом системного файла. После этого вредонос запрашивает у пользователя разрешение на доступ к настройкам, подменяя собой пиктограммы ряда предустановленных приложений.

По словам главы департамента мобильных угроз и мобильной безопасности Avast Николаоса Крисайдоса, в настоящее время троян нацелен на пользователей из России. «Мы считаем, что вредоносное ПО находится на ранней стадии тестирования, а потому география его распространения пока весьма ограничена, но в будущем будет распространена на остальной мир, а не только на российские банки и НКО», — говорит он.