Популярный файловый менеджер для Android сливал данные пользователей

Даже авторитетные файловые менеджеры для устройств под управлением Android могут сливать ваши данные на сторону. Это доказал исследователь в области информационной безопасности Баптист Робер. Он изучил принцип работы популярного приложения ES File Explorer, имеющего более 500 миллионов загрузок, и выяснил, что оно подвергает риску раскрытия данные, которые подавляющее большинство пользователей предпочло бы держать подальше от посторонних глаз.

По словам Робера, особенность ES File Explorer состояла в том, что даже единичный запуск приложения на Android-устройстве провоцировал его превращение в HTTP-сервер с открытым портом 59777. Именно он позволял участникам локальной сети, к которой подключена жертва, перехватывать ее данные, а также получить доступ к информации об устройстве, что в свою очередь могло послужить основанием для взлома или совершения других деструктивных действий.

Перехват данных со смартфона

Скорее всего, ES File Explorer превращает устройство в сервер с целью передачи данных на другие устройства с использованием незашифрованного протокола HTTP. Разработчики приложения на момент выхода публикации комментариев не предоставили, оставив исследователя в недоумении.

Почему не стоит подключаться к публичным Wi-Fi-сетям

Несмотря на то что для эксплуатации описанной уязвимости и злоумышленник, и жертва должны быть подключены к одной и той же Wi-Fi-сети, что существенно снижает вероятность взлома, с технической точки зрения этот сценарий вполне реализуем.

Например, в общественных местах вроде метро, вокзалов и аэропортов, где обычно наблюдается большое скопление людей, большинство из которых стремятся подключиться к бесплатному беспроводному интернету. В этом случае ничто не помешает злоумышленнику провести мониторинг сопряженных устройств на предмет установленного ES File Explorer и украсть личные фото и видео.

А ты знал, что у нас есть канал в Яндекс.Дзен, где мы публикуем эксклюзивные материалы? Скорее подписывайся!

Партия из 85 троянов заразила 9 миллионов Android-устройств

Деятельность 85 вредоносных приложений из каталога Google Play привела к заражению более 9 миллионов устройств под управлением Android, подсчитали аналитики Trend Micro. Эти приложения вошли в число той сотни, об удалении которой ранее сообщила сама Google. Правда, у поискового гиганта получилось избавить от злонамеренного ПО только фирменный магазин приложений, а вот устранить ущерб, который они нанесли пользователям, в компании даже не попытались.

Подавляющее большинство приложений из списка Trend Micro маскировались под всевозможные утилиты для чистки оперативной памяти, приложения для управления техникой и видеоплееры, но попадались и те, что выдавали себя за игры, в основном гоночные. Высокая популярность тайтлов такого типа в конечном итоге привела к тому, что эта атака стала одной из самых масштабных пассивных атак, которые случались в Google Play за последние несколько лет.

Вирусы для Android

Почти все приложения принадлежали к типу рекламных вредоносов (adware). Попадая на устройство жертвы, они могли самостоятельно запускать веб-браузер, просматривать рекламу, а также демонстрировать пользователям свои рекламные объявления, от которых нельзя было избавиться. Такие приложения способны приносить своим создателям колоссальные суммы денег, а если учесть, что в их распоряжении — армия из по меньшей мере 9 миллионов устройств, можно допустить, что они стали миллиардерами.

Весьма странно, что алгоритмы Google Play не смогли распознать в этих приложениях вредоносные. Несмотря на это, Google похвасталась, что за прошедший год удалила из Google Play более 700 тысяч потенциально опасных приложений, что, честно говоря, не слишком похоже на правду, если вспомнить, что новости об очередном нашествии Android-троянов появляются почти каждую неделю.

Подписывайтесь на наш канал в Яндекс.Дзен. Скучно точно не будет.

Популярный производитель предустанавливал троян на свои смартфоны

Компания TCL, владеющая брендами Alcatel, Blackberry и Palm, предустанавливает на свои смартфоны вредоносное приложение Weather – Simplicity Weather, скрывающееся под личиной клиента для демонстрации прогноза погоды. Об этом сообщают эксперты британской компании Upstream. Оно собирало данные о пользователях мобильных устройств, которые впоследствии передавала по удаленному соединению на сервера, расположенные на территории Китая, чью принадлежность установить так и не удалось.

Как удалось выяснить экспертам Upstream, в процессе своей жизнедеятельности Weather – Simplicity Weather собирало такие данные, как адреса электронной почты пользователей, сведения обо всех их перемещениях, а также IMEI-идентификаторы инфицированных устройств. Но, как выяснилось впоследствии, этим деятельность приложения не ограничилась. В некоторых странах оно не только собирало информацию о своих жертвах, но и пыталось оформить на них платную подписку на разного рода сервисы.

Приложение Alcatel сажает аккумулятор

В случае, если приложению не удавалось начать зарабатывать на пользователе, подписав его на платный сервис, оно меняло свою специализацию и начинало демонстрировать рекламу в фоновом режиме. Кроме того, приложение открывало веб-браузер, перемещалось по различным страницам и само кликало по рекламным объявления. Эти действия приводили к преждевременной разрядке инфицированных устройств, а также сокращали доступный пользователям интернет-трафик.

Известно, что приложение, о котором идет речь, предустанавливалось на модели Alcatel Pixi 4 и A3 Max. О других случаях предустановки опасного трояна не сообщается. Тем не менее, TCL распространяло свое детище также посредством Google Play, где у него накопилось более 5 миллионов загрузок, а значит, несколько миллионов новых жертв, на невнимательности которых можно заработать.

Подписывайтесь на наш канал в Яндекс.Дзен. Нередко именно там мы публикуем предупреждения о распространении опасных Android-приложений.

Более 10 игр из App Store оказались связаны с трояном для Android

Более десяти игр, размещенных в каталоге App Store, втайне от пользователей устанавливают связь с сервером, который используется для распространения вредоносной программы для Android под названием Golduck. Об этом сообщают исследователи в области кибербезопасности британской компании Wandera. По их словам, после запуска игр, связанных с Golduck, они начинают собирать данные о пользователе и передавать их на удаленный сервер.

В общей сложности эксперты Wandera насчитали 14 игр, связанных с Golduck. Все они на момент выхода публикации еще доступны для загрузки.

Потенциально опасное ПО из App Store

Чем опасны эти приложения

Технически сами приложения не являются вредоносными, поскольку не содержат в себе вредоносного кода, констатируют эксперты. Все, что они делают в своем текущем состоянии, — это демонстрируют рекламу и собирают информацию о модели устройства, версии операционной системы, IP-адресе и просмотренных пользователем объявлениях. Тем не менее, связь с Golduck может служить косвенным свидетельством потенциальной опасности такого программного обеспечения.

По словам экспертов, хакеры могут воспользоваться рекламным баннером в приложении для продвижения ссылки, которая направит пользователя на страницу с загрузкой вредоносного профиля или сертификата. С их помощью у злоумышленников появится возможность удаленно устанавливать на устройство жертвы вредоносное ПО, обеспечивающего ведение деструктивной деятельности вроде выемки учетных данных, конфиденциальной информации или установления слежки.

Подписывайтесь на наш канал в «Яндекс.Дзен». Ежедневно там выходят эксклюзивные материалы, которые не попадают на сайт.

Более 10 игр из App Store оказались связаны с трояном для Android

Более десяти игр, размещенных в каталоге App Store, втайне от пользователей устанавливают связь с сервером, который используется для распространения вредоносной программы для Android под названием Golduck. Об этом сообщают исследователи в области кибербезопасности британской компании Wandera. По их словам, после запуска игр, связанных с Golduck, они начинают собирать данные о пользователе и передавать их на удаленный сервер.

В общей сложности эксперты Wandera насчитали 14 игр, связанных с Golduck. Все они на момент выхода публикации еще доступны для загрузки.

Потенциально опасное ПО из App Store

Чем опасны эти приложения

Технически сами приложения не являются вредоносными, поскольку не содержат в себе вредоносного кода, констатируют эксперты. Все, что они делают в своем текущем состоянии, — это демонстрируют рекламу и собирают информацию о модели устройства, версии операционной системы, IP-адресе и просмотренных пользователем объявлениях. Тем не менее, связь с Golduck может служить косвенным свидетельством потенциальной опасности такого программного обеспечения.

По словам экспертов, хакеры могут воспользоваться рекламным баннером в приложении для продвижения ссылки, которая направит пользователя на страницу с загрузкой вредоносного профиля или сертификата. С их помощью у злоумышленников появится возможность удаленно устанавливать на устройство жертвы вредоносное ПО, обеспечивающего ведение деструктивной деятельности вроде выемки учетных данных, конфиденциальной информации или установления слежки.

Подписывайтесь на наш канал в «Яндекс.Дзен». Ежедневно там выходят эксклюзивные материалы, которые не попадают на сайт.

Как Apple мешает распространению антивирусов для macOS

Компания Apple может умышленно препятствовать распространению антивирусов среди пользователей Mac, отказываясь делиться с компаниями-разработчиками данными о вредоносных приложениях под macOS. Такой вывод сделал исследователь в области информационной безопасности Патрик Уордл. Он изучил компоненты шпионского ПО от группировки Windshift, атаковавшей пользователей Mac, и выяснил, что только один из них определяется как вредоносный.

В общей сложности Уордл проанализировал с помощью VirusTotal четыре вредоносных компонента, из которых три оказались неизвестны антивирусам вообще и только один был распознан двумя программами — Kaspersky и ZoneAlarm. По мнению Уордла, это весьма странно, если учесть, что информация об атаках Windshift была предана огласке ранее, а сама Apple имела в своем распоряжении цифровой сертификат, используемый мошенниками для написания вирусов.

Чем опасно сокрытие данных о вирусах

Отказываясь от публикации данных о вредоносном программном обеспечении для Mac, Apple идет вразрез с правилами стандартной отраслевой практики, констатирует Уордл. Своими действиями компания повышает шансы пользователей получить заражение, полагаясь на защитные механизмы операционной системы и пренебрегая использованием антивирусного программного обеспечения.

Как показывает практика, операционные системы Apple при всех своих преимуществах иногда не отличаются высокой защищенностью перед разного рода уязвимостями. Например, недавно эксперты обнаружили, что веб-браузер Safari оказался уязвим перед омографическими атаками. Такие атаки предполагают подмену отдельных букв в доменных именах на символы с похожим начертанием. Переходя по таким ссылкам, пользователи думают, что направляются на исходный сайт, но на самом деле попадают на фишинговый ресурс, предназначенный для кражи персональных данных.

Узнать больше полезной и эксклюзивной информации о технике Apple можно на нашей странице в «Яндекс.Дзен».

Внешние аккумуляторы научили взламывать Android-смартфоны

Внешние аккумуляторы, применяемые для «горячей» подзарядки смартфонов, в определенных условиях могут не только нанести вред их аппаратному обеспечению, но и программному. В этом убедился исследователь Оксфордского университета Риккардо Сполаор, который собственноручно создал атаку PowerSnitch. С ее помощью он сумел взломать смартфон, работающий под управлением Android, похитив хранящиеся в его памяти данные даже без подключения к Интернету.

По словам Споалора, атака позволяет преобразовывать электрические сигналы, генерируемые смартфоном при совершении стандартных действий, в двоичный код. А поскольку каждая операция, выполняемая на устройстве, имеет уникальные характеристики, то с их помощью злоумышленники смогут расшифровать пароли от банковских и других приложений, верифицирующие коды и даже тексты отправляемых сообщений вне зависимости от степени защиты используемого мессенджера.

Как взломать смартфон с помощью пауэрбанка

Чтобы реализовать такой сценарий, на устройстве жертвы должно быть установлено приложение-передатчик, а к внешнему аккумулятору подключен специальный декодер и MicroSD-карта. Из-за небольших размеров двух последних компонентов их можно встроить прямо в корпус пауэрбанка, а убедить пользователя установить специализированную программу можно, указав на ее оптимизирующие свойства и мнимое одобрение со стороны производителя самого аккумулятора.

Такая схема, несмотря на кажущуюся сложность, вполне реализуема. Злоумышленникам будет достаточно произвести апгрейд паэурбанка, а также дополнить упаковку письменной рекомендацией установить приложение-передатчик, скрыв его истинную функциональность. Правда, для удаленной передачи данных на сервера злоумышленников в корпус аккумулятора придется поместить еще и Wi-Fi-модуль, однако при возможности получить к аксессуару физический доступ необязательно делать даже это.

Обсудить эту и другие новости Android можно в нашем Telegram-чате.

Android-троян научился обходить двухфакторную аутентификацию

Лукас Стефанко, эксперт в области кибербезопасности антивирусной компании ESET, узнал о существовании нового Android-трояна, который научился миновать двухфакторную аутентификацию и воровать денежные средства пользователей PayPal. Вредоносная программа скрывается под видом утилиты для оптимизации энергопотребления смартфонов и распространяется посредством скомпрометированных ресурсов и альтернативных магазинов приложений.

После установки троян сканирует устройство на предмет присутствия приложения PayPal запрашивает доступ к специальным возможностям, а потом скрывает свою пиктограмму с рабочего стола. После этого пользователю отправляется уведомление с рекомендацией войти в учетную запись PayPal под предлогом проверки данных с целью обеспечения безопасности.

Как защититься от Android-трояна

Если жертва подчиняется, авторизуясь в приложении, в дело вступают специальные возможности устройства, которые имитируют нажатия на экран и таким образом переводят со счета 1000 долларов/евро в зависимости от региона нахождения. По словам Стефанко, весь процесс занимает не более 5 секунд и не предполагает сколь-нибудь эффективного способа вмешаться в него. А поскольку троян не занимается подлогом, дожидаясь, пока пользователь сам откроет приложение PayPal, то даже двухфакторная аутентификация не оказывает каких-либо препятствий.

Несмотря на то что троян в первую очередь рассчитан именно на пользователей PayPal, в случае отсутствия на устройстве официального приложения платежного сервиса, тот обращается к фишингу. Он загружает оверлейные компоненты, которые перекрывают экраны авторизации в приложениях Google Play, WhatsApp, Skype, Viber и Gmail и предлагают жертве ввести данные ее банковской карты.

Обсудить эту и другие новости Android можно в нашем Telegram-чате.

В Google Play нашли 22 вредоносных приложения, заразивших более 2 миллионов устройств

Компания Google провела чистку в каталоге Google Play, удалив из его ассортимента в общей сложности 22 приложения с вредоносной функциональностью. Об этом сообщает Ars Technica со ссылкой на отчет антивирусной компании Sophos. По словам экспертов, удаленные программы могли запускаться в фоновом режиме вне зависимости от воли владельца инфицированного устройства и, имитируя клики по рекламным объявления, приносили деньги своим создателям.

Несмотря на то что приложения, запускавшие бесконечный цикл кликов по баннерной рекламе, не наносили вреда данным пользователей и никоим образом не посягали на их финансовые сбережения, они наносили вред инфицированным устройствам. Непрерывная работа в фоновом режиме оказывала негативное влияние на время автономной работы устройств и перегревала их, рискуя нанести непоправимый урон жизненно важным компонентам.

Чем опасны приложения из Google Play

Но страшнее всего, констатируют исследователи, что некоторые приложения из списка удаленных изначально не содержали в себе вредоносного кода. Они подгружали его уже после установки на устройство жертвы, делая это либо втайне от пользователя, либо отправляя запрос на необходимость обновления. Таким образом создателям удавалось долгое время сохранять свои детища втайне от модераторов и алгоритмов Google Play, занятых непрерывным поиском опасных приложений.

В общей сложности 22 приложения, которые были удалены из Google Play, были загружены около двух миллионов раз, а значит, продержались в каталоге достаточно долго, чтобы набрать такую популярность. Как отмечают исследователи Sophos, как минимум одна вредоносная программа первоначально попала в ассортимент фирменного магазина приложений Google еще в 2016 или 2017 году, инфицировав за все время своего существования около миллиона устройств.

Обсудить эту и другие новости Android можно в нашем Telegram-чате.

Восемь приложений из Google Play с миллиардами загрузок оказались вредоносными

Как минимум восемь приложений из Google Play, имеющих в общей сложности более двух миллиардов загрузок, оказались задействованы в демонстрации мошеннических рекламных объявлений. Об этом пишет BuzzFeed News со ссылкой на исследователей в области компьютерной безопасности фирмы Kochava. Семь из них принадлежат популярной китайской компании Cheetah Mobile, а одно — стартапу Kika Tech, базирующемуся в Кремниевой долине.

По словам экспертов, узнавших о деструктивной деятельности размещенных в Google Play приложений, те занимались отслеживанием действий пользователей инфицированных устройств. Это было частью кампании по продвижению приложений сторонних разработчиков, за каждую установку которых Cheetah Mobile и Kika Tech получали от 0,5 до 3 долларов. А чтобы доказать факт установки, программы, задействованные в схеме, незаконно фиксировали нажатия пользователей на экран.

Приложения, которые уличили в мошеннической схеме

— Clean Master;
— CM File Manager;
— CM Launcher 3D;
— Security Master;
— Battery Doctor;
— CM Locker;
— Cheetah Keyboard.

Последнее приложение из списка, помимо отслеживания действий пользователей на устройстве, фиксировало нажатия на клавиатуру, отправляя полученные данные на сервера разработчиков. Впоследствии эта информация могла использоваться для формирования релевантных рекламных объявлений и повышения заработка создателей. А, учитывая колоссальную аудиторию пользователей приложений Cheetah и Kika, вероятный доход их создателей от реализации мошеннических схем, может исчисляться миллиардами долларов.

Google со своей стороны пообещала, что расследует ситуацию и вынесет свой вердикт. Тем не менее, к настоящему моменту компания удалила только два приложения, сохранив за остальными право размещения в Google Play за отсутствием должного количества доказательств незаконной деятельности. Чем это закончится в конечном итоге, остается только догадываться.

Обсудить эту и другие новости Android можно в нашем Telegram-чате.