Рост числа угроз для скрытого криптомайнинга, уязвимость менеджеров паролей для Android

2018-09-27 | Автор | комментарии
Согласно отчету McAfee Labs во втором квартале продолжается рост угроз для скрытого криптомайнинга. Менеджеры паролей Keeper, Dashlane, LastPass и 1Password для Android оказались уязвимыми. Оператор сервиса Scan4You осужден на 14 лет

Рост числа угроз для скрытого криптомайнинга, уязвимость менеджеров паролей для Android

Отчет McAfee Labs: во втором квартале продолжается рост угроз для скрытого криптомайнинга

Согласно отчету McAfee Labs Threats Report: сентябрь 2018 года вредоносный криптомайнинг увеличился на 86% по сравнению с первым кварталом 2018 года. Несмотря на то, что вредоносный криптомайнинг менее распространен чем трояны-вымогатели, он все еще является популярным видом киберугроз.

Встречаются модификации вредоносных программ по добычи криптовалюты, нацеленные не на широкую область потенциальных жертв, а на конкретные группы. Например, одна из модификаций вредоносного ПО по добычи криптовалюты была нацелена на геймеров российского форума, представляя собой «мод», претендующий на улучшение игры. Геймеры были обмануты загрузкой вредоносного программного обеспечения, которое продолжало использовать их компьютерные ресурсы для получения прибыли.

По словам исследователей из McAfee Labs, растет угроза криптомайнинга, ориентированного на мобильные устройства, особенно на устройства из Азии. Так же в отчете сообщается, что продолжается рост данного вида угрозы для устройств IoT.

Статистика роста киберугроз, согласно отчету McAfee Labs:

  • Количество вредоносных программ по добычи криптовалюты увеличились на 86% во втором квартале 2018 года.
  • Количество вредоносных программ, предназначенных для эксплуатации уязвимостей, увеличились на 151%.
  • Мобильное вредоносное ПО ускорило рост популярности на 27% по сравнению с первым кварталом.
  • Популярность вредоносных скриптов JavaScript увеличилась на 204%, а рост вредоносных программ с использованием системной программы PowerShell замедлился.

Менеджеры паролей Keeper, Dashlane, LastPass и 1Password для Android оказались уязвимыми

Новое исследование, опубликованное сегодня, показывает, что менеджеры паролей для операционной системы Android с трудом различают законные и поддельные приложения, что приводит к легким сценариям фишинга. В исследовании рассматривалось, как менеджеры паролей работают на современных версиях системы Android, и какие из особенностей операционной системы злоумышленники могут использовать для сбора учетных данных пользователей с помощью фишинговых атак, выполняемых через поддельные приложения.

Проблема связана с тем, что менеджерам паролей сложно связать мобильные приложения и учетные данные для авторизации на веб-сайтах, для того чтобы создать ссылку между веб-сайтом авторизации и мобильным приложением.

Большинство менеджеров паролей для установки соединения реального URL-адреса веб-сайта с мобильным приложением, работают с именами пакетов приложений Android. Но в рамках экосистемы Android, имена пакетов не могут быть доверенными, так как они могут быть довольно легко подделаны злоумышленником. Это приводит к ситуациям, когда вредоносное приложение может обмануть мобильный менеджер паролей.

Например, когда пользователь открывает поддельное приложение и приложение запрашивает учетные данные для входа, менеджеры паролей, которые опираются на имена пакетов приложений, предлагают учетные данные для авторизации, позволяя поддельному приложению собирать имя пользователя и пароль для последующего использования.

Менеджеры паролей Keeper, Dashlane, LastPass и 1Password для Android оказались уязвимыми

На изображении выше, поддельное приложение использует обычный интерфейс, но в действительности злоумышленники почти наверняка будут использовать приложения, близкие к идентичным клонам официальных приложений, с точностью до пикселя.

Исследователи сообщают, что четыре из пяти менеджеров паролей уязвимы для данной атаки: мобильные версии менеджеров паролей Keeper, Dashlane, LastPass и 1Password уязвимы и побудили пользователя к автоматическому заполнению учетных данных на поддельных приложениях во время тестов.

Исследователи так же обнаружили, что приложение Google Smart L Lock не подпадает под эту уязвимость с именами пакетов, и причина в том, что оно использовало систему Digital Asset Links для аутентификации и подключения приложений к определенному онлайн-сервису.

Исследователи связались с разработчиками протестированных приложений и сообщили им о результатах. Команда Keeper уже исправили уязвимость. LastPass сообщает, что они свели к минимуму риск потенциальной атаки, добавив дополнительное окно для уведомления пользователей перед заполнением каких-либо неизвестных приложений, а также увеличили целостность базы данных ассоциаций приложений. Так же исследователи связались с компанией Google и предоставили новый API "getVerifiedDomainNames", который основывается на записях DAL для включения его в будущие версии системы Android. С помощью нового API можно было бы улучшить процедуру проверки приложений.

В Google Play Store обнаружен банковский троян, который был установлен более 10 000 раз

Исследователь безопасности Лукас Стефанко компании ESET обнаружил новый банковский троян, размещенный в Google Play Store. Вредоносная программа с названием QRecorder представляла собой инструмент автоматического вызова и записи голоса. Программа была установлена более 10 000 раз.

После установки вредоносное приложение может перехватывать текстовые сообщения и запрашивать разрешение для покрытия других приложений своим интерфейсом. Эти возможности позволяют захватывать двухфакторные коды аутентификации, которые пользователи получают через SMS, и контролировать то, что пользователь видит на экране.

В Google Play Store обнаружен банковский троян, который был установлен более 10 000 раз

Исследователь сообщает, что обозначенные функции записи звука работали так, как ожидалось, поэтому у жертв не было бы причин опасаться вредоносной деятельности. После установки приложения, в течении 24 часов, оператор приложения отправлял команды по сканированию устройств на нахождение конкретных банковских приложений. Каждый раз, когда запускалось официальное банковское приложение, вредоносная программа покрывало его фишинговым экраном для сбора учетных данных и передавало их оператору на сервер. Вредоносная программа ориентировалась на банки Германии, Польши и Чехии.

В приведенном ниже видео показано, как вредоносная программа захватывала интерфейс официальных банковских приложений.

Оператор сервиса Scan4You осужден на 14 лет

Латышский хакер был приговорен к 14 годам лишения свободы за разработку и работу антивирусной службы Scan4You. 37-летний Русланс Бондарс создал и запустил сервис с названием Scan4You, который аналогично сервису VirusTotal осуществлял антивирусное сканирование загруженных файлов, но в отличии от VirusTotal, проверяемые файлы не передавались антивирусным вендорам.

Согласно пресс-релизу Министерства юстиции США, клиенты Scan4you использовали данный сервис для проверки своих вредоносных файлов, чтобы в дальнейшем похитить миллионы платежных карт из розничных магазинов по всему миру, включая США, что привело к убыткам в размере 20,5 млрд. долларов США.

Оператор сервиса Scan4You осужден на 14 лет

Например, один из клиентов Scan4you использовал этот сервис для тестирования вредоносного ПО, которое впоследствии использовалось для кражи примерно 40 миллионов номеров кредитных и дебетовых карт и другой личной информации из розничного магазина в США, что привело к убыткам в размере 292 миллиона долларов.

Другой клиент использовал Scan4you для содействия разработке «Citadel» - широко распространенного вредоносного ПО, которое заразило более 11 миллионов компьютеров по всему миру, в том числе в Соединенных Штатах, и привело к более чем 500 миллионам долларов, связанных с потерями, связанными с мошенничеством.

Бондарс был осужден по трем пунктам обвинения: тайный сговор с целью совершения электронного мошенничества, электронное мошенничество и причинение вреда компьютерным системам. Сервис Scan4you был создан в 2009 году и просуществовал до 2016 года, являлся одним из самых популярных сервисов по сканированию файлов для злоумышленников.

Нашли опечатку? Нажмите Ctrl+Enter

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества