Android

  • Зловреден софтуер за Android пренасочва обаждания до банки към телефони на хакери

    Зловредният софтуер за Android FakeCall вече може да пренасочва изходящите обаждания на потребителите до техните банки към телефонен номер на нападатели. По този начин те стават уязвими както за кражба на чувствителна информация, така и на пари от банковите им сметки. 

    FakeCall е инструмент за вишинг с фокус върху банките. Чрез него атакуващите имитират обаждания от официални банки и искат жертвите да споделят критични данни. В допълнение към вишинга, FakeCall може да улавя аудио- и видеопотоци на живо от заразените устройства, което позволява на нападателите да крадат чувствителни данни без взаимодействие с жертвата. 

    В най-новата версия, анализирана от Zimperium, зловредното приложение се зарежда като оператор за обаждания по подразбиране. За да се случи това, то иска от потребителя да одобри промяната при инсталирането му чрез APK за Android. Когато зловредният софтуер бъде зададен като обработчик на повиквания по подразбиране, той получава разрешение да прихваща и манипулира изходящи и входящи разговори.  

    FakeCall успешно имитира действителния Android dialer, което прави трудно разкриването му.  

    Zimperium публикува списък с индикатори за компрометиране, но те могат да се променят постоянно. Така че ви съветваме да избягвате ръчното инсталиране на приложения за Android чрез APK файлове и вместо това да ги инсталирате от Google Play. Макар че зловредният софтуер може да проникне в магазина на Google, когато бъде открит, той се премахва от Google Play Protect. 

  • Никой не е защитен! Хакери крадат банкови данни от мобилни приложения чрез WebAPK и PWA

    Хакери използват PWA и WebAPK, за да се представят за официални банкови приложения и да крадат идентификационни данни от потребители на Android и iOS. 

    PWA и WebAPK се инсталират през браузър, но поддържат функционалности, характерни за мобилните апликации. Когато се използват във фишинг кампании, това им позволява да заобикалят традиционните предупреждения за „инсталиране на неизвестни приложения“ и им дава достъп до рискови разрешения на устройствата, без знанието на потребителя. 

    Кампанията е разкрита от ESET. Тя залага на PWA и WebAPK, като протича по следния начин: 

    • автоматизирано гласово обаждане за остаряло приложение за банкиране приканва потребителя да избере опция от цифровата клавиатура;
    • изборът изпраща SMS, включващ връзка към компрометиран интернет адрес, който той трябва да посети, за да обнови апликацията си;
    • адресът имитира официална страница на Google Play, App Store или на самата банка и приканва жертвата да инсталира „нова версия“ на приложението;
    • след инсталацията потребителят трябва да изпрати идентификационните си данни за интернет банкиране, за да получи достъп до сметката си. Но те отиват директно към сървърите на нападателите. 

    Засега подобни кампании са засечени в Чехия, Унгария и Грузия. Но нашият съвет е да бъдете изключително внимателни, когато получавате съобщения, свързани с вашите банкови приложения. Киберпрестъпността не признава граници. 

     

  • Изхвърлете китайските телефони

    Министерството на отбраната на Литва призовава гражданите си да не купуват китайски смартфони, а тези, които имат такива – да ги „изхвърлят“.

    Причина за това е изявлението на литовския държавен орган за киберсигурност, че водещ модел смартфон на компания Xiaomi, има вградена способност да открива и цензурира фрази като „Свободен Тибет“, „Да живее независимостта на Тайван“ или „Движение за демокрация“.

    Общо 449 термина вероятно са цензурирани от системните приложения на устройства на Xiaomi, включително интернет браузъра по подразбиране. Смята се, че списъкът се актуализира постоянно.

    В официално изявление, изпратено до Ройтерс на 22 септември 2021 г.,  Xiaomi  отрече категорично да е цензурирала потребители в ЕС или да има планове да го прави, Интересен факт обаче е, че не беше отречено наличието такава възможност в продуктите на компанията.

    Твърди се, че тази функция е изключена за потребителите на Xiaomi Mi 10T 5G от Европейския съюз, но въпреки това все още съществува.

    Обвиненията към Xiaomi във връзка с нарушаване на поверителността не са нови, нито изненадващи. Разследване на Forbes от преди една година разкри, че китайските телефони шпионират потребителите си.  Дупка в сигурността беше открита и в Huawei P40 5G. И двете компании тогава отрекоха твърденията.

    Последните разкрития на литовския държавен орган за киберсигурност обхващат още един модел смартфон от китайски производител – OnePlus 8T 5G.

    Гражданите на ЕС се ползват от комфорта, който им осигурява Общия регламент за защита на данните на Европейския съюз (GDPR) – всички производители, които продават продуктите си на територията на Съюза са длъжни да го спазват.

    Ако се стигне до налагане на санкции, подобни на тези за Huawei, за още китайски марки смартфони, на пазара (поне в ЕС и САЩ) ще отсъстват истински привлекателни бюджетни алтернативи.

  • Кабел за зарядно може да краде паролите ви

    Точно преди две години, по време на конференцията Def Con в Лас Вегас, беше показано как кабел за зарядно, използван за свързване на iPod с Mac компютър, може да превземе устройството ви.

    Ето, че две години по-късно, по-новите кабели се предлагат в нови физически варианти, включително зарядни с USB-C стандарт, и включват повече възможности за хакерите. Дори вече имат по-голям обхват и могат да активират payload от 1 миля разстояние.

    Така наречените OMG кабели създават Wi-Fi hotspot, към която хакерът може да се свърже от собственото си устройство. След това интерфейс, работещ като в обикновен уеб браузър, позволява да бъде записано всичко, което напишете – пароли и всякаква друга информация.

    Имайте предвид тази информация, когато решите да използвате чужд кабел от зарядно!

  • Премахнете тези приложения от Android устройството си

    Поредни осем приложения, съдържащи злонамерения софтуер Joker за Android, са премахнати от Google Play Store.

    Зловредният код краде SMS съобщения, списъци с контакти и информация от засегнатите устройства. Освен това, той може незабелязано да ви регистрира за платени сайтове и други онлайн услуги чрез WAP – протокол за безжично приложение, което начислява дължимата такса директно към сметката за мобилен телефон.

    Това е поредната акция срещу Joker: Google заявява, че е премахнал над 1 700 приложения от Play Store от 2017 г. насам.

    Осемте свалени заразени приложения са:

    • Free CamScanner
    • Auxiliary Message
    • Fast Magic SMS
    • Super Message
    • Element Scanner
    • Go Messages
    • Travel Wallpapers
    • Super SMS

    Ако използвате смартфон с Android (включително Galaxy) е препоръчително да премахнете тези приложения и да сканирате устройството си с надежден антималуер инструмент.

  • Потребители на Android, пазете се от нов фишинг, който краде лична информация

    Фишинг кампания, която има за цел да открадне вашите пароли, банкови данни и друга чувствителна информация, се разпространява бързо сред Android устройства.

    Фалшиви текстови съобщения, които изглеждат като изпратени от куриерска фирма (DHL, Amazon), ви приканват да кликнете върху линк, за да проследите доставката на пратка. Ако го направите, вместо да си инсталирате приложение за проследяване, се заразявате със зловредния софтуер FluBot. Освен че краде информация от вашето устройство, малуерът получава достъп до контактите ви и може да им изпрати съобщения, с които да зарази и тях.

    Препоръка:

    Ако получите подобно съобщение, не кликайте върху линка и не инсталирайте предложените приложения. Вместо това маркирайте съобщението като спам и блокирайте подателя.

    Ако вече сте инсталирали подозрително приложение, не влизайте в никакви други ваши онлайн акаунти, за да ограничите достъпа до допълнителна информация, и преинсталирайте устройството си.

  • Потребителите на Huawei да проверят устройствата си

    В AppGallery (официалният Android Store на Huawei) са открити десет приложения, заразени със злонамерения софтуер Joker.

    Те са изтеглени от над 500 хил. потребители, които са се оказали абонирани за премиум мобилни услуги без да разберат.

    Joker може да ви абонира за пет услуги едновременно без вие да подозирате, защото SMS потвържденията, че това се е случило, са прихванати от злонамерения код и не достигат до вас.

    Ако някое от заразените приложения е налично на вашето устройство, трябва да го премахнете ръчно и да стартирате проверка за вируси.

    Засегнатите приложения са следните (източник: Doctor Web):

    AppGallery 1

    AppGallery 2

  • Малуер за Android може да краде информация през WhatsApp

    Открит е зловреден софтуер на Android, който краде чувствителна информация от заразените устройства и я изпраща към сървъри на нападателите.

    Става дума за троянец с отдалечен достъп. Той се маскира като системна актуализация, която трябва да бъде изтеглена от магазин на трета страна.

    WhatsApp е сред уязвимите приложения. Нападателите могат да шпионират разговорите и съобщенията ви в месинджъра, а ако разполагат с root достъп – могат да влязат в базата данни на устройството ви и да я откраднат.

    За ваша безопасност, избягвайте да сваляте приложения и актуализации от непознати магазини.

  • Google разкрива усъвършенствана хакерска операция, насочена към Windows и Android устройства

    Изследователите по киберсигурност от екипа Project Zero на Google, специализирани в откриването на 0-day уязвимости, публикуваха доклад от шест части, в който подробно описват сложна хакерска операция, засечена в началото на 2020 г.

    Тя е насочена към собствениците на Android и Windows устройства. Атаките са извършени чрез два експлойт сървъра (единият, предназначен за Windows потребители, а другият – за Android), изпълняващи различни последователни експлойт събития (exploit chains) чрез т.нар. “Watering hole” метод за атака.

    И двата експлойт сървъра са използвали уязвимости в Google Chrome, за да осигурят нерегламентиран достъп до устройствата на жертвите. Веднъж получили входна точка посредством браузъра, хакерите инсталират експлойт на ниво ОС, за да получат по-голям контрол върху устройството на жертвата.

    Последователните експлойт събития включват комбинация от уязвимости, както от тип 0-day, така и n-day. 0-day се отнася за уязвимости, неизвестни за вендора към момента на експлоатиране, а n-day – за такива, които са били закърпени, но все още се наблюдава активното им експлоатиране.

    Какво съдържат експлойт сървърите

    • Четири „renderer“ грешки в Google Chrome, една от които все още не е била позната (0-day) на Google, когато е била открита от екипа на Project Zero
    • Два експлойта, които са специализирани в това, да избягват засичането им в облачно базирани среди (sandboxing) и които ескплоатират три 0-day уязвимости в Windows
    • Пакет за ескалиране на привилегиите (privilege escalation kit), съставен от публично известни n-day експлойти за по-стари версии на Android OS.

    0-day уязвимостите са закърпени през пролетта на 2020г

    • CVE-2020-6418 – Chrome Vulnerability in TurboFan (закърпен през Февруари 2020)
    • CVE-2020-0938 – Font Vulnerability on Windows (закърпен през Април 2020)
    • CVE-2020-1020 – Font Vulnerability on Windows (закърпен през Април 2020)
    • CVE-2020-1027 – Windows CSRSS Vulnerability (закърпен през Април 2020)

    Въпреки че на споменатите по-горе експлойт сървъри не са открити 0-day за Android, специалистите от Project Zero предполагат, че хакерите най-вероятно са имали достъп именно до такъв тип експлойт. Просто той не е бил хостнат на тези сървъри по времето на провеждане на изследването.

    Google: Последователните експлойт събития са сложни и добре разработени

    Google разкрива, че става дума за добре проектиран, сложен код, с разнообразие от нови методи за експлоатация, усъвършенствани и изчислени следексплоатационни техники и голям обем от антианализиращи и описващи защити.

    Не се предоставят други подробности за нападателите или профила на таргетираните жертви.

    В блога на Project Zero са налични още доклади по темата

    Публикувани са и други доклади, свързани с „infinity bug“ в Google Chrome, който е използван при атаките, последователните експлойт събития, съответно при Chrome, Android, Windows, както и следексплоатационни техники, използвани отново при Android устройствата.

    Предоставените доклади ще осигурят възможност на други вендори в областта на информационната сигурност да идентифицират подобни атаки срещу своите клиенти и да проследят и други сходни действия, извършени от същите злонамерени лица.

    Препоръки

    Разгледаната атака е поредното доказателство, че хакерите продължават да усъвършенстват и подобряват своите тактики, техники и процедури (TTPs).

    Екипът на FreedomOnline.bg препоръчва винаги да използвате последната налична версия както на ниво ОС/фърмуер, така и на инсталираните програми/апликации. По този начин ще се предпазите от експлоатиране на вече известни уязвимости (n-day).

    Внимавайте също така какво инсталирате на вашето устройство и какъв достъп разрешавате. За разлика от n-day, където един пач (patch) би елиминирал уязвимостта, при 0-day това само по себе си не е достатъчно, а са необходими мерки от типа на многопластова защита (defence-in-depth) и защитни механизми, които биха идентифицирали подозрително и нехарактерно поведение на устройствата.

  • Стикер, получен в Telegram, може да разкрие тайния ви чат

    Киберспециалисти разкриха информация за коригиран недостатък в приложението Telegram, който е можел да позволи на злонамерени лица да получат достъп до ваши тайни чатове, снимки и видеоклипове.

    Става дума за недостатък във функционалността на чата и начина на обработка на анимирани стикери: Нападател е можел да ви изпрати неправилно оформен стикер и да получи достъп до информацията, обменена с вашите контакти в Telegram, включително и чрез тайните ви чатове.

    Проблемът е засягал iOS, Android и macOS версии на приложението и е коригиран в периода 30 септември и 2 октомври 2020 г. – актуализирахте ли приложението си?

    Разкритието напомня, че периодичните прегледи на сигурността са от решаващо значение при разработването на софтуер, особено при въвеждането на нови функции. Потребителите, от своя страна, следва редовно да прилагат наличните актуализации.

    Прочетете още: Как визуализацията на линкове в чат приложения може да ви компрометира и Какво е добре знаете, когато си избирате приложение за чат

Back to top button