Android

Мартенският ъпдейт Google идва с елиминирането на 45 бъга за Android, сред които 11 отбелязани като критични, съобщава компанията в ежемесечния си блог пост.

Три от бъговете са позволявали изпълнението на отдалечени команди на уязвимите устройства (RCE бъгове). Отстранени са уязвимостите CVE-2019-1989, CVE-2019-1990 и CVE-2019-2009, които засягат Android 7.0 (Nougat) и последващите го версии.

За първите 2 уязвимости е известно, че са свързани с приложно-програмния интерфейс (API) за управление на видео на компанията. Според threatpost.com третата уязвимост позволява неоторизирано придобиване на права върху уязвимите устройства посредством Bluetooth. По-рано през 2019 г. Google обяви, че е запушила друга подобна пробойна, която позволява контрол върху устройството поради липса на проверка за правата на потребителя при отдалечено свързване.

Част от патчовете са за уязвимости, свързани с различни Qualcomm хардуерни компоненти.

Общо за месеца компанията е елиминирала 45 уязвимости, от които 11 с критичен приоритет и 33 с висок.

 

За по-високо ниво на защита, адресите на онлайн портфейлите с криптовалути се състоят от дълги стрингове букви, числа и специални символи. Затова, вместо да ги изписват на ръка, потребителите обикновено копират и поставят адресите през клипборда на устройствата, с които работят.

Именно на този поведенчески модел разчита и новото поколение зловредни кодове, наречено „clipper“ (клипъри). Те следят съдържанието на клипборда на заразените устройства и заменят определени поредици стрингове с такива, заложени от създателите на кодовете. Така, в случай, че потребителят иска да осъществи легитимна трансакция с криптовалута, може да се окаже, че копираният адрес на портфейл е този на създателя на вируса.

С други думи, клиперите подменят адреса на портфейла от този на истинския получател на трансакция с този на създателите на вируса.

Такъв тип вируси не са новост за Windows – Първите зловредни кодове от този тип за платформата датират от 2017 г., а през 2018 г. вече се засичат и за Android. През февруари 2019 г., обаче, клипърите вече са пробили път и могат да бъдат открити в Google Play, официалния магазин за Android приложения. Разкритието е дело на ESET и е засичано от приложенията на компанията с името Android/Clipper.C.

Копирай и кради

Зловредният код е маскиран под формата на дубликат на легитимната услуга MetaMask. Основната му цел е да открадне идентификационните данни на потребителя и частните му ключове, за да присвои контрол върху Etherium портфейла му. Освен това, той заменя и легитимни адреси на Bitcoin или Ethereum портфейли, копирани в клипборда, с тези на създателите на зловредния код.

ESET разкриват Android/Clipper.C малко след дебюта му в Google Play на 1 февруари. След контакт с екипа за сигурност на Google Play, приложението вече е премахнато.

АТаката е насочена срещу потребителите на услугата MetaMask service, която е създадена с идеята да стартира децентрализирани Etherium приложения в браузъра, без да се налага стартирането на пълна Eherium инстанция. Уловката в случая е, че услугата няма мобилно приложение – само допълнения за десктоп версиите на браузъри като Chrome и Firefox.

Това не е и първият път, в който MetaMask е жертва на опит за копиране. До момента обаче, името на компанията е използвано предимно с фишинг цели – и опит за кражба на потребителски имена и пароли, чрез които да бъде откраднат достъпа до портфейлите на жертвите.

Как да се защитите:

• Ъпдейтвайте Android устройствата си и използвайте ефективно решение за антивирусна защита за Android
• Сваляйте приложения само от Google Play – но винаги имайте едно на ум, защото, видимо и неговата защита може да бъде преодолявана
• Винаги проверявайте официалните сайтове на приложенията, които сваляте, и услугите, които стоят зад тях – защото, видимо, и легитимните приложения могат да станат жертва на копиране
• Проверявайте всяка стъпка във всяка трансакция, в която е замесено нещо ценно за вас. Като използвате клипборда, винаги сравнявайте дали поставения текст е същия като копирания от вас

 

Зловредно приложение за Android може да прави неоторизирани трансфери в PayPal и дори да прескача защитни механизми като двуфакторна автентикация. Приложението е открито от анализаторите на ESET в един от неофициалните магазини за приложения за Android.

Наречено Optimization Android и представено като помощник за оптимизиране работата на батерията, приложението всъщност е троянски кон. Той краде данните за достъп до PayPal акаунта на потребителите, които са го инсталирали.

За да направи това, зловредното приложение разчита на Accessibility service – функционалност в Android, която се използва при разработката на приложения за хора с увреждания. Когато потребителят инсталира на смартофна си троянеца, то използва тази функционалсност, за да имитира въвеждането на данните за достъп до мобилното приложение на Paypal.

Това му позволява да прави трансфери в PayPal от името на потребителя, без той въобще да разбере.

„Когато потребителят стартира PayPal приложението, зловредният код мимикрира въведените от потребителя данни и ги използва след това, за да прави трансфери до адрес, контролиран от хакера“, коментират от ESET. Тъй като троянецът не краде данните за достъп (не ги изпраща към команден сървър), а изчаква потребителите сами да се логнат, това му позволява да прескочи и двуфакторната автентикация на PayPal.

Welivesecurity са публикували видео, което показва как действа зловредното приложение.

От ESET отчитат, че докато са анализирали троянския кон, той е опитал да направи трансфер на стойност 1000 евро от акаунта на заразения потребител.

Друга функция на зловредното приложение е да стартира фишинг екрани за популярни приложения като Viber и Skype. Това му позволява да краде данните за достъп до тези услуги.

В продължение на 11 месеца зловредно приложение е успяло да прескочи политиките за сигурност на Google Play. За този период то е било свалено над 5000 пъти, без да бъде засечено и свалено. Твърдението е на Лукаш Стефанко, анализатор на ESET.

Google Play има стриктна политика, която забранява на разработчиците да качват зловредни приложения със скрити функционалности. Такива приложения се свалят веднага, за да се минимизират щетите за потребителите. В този случай обаче зловредното приложение е останало в хранилището в продължение на почти година и е било свалено от хиляди потребители.

Приложението се казва Simple Call Recorder и основната му функция е била да записва обаждания. Но при инсталирането на смартфона то сваля и допълнителен файл flashplayer_update.apk от външен сървър. Това е изрично забранено от правилата на Google Play.

Не е ясно каква е била функцията на допълнителния файл, тъй като той вече е изтрит от сървъра, на който се е намирал. „От личен опит знам, че когато едно приложение имитира Flash Player, това е признак, че то най-вероятно е зловредно“, коментира Стефанко.

Лукаш Стефанко е в основата на по-голямо проучване, което наскоро откри 29 троянизирани приложения в Google Play. Те се отличават с това, че могат да четат SMS-и и да прескачат двустепенна автентикация. Били са използвани за достъп до онлайн банкиране.

Android е доминиращата операционна система за смартфони; по данни на Google над 2 млрд. души по света я използват. Статистиката на компанията показва, че около 0.66% от потребителите с Android Lollipop имат поне едно потенциално опасно приложение на устройството си. Същото важи за 0.56% от потребителите с KitKat и 0.51% от потребителите с Marshmallow.

Последен ъпдейт на 13 ноември 2018 в 16:06 ч.

Google Play продължава да е източник на малуер, таргетиращ банковите сметки на потребителите. В рамките на само два месеца анализаторите на ESET са засекли 29 банкови троянци, маскирани като мобилни приложения. Те вече са отстранени от Google Play, но преди това са били свалени от около 30 хил. души.

Тази статистика показва, че зловреден софтуер продължава да се появява в официалния магазин за приложения за Android въпреки всички превантивни мерки. Освен това зловредният код не имитира легитимни приложения за онлайн банкиране, каквато е практиката в повечето случаи. Вместо това той е представен като на пръв поглед безобиден софтуер: например приложения за почистване паметта на телефона, намаляване на разходда на батерията или дори дневен хороскоп.

Така се приспива бдителността на потребителите и те са по-склонни да инсталират някое от зловредните приложения.
[tie_index]Нищо общо с безобидни[/tie_index]

Нищо общо с безобидни

Този подход показва, че киберпрестъпниците използват все по-сложни методи за атака. Те създават зловредни приложения, които могат да проверят дали на смартфона ви има легитимно приложение за банкиране; и да пласират фишинг форма за въвежда на потребителско име и парола.

„Тези троянци могат да четат и пренасочват SMS съобщения, за да прескочат двуфакторната автентикация. Те могат да следят списъците с обаждания, да свалят и инсталират други приложения на компрометираното устройство. Всички тези зловредни приложения са качени от разработчици с различни имена, но имат сходства в кода и споделят един команден сървър. Това предполага, че са дело на един и същ хакер или група хакери“, коментира за Welivesecurity.com Лукаш Стефанко, анализатор в ESET.

[tie_index]Как работят троянците[/tie_index]

Как работят троянците

След като бъдат инсталирани, приложенията показват съобщение за грешка или предоставят някаква функционалност (например  сканират паметта на устройството). На заден план обаче те инсталират на устройството зловреден код. Работата на този код е да установи дали на смартфона има приложения за мобилно банкиране.

Според ESET най-забележителната функция на зловредния софтуер е, че може да копира HTML кода на логин страницата на легитимното приложение за банкиране, създавайки по този начин фишинг форма. Тя се зарежда, когато потребителят стартира легитимного приложение за банкиране.

Google Play изтрива всяко приложение, докладвано като зловредно. Но както конкретният пример показва, някои заплахи успяват да се задържат в магазина достатъчно, за да достигнат до хиляди потребители.

[box type=“success“ align=“alignleft“ class=““ width=““]
[tie_index]Как да предпазвате смартфона си от малуер[/tie_index]

Как да предпазвате смартфона си от малуер

Не сваляйте приложения за Android от неофициални хранилища. Обикновено там няма никакъв контрол и вероятността да се заразите с малуер е много по-голяма;

Проверявайте рейтинга, броя на свалянията и потребителските отзиви на всяко приложение, дори и когато се намира в Google Play;

Използвайте и обновявайте софтуер за защита на смартфони; [/box]

В днешни дни бляскавият екран, който държите може да ви даде много повече от кратки разговори и съобщения. Имайки това предвид, компанията Epic Games реши да направи хитовата си игра „Fortnite” достъпна за мобилни платформи. Уловката, обаче, се крие в това, че компанията няма да предоставя играта чрез Google Play, а като отделен .apk (инсталационен) файл. Потребителите трябва да го изтеглят и инсталират собственоръчно.

Ако не можете да видите как това може да ви навреди, то ето един пример: вече има стотици YouTube видеа на тема „Как да инсталираме Fortnite”. Голяма част от тях (ще) съдържат линкове към фалшиви и инфектирани .apk файлове. Което може да доведе до гигантска по размерите си скам атака – и масово източване на данни и монетизация на реклами от огромната потребителска база на играта (съставена предимно от деца).

Вижте още: Защо да внимавате какво сваляте: Google е спряла над 700,000 заразени приложения за Android

Първите примери за подобни измами бяха забелязани месеци преди да бъде обявена мобилната версия на играта. Лукас Стефанко от ESET, сподели в Twitter за нарастващият брой фалшиви видеа и приложения още през юни:

Millions of views on YouTube for fake „How to install Fortnite on Android“ videos including links to actual APK files.
Don’t install #Fortnite for Android, it’s all fake or malicious! Official app is not released yet.
They mostly generate revenue for developers. pic.twitter.com/xpDcqbs3G2

— Lukas Stefanko (@LukasStefanko) June 12, 2018

В момента е лесно да се разпознаят, тъй като официалната мобилна версия все още е в разработка и не се предлага за потребителите. Веднъж, щом тя бъде пусната, няма да има очевиден начин за потребителите да различат фалшиво от истинско приложение преди да е вече късно.

Във ваш интерес, както и в този на децата и близките ви е да се подготвите още отсега. За това може да ви послужи решение за антивирусна защита за Android, което може да разпознава потенциално зловредни приложения и да ги блокира.

Най-добре за вас и устройствата ви е да не позволявате инсталация на приложения от недоверени източници. Ако все пак искате да се срещнете на бойното поле с приятелите си във Fortnite, направете го внимателно като следвате официалните инструкции на сайта на играта.

Ако сте системен администратор: посъветвайте колегите си да не инсталират съмнителни .apk файлове – или ги улеснете (и себе си) като изпратите проверен линк към подобен туториъл на родителите, чийто деца са фенове на играта. Те ще са ви благодарни.

Ако последните 2 години бяха белязани от главоломен ръст на криптовируите, то 2018 г. е подвластна на нова тенденция – скритото копаене на криптовалути. Скрито, защото става без ясното знание на засегнатите потребители, чийто компютри – а вече все по-често и мобилни телефони – са използвани за „добив“ на криптовалути.

В числа – статистиката показва, че от началото на годината засечените подобни атаки срещу различни сайтове са се увеличили с 27%, а за мобилни устройства – с 4000%.

Как работят?

Целта на cryptojacking атаките не е да криптират файловете ви или да ви попречат да работите с устройството си, а точно обратното – те разчитат на постоянната работа на телефона или таблета ви. Това се дължи на факта, че тези вируси прикрито „копаят“ криптовалути в полза на атакуващия.

Вижте още: Как вашият сървър (или сайт) прави пари за хакерите

В нормални обстоятелства, добивът на криптовалута се осъществява чрез множество отделни (специализирани) процесори, които комбинират изчислителната си мощ. Cryptojacking операциите наподобяват това като комбинират множество заразени устройства – колкото повече, толкова по-големи приходи. Най-често жертви на такива вируси стават потребителите на Android устройства, тъй като контролът при пазарът за приложения не е толкова строг, колкото при iOS.

Напоследък феноменът се разраства при мобилните устройства с притесняващи темпове. Доказателство за това е скорошното разкритие на ESET, че популярната игра Bug Smasher (около 5 милиона сваляния) е включвала прикрит cryptojacker. Въпреки че не са толкова мощни, мобилните устройства са атрактивна цел по няколко очевидни причини. Замислете се, като начало: колко приложения, които не използвате стоят на телефона ви?

Как да открием, че сме заразени

При прекомерно агресивно присъствие на cryptojacker-и, телефонът ви може да не само да се нагрява и бави ненужно, но и батерията ви може да бъде повредена заради постоянното и прекалено бързо разреждане.

Google съхранява информация за местоположението на Android устройства дори и след изричната забрана на собствениците им. Това показва разследване на информационната агенция Associated Press.

Материалът на агенцията показва, че простото спиране на опцията „Location History” (История на местоположенията, ако използвате българската версия на операционната система) не спира проследяването на локацията на устройството, за което се изискват още 8 различни настройки, разхвърляни в менюто на операционната система.

Какво следи Google?

Ето няколко примера за действия, които ще изпратят точното ви местоположение (до квадратен метър) на Google дори и да сте забранили съхраняването на Location History:

• Всеки път, когато просто отворите Google Maps, без значение дали сте поискали да ви локира
• Всеки път когато търсите нещо, което може да има общо с местоположението ви (ресторанти, магазини и др.)
• Автоматично обновяване на информацията за времето

Тази информация се изпраща към Google с точни дата и час и после се синхронизира с акаунта ви.

От компанията коментират, че следенето е в в интерес на потребителите, за да подобри услугите, които предлагат и също може да бъде изключено.

Какво всъщност прави Location History?

Според описанието на услугата Location History в страницата за техническа поддръжка на Google гласи, че „ако функцията е изключена, местата, които посещавате, повече няма да се съхраняват.“ Което реално не означава, че Google спира да ви следи (каквато е официалната позиция на компанията).

Преводът на човешки език на функционалността от страна на Associated Press показва, че на практика спирането ѝ означава, че Google няма да може да създаде хронология на локациите, на които сте се намирали – но не и, че няма да съхранява самите локации.

Иначе казано – Google ще знае, че сте били (например) в София, Бургас и Благоевград, но няма да знае в какъв ред сте ги посетили.

Как да спрете следенето наистина?

За да може да спите спокойно и да сте сигурни, че Google няма да съхранява не само хронологията на движението ви, а и локациите, на които сте били, то трябва да изключите друга опция – Web & App Activity (Контроли за активността), която на практика управлява „какви видове данни да се запазват в профила ви в Google.“ За да стигнете до нея на устройството си, обаче, трябва да минете през 5 стъпки на компютър или 4 на телефона си (или да кликнете тук). Ето кои са те.

На компютър

1. Влезте в менюто Google Account в горния десен ъгъл на браузъра си, когато използвате услуга на компанията
2. Изберете опцията Personal Info & Privacy
3. Изберете Go to My Activity
4. От навигацията вляво изберете Activity Controls
5. Намерете на екрана опцията Web & App Activity – и я изключете

На Android устройство

1. Влезте в настройките на операционната система
2. Отидете в менюто Google Account
3. Изберете Data & personalization
4. Намерете Web & App Activity
5. Изключете настройката (след като го направите, ще видите изскачащ прозорец с предупредителен текст „Pausing Web & App Activity may limit or disable more personalized experiences across Google services. For example, you may stop seeing more relevant search results or recommendations about places you care about. Even when this setting is paused, Google may temporarily use information from recent searches in order to improve the quality of the active search session.“)

Как да видите какво знае Google за вас?

Можете да видите цялата си активност и всички събрани с нея данни на https://myactivity.google.com/myactivity

При желание, можете да изтриете историята си, но трябва ръчно да намерите и заличите всеки отделен елемент, освен ако не искате да заличите цялата си активност в Google.

Продължението на Meltdown сагата идва от Техническия университет в Грац, Австрия. Екип от ентусиасти в университета се похвалиха на Ройтерс, че са намерили начин да експлоатират популярната уязвимост в Galaxy S7. Екипът съобщи, че планира да представи откритието си на Black Hat USA 2018. Конференцията ще се проведе днес (09.08.2018) в Лас Вегас.

Samsung съобщи, че ъпдейти от януари и юли адресират точно тези уязвимости. Компанията прикани всички потребители да ги инсталират на устройствата си.

Джейк Муур, специалист от ESET, препоръча всички потребители да обновят системния софтуер на устройствата си, за да ги предпазят от атаки в интервю за Independent UK.

“Постоянно виждам как хора отлагат ъпдейтите си по най-различни причини, но не мога да натъртя достатъчно – важни ъпдейти като тези предотвратяват порой от атаки към бизнеса и крайните потребители“ – продължава експертът

В момента, екипът от ТУ Грац търси начини да експлоатира уязвимостта при други марки и модели Android устройства, като очаква да намери множество уязвими такива.

Засега не са забелязани реални атаки, които експлоатират Meltdown за Android устройства.

Опитите за кражба на криптовалути стават все повече и все по-чести. Последният по-сериозен пример до момента е атака от началото на юли месец, в която са били спрени над 2.3 млн. опита за подмяна на информация за притежатели на криптовалути през един от сайтовете посредници.

Защо? Защото само за година Bitcoin е увеличил стойността си повече от 3 пъти и към 31 юли се продава срещу 8,155.24 USD. Как всъщност се крадат криптовалути и как да предпазите своя портфейл?

В долните редове може да се запознаете с 6-те най-използваните метода.

 1. Приложения от Google Play и Apple App Store

Особено характерно за потребителите на смартфони, които не се защитават адекватно, е да станат жертви на измамни приложения. Те изглеждат сякаш идват от определени крипто организации – Coin Miner, Eth Miner и др. При стартирането на приложението от потребителят се изисква да въведе чувствителните си данни, за да получи достъп до своите профили и по този начин дава достъп на хакерите до профила си.

2. Ботовете в Slack

Slack ботове, които се използват за кражба на криптовалута, се превърнаха в най-бързо развиващата се и използвана система от измамниците. Тази атака се осъществява посредством бот, който изпраща уведомление към потребителите за даден проблем с техния криптопортфейл.
Когато потребителят последва линка, той трябва да въведе частния си ключ за достъп до криптопортфейла – и го отваря за кражба.

Прочетете повече от какво и как да защитите Android устройството си.

3. Add-ons и Pop-ups за криптотърговия

Повечето браузъри днес предлагат персонализиране на потребителския интерфейс за по-удобна работа с криптопортфейли и обмен на валути. Проблемът е, че някои тези добавки са силно уязвими към хакерски атаки. Голяма част от тези разширения могат да се използват и за скрито копаене на валути, което използва ресурсите на компютъра ви и често остава незабележимо.

4. Автентикация чрез SMS 

По-голяма част от потребителите избират да използват мобилна автентикация, тъй като смартфонът е винаги в джоба им. SMS съобщенията се изпращат навсякъде по света чрез протокола Signaling System 7 (SS7). Специалисти демонстрираха прихващането на текстови съобщения, използвайки свой собствен изследователски инструмент, който използва слабостите за прихващане на този тип трафик . Демонстрацията беше направена, използвайки сметки на Coinbase, шокирайки потребители на борсата. Това доказва, че дори и 2FA чрез SMS не ви дава пълна безопасност.

5. Публични Wi-Fi мрежи

Никога не правете важни транзакции през публична мрежа, дори и да използвате най-сигурния VPN. Кракването на WiFi защита е особено наболяла тема, тъй като до голяма степен, все още се използват остарели защитни стандарти. В новите пък, биват открити уязвимости, като добър приер за това е Krack атаката, която позволява на външен потребител да шпионира трафика на мрежата, без да е в нея.

6. Клониране на сайт

Въпреки че, част от описаните до момента методи са до някаква степен базирани на този, добрия стар чист фишинг продължава да е главозамайващо ефективен. При този тип атака се клонира или изработва страница, която изисква въвеждането на лични данни. В последствие, потребителите биват привлечени към нея по един или друг начин, а всеки, който въведе данните си може да се сбогува с каквато и наличност да има в криптопортфейла си.

Добрата новина е, че намирането на пробойни в потребителската защита става все по-трудно, тъй като не само услугите се усъвършенстват, но и самите потребители. Все повече хора използват многослойна автентикация и антивирусен софтуер, който предпазва от конвенционални атаки. Фокусът на хакерите вече се измества към създаването и разпространението на код, който копае валути в тяхна полза чрез чужди машини.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.