Pokémon GO представляет собой новое приложение для платформ iOS и Android, которое позволяет при помощи камеры устройства находить покемонов в реальном мире. С момента релиза в обоих официальных магазинах приложение успели скачать множество пользователей. Однако в некоторых локациях приложение дополненной реальности недоступно, так что приходится задействовать установочные файлы формата Android APK. Проблемой является то, что в таких файлах может скрываться вредоносный код.
Компания Proofpoint предупреждает о файле APK, выдающим себя за приложение Pokémon GO, который на самом деле устанавливает бэкдор DroidJack. Это вредоносное ПО обнаружили через трое суток после релиза в Австралии и Новой Зеландии.
Есть ряд признаков, по которым можно заподозрить неладное. Заражённое бэкдором приложение Pokémon GO требует разрешений на выполнение телефонных звонков, получение и редактирование СМС и ММС, редактирование списка контактов. Также приложение не прочь записывать аудио, читать закладки браузера, вносить изменения в соединение Wi-Fi. Всего этого не делает подлинное приложение. Внутри приложения можно найти классы вроде «net. droidjack.server», который отвечает за соединение с командным центром. Для большей достоверности стартовый экран такой же, как у подлинного приложения.
В США приложение привело к более реальным проблемам, поскольку при помощи функции определения местоположения было совершено несколько ограблений.
Хотя новости о вредоносном ПО и приложениях-вымогателях появляются каждый день и даже чаще, доклад компании Enigma Software говорит, что в первом полугодии их количество заметно снизилось. Было проанализировано 30 млн. инфицированных компьютеров; хотя вредоносное ПО и вымогатели остаются на самом высоком уровне в истории, число заражений за год снизилось на 47,3%.
Enigma пишет, что в июне число заражений было минимальным за три года с апреля 2013. Прчину видят в усилении безопасности браузеров и антивирусов и их умении блокировать вирусы ещё до попадания на компьютеры. Также отмечается рост использования мобильных устройств и сокращение проводимого за компьютерами времени, что сокращает количество заражений.
Кроме того, растёт осведомлённость пользователей об основных видах угроз, вроде рекламы, потенциально нежелательных приложений и панелей инструментов. Такие виды угроз обычно входят в состав устанавливаемых из Интернета программ. Число приложений-вымогателей в процентном соотношении относительно других типов угроз продолжает расти, хотя и остаётся небольшим. Рост за год составил 119%.
Аналитики считают, что июньский спад числа угроз связан также с арестами ряда хакеров в России, которые благодаря своей деятельности сумели заработать около 1,7 млрд. рублей. Можно не сомневаться, что на их место весьма скоро найдутся новых желающие и угрозы в глобальной сети никуда не денутся.
Разработчики известного приложения-вымогателя Cerber выпустили своё новое творение, программу Alfa, сообщила компания Bleeping Computer. Cerber наряду с Locky, CryptXXX и Jigsaw является одним из наиболее активных и распространённых вымогателей. В отличие от последнего взломать его не удаётся, так что непонятно, для чего нужно выпускать ещё одно приложение с такой же функциональностью.
Программа Alfa появилась недавно и пока неизвестно о методах её распространения, но надёжное шифрование до сих пор не позволило взломать его. Как и большинство вымогателей, программа шифрует файлы и добавляет к ним расширения. Понять, что они стали жертвами именно Alfa, пользователи могут по расширению .bin на конце файлов.
Всего под прицелом находятся 142 типа файлов. После завершения шифрования выдаётся записка с требованием выкупа в текстовом файле и в HTML, которые оказываются на рабочем столе и в других папках.
В записке приложение называется «Alpha». Вымогатель с таким названием появился в мае и для него был создан дешифратор. Разработчики Alfa в качестве выкупа запрашивают сумму в 1 биткоин (около $650).
Продолжает пополняться перечень шифрующих пользовательские файлы программ-вымогателей, для которых доступен бесплатный восстанавливающий файлы дешифратор. На этот раз компания Check Point смогла создать дешифратор для новых и старых версий вымогателя Jigsaw.
Приложение Jigsaw появилось в апреле и известно тем, что не получив выкуп, удаляет файлы. Перезагрузка компьютера также ведёт к удалению файлов. После появления Jigsaw исследователи быстро создали дешифратор, но после обновлений приложения он перестал работать, а обновления эти выходят регулярно, почти каждую неделю.
Check Point нашла уязвимость не в процессе шифрования, а в методах получения оплаты. Другие вымогатели используют для получения платежей сеть Tor, Jigsaw же печатает номер кошелька биткоин и говорит после совершения платежа нажать на кнопку «I made a payment, now give me back my files!». Это отправляет запрос с компьютера на сетевой интерфейс, где платёж проверяется.
В Check Point создали инструмент, который перехватывает и подделывает ответ интерфейса на этот запрос. Программа Jigsaw получает его и считает, что платёж был выполнен, начиная процесс расшифровки файлов и самоликвидации с компьютера.
Операционная система Android Nougat выйдет с функциями безопасности, которые будут противостоять приложениям-вымогателям и не позволят блокировать вход пользователей в свои устройства. Android запретит использовать команды для сброса установленных паролей.
Вместо шифрования файлов, как это обычно делается на компьютерах, на мобильных устройствах вымогатели предпочитают сбрасывать пароль блокировки экрана, чтобы пользователь не смог работать с устройством, пока не заплатит выкуп. При этом специалист компании Symantec Динеш Венкатесан пишет, что функция не поможет защитится при отсутствии установленного пароля.
Страница разработчиков подтверждает, что функция «resetPassword» может использоваться для установки пароля, только если он не был задан раньше. Теперь у пользователей появилась ещё одна причина устанавливать пароль.
Политика разработчиков была изменена после наплыва приложений-вымогателей за последний год. Пользователи устанавливают игры и приложения с вредоносным кодом внутри, после чего их аппараты оказываются заблокированными. Недавно приложения-вымогатели были названы главной угрозой в сфере кибербезопасности.