Специалисты по информационной безопасности из компании Dell обнаружили на платформе Android ряд новых приложений, которые выдают себя за популярную игру Pokemon GO, а на самом деле представляют собой вредоносные программы, варьирующиеся от рекламы (adware) до DroidJack RAT (троян удалённого доступа). В прошлом месяце также было найдено несколько поддельных вариантов Pokemon GO, сразу после релиза игры в США, Австралии и Новой Зеландии.
Злоумышленники пользуются популярностью игры для распространения в сторонних магазинах её подделок или руководств, как скачать и установить Pokemon GO в разных странах.
В Dell на этот раз нашли приложения com.nianticlabs.pokemongo (под видом официальной игры) и net.droidjack.server. Эти программы дают хакерам полный контроль над инфицированным устройством, позволяя красть данные, звонить, фотографировать, записывать видео и слушать звук.
Что касается рекламы, её распространяют приложения net.ksbicrwkn.pokemongousa и eu.auauvcqwu.pokemongocoins. После установки приложения просят права администратора. Их получение приводит к появлению баннеров или полноэкранной рекламы поверх домашнего экрана или приложений.
Есть и третья категория вредоносных приложений - инсталляторы или потенциально нежелательное ПО. Их цель - устанавливать другие приложения из Google Play Store или сторонних магазинов в рамках партнёрских программ. Эти приложения называются com.thaipro.pokemongo и com.vns.pojemongo.
Новое блокирующее экран приложение-вымогатель появилось в сети и нацелено главным образом на пользователей из США. Оно выглядит как окно активации системы Windows и просит позвонить на бесплатный номер для возвращения доступа к своему компьютеру.
Приложение было обнаружено компанией Symantec и не распространяется столь же массово, как другие программы подобного рода. Также приложение отличается тщательным планированием. Инфицирование происходит через файл под названием freedownloadmanager.exe. Попав на компьютер, оно отображает стандартные обои Windows 10 и поле ввода. Над ним написано:
Your Windows Licence has Expired, Please get a new one by calling on 1-888-303-5121
Над сообщением находятся иконки приложений LogMeIn и TeamViewer. Это известные приложения для дистанционного доступа к компьютерам. Роль этих ярлыков пока неясна, однако сама их природа заставляет серьёзно насторожиться и забеспокоиться за конфиденциальность своих данных.
Специалисты Symantec звонили по указанному номеру, но ответа не получили, так что стоимость разблокировки остаётся неизвестной. Зато стало известно, что если ввести в поле активации 8716098676542789, приложение-вымогатель будет устранено.
Компания Dr.Web обнаружила на платформе Android новый троян, который умеет самостоятельно покупать и устанавливать приложения в магазине Google Play Store. Android.Slicer представляет собой приложение якобы для оптимизации смартфона, предлагающее очистить память устройства, закрывая неиспользуемые приложения. Также программа умеет включать и выключать доступ к сети Wi-Fi и Bluetooth при помощи быстрых команд, отображаемых на домашнем экране.
Это приложение оказывается на устройстве либо после установки пользователями вручную, либо будучи установленным другими вредоносными приложениями. Попав на аппарат, программа собирает информацию о нём и отправляет на командный сервер. Передаётся идентификатор IMEI, MAC-адрес, производитель и версия операционной системы. Далее сервер даёт команду показывать рекламу, открыть определённую страницу в браузере или магазин Play Store на странице определённого приложения.
В последнем случае при работе на Android 4.3 Android.Slicer скачивает руткит Android.Rootkit.40, который производит рут устройства и даёт более полный контроль. После троян может нажимать на кнопки в магазине, такие как «Продолжить», «Установить» и «Купить». Это может привести к финансовым потерям, однако руткит не работает на устройствах с компонентом SELinux, которые есть на версиях от Android 4.4.
Чаще всего Android.Slicer ограничивается показом рекламы, если же он устанавливает приложения, их ярлыки появляются на домашнем экране.
На конференции информационной безопасности Black Hat USA 2016 в Лас-Вегасе компания Apple анонсировала запуск в ближайшие месяцы программы поиска уязвимостей в своём программном обеспечении. Среди крупных компаний Кремниевой Долины Apple одна из немногих до сих пор не обзавелась подобной программой. Они есть у Microsoft, Google, Twitter, Yahoo, Tesla, Uber и других.
Apple сообщает, что поначалу программа будет работать только по приглашениям, участие примут выбранные специалисты по безопасности. По мере развития программы и когда в Apple привыкнут работать со сторонними докладами она будет становиться всё более открытой.
Поначалу экспертов будет около двух десятков. Пока не сказано, будет ли запущена платформа для работы с багами, аналогичная имеющимся у Facebook, Google и Microsoft, или задействуют сторонние сервисы вроде HackerOne или Bugcrowd. Величина награды будет достигать $200.000.
Хотя во время анонса это не было упомянуто, решение завести программу наверняка связано в том числе с противостоянием с ФБР по поводу взлома айфона для помощи в расследовании. В итоге аппарат был взломан без помощи Apple.
На конференции в этом году подобные программы анонсировали ещё несколько компаний: лаборатория Касперского, Panasonic и MasterCard.
Windows и Office среди программных продуктов больше других страдают от незаконного использования. По этой причине Microsoft должна внедрить новые методы блокировки нелегального скачивания контента на уровне операционной системы.
Такой вывод сделан в шведском докладе Black Market Watch и Global Initiative against Transnational Organized Crime. Говорится, что Microsoft, Apple и Google могут внедрить антипиратские фильтры в свои операционные системы и тем самым затруднить доступ к нелегальному контенту. В частности, запрещено будет посещать торрент-трекеры.
В статье сказано, что компании нужно «мотивировать» на подобные действия, а если не сработает, то «регулировать», чтобы заставить бороться со скачиванием защищённых авторским правом материалов. В качестве примера используется Windows 10, относительно которой ранее был слух, что система заблокирует доступ к пиратским играм. Он появился в августе 2015 года с обновлением условий пользования сервисами Microsoft и говорил об автоматической системе обнаружения пиратских игр.
После компания отрицала наличие у себя таких намерений, однако за Windows 10 уже прочно укоренилась репутация системы с обширными шпионскими возможностями, и наверняка ей не составит труда обнаруживать пиратский контент.