Drošības uzņēmums Zimperium atklāja jaunu ļaunprātīgas programmatūras kampaņu, kas izplatījās, izmantojot sociālo mediju nolaupīšanu, trešo pušu lietotņu veikalus un sānu ielādes lietojumprogrammas.
Kiberdrošības uzņēmums Zimperium ir identificējis jaunu Android Trojas zirgu, kas publicēja ziņojumu pirmdien skaidrojot, kā ļaunprogrammatūra ir spējusi skart vairāk nekā 10 000 upuru 144 valstīs.
Trojas zirgs, ko Zimperium pētnieki nosauca par FlyTrap, kopš marta ir spējis izplatīties, izmantojot "sociālo mediju nolaupīšanu, trešo pušu lietotņu veikalus un sānu ielādes lietojumprogrammas".
Zimperija zLabs mobilo draudu izpētes grupas vispirms identificēja ļaunprogrammatūra un saprata, ka tā izmanto sociālās inženierijas trikus, lai apdraudētu Facebook kontus. Ļaunprātīga programmatūra nolaupa sociālo mediju kontus, inficējot Android ierīces, ļaujot uzbrucējiem vākt informāciju no upuri, piemēram, Facebook ID, atrašanās vieta, e-pasta adrese un IP adrese, kā arī sīkfaili un marķieri, kas saistīti ar jūsu Facebook konts.
"Šīs nolaupītās Facebook sesijas var izmantot, lai izplatītu ļaunprātīgu programmatūru, ļaunprātīgi izmantojot upura sociālo uzticamību, izmantojot personisku ziņojumapmaiņu ar saitēm uz Trojas zirgu, kā arī propagandu vai dezinformācijas kampaņu izplatīšanu, izmantojot upura ģeogrāfiskās atrašanās vietas datus," sacīja Zimperium pētnieki. rakstīja.
"Šīs sociālās inženierijas metodes ir ļoti efektīvas digitāli savienotajā pasaulē, un kibernoziedznieki tos bieži izmanto, lai izplatītu ļaunprātīgu programmatūru no viena upura uz otru. Apdraudējuma dalībnieki izmantoja vairākas tēmas, kas lietotājiem šķita pievilcīgas, piemēram, bezmaksas Netflix kuponu kodus, Google AdWords kuponu kodus un balsošanu par labāko futbola (futbola) komandu vai spēlētāju.
Pētnieki piedēvēja ļaunprogrammatūru grupām, kas atrodas Vjetnamā, un teica, ka spēj to izplatīt, izmantojot Google Play un citus lietotņu veikalus. Google tika nosūtīts ziņojums par ļaunprogrammatūru, to pārbaudīja un noņēma visas veikala lietojumprogrammas.
Taču ziņojumā norādīts, ka trīs no lietojumprogrammām joprojām ir pieejamas "trešo pušu, nenodrošinātu lietotņu krātuvēs".
Kad upuri ir pārliecināti lejupielādēt lietotni, izmantojot maldinošu dizainu, lietotne mudina lietotājus iesaistīties un galu galā lūdz cilvēkiem ievadīt sava Facebook konta informāciju, lai par kaut ko balsotu vai savāktu kuponu kodi. Kad viss ir ievadīts, lietotne novirza upurus uz ekrānu, kurā teikts, ka kupona derīguma termiņš jau ir beidzies.
Pētnieki paskaidroja, ka ļaunprātīgā programmatūra izmanto paņēmienu, ko sauc par "JavaScript injekciju", kas ļauj lietotnei atvērt likumīgus vietrāžus URL "konfigurētā tīmekļa skatā". ar iespēju ievadīt JavaScript kodu." Pēc tam lietotne iegūst informāciju, piemēram, sīkfailus, lietotāja konta informāciju, atrašanās vietu un IP adresi, ievadot ļaunprātīgu JS. kodu.
Zimperium iesaka Android lietotāji atrast veidus, kā pārbaudīt, vai kādās lietojumprogrammās viņu ierīcē ir FlyTrap, un atzīmēja, ka tās ir pārkāptas kontus var izmantot kā robottīklu citiem mērķiem, piemēram, lai palielinātu noteiktu lapu popularitāti vai vietnes.
"FlyTrap ir tikai viens no piemēriem notiekošajiem, aktīviem draudiem mobilajām ierīcēm, kuru mērķis ir zagt akreditācijas datus. Mobilie galapunkti bieži ir neaizsargātas pieteikšanās informācijas dārgumi sociālo mediju kontos, banku lietojumprogrammās, uzņēmuma rīkos un daudz ko citu," sacīja Zimperium pētnieki.
"FlyTrap izmantotie rīki un paņēmieni nav jauni, bet ir efektīvi, jo šajās ierīcēs trūkst uzlabotas mobilo galapunktu drošības. Ļaunprātīgai pusei nebūtu daudz vajadzīgs, lai paņemtu FlyTrap vai jebkuru citu Trojas zirgu un pārveidotu to, lai mērķētu uz vēl svarīgāku informāciju.
Setu Kulkarni, NTT lietojumprogrammu drošības viceprezidents, sacīja, ka FlyTrap ir "jauka kombinācija" no dažām ievainojamībām un izmantoja daudzās piekļūt pieejamiem metadatiem, piemēram, atrašanās vietai, kā arī netiešai uzticībai, ko var iegūt gudras, taču apšaubāmas asociācijas ar tādiem uzņēmumiem kā Google, Netflix un citi.
"Tas pat nav pats satraucošākais — tas ir tīkla efekts, ko šāda veida Trojas zirgi var radīt, izplatoties no viena lietotāja uz daudziem. Turklāt, kā teikts Zimperium atklājumu kopsavilkumā, šo Trojas zirgu varētu attīstīt, lai izfiltrētu daudz kritiskāku informāciju, piemēram, banku akreditācijas datus," sacīja Kulkarni.
"Diemžēl ar to scenāriji nebeidzas. Ko darīt, ja šāda veida Trojas zirgi tagad tiek piedāvāti kā pakalpojums, vai ja tas ātri pārvēršas par izspiedējprogrammatūru, kuras mērķauditorija ir 100 tūkstošiem lietotāju. Apakšējā līnija nemainās. Viss sākas ar lietotāju, kurš tiek pamudināts noklikšķināt uz saites. Tas rada jautājumu — vai Google un Apple nevajadzētu darīt vairāk, lai risinātu šo problēmu visā viņu klientu bāzē?
Drošība
- 8 ļoti drošu attālināto darbinieku ieradumi
- Kā atrast un noņemt spiegprogrammatūru no tālruņa
- Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
- Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk