Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Skutki publikowania PoC

Roman Unuchek
Dodany 2 czerwca 2016, 12:42 CEST
Tagi:

Marzenia cyberprzestępcy

Można wyróżnić dwie zasadnicze cechy systemu ochrony Android OS:

  1. bez wiedzy użytkownika nie można pobrać pliku na niezainfekowane urządzenie;
  2. bez wiedzy użytkownika nie można inicjować instalacji aplikacji osób trzecich.

To znacząco komplikuje życie twórcom szkodliwego oprogramowania: aby zainfekować urządzenie mobilne, muszą uciekać się do forteli socjotechniki. Ofiara jest dosłownie wmanewrowywana w zainstalowanie trojana. Z pewnością nie zawsze jest to możliwe, ponieważ użytkownicy stają się coraz bardziej świadomi i nie tak łatwo jest ich zmylić.

Niewidoczna instalacja szkodliwej aplikacji na urządzeniu mobilnym bez wiedzy użytkownika to bez wątpienia marzenie wielu twórców szkodliwego oprogramowania. Aby tego dokonać, należy znaleźć i wykorzystać lukę w systemie Android. Takie luki zostały już zidentyfikowane: mowa tu o CVE-2012-6636, CVE-2013-4710 i CVE-2014-1939.

Luki te...


Trojan Asacub: od oprogramowania szpiegującego po szkodliwe oprogramowanie bankowe

Roman Unuchek
Dodany 20 stycznia 2016, 09:17 CET
Tagi:

Niedawno, analizując rodzinę trojanów bankowości mobilnej o nazwie Trojan-Banker.AndroidOS.Asacub, odkryliśmy, że jeden z wykorzystywanych przez te szkodniki serwerów kontroli (wykorzystywanych w szczególności przez najwcześniejsze znane nam modyfikacje jak również te najnowsze), znajdujący się pod adresem chugumshimusona[.]com, jest również wykorzystywany przez CoreBota - trojana szpiegującego stworzonego dla systemu Windows. To skłoniło nas do przeprowadzenia bardziej szczegółowej analizy tego szkodnika.

Najwcześniejsze ze znanych nam wersji Asacuba pojawiły się w pierwszej połowie czerwca 2015 r. i posiadały funkcjonalność, która bardziej przypominała funkcjonalność trojanów szpiegujących niż szkodliwego oprogramowania bankowego. Wczesny Asacub kradł wszystkie przychodzące wiadomości SMS niezależnie od tego, kto je wysłał, i wrzucał je na szkodliwy serwer. Trojan ten potrafił otrzymywać i przetwarzać następujące polecenia z serwera kontroli (C&C):  

  • get_history: wrzuć historię przeglądarki na szkodliwy serwer;
  • get_contacts: wrzuć listę kontaktów na szkodliwy serwer;
  • get_listapp: wrzuć listę zainstalowanych aplikacji na szkodliwy serwer;
  • block_phone: wyłącz ekran telefonu;
  • send_sms: wyślij SMS zawierający określony tekst na określony numer.

Nowe wersje Asacuba pojawiły się w drugiej połowie lipca 2015 r. Szkodliwe pliki, o których wiemy, wykorzystywały w swoim interfejsie logo banków europejskich, w przeciwieństwie do wcześniejszych wersji trojana, które wykorzystywały logo dużego banku amerykańskiego.


Najbardziej zaawansowany trojan dla Androida

Roman Unuchek
Dodany 7 czerwca 2013, 13:13 CEST
Tagi:

Niedawno trafiła do nas aplikacja dla Androida w celu analizy. Już na pierwszy rzut oka wiedzieliśmy, że była wyjątkowa w swoim rodzaju. Wszystkie ciągi w pliku DEX były zaszyfrowane, a kod – zaciemniony.    

Plik okazał się wielofunkcyjnym trojanem, który potrafi: wysyłać SMS-y na numery premium; pobierać inne szkodliwe programy, instalować je na zainfekowanym urządzeniu i/lub wysyłać dalej za pośrednictwem Bluetootha; zdalnie wykonywać polecenia w konsoli. Obecnie, produkty firmy Kaspersky Lab wykrywają ten szkodliwy program jako Backdoor.AndroidOS.Obad.a. 

android_trojan_01.png

Twórcy szkodliwego oprogramowania zwykle próbują maksymalnie skomplikować kod w swoich tworach, aby utrudnić życie ekspertom ds. szkodliwego oprogramowania. Rzadko jednak zdarza się, aby maskowanie w mobilnym szkodliwym oprogramowaniu było tak zaawansowane jak w przypadku szkodnika Obad.a. Co więcej, to kompletne zaciemnienie kodu nie było jedyną podejrzaną...


Pozdrowienia z Malezji

Roman Unuchek
Dodany 24 kwietnia 2013, 14:38 CEST
Tagi:

W połowie lutego 2013 roku użytkownik naszego produktu z Malezji poprosił nas o sprawdzenie aplikacji z Google Play o nazwie My HRMIS & JPA Demo stworzonej przez Nur Nazri.

Jego podejrzenia wzbudziło to, że aplikacja wymagała dużej liczby zezwoleń, mimo że jej jedyną funkcją miało być otwieranie czterech stron internetowych.

Po uruchomieniu aplikacja pokazuje te cztery przyciski:

Kliknięcie jednego z tych obrazków otwierało odpowiednią stronę w standardowej przeglądarce Androida:

Przycisk 1 otwiera http://www.bheuu.gov.my/puspanita/;

Przycisk 2 - http://www.jpa.gov.my/;

Przycisk 3 - http://www.mampu.gov.my/web/guest/;

Przycisk 4 - http://www.eghrmis.gov.my/.

Jest to jednak tylko to, co ukazuje się oczom użytkownika – za kulisami dzieje się więcej rzeczy, o których użytkownik nie ma pojęcia. Kliknięcie 2 przycisku aplikacji powoduje otwarcie strony, ale również kradzież 10 ostatnich kontaktów (nazwisk i...