Нова кампанія із шкідливим програмним забезпеченням встигла проникнути в офіційний магазин Google Play, щоб розгорнути троян Joker на пристроях Android. Шкідник створює обманну рекламу та підписує користувачів на платні сервіси мобільних операторів без їхнього відома. Про це повідомляють на ZDnet.

Минулого тижня дослідник з безпеки Алексеїс Купрінс із розвідувальної фірми у галузі кібербезпеки CSIS Security Group заявив, що в останні тижні помічено сплеск шкідливої ​​активності, в ході розслідування якої було знайдено щонайменше 24 додатки Android, що містять зловмисне програмне забезпечення.

Зловмисні програми містили кампанію, що розповсюджували троян Joker. Його ідентифікували за іменем, яке посилається на одне з доменних імен, підключених до сервера команд і управління (C2) оператора. Joker не проявляється відкрито на заражених пристроях, використовуючи якомога менше JavaScript-коду і блокуючи деякі частини свого коду за допомогою технік обфускації. У багатьох випадках зловмисне програмне забезпечення було інтегровано в рекламні рамки, пов’язані з шкідливими програмами.

Зловмисний код містить звичайний список троянських функцій, включаючи крадіжку SMS-повідомлень, контактної інформацію та даних пристрою, і постійно обмінюється даними з сервером С2. Але розробники Joker пішли далі, намагаючись зробити так, щоб вірус міг отримати прибуток для свого оператора шляхом шахрайської рекламної діяльності.

Joker може взаємодіяти з рекламними мережами та веб-сайтами, імітуючи кліки та мовчки підписуючи жертв на платні послуги. В одному прикладі, Joker зареєстрував користувачів у Данії  на преміум-сервіс, який коштував приблизно 7 євро на тиждень, імітуючи кліки на веб-сайті, автоматично вводячи коди пропозицій оператора та витягуючи коди підтвердження з SMS-повідомлень, відправлених на цільовий пристрій. Потім ці коди надсилаються на веб-сайт з рекламою для завершення процесу. В інших випадках шкідник може просто надсилати SMS-повідомлення на платні номери.

Кожна шахрайська “робота” управляється командами від C2, і як тільки реєстрація на платному сервісі буде завершена, Joker надсилає відповідь на сервер C2 та чекає подальших інструкцій.

Оператори Joker орієнтуються на 37 конкретних країн-цілей, включаючи Китай, Великобританію, Німеччину, Францію, Сінгапур та Австралію. Багато заражених додатків, знайдених дослідниками, містять перелік кодів мобільних країн (MCC), а SIM-карта на інфікованому пристрої має  відповідати  MCC для виконання Joker. Більшість цих програм не розгортають зловмисне програмне забезпечення, якщо користувачі перебувають у США, Канаді чи іншій країні, якої нема в списку, однак, декілька з цих  програм-носіїв не містять жодних державних обмежень.

Стосовно приналежності Joker до конкретної країни чи хакерської групи, то нічого не встановлено з 100% точністю, але інтерфейс панелі адміністрування C2 та деякі  елементи коду бота вказують на те, що розробники зловмисного програмного забезпечення могли бути китайцями.

Хоча кількість встановлень заражених додатків відносно велика, проте, не потребуючи розголошення дослідниками, Google виявив і видалив практично усі шкідливі програми з Joker з Google Play. Зловмисне програмне забезпечення, що проникає в офіційні сховища додатків, є постійною проблемою, але в цьому випадку група безпеки CSIS стверджує, що технічний гігант “здається, слідкує за цією загрозою, наскільки це можливо”.

До речі, браузер Google Chrome – швидкий, зручний та функціональний. За це його люблять, не зважаючи навіть на серйозні недоліки – такі, як найвища витрата пам’яті та процесора. З цієї статті Ви дізнаєтесь, як з цим боротися.

Нагадаємо, дослідники з SEC Consult виявили низку уразливостей в різних пристроях великого виробника мережевого устаткування Zyxel.

Також мільярди користувачів Android-пристроїв знаходяться під загрозою кібератак. За допомогою лише одного  SMS-повідомлення зловмисник може обманом змусити користувача змінити критично важливі мережеві налаштування пристрою і викрадати його дані.

Стало відомо, Huawei готова надати іншим державам доступ до своїх вихідних кодів, для того щоб вони могли особисто переконатися у відсутності в них будь-яких бекдорів. Про це у вівторок, 3 вересня, заявив старший віце-президент компанії Джон Саффолк (John Suffolk) журналістам інформагентства Kyodo News.

Окрім цього, Apple визнала конструктивний недолік у деяких моделях Apple Watch, що може призвести до розтріскування екрана, і запустила програму заміни для постраждалих користувачів. Apple або уповноважені постачальники послуг безкоштовно замінять екран на відповідних моделях.

Twitter на невизначений термін відключила функцію Tweet via SMS, що дозволяє робити публікації в соціальній мережі через SMS-повідомлення. Причиною цього рішення став той факт, що кіберзлочинці скористалися Tweet via SMS для публікацій від імені як мінімум двох ключових фігур в Twitter.