Новости про Android и безопасность

25 миллионов устройств поражены зловредом Agent Smith

Исследователи в области безопасности выявили новый зловред для операционной системы Android, который поразил 25 миллионов устройств. Он получил лаконичное название «Агент Смит».

Компания Check Point выпустила пресс-релиз, в котором описала действия вируса. Согласно её информации, как только зловред установлен, он начинает искать другие приложения общего назначения и подменять их на заражённые версии. Эти заражённые Agent Smith приложения начинают отображать поддельную рекламу, нацеленную на финансовые манипуляции.

Хьюго Уивинг в роли Агента Смита
Гюго Вивинг в роли Агента Смита

Глава Check Point по выявлению мобильных угроз Джонатан Шимонович прокомментировал отчёт: «Вредоносное ПО атакует пользовательские приложения по-тихому, что оставляет обычных пользователей Android сражаться с подобными угрозами самостоятельно».

Принцип действия Agent Smith
Принцип действия Agent Smith

Большинство инфицированных устройств расположены в Индии и близлежащих странах, поскольку вирус распространялся через 9 приложений, популярных в этом регионе. Однако основы этого зловреда выявлены в Китае. В Google Play Store найдены 11 инфицированных приложений, однако компания Google уже удалила их из своего магазина.

Карта распространения Agent Smith
Карта распространения Agent Smith

Для борьбы с подобными угрозами Шимонович рекомендует внимательно оценивать устанавливаемые приложения, и не ставить приложения из неизвестных источников.

Более 1000 приложений Android собирают данные без разрешений

Недавнее исследование показало, что около 1000 приложений Android собирают пользовательские данные даже без получения разрешения. К этим данным относится геолокация и другие идентификаторы.

Исследователи из Международного Института Компьютерных Наук изучили 88 000 приложений из магазина Google Play и установили, что 1325 из них могут получать данные даже, если им не было выдано разрешение.

Серж Эгельман, директор МИКН по исследованиям в области практической безопасности и приватности на конференции PrivacyCon задал риторический вопрос: «Если разработчики приложений могут обойти систему, тогда зачем спрашивать у пользователей разрешения, если оно, в целом, не имеет смысла?»

Запрос разрешений приложением Facebook
Запрос разрешений приложением Facebook

Некоторые из этих приложений собирали данные из Wi-Fi подключений и метаданные, хранимые в фотографиях. К примеру, Shutterfly брал GPS локации из фотографий, даже если пользователь запрещал приложению получать геоданные. Другие приложения получали данные из третьих, которые имели разрешение. Если пользователь разрешал приложению доступ к SD-карте, другое приложение могло делать то же самое. Так поступали Samsung Health и Browser.

Исследователи сообщили в Google о данной проблеме. Сама Google пообещала решить проблему в Android Q. В ней приложения не смогут получать геолокацию из фотографий, а пользователи будут вынуждены давать разрешение на сбор данных о местоположении через Wi-Fi.

/e/ анонсирует Android-смартфоны, ориентированные на приватность

Смарт-устройства в 2019 году стали нормой. И, к сожалению, нормой стало скрытое слежение с их помощью за владельцами. При этом обычно слежкой занимаются крупные технологические компании, вроде Google. Для тех, кто хотел бы иметь больше приватности, организация e Foundation или просто /e/, создала свою безопасную операционную систему и предлагает телефоны с ней.

Неприбыльная организация e Foundation была создана в 2018 году. Её миссия — продвижение ОС с открытым исходным кодом и другими мобильными сервисами, которые уважают приватность и просты в использовании. Когда организация выпустила бета версию такой ОС, многие люди восприняли её с одобрением. В результате, компания решила выпускать телефоны с предустановленной /e/OS. Примечательно, что телефоны будут восстановленные, т.е. отремонтированные после заводского брака. Отмечается, что такой подход экономичен и экологичен. Пока организация готовит несколько моделей восстановленных телефонов: Samsung Galaxy S7 32GB за 279 евро, Samsung Galaxy S7 Edge 32 GB за 299 евро, Samsung Galaxy S9 64Gb за 499 евро или Samsung Galaxy S9+ за 549 евро. На смартфоны распространяется годовая гарантия. Однако пока их нет, и всем заинтересованным предлагается встать в бесплатную ни к чему не обязывающую очередь.

/e/OS на Samsung Galaxy S7 Edge
/e/OS на Samsung Galaxy S7 Edge

Что касается /e/OS, то она включает приложения, заточенные на приватное окружение. Система является форком Android и содержит ряд стандартных приложений из этой системы, включая контакты, часы, файловый менеджер, калькулятор, клавиатуру и так далее. Также имеется «отгугленный» форк Chromium и «форк для почты K9». Большинство предустановленных приложений имеют открытый исходный код, кроме Карт и Погоды. Все приложения не передают данные в Google или другую большую технологическую компанию.

В скором времени разработчики планируют обновить версию /e/OS до Android Pie, обеспечить возможность удаления предустановленных приложений, ввести несколько пользовательских профилей и поддержку веб-приложений. Также они надеются на сетевые функции приватности, такие, как VPN.

Более подробно с инициативой можно ознакомиться на сайте организации /e/.

Google анонсирует алгоритм шифрования Adiantum для лоу-энд-устройств

Компания Google, стремясь сделать Интернет более безопасным местом, анонсировала новую форму шифрования под названием Adiantum.

Алгоритм предназначен для бюджетных телефонов и смарт-устройств, которые не имеют аппаратного обеспечения для эффективного локального шифрования данных. Разработка позволит сделать лоу-энд-устройства более безопасными, чем их предшественники, которые не имели шифрования данных вовсе.

Директор по стратегии мобильной безопасности, безопасности Android и приватности Юджин Лидерман заявил: «Мы надеемся, что Adiantum сделает шифрование на всех устройствах демократичным. Как и покупка телефона без текстовых сообщений, не может быть исключений в обеспечении безопасности в ущерб производительности устройства. Каждый должен обладать приватностью и безопасностью, независимо от ценника за телефон».

Adiantum
Adiantum

По словам разработчиков, Adiantum является идеальным решением для устройств с недорогими процессорами, такими, например, как ARM Cortex-A7, которые не имеют аппаратной поддержки AES. В отличие от множества смартфонов на системе Android Go, некоторые смарт-часы и телевизоры имеют подобные процессоры, так что они также получат преимущества от внедрения Adiantum.

Объясняя название протокола шифрования, Google сообщила, что Adiantum назван в честь рода папоротника адиантум, который во флориографии олицетворяет искренность и осмотрительность, что делает его вполне подходящим именем.

На Google Play обнаружен поддельный криптокошелёк

В Google Play Store опять выявлено вредоносное ПО. На этот раз приложение воровало криптовалюту, обманом заставляя пользователей переводить деньги на кошелёк мошенников.

Как известно, адреса криптокошельков представляют собой длинные строки символов. И конечно, чтобы не вводить их вручную, люди просто копируют и вставляют длинный адрес. Этим и пользуется зловред, просто подменяя скопированный адрес на один из кошельков мошенников, в надежде, что человек не заметит подмены.

Иконка Google Play Store
Иконка Google Play Store

Зловреды, которые работают таким образом — не новы. В позапрошлом году ПО такого же действия было выявлено для Windows, а в прошлом — для Android в одном из сторонних магазинов. И только впервые подобный зловред просочился на Google Play Store.

По данным ESET, приложение маскировалось под другое средство работы с криптовалютами под названием MetaMask, которое является честным средством для работы с Ethereum. Однако MetaMask существует лишь в виде аддона к популярным браузерам, его не существует в виде отдельного приложения.

Настоящий MetaMask
Настоящий MetaMask

Поддельный MetaMask появился на Play Store 1 февраля. После обращения ESET компания Google удалила его, однако, сколько людей успело им воспользоваться и каковы суммы ущерба, вряд ли кто-то узнает.

Зловред Android прячется от исследователей, используя датчики движения

Вредоносные программы начинают вызывать серьёзное беспокойство, поскольку развивая их, авторы применяют всё более сложные и скрытые методики.

Исследователи Trend Micro нашли пару вредоносных инструментов для Android — Currency Converter и BatterySaverMobi, которые выполняют свою вредоносную функцию только, если устройство движется.

Эта техника съёма данных с датчиков движения позволяет прятать от исследователей свой противоправный функционал, поскольку обычно исследование приложений выполняется в эмуляторе, лишённом этих датчиков.

Болезненный Android
Болезненный Android

Выявленные безопасниками приложения снимают данные с датчиков движения, таким образом определяя, что они стоят на настоящем телефоне. После подтверждения, они обманным путём устанавливают зловред Anubis, либо иной вредоносный пакет, маскируя его как системное обновление.

Примечательно, что этот процесс также скрытый. «Одним из способов, которым разработчики прятали вредоносный сервер, стало кодирование страницы запроса в Telegram и Twitter. Дроппер банковского зловреда будет запрашивать Telegram или Twitter после получения разрешения на запуск на устройстве» — отметили в Trend Micro. Другим способом установки зловреда стало старое (не)доброе поддельное сообщение об обновлении.

Всё это в очередной раз указывает, что нам нужно проявлять особое внимание, устанавливая приложения и давая им разрешения на дополнительные действия.

Распознавание лица в Android можно обмануть 3D моделью

Технологический мир пытается найти реальную альтернативу паролям. Идеальной технологией считали распознавание лица, но пока она далека от активного использования, поскольку журналист из Forbes сумел обмануть её, напечатав модель своей головы на 3D принтере.

Томас Брюстер напечатал свою голову на 3D принтере и протестировал систему распознавания лица на четырёх телефонах с Android и iPhone X.

Из этой пятёрки только iPhone X не удалось одурачить, а вот устройства с Android открылись сразу же. Компания Apple возлагала на распознавание лиц большие надежды и вкладывала большие ресурсы. И сейчас компания готова противостоять хотя бы самым простым способам обмана.

Манекены
Манекены

В то же время Android больше полагается на сканер отпечатков пальцев. Посмотрите на Pixel 3. В нём нет распознавания лица по умолчанию, но зато его добавили в свои флагманские устройства Huawei, Samsung и OnePlus. Но работает она не так хорошо, как у Apple.

Не секрет, что распознавание лица пока находится на ранних этапах освоения, чем активно пользуются правоохранительные органы.

Выявлен зловред Android, ворующий деньги с PayPal

Вредоносное ПО часто пытается украсть деньги, однако исследователи из ESET выявили подлое приложение Android, которое ворует деньги со счёта PayPal даже при двухфакторной аутентификации.

Приложение Optimization Android, описываемое как средство уменьшение энергопотребления, на самом деле ничего не оптимизирует, а просто закрывается после запуска. Однако остаётся фоновым процессом и ждёт подходящего момента.

Приложение Optimization Android
Приложение Optimization Android

При установке приложение просит доступ к сервисам Android Accessibility. Это разрешение позволяет вредоносному приложению отслеживать нажатия сенсорного экрана. И когда запускается PayPal, зловред просто перехватывает все нажатия, узнавая логин, пароль и даже код подтверждения. После этого приложение за 5 секунд снимает со счёта деньги и переводит на кошелёк хакера.

При тестировании приложение пыталось угнать 1000 евро, но эта сумма может меняться в зависимости от страны.

В ESET отмечают, что атака будет вестись до тех пор, пока будут деньги на счету, либо пока будут деньги на привязанной к счёту карте. Если этого мало, то зловред также может изменять контакты, совершать и перенаправлять вызовы и даже перехватывать и удалять SMS.

Исследователи отмечают, что Optimization Android выявлен только на альтернативных площадках, однако в Google Play были найдены другие приложения с аналогичным функционалом.

Полмиллиона пользователей установили зловредное ПО из Google Play

Эксперт ESET в области безопасности Лукас Стефанко сообщил детали об инциденте массового инфицирования Android устройств через Google Play.

Эксперт обнаружил в Google Play 13 игровых приложений выпущенных одним и тем же разработчиком. Две из этих игр рекламировались самим Google Play, находясь в разделе «Топ платных». Это игры — автосимуляторы, однако они являются зловредами. По сумме инсталляций инфицированными оказались 580 тысяч устройств.

Вредоносные автосимуляторы из Google Play
Вредоносные автосимуляторы из Google Play

Загружавшие приложения надеялись погонять на грузовике или автомобиле, но по факту игра постоянно вылетала. В реальности игра загружала данные с другого домена, зарегистрированного на разработчика приложения в Стамбуле. Что делает зловред пока не выявлено. Ясно, что он загружается вместе с Android и имеет полный доступ к сетевому трафику, что позволяет автору воровать секретные данные.

Домен зарегистрирован на Мерта Озека, но на электронные письма он не отвечает. Представитель Google Скотт Вестовер подтвердил, что приложение нарушает правила Play Store. Компания Google достаточно часто подвергается критике за то, что допускает к публикации вредоносные приложения. Фирма создала специальный сервис для проверки злонамеренных действий, но, похоже, он не стал панацеей. Тем временем блог Лукаса продолжает полнится вредоносными приложениями из Google Play.

Выявлено 145 приложений Android с вредоносным кодом для Windows

Компания Google удалила из магазина приложений Play 145 программ, которые оказались инфицированы вредоносным кодом для Windows.

Инфицированные приложения были выявлены в лаборатории Unit 42 Palo Alto Networks. Эта компания предупредила Google о приложениях, которые содержат исполняемые файлы, способные нанести вред Windows машинам.

Приложения для Android
Приложения для Android

Вы наверно озадачены, как вирус для Windows может навредить Android, ведь это абсолютно разные платформы. И вы правы — никак. Но зачем же хакерам атаковать несовместимые экосистемы? Дело в том, что это не была спланированная атака. Просто компьютеры, на которых создавались эти приложения были инфицированы, и, соответственно, все файлы, поступившие от них, также заражены.

В Unit 42 считают риск от подобной уязвимости крайне высоким. Разработка приложений является крайне важным этапом, и если на машинах разработчика не обеспечена должная безопасность, это может вылиться в огромные проблемы. Этот урок уже усвоили все, благодаря NotPetya, который распространялся, среди прочих путей, через заражённые обновления ПО. В данной ситуации всем просто повезло, что платформа вируса не совпала с платформой эксплуатации.