Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Setki milionów użytkowników Androida ofiarami cyberprzestępców

Recommended Posts

Eksperci wpadli na ślad dwóch cyberprzestępczych kampanii, w ramach których zainfekowano ponad 200 aplikacji na Androida, a aplikacje te zostały pobrane ponad 250 milionów razy.

Obie kampanie skierowano wyłącznie przeciwko użytkownikom Androida, a przeprowadzono je nakłaniając programistów do używania złośliwych pakietów SDK (software development kits). W ramach jednej z kampanii aplikacje zostały zarażone adware'em, a w ramach drugiej – dokonują kradzieży informacji.

Jeden z ataków, nazwany „SimBad” gdyż zainfekował głównie gry, doprowadził do zarażenia 206 aplikacji, które zostały pobrany 150 milionów razy. Szkodliwe oprogramowanie znalazło się w SKD o nazwie RXDroider oferowanego przez witrynę addroider.com. Gdy tylko użytkownik zainstaluje jedną z zainfekowanych aplikacji, SimBad rejestruje się na jego urządzeniu i zyskuje prawo do anonimowego przeprowadzania różnych działań. Szkodliwy program łączy się z serwerem, z którego otrzymuje polecenia. Może to być zarówno polecenie połączenia się za pośrednictwem przeglądarki z konkretnym adresem, jak i nakaz usunięcia ikony jakiejś aplikacji. Najważniejszymi funkcjami szkodliwej aplikacji są wyświetlanie reklam, otwieranie witryn phishingowych oraz oferowanie użytkownikowi innych aplikacji. Napastnik ma też możliwość instalowania dodatkowych aplikacji na urządzeniu ofiary, co daje mu możliwość dalszego infekowania.

Obecnie SimBad działa jako adware, ale dzięki możliwości wyświetlania reklam, otwierania witryn i oferowania innych aplikacji może on wyewoluować w znacznie poważniejsze zagrożenie, stwierdzili badacze w firmy CheckPoint Research.

Druga z cyberprzestępczych operacji została nazwana „Operation Sheep”. W jej ramach napastnicy zainfekowali 12 aplikacji na Androida, które zostały pobrane już ponad 111 milionów razy. Aplikacje te na masową skalę kradną dane o kontaktach przechowywanych w telefonie. Tutaj ataku dokonano za pomocą SDK o nazwie SWAnalytics, za pomocą którego powstały aplikacje obecne przede wszystkim w sklepach chińskich producentów telefonów, takich jak Huawei App Store, Xiaomi App Store i Tencent MyApp.

Badacze trafili na ślad tej kampanii we wrześniu 2018 roku. Stwierdzili, że po zainstalowaniu którejś ze szkodliwych aplikacji, cała lista kontaktów użytkownika jest pobierana na serwery firmy Shun Wang Technologies. Jako, że z samego tylko Tencent MyApp pobrano szkodliwe aplikacje ponad 111 milionów razy, to teoretycznie Shun Wang Technologies może mieć w swojej bazie nazwiska i telefony co najmniej 1/3 populacji Chin. Jako, że ani Shun Wang nie informuje, w jaki sposób wykorzystuje te dane, ani nie ma nad nimi żadnego nadzoru z zewnątrz, teoretycznie firma może te dane sprzedać np. na czarnorynkowych giełdach internetowych.

W porównaniu z danymi finansowymi oraz rządowymi dokumentami identyfikacyjnymi dane dotyczące kontaktów osobistych są zwykle traktowane jako mniej wrażliwe. Powszechnie uważa się, że wykorzystanie takich danych i zarobienie na nich jest trudne i niewarte wysiłku. Jednak krajobraz się zmienia, a nielegalne rynki coraz bardziej się specjalizują, powstają nowe modele biznesowe pozwalające na zarobienie na takich danych, stwierdzili eksperci.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Ta... link do listy aplikacji badz ich spis poproszę. 

 

I z innej beczki. Niejednokrotnie koniecznosc dodania czegos takiego jak karta deb/kred powinna byc karana. W wypadku gdy google play każde ja dodac a zostaniemy okradzeni z naszych danych/pieniedzy powinni reczyc za to glowa i wlasnym portfelem. Inaczej sie sprawa ma do dobrowolnego dzielenia sie danymi. W tym jednak wypadku nie raz i nie dwa razy, bywa tak ze jest to koniecznoscia. Brzydko mowiac ruchaja nas w pomiędzy posladki. Cale szczescie sa virtualne karty ^^

Share this post


Link to post
Share on other sites
W dniu 14.03.2019 o 18:54, Drapak napisał:

Ta... link do listy aplikacji badz ich spis poproszę. 

 

I z innej beczki. Niejednokrotnie koniecznosc dodania czegos takiego jak karta deb/kred powinna byc karana. W wypadku gdy google play każde ja dodac a zostaniemy okradzeni z naszych danych/pieniedzy powinni reczyc za to glowa i wlasnym portfelem. Inaczej sie sprawa ma do dobrowolnego dzielenia sie danymi. W tym jednak wypadku nie raz i nie dwa razy, bywa tak ze jest to koniecznoscia. Brzydko mowiac ruchaja nas w pomiędzy posladki. Cale szczescie sa virtualne karty ^^

Zgadza się.

Ale tak działa kapitalizm i silnie spokrewniona z nim ludzka natura:  każdy chce zarobić jak najwięcej ale uniknąć odpowiedzialności.

 

W dniu 14.03.2019 o 15:52, Ksen napisał:

Antywirusy dla androida okazują się jednak potrzebnymi…

Nie znam się.  Ale czytałem, że bez uprawnień root antywirus g....o może zdziałać.  I oby nie była to prawda!

Share this post


Link to post
Share on other sites
W dniu 14.03.2019 o 19:54, Drapak napisał:

W wypadku gdy google play każde ja dodac a zostaniemy okradzeni z naszych danych/pieniedzy powinni reczyc za to glowa i wlasnym portfelem

Można by to rozważyć jeśli by ludzie płacili Google za założenie konta.

Coś za coś.
Ale ludzie już tak mają że zawsze chcą coś za nic.

W dniu 15.03.2019 o 23:03, lanceortega napisał:

Nie znam się.  Ale czytałem, że bez uprawnień root antywirus g....o może zdziałać.  I oby nie była to prawda!

Większość antywirusów nie działa. Jeśli już działają to mechanizmy działania są trochę inne niż w Windows.

I obejdzie się bez roota.

Share this post


Link to post
Share on other sites
Posted (edited)
W dniu 15.03.2019 o 23:03, lanceortega napisał:

Nie znam się.  Ale czytałem, że bez uprawnień root antywirus g....o może zdziałać.  I oby nie była to prawda!

Aplikacje dla Androida są uruchamiane w piaskownicy, więc teoretycznie też mogą g… zdziałać. Do czegoś jednak muszą mieć dostęp, żeby w ogóle być przydatnymi. Toteż większość złośliwych aplikacji posługuje się inżynierią społeczną. Mamy np. darmowe paczki ikon, które nie zawierają reklam czy mikropłatności i jednocześnie domagają się dostępu do sieci, kont użytkownika i zawartości kontaktów…

Antywirusy na Androida nie są tym samym, co podobnie nazywające się oprogramowanie z systemów NT. Androidowy antywirus przeskanuje pobieraną ze sklepu aplikację, aby sprawdzić, czy nie należy do podejrzanych, a także zaoferuje przeskanowanie pamięci stałej i kilka innych udogodnień. Dla nieznających się polecam przejrzenie stron specjalizujących się w porównywaniu antywirusów: są tam szczegółowe opisy, co takowe czynią i dlaczego jedne są lepsze od drugich.

https://www.av-test.org/en/antivirus/mobile-devices/ 

https://www.av-comparatives.org/tests/android-test-2019-250-apps/

Edited by Ksen

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Similar Content

    • By KopalniaWiedzy.pl
      Skany mózgów pracowników amerykańskiej ambasady w Hawanie, którzy mogli paść ofiarami tajemniczego ataku sprzed dwóch lat, ujawniły potencjalne nieprawidłowości, które mogą być powiązane z wykazywanymi przez nich objawami. Badania wykazały, że ich mózgi wyglądają inaczej niż mózgi grupy kontrolnej.
      Jak informuje zespół z University of Pennsylvania u badanych pracowników ambasady stwierdzono średnią mniejszą ilość istoty białej oraz zmiany mikrostrukturalne, które mogą wpływać na przetwarzanie sygnałów dźwiękowych oraz wzrokowych informacji przestrzennych. Autorzy badań mówią jednak, że ich wyniki są niejednoznaczne. Nie odpowiadają bowiem znanym uszkodzeniom mózgu, a objawy widoczne u badanych nie różnią się w zależności od zauważonych nieprawidłowości.
      To unikatowe wyniki, wcześniej takich nie widziałam. Nie wiem, co mogło je spowodować, mówi profesor obrazowania medycznego Ragini Verma.
      Niezależni eksperci zgadzają się, że wyniki badań są niejednoznaczne i że nie wiadomo, czy dyplomaci padli ofiarami jakiego ataku i czy doszło u nich do uszkodzeń mózgu.
      To już kolejne prace, których celem jest określenie stanu zdrowia amerykańskich dyplomatów. Wcześniejsze badania były szeroko krytykowane za liczne błędy.
      Na pewno wiemy, że amerykańscy dyplomaci pracujący na Kubie skarżyli się na dziwne odczucia i dźwięki. Po tym wielu z nich było leczonych z powodu problemów ze snem, zawrotów i bólów głowy, problemów z koncentracją, utrzymaniem równowagi, zaburzeniami wzroku i słuchu. Do dzisiaj nie wiadomo, co się stało, a śledztwo prowadzone przez FBI i służby kubańskie nie dało nawet odpowiedzi na pytanie, czy miał miejsce jakiś rodzaj ataku.
      Na potrzeby najnowszych badań porównano ilość istoty białej u chorujących dyplomatów z jej ilością u zdrowych ochotników. U dyplomatów jej ilość wynosiła średnio 542 cm3, u ochotników było to 569 cm3. U dyplomatów znaleziono też dowody na słabszą sieć połączeń w obszarach mózgu odpowiedzialnych za przetwarzanie dźwięków i obrazów.
      Następnie przystąpiono do badań na poziomie mikroskopowym. Gdy dochodzi do uszkodzenia mózgu i ginie komórka nerwowa, uszkodzenie można zmierzyć badając dyfuzję wody. Wraz ze wzrostem liczby uszkodzeń zwiększa się dyfuzja wody, gdyż jest mniej komórek, wewnątrz których się ona znajduje i które organizują jej przepływ w konkretnych kierunkach. Tutaj uzyskane wyniki zaskoczyły naukowców. Okazało się, że dyfuzja wody, zamiast się zwiększyć, zmniejszyła się w części mózgu zwanej robakiem, a frakcjonowana anizotropia, która jest wskaźnikiem integralności włókien istoty białej, zwiększyła się, zamiast się zmniejszyć. Profesor Verma podejrzewa, że te zadziwiające wyniki to skutek spadku zawartości wody w mózgach dyplomatów, jednak podkreśla, że to jedynie domysły.
      Profesor Paul Matthews, ekspert od mózgu z Imperial College London, stwierdza, że zarejestrowane różnice są małe, nie odpowiadają znanym wzorcom uszkodzeń i nie wykazano, że doszło do jakichś zmian przed i po wydarzeniach na Kubie. Uczony podkreśla, że z badań tych nie da się wyciągnąć jednoznacznych wniosków. Podobnego zdania są inni eksperci.
      Tymczasem kanadyjscy dyplomaci, którzy również doświadczyli podobnych objawów, pozwali swój rząd do sądu.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Rosyjska Federalna Służba Bezpieczeństwa (FSB) przyznała, że hakerzy uzyskali dostęp do jej specjalnych projektów internetowych. Cyberprzestępcy włamali się do sieci współpracującej z FSB moskiewskiej firmy SyTech i ukradli 7,5 terabajta danych.
      Jak informują media, hakerzy działający pod pseudonimem 0v1ru$ zastąpili stronę główną SyTechu memem Yoba Face. W rosyjskim internecie mem ten symbolizuje brak szacunku dla FSB. 0v1ru$ przekazali ukradzione dane znanej w Rosji grupie hakerskiej Digital Revolution. Do włamania miało dojść 13 lipca.
      Hakerzy ujawnili liczne projekty prowadzone przez SyTech wraz z nazwiskami menedżerów je nadzorujących. Na przykład projekty „Nautilus” i „Nautilus-S” "wydają się być próbą wykorzystania mediów społecznościowych do pozyskania danych oraz zidentyfikowaniu Rosjan łączących się z internetem za pośrednictwem Tor". Inny interesujący projekt to „Mentor”, którego celem uzyskanie informacji z rosyjskich firm. Z kolei w ramach projektów „Hope” i „Tax-3” powstają narzędzia pozwalające służbom specjalnym na odłączanie rosyjskiego internetu od światowej sieci.
      Jak twierdzą dziennikarze BBC Russia, firma SyTech współpracuje z 16. Dyrektoriatem FSB, Jednostką Wojskową 71330. Jesli to prawda, ma ona związki z grupą, która przeprowadziła w 2015 roku cyberatak na ukraiński wywiad.
      Niedawno prezydent Putin zaakceptował plan, którego celem jest upewnienie się, że rosyjski internet będzie w stanie działać oddzielnie od reszty ogólnoświatowej sieci. Plan zakłada, że Rosja będzie posiadała alternatywny system DNS. Zdaniem Forbesa może on zostać wprowadzony w życie, gdy Kreml uzna, że odłączenie Rosji od reszty świata jest korzystne. W takich sytuacji rosyjscy dostawcy internetu zostaliby przełączeni na wewnętrzny rosyjski DNS.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Cyberprzestępcy wykorzystują krytyczną dziurę w linuksowym serwerze poczty elektronicznej Exim. Błąd pozwala napastnikowi na wykonanie dowolnego kodu, wgranie na komputer ofiary programów kopiących kryptowaluty oraz instalowanie szkodliwego oprogramowania. Cyberprzestępca ma tez możliwość zdalnego wykonywania komend na zaatakowanej maszynie. Zdaniem ekspertów, obecnie na całym świecie znajduje się ponad 3,5 miliona serwerów narażonych na atak.
      Szczególnie narażone są szeroko oferowane usługi poczy elektronicznej. Serwery pocztowe wykorzystujące Exim stanowią niemal 57% wszystkich obecnych w internecie serwerów pocztowych. Dziura, odkryta przed 2 tygodniami jest już wykorzystywana przez cyberprzestępców.
      Błąd bierze się z niewłaściwej weryfikacji adresu odbiorcy przez funkcję deliver_message(). Dziurę oceniono na 9,8 w 10-stopniowej skali zagrożeń. Występuje ona w wersjach od 4.87 do 4.91. Edycja 4.92 jest bezpieczna.
      Twórcy Exim już przygotowali odpowiednie poprawki dla wszystkich wersji. Obecnie są one testowane. Zauważają przy tym, że stopień narażenia serwera zależy w dużym stopniu od jego konfiguracji. Im bliżej standardowej konfiguracji, tym serwer jest bezpieczniejszy.
      Lukę odkryto 5 czerwca, a 4 dni później zanotowano pierwszą falę ataków. Niedługo później eksperci zauważyli drugą falę ataków, rozpoczętą najprawdopodobniej przez innego napastnika.
      Ta druga fala była już znacznie bardziej zaawansowana od pierwszej. Napastnik najpierw instalował na serwerze prywatny klucz uwierzytelniający, a następnie skaner portów, który wyszukiwał inne wrażliwe na atak serwery i instalował na nich oprogramowanie do kopania kryptowalut.

      « powrót do artykułu
×
×
  • Create New...