Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Setki milionów użytkowników Androida ofiarami cyberprzestępców

Recommended Posts

Eksperci wpadli na ślad dwóch cyberprzestępczych kampanii, w ramach których zainfekowano ponad 200 aplikacji na Androida, a aplikacje te zostały pobrane ponad 250 milionów razy.

Obie kampanie skierowano wyłącznie przeciwko użytkownikom Androida, a przeprowadzono je nakłaniając programistów do używania złośliwych pakietów SDK (software development kits). W ramach jednej z kampanii aplikacje zostały zarażone adware'em, a w ramach drugiej – dokonują kradzieży informacji.

Jeden z ataków, nazwany „SimBad” gdyż zainfekował głównie gry, doprowadził do zarażenia 206 aplikacji, które zostały pobrany 150 milionów razy. Szkodliwe oprogramowanie znalazło się w SKD o nazwie RXDroider oferowanego przez witrynę addroider.com. Gdy tylko użytkownik zainstaluje jedną z zainfekowanych aplikacji, SimBad rejestruje się na jego urządzeniu i zyskuje prawo do anonimowego przeprowadzania różnych działań. Szkodliwy program łączy się z serwerem, z którego otrzymuje polecenia. Może to być zarówno polecenie połączenia się za pośrednictwem przeglądarki z konkretnym adresem, jak i nakaz usunięcia ikony jakiejś aplikacji. Najważniejszymi funkcjami szkodliwej aplikacji są wyświetlanie reklam, otwieranie witryn phishingowych oraz oferowanie użytkownikowi innych aplikacji. Napastnik ma też możliwość instalowania dodatkowych aplikacji na urządzeniu ofiary, co daje mu możliwość dalszego infekowania.

Obecnie SimBad działa jako adware, ale dzięki możliwości wyświetlania reklam, otwierania witryn i oferowania innych aplikacji może on wyewoluować w znacznie poważniejsze zagrożenie, stwierdzili badacze w firmy CheckPoint Research.

Druga z cyberprzestępczych operacji została nazwana „Operation Sheep”. W jej ramach napastnicy zainfekowali 12 aplikacji na Androida, które zostały pobrane już ponad 111 milionów razy. Aplikacje te na masową skalę kradną dane o kontaktach przechowywanych w telefonie. Tutaj ataku dokonano za pomocą SDK o nazwie SWAnalytics, za pomocą którego powstały aplikacje obecne przede wszystkim w sklepach chińskich producentów telefonów, takich jak Huawei App Store, Xiaomi App Store i Tencent MyApp.

Badacze trafili na ślad tej kampanii we wrześniu 2018 roku. Stwierdzili, że po zainstalowaniu którejś ze szkodliwych aplikacji, cała lista kontaktów użytkownika jest pobierana na serwery firmy Shun Wang Technologies. Jako, że z samego tylko Tencent MyApp pobrano szkodliwe aplikacje ponad 111 milionów razy, to teoretycznie Shun Wang Technologies może mieć w swojej bazie nazwiska i telefony co najmniej 1/3 populacji Chin. Jako, że ani Shun Wang nie informuje, w jaki sposób wykorzystuje te dane, ani nie ma nad nimi żadnego nadzoru z zewnątrz, teoretycznie firma może te dane sprzedać np. na czarnorynkowych giełdach internetowych.

W porównaniu z danymi finansowymi oraz rządowymi dokumentami identyfikacyjnymi dane dotyczące kontaktów osobistych są zwykle traktowane jako mniej wrażliwe. Powszechnie uważa się, że wykorzystanie takich danych i zarobienie na nich jest trudne i niewarte wysiłku. Jednak krajobraz się zmienia, a nielegalne rynki coraz bardziej się specjalizują, powstają nowe modele biznesowe pozwalające na zarobienie na takich danych, stwierdzili eksperci.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Ta... link do listy aplikacji badz ich spis poproszę. 

 

I z innej beczki. Niejednokrotnie koniecznosc dodania czegos takiego jak karta deb/kred powinna byc karana. W wypadku gdy google play każde ja dodac a zostaniemy okradzeni z naszych danych/pieniedzy powinni reczyc za to glowa i wlasnym portfelem. Inaczej sie sprawa ma do dobrowolnego dzielenia sie danymi. W tym jednak wypadku nie raz i nie dwa razy, bywa tak ze jest to koniecznoscia. Brzydko mowiac ruchaja nas w pomiędzy posladki. Cale szczescie sa virtualne karty ^^

Share this post


Link to post
Share on other sites
W dniu 14.03.2019 o 18:54, Drapak napisał:

Ta... link do listy aplikacji badz ich spis poproszę. 

 

I z innej beczki. Niejednokrotnie koniecznosc dodania czegos takiego jak karta deb/kred powinna byc karana. W wypadku gdy google play każde ja dodac a zostaniemy okradzeni z naszych danych/pieniedzy powinni reczyc za to glowa i wlasnym portfelem. Inaczej sie sprawa ma do dobrowolnego dzielenia sie danymi. W tym jednak wypadku nie raz i nie dwa razy, bywa tak ze jest to koniecznoscia. Brzydko mowiac ruchaja nas w pomiędzy posladki. Cale szczescie sa virtualne karty ^^

Zgadza się.

Ale tak działa kapitalizm i silnie spokrewniona z nim ludzka natura:  każdy chce zarobić jak najwięcej ale uniknąć odpowiedzialności.

 

W dniu 14.03.2019 o 15:52, Ksen napisał:

Antywirusy dla androida okazują się jednak potrzebnymi…

Nie znam się.  Ale czytałem, że bez uprawnień root antywirus g....o może zdziałać.  I oby nie była to prawda!

Share this post


Link to post
Share on other sites
W dniu 14.03.2019 o 19:54, Drapak napisał:

W wypadku gdy google play każde ja dodac a zostaniemy okradzeni z naszych danych/pieniedzy powinni reczyc za to glowa i wlasnym portfelem

Można by to rozważyć jeśli by ludzie płacili Google za założenie konta.

Coś za coś.
Ale ludzie już tak mają że zawsze chcą coś za nic.

W dniu 15.03.2019 o 23:03, lanceortega napisał:

Nie znam się.  Ale czytałem, że bez uprawnień root antywirus g....o może zdziałać.  I oby nie była to prawda!

Większość antywirusów nie działa. Jeśli już działają to mechanizmy działania są trochę inne niż w Windows.

I obejdzie się bez roota.

Share this post


Link to post
Share on other sites
W dniu 15.03.2019 o 23:03, lanceortega napisał:

Nie znam się.  Ale czytałem, że bez uprawnień root antywirus g....o może zdziałać.  I oby nie była to prawda!

Aplikacje dla Androida są uruchamiane w piaskownicy, więc teoretycznie też mogą g… zdziałać. Do czegoś jednak muszą mieć dostęp, żeby w ogóle być przydatnymi. Toteż większość złośliwych aplikacji posługuje się inżynierią społeczną. Mamy np. darmowe paczki ikon, które nie zawierają reklam czy mikropłatności i jednocześnie domagają się dostępu do sieci, kont użytkownika i zawartości kontaktów…

Antywirusy na Androida nie są tym samym, co podobnie nazywające się oprogramowanie z systemów NT. Androidowy antywirus przeskanuje pobieraną ze sklepu aplikację, aby sprawdzić, czy nie należy do podejrzanych, a także zaoferuje przeskanowanie pamięci stałej i kilka innych udogodnień. Dla nieznających się polecam przejrzenie stron specjalizujących się w porównywaniu antywirusów: są tam szczegółowe opisy, co takowe czynią i dlaczego jedne są lepsze od drugich.

https://www.av-test.org/en/antivirus/mobile-devices/ 

https://www.av-comparatives.org/tests/android-test-2019-250-apps/

Edited by Ksen

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Co najmniej 30 000 firm i organizacji w USA padło ofiarami ataków, które zostały przeprowadzone dzięki czterem nowo odkrytym dziurom w oprogramowaniu do poczty elektronicznej microsoftowego Exchange Servera. Jak poinformował ekspert ds. bezpieczeństwa, Brian Krebs, chińscy cyberprzestępcy zarazili sieci setki tysięcy organizacji narzędziami,które dają napastnikowi całkowity zdalny dostęp do zarażonych systemów.
      Microsoft opublikował poprawki 2 marca i zachęca użytkowników Exchange Servera do ich pilnego zainstalowania. Jednocześnie jednak firma poinformowała, że pojawienie się poprawek sprowokowało chińskich cyberprzestępców – grupę, której nadano nazwę „Hafnium” – do zintensyfikowania ataków na niezałatane instalacje Exchange Servera. Eksperci ostrzegają, że przestępcy wciąż mają dostęp do serwerów zhakowanych przed zainstalowaniem łatek. Łatanie nie działa, jeśli serwery już wcześniej zostały skompromitowane. Ci, którzy wykorzystują  powinni sprawdzić, czy nie padli ofiarami ataku, oświadczył amerykański National Security Council. Brian Krebs Dodaje, że użytkownicy Outlook Web Access serwera powinni sprawdzić okres pomiędzy 26 lutego a 3 marca. To właśnie w tym czasie mogło dojść do ataków. Zaniepokojenie problemem i rosnącą liczbą ofiar wyraził też Biały Dom.
      Nowo odkryte błędy pozwalają przestępcom na zdalne wykonanie kodu. Do przeprowadzenia pierwszego ataku konieczna jest możliwość ustanowienia niezabezpieczonego połączenia z portem 443 Exchange Servera, informuje Microsoft. Wspomniane błędy odkryto w oprogramowaniu Exchange Server 2013, 2016 i 2019.
      Chińska grupa Hafnium, która przeprowadza wspomniane ataki najpierw wykorzystuje dziury typu zero-day lub ukradzione hasła, by dostać się do atakowanego systemu. Następnie instalowana jest tam powłoka, dająca przestępcom zdalny dostęp. Później system jest stopniowo infiltrowany i kradzione są z niego dane.
      Chiński rząd zapewnił, że nie stoi za atakami.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Europol wraz z policjami kilku krajów doprowadził do likwidacji botnetu Emotet, jednego z najdłużej działających i najpoważniejszych zagrożeń w internecie. Śledczy Europolu oraz policja m.in. z USA, Wielkiej Brytanii i Francji przejęli kontrolę nad setkami serwerów, które tworzyły Emotet.
      Śledztwo trwało niemal przez dwa lata, w czasie których zmapowano botnet. Wczoraj zaś przystąpiono do jego likwidacji. W jej ramach dokonano m.in. przeszukań na Ukrainie.
      Brytyjska National Crime Agency (NCA), która odpowiadała za śledzenie przepływów finansowych twórców Emoteta, dowiedziała się m.in. że w ciągu tych dwóch lat przez tylko jedną z platform handlu kryptowalutami przepuścili oni 10,5 miliona dolarów. W tym czasie na utrzymanie botnetu wydali 500 000 USD.
      Początki botnetu sięgają 2014 roku. Narodził się on jako przeciętny trojan bankowy, z czasem jednak urósł do szkodliwego kodu rozprzestrzeniającego inny szkodliwy kod. Wykorzystano go też do stworzenia Qbota, TrickBota oraz ransomware Ryuk.
      Śledztwo wykazało, że w samym tylko grudniu ubiegłego roku Emotet każdego dnia atakował 100 000 internautów, przez co wpłynął na 7% organizacji na całym świecie.
      Emotet stał za jednymi z najpoważniejszych cyberataków w ostatnich czasach. Przechodziło przez niego nawet 70% światowego szkodliwego kodu, mówi dyrektor National Cyber Crime Unit, Nigel Leary. Mamy tutaj dobrzy przykład skali i natury cyberprzestępczości, która umożliwia popełnianie innych przestępstw i czyni olbrzymie szkody zarówno finansowe, jak i psychologiczne, dodaje.
      Twórcy Emoteta wykorzystywali wiele różnych technik unikania wykrycia. Byli m.in. w stanie zarazić całe sieci korporacyjne po uzyskaniu dostępu do zaledwie kilku urządzeń. Do ataku dochodziło często za pośrednictwem e-maila i zarażonych załączników, w tym fałszywych faktur, informacji o rzekomej przesyłce czy alertów dotyczących COVID-19.
      Stefano De Blasi, ekspert z firmy Digital Shadows pochwalił pracę organów ścigania, ostrzegł jednak, że przedsiębiorstwa nie mogą odetchnąć z ulgą. Przypomniał, że w ubiegłym roku US Cyber Command zlikwidowała Trickbota, a niedawno botnet ten znowu powrócił i to w formie bardziej odpornej na likwidację. Wspomniane przez organa ścigania „nowe i unikatowe” podejście do Emoteta mogło polegać na tym, że lepiej poznano jego wewnętrzną strukturę, co może skutkować jego dłuższym wyłączeniem. Jednak trzeba podkreślić, że pomimo przejęcia infrastruktury, jest mało prawdopodobne, by Emotet zniknął na stałe. Botnety są niezwykle elastyczne i jest bardzo możliwe, że jego twórcy wcześniej czy później go odtworzą, mówi De Blasi.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Podczas badań nad wpływem układu odpornościowego na mikrobiom jelit odkryto, że dwie molekuły – L-tyrozyna oraz jej metabolit siarczan p-krezolu (pCS) – nie tylko chronią przed astmą, ale mogą też znacząco zmniejszyć intensywność ataków. L-tyrozyna jest dostępna jako suplement diety pomagający w skupieniu uwagi, jednak dotychczas nie wiedziano, że ona i pCS mogą pomagać astmatykom.
      Naukowcy z Monash University przejrzeli literaturę specjalistyczną i stwierdzili, że poziom L-tyrozyny i siarczanu p-krezolu u dzieci cierpiących na astmę jest niższy niż u dzieci, które astmy nie mają. Później przeprowadzili badania na zwierzętach, z których wynika, że podawanie obu związków może pomóc w leczeniu zespołu ostrej niewydolności oddechowej.
      Autorzy badań mówią, że ich celem jest rozpoczęcie jeszcze w bieżącym roku testów klinicznych jednej z tych molekuł z udziałem astmatyków. Wyniki dotychczasowych badań zostały opisane na łamach Nature Immunology.
      Astma to jedna najpowszechniejszych chorób niezakaźnych na świecie, Cierpi na nią około 300 milionów osób. Profesor Benjamin J. Marsland stanął na czele amerykańsko-szwajcarskiego zespołu Monash University i Université de Lausanne, którego celem było zbadania wpływu układu odpornościowego na mikrobiom jelit. Wiemy, że mikrobiom wpływa na układ odpornościowy, jednak niewiele badań prowadzono odnośnie odwrotnej zależności.
      Naukowcy badali myszy z upośledzonym układem odpornościowym, zawierającym tylko jeden rodzaj przeciwciał. Zauważyli, że mikrobiom jelit takich myszy był zmieniony. Gdy podali zdrowym myszom bakterie z mikrobiomu myszy z upośledzonym układem immunologicznym, okazało się, że również u zdrowych myszy doszło do zmiany w układzie odpornościowym.
      Jednak największą niespodzianką było spostrzeżenie, że jeden z produktów ubocznych mikrobiomu – siarczan p-krezolu – ma głęboki silny wpływ na ochronę przed astmą, mówi Marsland. Szczęśliwym zbiegiem okoliczności profesor Marsland specjalizuje się w badaniach nad astmą, więc tym łatwiej mógł zauważyć dobroczynny wpływ pCS na tę chorobę.
      Kolejne badania ujawniły, że pCS to produkt bakteryjnego metabolizmu L-tyrozyny, która jest obecna w suplementach diety pomagających w zachowaniu przytomności umysłu i skupieniu. Odkryliśmy, że podawania myszom L-tyrozyny lub pCS zapewniało znaczącą ochronę przed stanami zapalnymi płuc. pCS przebywa całą drogę pomiędzy jelitami a płucami i wpływa na działanie komórek wyścielających drogi oddechowe, zapobiegając alergicznej reakcji w przebiegu astmy, mówi Marsland.
      Przeprowadzone eksperymenty wykazały też, że oba związki pełnią rolę ochronną w zwierzęcym modelu zespołu ostrej niewydolności oddechowej. Chociaż uzyskane przez nas dane wskazują w szczególności na przydatność L-tyrozyny i pCS w redukowaniu zapalenia zależnego od komórek T2, takiego jak astma atopowa, to warto wspomnieć, że są też skuteczne przeciwko zapaleniu neutrofilowemu, które jest skutkiem odpowiedzi limfocytów Th17.
      W naszej pracy zidentyfikowaliśmy nową ścieżkę na osi jelita-płuca, którą można wykorzystać w leczeniu i zapobieganiu chorób zapalnych, takich jak astma atopowa i ciężka astma neutrofilowa. pCS i L-tyrozyna mogą być obiecującymi środkami terapeutycznymi w leczeniu chorób zapalnych, jednak ich skuteczność i bezpieczeństwo stosowania powinny być szczegółowo ocenione, podsumowują autorzy badań.
      L-tyrozna jest od dawna stosowana jako suplement diety, więc jej potencjalne wykorzystanie jako leku będzie o tyle łatwiejsze, że jest to środek bezpieczny. Inaczej ma się sprawa z pCS. Wiadomo bowiem, że u osób z chronicznymi chorobami nerek poziom tego związku jest podniesiony i podejrzewa się, że jest on toksyczny, gdyż takie osoby nie są w stanie usunąć go z organizmu. Jednak, jak zauważają naukowcy, prawdopodobnie pCS jest szkodliwy tylko u osób z upośledzoną funkcją nerek lub też jest biomarkerem takiego schorzenia.
      Zespół Marslanda już rozpoczął pracę nad formą pCS pozbawioną potencjalnego szkodliwego wpływu. Co więcej, naukowcy zauważyli, że wdychanie pCS bezpośrednio chroni płuca przed stanem zapalnym, co wskazuje na możliwość potencjalnego opracowania terapii z zastosowaniem inhalacji.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Europejska Agencja Leków (EMA) poinformowała, że podczas grudniowego cyberataku przestępcy uzyskali dostęp do informacji nt. leków i szczepionek przeciwko COVID-19. Teraz dane dotyczące szczepionki Pfizera zostały przez nich udostępnione w internecie
      W trakcie prowadzonego śledztwa ws. ataku na EMA stwierdzono, że napastnicy nielegalnie zyskali dostęp do należących do stron trzecich dokumentów związanych z lekami i szczepionkami przeciwko COVID-19. Informacje te wyciekły do internetu. Organy ścigania podjęły odpowiednie działania, oświadczyli przedstawiciele EMA.
      To nie pierwszy raz, gdy cyberprzestępcy biorą na cel firmy i organizacje związane z rozwojem i dystrybucją szczepionek przeciwko COVID-19. Już w maju ubiegłego roku brytyjskie Narodowe Centrum Cyberbezpieczeństwa poinformowało, że brytyjskie uniwersytety i instytucje naukowe znalazły się na celowniku cyberprzestępców, a celem ataków jest zdobycie informacji dotyczących badań nad koronawirusem. Wspomniane grupy przestępce były prawdopodobnie powiązane z rządami Rosji, Iranu i Chin. Z kolei w listopadzie Microsoft poinformował, że powiązana z Moskwą grupa Fancy Bear oraz północnokoreańskie grupy Lazarus i Cerium zaatakowały siedem firm farmaceutycznych pracujących nad szczepionkami.
      Atak na EMA nie zakłócił działania samej Agencji, nie wpłynął też na dystrybucję szczepionek.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...