Небольшая ремарочка, эта статья не была изначально написана для Codeby, поэтому имеет более сухое изложение и в целом скучная, но материал действительно неплохой и мне жаль, что так и не удалось её нигде опубликовать. Посему она будет здесь. (Отмечу, что она не была нигде опубликована до этого, так что метариал оригинальный). Приятного прочтения.
Приветствую, читатель. Цифровые технологии в двадцать первом веке стали неотъемлемой частью жизни, слившись чуть ли не со всеми сферами бытия: бизнесом, финансами, медициной и даже с человеческими отношениями. Это лишь небольшой перечень, который можно продолжать до бесконечности. Безусловно, с приходом IT в наши жизни исчезло множество проблем и неудобств, но всему этому делу сопутствует огромный риск. Количество мошеннических схем, угроз и опасностей с каждым днем растет в геометрической прогрессии. О самых новых и опасных сегодня вам и расскажет эта статья. Поехали.
В недавней
Дословный перевод вредоноса звучит как “школьный гопник”, но лучшей версией интеграции этого слова на русский язык будет просто “хулиган”, так и будем его именовать далее.
Более 300 тысяч пользователей Facebook по всему миру пострадали от распространения этого трояна. В основном Хулиган маскируется под законные приложения или просто "склеивается" с ними. Самое поразительное, что более 30 приложений с этим вирусом были доступны к загрузке из Google Play. По состоянию на 5 декабря все они были удалены, но до сих пор доступны для загрузки из сторонних ресурсов.
Проведя небольшое личное расследование мне удалось определить, что большинство неофициальных файлообменников до сих пор содержат инфицированные версии приложений. Для русскоязычного сегмента это не составляет особой угрозы, так как троянец был найден лишь в одном непопулярном приложении для пиратского просмотра фильмов и видеороликов. Администрация портала, содержащего вредонос, была уведомлена об этом и в скором времени он будет удален.
В основном заражению подверглись образовательные вьетнамские и индийские приложения. Говоря простым языком - читалки. Те самые приложения, позволяющие вам скачать любимую книгу и в любой момент насладиться её содержанием.
Но под раздачу попали приложения не только азиатского сегмента, поэтому можете ознакомиться со следующей схемой, которая отображает страны, пользователи которых пострадали от деятельности Хулигана:
Давайте разбираться. Facebook на данный момент является мировой социальной сетью, насчитывающей постоянную аудиторию около 3 млрд. пользователей в месяц. И не будет лишним сказать, что он будет набирать обороты и дальше.
Стоит отметить, что аккаунты этой социальной сети не являются конечной целью злоумышленника. Поскольку он использует троян Schoolyard Bully лишь для получения несанкционированного доступа к учетным данным, которые впоследствии могут быть использованы для входа в банковские или игровые аккаунты. Ведь почти
Хулиган после установки может заполучить следующие данные:
Как уже говорилось ранее, зачастую троян-Хулиган маскируется под различные образовательные приложения, в основном под так называемые читалки. И это неспроста, обусловлено это его функциональными особенностями.
«Этот троян использует внедрение JavaScript для кражи учетных данных Facebook», — заявили исследователи Zimperium Нипун Гупта и Аазим Билл С. Ясвант в
Использовать JavaScript попросту невозможно непосредственно в самом приложении, поэтому злоумышленники, подключив щепотку смекалки, выкрутились, создав в приложении что-то типа чата для обсуждения книг или просто общения. Для доступа к чату нужно пройти авторизацию через Facebook.
К примеру, вот скриншот зараженного вьетнамского приложения, вирусная активность не начинается сразу после запуска приложения или скачивания какой-то книги :
Вот что видим после перехода во вкладку “Trò Chuyện”, открывается то самое окно авторизации.
И, как не странно, ссылка на авторизацию является легальной, то есть она не является фейковой, как многие могли бы подумать. Это действительно вход в учетную запись Facebook. Но как тогда злоумышленник получит ваши пароли?
Дело все в том, что инфицирована здесь как раз таки функция Webview, которая отвечает за открытие ссылки внутри браузера приложения. В её коде имеется внедренный вредоносный JavaScript для извлечения номера телефона, адреса электронной почты и пароля пользователя, после чего ворованные данные отправляются на сервер C&C.
C&C-сервер — сервер, с помощью которого злоумышленник способен, например, контролировать
Давайте более детально рассмотрим способ, которым вредоносный JS был внедрен в приложение. Заполучить вирусного хулигана оказалось совсем не сложно. Ведь на тематических вьетнамских порталах Хулиганов пруд-пруди, что не может не удручать. В качестве подопытного выступит приложение с достаточно сомнительным названием -
Воспользовавшись декомпилятором, переходим в папку, отвечающую за функцию WebView. А пока я её искал, то заметил вот это:
Это как раз таки конфигурационные файлы для связи с сервером C&C, если я ошибаюсь, то подправьте.
Javascript внедряется в WebView с помощью метода AssessmentJavascript, на скриншоте это можно увидеть. Код javascript извлекает значение элементов с идентификаторами m_login_email и m_login_password, которые являются заполнителями для номера телефона, адреса электронной почты и пароля.
Если возвратимся к открытой ссылке на авторизацию через Facebook, то при просмотре элементов, можем лицезреть следующую картину:
Хулиган использует нативные библиотеки, поэтому большинство антивирусных приложений пропускают его мимо глаз, в этом можно убедиться лично, закинув вирусный сэмпл на
Этот троянец использует технику кодирования для собственной библиотекой libabc.so, где хранятся авторизационные данные C&C. Данные дополнительно кодируются, чтобы скрыть все строки от любых механизмов обнаружения. В итоге получаем не только скрытую информацию о C&C, но и ворованные данные пользователей в виде порядка нулей и единиц. Но мой редактор кода выдал какую-то несуразицу.
Опираясь на отчет от Zimperium, на который я ссылался ранее, данные этой библиотеки должны были иметь следующий вид в кодированном и декодированном формате соответственно.
Ещё мной была замечена интересная строка, находящаяся в функции SEVER_BIGDATA, которая отвечает за связь Хулигана с C&C сервером, она отправляет дополнительные данные об устройстве, в их перечень входит следующее:
Многие источники ошибочно приписывали эпидемию Хулигана к вирусной кампании
Пусть и троян Schoolyard Bully также демонстрирует тягу к эксплуатации вьетнамских читателей, однако исследователи определили, что субъекты угроз двух кампаний различны и действуют независимо. К этому можно прийти, сравнив характерный “почерк” присущий каждому вирусописателю.
К сожалению, на данный момент Хулиган никак не определяется большинством антивирусных программ. Исключение - только ESET Mobile, поэтому настоятельно рекомендую проверить своё устройство на наличие этого и других потенциально опасных приложений с помощью этого антивируса.
Также не стоит пользоваться непроверенными источниками приложений, такими как Softportal и прочие. Пусть в Google Play угрозы тоже есть, но их несравнимо меньше и с каждым днем их выуживают и удаляют.
Если вдруг вам захочется воспользоваться вьетнамской читалкой, то вот перечень программ, которые подверглись инфицированию:
И раз пошла речь об угрозах для устройств под систему Android, то почему бы не продолжить. К сожалению, нам достаточно часто приходится слышать, что на платформе от Google обнаруживают очередной вредонос. И это лишний раз должно служить напоминанием о том, что нужно быть предельно бдительным при установке какого-то нового приложения на своё устройство.
Последние известные инфицированные приложения были загружены более двух миллионов раз , что означает, что многие устройства были также скомпрометированы.
Например, если приложение было установлено на ваше устройство, третьи лица могут направлять свой трафик через вас, подобным образом формируя ботнет. Поэтому не удивляйтесь, если на следующее утро после установки этого приложения вы проснетесь от такого:
А после окажется, что ваш телефон совершил DDoS атаку на Пентагон.
У этого приложения было менее 1000 загрузок, он не является огромным прорывом вредоносного ПО и отнести его можно разве что к типичным угрозам, нежели к чему-то революционному. Различные модификации этой вредоносной программы детектируются Dr.Web и другими антивирусными приложениями как
Однако исследователями из DoctorWeb были обнаружены ещё несколько угроз, использующие Firebase Cloud Messaging для связи со своими разработчиками, на этот раз для загрузки определенных рекламных веб-сайтов, этот вариант использовал уже другой модуль для своих злодеяний:
В пиар-кампанию этого приложения было вложено сотни тысяч долларов. Вы можете найти обзоры на Youtube, где якобы кто-то таким образом заработал и вывел более 600$ за неделю. И поразительно, такие видео набирали по несколько миллионов просмотров.
А ещё можно было встретить вот такую рекламу, хотя и в названии указывались другие приложения, все равно проводилась установка TubeBox:
За каждый просмотр рекламного ролика пользователь якобы получал вознаграждение — монеты и купоны на внутреннюю учетную запись. Утверждалось, что это вознаграждение можно конвертировать в реальные деньги и легко вывести удобным способом, например, на банковскую карту. А чтобы вывести деньги, им нужно было накопить минимально допустимую сумму. Но даже когда минимальная сумма была накоплена, пользователю который собирался оформить вывод, сообщалось, что с этим могут возникнуть некоторые проблемы и пока что вывод недоступен.
Создатели сего чуда до последнего момента тянули, придумывая различные отговорки, заставляя пользователей и дальше смотреть рекламу, тем самым зарабатывая деньги отнюдь не себе, а мошенникам.
Также в отчете говорится о существовании аналогичной связи через сервер C&C и о том, что злоумышленники могли с легкостью получить доступ к персональным данным пользователей.
Выводы
Сегодня речь зашла о свежих угрозах для устройств под управлением Android. Если у вас установлен хотя бы один из рассматриваемых сегодня экземпляров - немедленно удалите их и проведите проверку своего девайса с помощью одного из этих антивирусов:
А больше сказать-то и нечего, увидимся.
О современных угрозах для Android устройств: троян Schoolyard Bully и другие вирусы в Google Play
Приветствую, читатель. Цифровые технологии в двадцать первом веке стали неотъемлемой частью жизни, слившись чуть ли не со всеми сферами бытия: бизнесом, финансами, медициной и даже с человеческими отношениями. Это лишь небольшой перечень, который можно продолжать до бесконечности. Безусловно, с приходом IT в наши жизни исчезло множество проблем и неудобств, но всему этому делу сопутствует огромный риск. Количество мошеннических схем, угроз и опасностей с каждым днем растет в геометрической прогрессии. О самых новых и опасных сегодня вам и расскажет эта статья. Поехали.
Троян Schoolyard Bully: или как недооцененная угроза 2018 года вызвала переполох спустя четыре года
В недавней
Ссылка скрыта от гостей
TheHackernews проскочило упоминание о появившейся новой угрозе для пользователей Android, и имя этой угрозе - троян Schoolyard Bully. В основном он ориентирован на кражу паролей от учетных записей пользователей Facebook.Дословный перевод вредоноса звучит как “школьный гопник”, но лучшей версией интеграции этого слова на русский язык будет просто “хулиган”, так и будем его именовать далее.
Более 300 тысяч пользователей Facebook по всему миру пострадали от распространения этого трояна. В основном Хулиган маскируется под законные приложения или просто "склеивается" с ними. Самое поразительное, что более 30 приложений с этим вирусом были доступны к загрузке из Google Play. По состоянию на 5 декабря все они были удалены, но до сих пор доступны для загрузки из сторонних ресурсов.
Проведя небольшое личное расследование мне удалось определить, что большинство неофициальных файлообменников до сих пор содержат инфицированные версии приложений. Для русскоязычного сегмента это не составляет особой угрозы, так как троянец был найден лишь в одном непопулярном приложении для пиратского просмотра фильмов и видеороликов. Администрация портала, содержащего вредонос, была уведомлена об этом и в скором времени он будет удален.
В основном заражению подверглись образовательные вьетнамские и индийские приложения. Говоря простым языком - читалки. Те самые приложения, позволяющие вам скачать любимую книгу и в любой момент насладиться её содержанием.
Но под раздачу попали приложения не только азиатского сегмента, поэтому можете ознакомиться со следующей схемой, которая отображает страны, пользователи которых пострадали от деятельности Хулигана:
Может ли троян Schoolyard Bully нанести непоправимый ущерб мировой экономике?
Давайте разбираться. Facebook на данный момент является мировой социальной сетью, насчитывающей постоянную аудиторию около 3 млрд. пользователей в месяц. И не будет лишним сказать, что он будет набирать обороты и дальше.
Стоит отметить, что аккаунты этой социальной сети не являются конечной целью злоумышленника. Поскольку он использует троян Schoolyard Bully лишь для получения несанкционированного доступа к учетным данным, которые впоследствии могут быть использованы для входа в банковские или игровые аккаунты. Ведь почти
Ссылка скрыта от гостей
для входа во все свои аккаунты и зачастую даже не меняют его после того, как он один раз уже был скомпрометирован.Хулиган после установки может заполучить следующие данные:
- Номер телефона/электронная почта.
- Пароль.
- Имя и ID.
Как устроен Хулиган: немного о принципах его работы
Как уже говорилось ранее, зачастую троян-Хулиган маскируется под различные образовательные приложения, в основном под так называемые читалки. И это неспроста, обусловлено это его функциональными особенностями.
«Этот троян использует внедрение JavaScript для кражи учетных данных Facebook», — заявили исследователи Zimperium Нипун Гупта и Аазим Билл С. Ясвант в
Ссылка скрыта от гостей
Zimperium.Использовать JavaScript попросту невозможно непосредственно в самом приложении, поэтому злоумышленники, подключив щепотку смекалки, выкрутились, создав в приложении что-то типа чата для обсуждения книг или просто общения. Для доступа к чату нужно пройти авторизацию через Facebook.
К примеру, вот скриншот зараженного вьетнамского приложения, вирусная активность не начинается сразу после запуска приложения или скачивания какой-то книги :
Вот что видим после перехода во вкладку “Trò Chuyện”, открывается то самое окно авторизации.
И, как не странно, ссылка на авторизацию является легальной, то есть она не является фейковой, как многие могли бы подумать. Это действительно вход в учетную запись Facebook. Но как тогда злоумышленник получит ваши пароли?
Дело все в том, что инфицирована здесь как раз таки функция Webview, которая отвечает за открытие ссылки внутри браузера приложения. В её коде имеется внедренный вредоносный JavaScript для извлечения номера телефона, адреса электронной почты и пароля пользователя, после чего ворованные данные отправляются на сервер C&C.
C&C-сервер — сервер, с помощью которого злоумышленник способен, например, контролировать
Ссылка скрыта от гостей
и отдавать команды его участникам, управлять шпионским ПО, оправлять полезную нагрузку и т.п.Давайте более детально рассмотрим способ, которым вредоносный JS был внедрен в приложение. Заполучить вирусного хулигана оказалось совсем не сложно. Ведь на тематических вьетнамских порталах Хулиганов пруд-пруди, что не может не удручать. В качестве подопытного выступит приложение с достаточно сомнительным названием -
| Cẩm Nang Lớp 8 Offline – Giải Bài Tập & Ôn Luyện. |
Воспользовавшись декомпилятором, переходим в папку, отвечающую за функцию WebView. А пока я её искал, то заметил вот это:
Это как раз таки конфигурационные файлы для связи с сервером C&C, если я ошибаюсь, то подправьте.
Javascript внедряется в WebView с помощью метода AssessmentJavascript, на скриншоте это можно увидеть. Код javascript извлекает значение элементов с идентификаторами m_login_email и m_login_password, которые являются заполнителями для номера телефона, адреса электронной почты и пароля.
Если возвратимся к открытой ссылке на авторизацию через Facebook, то при просмотре элементов, можем лицезреть следующую картину:
Хулиган использует нативные библиотеки, поэтому большинство антивирусных приложений пропускают его мимо глаз, в этом можно убедиться лично, закинув вирусный сэмпл на
Ссылка скрыта от гостей
l или аналоги.
Этот троянец использует технику кодирования для собственной библиотекой libabc.so, где хранятся авторизационные данные C&C. Данные дополнительно кодируются, чтобы скрыть все строки от любых механизмов обнаружения. В итоге получаем не только скрытую информацию о C&C, но и ворованные данные пользователей в виде порядка нулей и единиц. Но мой редактор кода выдал какую-то несуразицу.
Опираясь на отчет от Zimperium, на который я ссылался ранее, данные этой библиотеки должны были иметь следующий вид в кодированном и декодированном формате соответственно.
Ещё мной была замечена интересная строка, находящаяся в функции SEVER_BIGDATA, которая отвечает за связь Хулигана с C&C сервером, она отправляет дополнительные данные об устройстве, в их перечень входит следующее:
- Имя в профиле Facebook
- facebook ID
- Электронная почта/номер телефона Facebook
- Пароль Facebook
- Имя устройства
- API устройства
- Оперативная память устройства
Связана ли деятельность трояна-Хулигана с какими-то другими именитыми эпидемиями зловредов?
Многие источники ошибочно приписывали эпидемию Хулигана к вирусной кампании
Ссылка скрыта от гостей
. Но исследователи Zimperium zLabs опровергли это утверждение. Ранее они уже освещали кампанию под названием
Ссылка скрыта от гостей
, в ходе которой было обнаружено несколько приложений, созданных и распространяемых вьетнамскими злоумышленниками.Пусть и троян Schoolyard Bully также демонстрирует тягу к эксплуатации вьетнамских читателей, однако исследователи определили, что субъекты угроз двух кампаний различны и действуют независимо. К этому можно прийти, сравнив характерный “почерк” присущий каждому вирусописателю.
Способы защиты
К сожалению, на данный момент Хулиган никак не определяется большинством антивирусных программ. Исключение - только ESET Mobile, поэтому настоятельно рекомендую проверить своё устройство на наличие этого и других потенциально опасных приложений с помощью этого антивируса.
Также не стоит пользоваться непроверенными источниками приложений, такими как Softportal и прочие. Пусть в Google Play угрозы тоже есть, но их несравнимо меньше и с каждым днем их выуживают и удаляют.
Если вдруг вам захочется воспользоваться вьетнамской читалкой, то вот перечень программ, которые подверглись инфицированию:
Проблемы в Google Play: случай с Хулиганом лишь верхушка айсберга
И раз пошла речь об угрозах для устройств под систему Android, то почему бы не продолжить. К сожалению, нам достаточно часто приходится слышать, что на платформе от Google обнаруживают очередной вредонос. И это лишний раз должно служить напоминанием о том, что нужно быть предельно бдительным при установке какого-то нового приложения на своё устройство.
Последние известные инфицированные приложения были загружены более двух миллионов раз , что означает, что многие устройства были также скомпрометированы.
Ссылка скрыта от гостей
в Play Маркете троян под названием «Fast Cleaner & Cooling Master». Это приложение якобы было предназначено для оптимизации и ускорения работы вашего Android девайса. Но на деле вредонос тайно устанавливал связь через Firebase С&C и выполнял инструкции своих разработчиков, показывая рекламу по несколько десятков раз в минуту или тайно устанавливая прокси-сервер.Например, если приложение было установлено на ваше устройство, третьи лица могут направлять свой трафик через вас, подобным образом формируя ботнет. Поэтому не удивляйтесь, если на следующее утро после установки этого приложения вы проснетесь от такого:
А после окажется, что ваш телефон совершил DDoS атаку на Пентагон.
У этого приложения было менее 1000 загрузок, он не является огромным прорывом вредоносного ПО и отнести его можно разве что к типичным угрозам, нежели к чему-то революционному. Различные модификации этой вредоносной программы детектируются Dr.Web и другими антивирусными приложениями как
Ссылка скрыта от гостей
.35 ,
Ссылка скрыта от гостей
.36 и
Ссылка скрыта от гостей
.37 .
Однако исследователями из DoctorWeb были обнаружены ещё несколько угроз, использующие Firebase Cloud Messaging для связи со своими разработчиками, на этот раз для загрузки определенных рекламных веб-сайтов, этот вариант использовал уже другой модуль для своих злодеяний:
- «Громкость, музыкальный эквалайзер», 150.000 загрузок.
- «Bluetooth, Wi-Fi и USB» 200.000 загрузок.
- « Bluetooth autoconnect» - миллион загрузок. Он рекламировался как приложение для улучшения соединения Bluetooth, а также для обеспечения автоматического подключения к устройствам Bluetooth, чтобы вы теоретически могли обходить меню настроек Bluetooth каждый раз, когда хотите подключить какое-то устройство типа наушников.
В пиар-кампанию этого приложения было вложено сотни тысяч долларов. Вы можете найти обзоры на Youtube, где якобы кто-то таким образом заработал и вывел более 600$ за неделю. И поразительно, такие видео набирали по несколько миллионов просмотров.
А ещё можно было встретить вот такую рекламу, хотя и в названии указывались другие приложения, все равно проводилась установка TubeBox:
За каждый просмотр рекламного ролика пользователь якобы получал вознаграждение — монеты и купоны на внутреннюю учетную запись. Утверждалось, что это вознаграждение можно конвертировать в реальные деньги и легко вывести удобным способом, например, на банковскую карту. А чтобы вывести деньги, им нужно было накопить минимально допустимую сумму. Но даже когда минимальная сумма была накоплена, пользователю который собирался оформить вывод, сообщалось, что с этим могут возникнуть некоторые проблемы и пока что вывод недоступен.
Создатели сего чуда до последнего момента тянули, придумывая различные отговорки, заставляя пользователей и дальше смотреть рекламу, тем самым зарабатывая деньги отнюдь не себе, а мошенникам.
Также в отчете говорится о существовании аналогичной связи через сервер C&C и о том, что злоумышленники могли с легкостью получить доступ к персональным данным пользователей.
Выводы
Сегодня речь зашла о свежих угрозах для устройств под управлением Android. Если у вас установлен хотя бы один из рассматриваемых сегодня экземпляров - немедленно удалите их и проведите проверку своего девайса с помощью одного из этих антивирусов:
-
Ссылка скрыта от гостей.
-
Ссылка скрыта от гостей.
А больше сказать-то и нечего, увидимся.
