Оффлайн
- Регистрация
- 23.09.18
- Сообщения
- 12.347
- Реакции
- 176
- Репутация
- 0
You must be registered for see links
подробное исследование Android-трояна xHelper. Впервые его обнаружили в середине прошлого года, большая часть атак с использованием зловреда приходится на телефоны российских пользователей. Его самое примечательное свойство — способность пережить даже сброс настроек телефона до заводских.Троян часто маскируется под приложение для очистки и ускорения смартфона. После его установки пользователю может показаться, что произошла ошибка — троян не появляется в меню программ, а найти его можно только в списке установленных приложений в меню настроек. Программа обращается к командному серверу, отправляет информацию об устройстве и загружает следующий вредоносный модуль. Сценарий повторяется несколько раз, получается своего рода матрешка, в которой ключевой элемент — это вредоносное ПО AndroidOS.Triada.dd, содержащее набор эксплойтов для получения прав суперпользователя.
С наибольшей вероятностью программе удастся получить root-доступ на китайских смартфонах под управлением Android 6 и 7. После успешного взлома устройства троян перемонтирует системный раздел (изначально доступный только в режиме чтения) и внедряет туда еще один набор вредоносных программ. Добавление команды на запуск исполняемых файлов в скрипт для первого запуска ОС позволяет трояну восстановиться даже после сброса настроек. Другие опции меняются так, чтобы впоследствии затруднить подключение системного раздела для удаления вредоносного ПО. В том числе модифицируется системная библиотека libc.so.
Способности xHelper в исследовании подробно не описаны, так как практически безграничны. В зараженном мобильном устройстве присутствует бэкдор, а оператор может выполнять любые действия с правами суперпользователя. Атакующие имеют доступ к данным всех приложений и могут загружать другие вредоносные модули — например, для угона учетных записей сетевых сервисов. Лечение смартфона — сложный процесс. В теории можно загрузить устройство в Recovery Mode, можно попытаться вернуть на место оригинальную версию библиотеки libc.so, что позволит удалить вредоносные модули из системного раздела. На практике проще перепрошить смартфон, хотя исследователи отмечают, что некоторые распространяемые в сети прошивки уже содержат xHelper.
Что еще произошло
ИБ в условиях эпидемии. Компании Google и Apple совместно разработают сервис, который позволит определить, пересекались ли вы с носителем коронавируса (
You must be registered for see links
, подробная
You must be registered for see links
на Хабре). Сервис предполагает анонимизированный обмен информацией между смартфонами по Bluetooth, что, естественно, вызывает сомнения относительно приватности такого обмена и возможности перепрофилирования технологии, скажем, под рекламные нужды. С другой стороны, это вариант технологической помощи в решении медицинской проблемы.First look at Apple/Google contact tracing framework:
1) Once a day, your device derives a new key ("daily tracing key").
2) It uses that to derive a new "proximity ID" every time your device's bluetooth address changes (15min), which is broadcast to nearby BT sensors.
1/10
— Moxie Marlinspike (@moxie)
You must be registered for see links
Сервис веб-конференций Zoom
You must be registered for see links
бывшего главного директора по безопасности Facebook Алекса Стэймоса. Сервис тем временем запрещают в американских школах и в Google. Его разработчики все еще работают над безопасностью, включая мелкие, но важные твики интерфейса — в заголовке окна Zoom теперь не отображается номер конференции, что делает менее вероятным сценарий «кто-то запостил скриншот, и к встрече начали подключаться случайные люди». В своем блогпосте Стэймос
You must be registered for see links
интересной быструю трансформацию Zoom из малоизвестного корпоративного сервиса в без пяти минут критически важный элемент инфраструктуры. Разработчики WhatsApp для борьбы с фейками про коронавирус (и другими «цитатами из интернета») теперь
You must be registered for see links
пересылать сообщение только один раз, если оно пришло к вам не от постоянных контактов. В программном комплексе VMware Directory Service (vmdir) обнаружена (
You must be registered for see links
,
You must be registered for see links
компании) критически опасная уязвимость. Сервис используется для централизованного управления виртуальными машинами. Ошибка в системе авторизации может привести к перехвату контроля над всей виртуальной серверной инфраструктурой компании. Компания Sophos
You must be registered for see links
«неоправданно дорогие» приложения в App Store. Такие программы, обычно с базовыми функциями типа линейки, калькулятора, фонарика и тому подобного, известны как fleeceware. В анализе приводятся два десятка примеров программ, причем некоторые умудряются попадать в списки наиболее прибыльных в региональных магазинах. Характерный признак fleeceware — предложение пробного бесплатного периода при первом запуске. В результате пользователь платит за «гороскопы» или «создание аватарок» до ста фунтов стерлингов в год, иногда даже не подозревая об этом.