Исследование

Ad Plus вместо AdBlock Plus

Это один из тех случаев, когда пользователь ищет защиту, а находит лишь проблемы. Мой друг Серхио де лос Сантос (Sergio de los Santos) прислал мне ссылку на поддельное приложение, замаскированное под AdBlock Plus – широко известную и полезную программу, которое многие пользователи используют в своих браузерах. На момент загрузки поддельное приложение было активно в Google Play, и все, кто его загрузил, вместо программы, блокирующей нежелательную рекламу в браузере, получили нечто противоположное – еще больше рекламы и проблемы с сохранностью конфиденциальных данных.

Я могу с уверенностью это утверждать, поскольку анализ кода показал, что это приложение – образец рекламного ПО (Adware). Продукты «Лаборатории Касперского» детектируют его как HEUR:AdWare.AndroidOS.Starsys.b

Но что именно делает это вредоносное приложение, будучи установленным на устройстве жертвы? Много всего разного, в том числе:

android.permission.READ_LOGS (читает на Android-устройстве архивные журналы, содержащие, в частности конфиденциальные личные данные пользователя)

android.permission.BLUETOOTH (получает доступ к настройкам Bluetooth на устройстве с возможностью изменять их и разрешать входящие соединения с других устройств, находящихся в зоне действия сигнала)

android.permission.INTERNET ( предоставляет приложениям доступ в интернет)

android.permission.RECEIVE_SMS  (получает доступ к сообщениям SMS с возможностью читать и даже удалять их без согласия жертвы)

android.permission.READ_CONTACTS (получает полный доступ к списку контактов пользователя)

Монетизация Adware-программы осуществляется через рекламный сервис RevMob https://www.revmobmobileadnetwork.com 

На сайте RevMob объясняется, как это работает:

 «Простой и эффективный рекламный блок предлагает пользователю загрузить бесплатное приложение. Вы получаете плату за клики и установку приложения ».

Вот для чего разработчики Adblock Plus создали свою поддельную программу. К счастью, к моменту написания этого текста вредоносное приложение уже было удалено из Google Play.

Подписывайтесь на мой Twitter: @dimitribest

Ad Plus вместо AdBlock Plus

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике