Архив новостей

DroidDream ― второе пришествие

В последние выходные мая в фирменном магазине Android Market были обнаружены десятки копий легитимных программ с добавленным троянским функционалом. Зловред был опознан как облегченная версия печально известного DroidDream (в классификации ЛК Backdoor.AndroidOS.Rooter ).

Как и его предшественники, DroidDream Light крадет и отправляет на удаленный сервер данные о зараженном устройстве: модель, язык, страну, международные идентификаторы, версию SDK, список установленных приложений. URL, которые вызывает зловред, содержатся в зашифрованном виде в конфигурационном файле prefer.dat и, по свидетельству экспертов, в настоящее время недоступны.

Активация DroidDream Light происходит автоматически с изменением состояния активности смартфона ― например, при получении входящего вызова или SMS. В этот момент присутствие вредоносной программы можно обнаружить по запуску службы CoreService, которая обеспечивает подключение к удаленному серверу злоумышленников. По словам экспертов, новый вариант DroidDream также способен загружать дополнительные компоненты и приложения с конкретных страниц Android Market.

На настоящий момент Google изъяла из обращения 34 перепакованных приложения, снабженных довеском в виде DroidDream Light. На Android Market их представляли 6 разных разработчиков. Число жертв новой напасти, по некоторым оценкам, составляет от 30 до 120 тыс. пользователей. К расследованию данного инцидента подключены специалисты из AVG Technologies. Их оценка масштабов распространения инфекции гораздо скромнее ― 15 тысяч.

Весьма вероятно, что Google вновь развернет кампанию по дистанционной очистке зараженных устройств. Однако, как уже было замечено, такой шаг ― не решение проблемы. Пользовательские устройства по-прежнему уязвимы, а перспективы реорганизации Android Market все так же туманны.

DroidDream ― второе пришествие

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике