Архив новостей

DroidDream ― второе пришествие

В последние выходные мая в фирменном магазине Android Market были обнаружены десятки копий легитимных программ с добавленным троянским функционалом. Зловред был опознан как облегченная версия печально известного DroidDream (в классификации ЛК Backdoor.AndroidOS.Rooter ).

Как и его предшественники, DroidDream Light крадет и отправляет на удаленный сервер данные о зараженном устройстве: модель, язык, страну, международные идентификаторы, версию SDK, список установленных приложений. URL, которые вызывает зловред, содержатся в зашифрованном виде в конфигурационном файле prefer.dat и, по свидетельству экспертов, в настоящее время недоступны.

Активация DroidDream Light происходит автоматически с изменением состояния активности смартфона ― например, при получении входящего вызова или SMS. В этот момент присутствие вредоносной программы можно обнаружить по запуску службы CoreService, которая обеспечивает подключение к удаленному серверу злоумышленников. По словам экспертов, новый вариант DroidDream также способен загружать дополнительные компоненты и приложения с конкретных страниц Android Market.

На настоящий момент Google изъяла из обращения 34 перепакованных приложения, снабженных довеском в виде DroidDream Light. На Android Market их представляли 6 разных разработчиков. Число жертв новой напасти, по некоторым оценкам, составляет от 30 до 120 тыс. пользователей. К расследованию данного инцидента подключены специалисты из AVG Technologies. Их оценка масштабов распространения инфекции гораздо скромнее ― 15 тысяч.

Весьма вероятно, что Google вновь развернет кампанию по дистанционной очистке зараженных устройств. Однако, как уже было замечено, такой шаг ― не решение проблемы. Пользовательские устройства по-прежнему уязвимы, а перспективы реорганизации Android Market все так же туманны.

DroidDream ― второе пришествие

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике