Архив новостей

SpyEye атакует смартфоны

По свидетельству экспертов из F-Secure, новый MitMo-троянец представляет собой компонент шпионской программы SpyEye.

Новый мобильный зловред атакует устройства на базе Symbian и ориентирован на кражу кодов mTAN, которые используются для аутентификации в системах онлайн-банкинга. Чтобы прописаться на зараженном смартфоне, он использует сертификат, выданный китайским веб-сайтом cer.opda.cn, который позволяет подписывать приложения при установке на конкретное устройство. Троянец также пытается заполучить у потенциальной жертвы международный идентификатор IMEI: перехватывает сеанс связи с системой онлайн-банкинга и на лету внедряет в страницу регистрации дополнительное поле для заполнения. В случае успеха вредоносный файл добавляется к списку разрешенных (подписанных) приложений на данном устройстве.

По всей видимости, авторы новой версии MitMo-троянца воспользовались доступностью сертификатов OPDA. Их можно получить бесплатно на сайте cer.opda.cn, для оформления заказа требуется лишь зарегистрироваться и ввести в специальную форму IMEI. Правда, в целях борьбы с злоупотреблениями с недавних пор порядок выдачи сертификатов на сайте изменился: сертификат выдается бесплатно лишь при первичном обращении, остальные приходится оплачивать. Однако не стоит забывать, что OPDA — не единственная организация, предоставляющая такие услуги.

Примечательно, что вирусописатели взяли за основу своего нового творения SpyEye. Все предыдущие MitMo-атаки ― в сентябре прошлого года, в феврале
нынешнего ― проводились с использованием облегченных модификаций ZeuS.

SpyEye атакует смартфоны

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике