Добрые соседи
Надпись на двери: «Эта семья только что вернулась из Уханя, держись от них подальше. И запечатанная дверь
Надпись на двери: «Эта семья только что вернулась из Уханя, держись от них подальше. И запечатанная дверь
Как известно, в Украине заблокиравано ряд сайтов. Эти сайти довольно популярны и для обхода их блокировки приходиться пользоваться сетью vpn. Подавляющее число сервесов vpn пропускают всю информацию через себя, а не выборочно для каких-то сайтов. Это ведет к постоянному подклучению пользователей к этой самой сети. А вот с сегодня при входе в pikabu с vpn у меня светит ошибка: проверте свое устройство на вирусы. Зайти получается только предварительно его выключив, что очень не удобно.
Впервые Android.Fakebank.B был обнаружен еще в 2013 году. Исследователи писали, что малварь маскируется под легитимное приложение Android, тогда как на самом деле, регистрирует себя как системный сервис, запрашивает с сервера злоумышленников файл конфигурации и устанавливает на устройство вредоносное APK.
Основная цель Fakebank — хищение денежных средств жертвы. Для этого малварь сначала похищает учетные данные от любых банковских приложений, установленных на зараженном устройстве, и отправляет их на управляющий сервер. Затем Fakebank инициирует ряд незаконных транзакций.
Если жертва замечает что-то подозрительное и видит, что средства с банковского счета куда-то утекают, в дело вступает компонент BroadcastReceiver, который отслеживает все исходящие звонки на зараженном девайсе. Если набранный пользователем номер принадлежит службе поддержки банка, малварь автоматически заблокирует такой звонок. Эксперты Symantec пишут, что в «черных списках» Fakebank значатся номера следующих банков:
-KB Bank: 15999999
-KEB Hana Bank: 15991111
-NH Bank: 15442100 and 15882100
-Sberbank: 80055550
-SC Bank: 15881599 и 15889999
-Shinhan Bank: 15448000, 15778000 и 15998000
Малварь блокирует звонок в корейский банк:
Жертве придется потратить дополнительное время: придется связываться с банком по email или звонить с другого номера. Так как многие банки допускают привязку конкретного номера телефона абонента к счету, все это создаст дополнительные проблемы пользователю. В итоге жертва будет вынуждена пройти более длительную процедуру аутентификации, что даст злоумышленникам дополнительное время для хищения средств.
Стоит отметить, что это не первый случай, когда банковские трояны проявляют изрядное коварство. К примеру, обнаруженный специалистами все той же компании Symantec вредонос Android.Bankosy способен обходить двухфакторную аутентификацию банков, в том числе и такие системы, которые сообщают одноразовые коды голосом.
Взять с собой побольше вкусняшек, запасное колесо и знак аварийной остановки. А что сделать еще — посмотрите в нашем чек-листе. Бонусом — маршруты для отдыха, которые можно проехать даже в плохую погоду.
Как это убрать? - Сижу через chrome. Какого черта яндекс вмешивается в мое личное интернет пространство!?
Исследователи компании Malwarebytes рассказали об очередном витке эволюции малвари. Если раньше скамеры из фейковой технической поддержки уже применяли JavaScript-трюки, чтобы заблокировать пользователя на определенном сайте, в конкретной вкладке браузера, или даже показывали пользователям фальшивый BSOD, теперь они пошли еще дальше.
Раньше, до появления шифровальщиков, большой популярностью в криминальной середе пользовались блокировщики. Такая малварь не зашифровывала файлы жертвы, но блокировала компьютер, отключала клавиатуру и мышь и не давала использовать устройство, пока пользователь не заплатит выкуп. Теперь эту тактику переняли фальшивые операторы технической поддержки.
Malwarebytes сообщает, что в комплекте с неназванным легитимным ПО, под видом рекламных приложений, распространяются интересные трояны. Как только пользователь установил нужную ему программу, в нагрузку устанавливаются и рекламные приложения, которые на самом деле, являются вредоносами. Такой троянец срабатывает не сразу, он активируется только после перезагрузки компьютера. При следующем включении ПК, жертва увидит фальшивый экран обновления Windows. Когда «процедура обновления» подойдет к концу, на экране появится сообщение, гласящее, что срок действия данного ключа продукта (Windows) истек, и теперь пользователю нужно связаться с сотрудниками поддержки Microsoft по указанному телефону.
Исследователи Malwarebytes позвонили по указанному в сообщении номеру и пообщались с оператором. Тот проинструктировал их, что нужно нажать CTRL+SHIFT+T. Это сочетание клавиш запускает TeamViewer, через который оператор фальшивого колл-центра сможет войти в систему жертвы и, предположительно, удалит троян. Довести эксперимент до конца исследователям не удалось, так как оператор отказался продолжать разговор, пока жертва не заплатит $250.
Независимый исследователь slipstream/RoL тоже наткнулся на новую малварь и провел свой эксперимент. Он утверждает, что колл-центр мошенников располагается где-то в Индии, а нажатие CTRL+SHIFT+S позволит жертве отключить блокировку экрана, но не всю блокировку системы.
Также исследователь покопался в коде вредоноса и нашел жестко закодированные «серийные номера». По данным slipstream/RoL, с их помощью можно запустить окно Windows Explorer, а затем удалить троян с устройства: «h7c9-7c67-jb», «g6r-qrp6-h2» и «yt-mq-6w». Аналитики Malwarebytes с сожалением отмечают, что эти коды срабатывают далеко не для всех версий локеров.
Эндрю Брандт рассказал в официальном блоге Blue Coat Labs, что ему впервые довелось увидеть, как малварь устанавливает на мобильное устройство вредоносное приложение, никак не взаимодействуя с пользователем. В процессе внедрения вредоснос даже не отображает стандартное диалоговое окно с правами доступа для приложения.
Трюк заключается в использовании наработок Hacking Team, которые стали достоянием общественности после прошлогоднего взлома компании. Джошуа Дрейк (Joshua Drake) из компании Zimperium уже подтвердил, что эксплоит Towelroot использует исходные коды, украденные у Hacking Team. Также вредонос содержит исходники малвари Futex (она же Towelroot), что и дало новой угрозе имя.
Эндрю Брандт сообщает, что специалисты Blue Coat Labs отследили коммуникации вредоноса. Начиная с февраля 2016 года, малварь общается с управляющими серверами посредством HTTP. Эксперты смогли определить, что трафик исходит с 224 Android-устройств различных моделей (смартфонов и планшетов). Все они работают под управлением устаревших версий операционной системы: от 4.0.3 до 4.4.4. Также в ходе лабораторного теста исследователи успешно провели через все стадии заражения планшет Samsung, работающий на базе Cyanogenmod (Android 4.2.2).
Эксперты отмечают, что избавиться от Cyber.Police несложно – достаточно произвести полный сброс устройства к заводским настройкам. При этом предварительно можно подключить пострадавший девайс к компьютеру и скопировать с него все необходимые данные.
Материалы:
Эндрю Брандт https://www.bluecoat.com/security-blog/2016-04-25/android-ex...
Futex (она же Towelroot) http://blog.nativeflow.com/the-futex-vulnerability
Hacking Team http://pikabu.ru/story/khaker_v_podrobnostyakh_rasskazal_kak... и http://pikabu.ru/story/glava_hacking_team_obvinil_smi_vo_lzh...