232.06
Rating
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир
1 February 2018

SecurityWeek 2: армия клонов, Google охотится на привидений, Blizzard патчится

«Лаборатория Касперского» corporate blogInformation Security
Новость
Судьба зловреда Exobot, с помощью которого злоумышленники добывали данные банковских карт пользователей еще с 2013 года, сложилась интереснее, чем у большинства подобных троянов — но весьма проблематично для экспертов безопасности. Авторы бота охотно сдавали его в аренду на любой срок, причем сервис оказался столь успешен коммерчески, что появилась даже вторая версия, переработанная практически с нуля. Что характерно, заказчики могли по своему желанию модифицировать троян с помощью контрольной панели, выбирая нужные им функции. Практически фабрика клонов со спецификациями на любой вкус.

А в прошедшем декабре организаторы этого центра клонирования во всеуслышание заявили, что собираются продать исходный код ограниченному кругу покупателей. Якобы они уже срубили с Exobot достаточно и выходят из бизнеса. Заявление звучит не очень логично, но может быть отчасти правдой: если им удалось сорвать большой куш, теперь добыча и собственная свобода перевешивают возможные выгоды. Но скорее всего, операторы Exobot постарались таким образом замаскировать желание уйти в тень и скрыться от пристального внимания. Как бы то ни было, после первых же продаж неприятности не заставили себя ждать: зловред пошел в серию.

Менее чем через месяц были запущены новые масштабные кампании с использованием Exobot в Австрии, Англии, Нидерландах и Турции — очевидно, счастливые владельцы поспешили использовать своих «клонов» по назначению. Сильнее всего пострадали турецкие пользователи: за счет особенно удачных дропперов на Google Play только один турецкий ботнет довел счет зараженных устройств почти до 4,5 тысяч.

Вполне можно ожидать, что в ближайшее время кто-нибудь из новых владельцев сольет код зловреда в свободный доступ. Так уже неоднократно случалось с банковскими троянами. Это значит, что свежеопубликованный код попытаются использовать все кому не лень, в том числе грубо и неумело. По всей видимости, вскоре мы сможем полюбоваться на коллекцию вариаций Exobot разной степени глючности.

Who you gonna call? Ghostbusters!


Новость

Google продолжает героически расчищать свой магазин от угроз разного рода: недавно оттуда удалили еще 53 вредоносных приложения. В них был встроен зловред, показывавший несанкционированную рекламу, чтобы заработать своим создателям денюжку за счет кликов, а на закуску крал у пользователей пароли Facebook. Псевдоним его создатели взяли себе достаточно громкий — GhostTeam. По крайней мере, именно такое словосочетание обнаружилось в коде зловреда.

Для загрузки зловред использовал мэйнстримовскую технику с трояном-дроппером и фальшивыми уведомлениями безопасности для установки дополнительного приложения с админскими привилегиями. А вот дальше начиналось интересное. Правда, к основной рекламной функции это интересное не относится — она как раз тоже была реализована самым обычным образом. Зато добыча логинов и паролей производилась изящно. Как правило, такого рода зловреды демонстрируют поверх приложения соцсети фальшивый экран с полями для логина. Но GhostTeam поступал иначе: засекал, когда пользователь входит в Facebook, и открывал настоящую веб-страницу для ввода учетных данных, но не через браузер, а через встроенный в операционную систему компонент для просмотра веб-страниц, например WebView или WebChromeClient. Разумеется, с определенными модификациями, которые заодно со страницей загружали вредоносные Java-скрипты, которые и крали учетные данные.

Поскольку операция выполняется на настоящей странице Facebook настоящими компонентами Android, большая часть защитного ПО ничего криминального не засекает.

Из Google Play уже удалили большинство приложений, которые загружались с GhostTeam в довесок. Большинство из них — фонарики, сканеры QR-кода, чистящие утилиты и тому подобное барахло. Как показала статистика, больше всего вредоносных загрузок было сделано индийскими пользователями, хотя происходит зловред, скорее всего, из солнечного Вьетнама.

DNS-косплей


Новость на русском, подробности на английском

Как выяснили в декабре исследователи безопасности, в агенте обновлений для всех близардовских игрушек была уязвимость, которая при должной изобретательности позволяла отдавать ему приказы по загрузке и установке библиотек, файлов данных и т. д. Учитывая, что пользователей у Blizzard 500 миллионов, а без агента невозможно установить обновления игрушек, в случае чего полыхнуть могло неслабо. К счастью, брешь нашли ИБ-эксперты, а не киберпреступники: по крайней мере, информации о том, что кто-то реально ее использовал, на данный момент нет.

Агент был уязвим к атакам типа DNS Rebinding из-за несовершенства механизма аутентификации: грубо говоря, вредоносный сервер мог прикинуться мостом между клиентом и сервером обновлений. В целом инженеры Blizzard достаточно быстро разобрались с проблемой и выкатили эффективное решение, а также заверили всех в том, что пользователям делать ничего не надо, обновление их агентов установится автоматически.

Древности


Yale

Очень опасный вирус. Инфицирует диски только при «теплой» перезагрузке, записывая себя в Вооt-сектор диска А:. Первоначальный Boot-ceктop сохраняет в секторе 0/39/8 (сторона/трек/сектор). Никаких проверок при этом не делает. Перехватывает int 9 и int 13h.3.4

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Tags:exobotgoogleplayblizzardкритическая уязвимостьdns rebindingandroid
Hubs: «Лаборатория Касперского» corporate blog Information Security
+20
5.1k 9
Leave a comment
Security Researcher
Лаборатория КасперскогоМосква
Senior Security Researcher
Лаборатория КасперскогоМосква
C++ Mobile Developer
Лаборатория КасперскогоМосква
Application Security Specialist
Лаборатория КасперскогоМосква
Expert (Consulting, Security Services)
Лаборатория КасперскогоМосква
Top of the last 24 hours
Information
Founded

21 August 1997

Location

Россия

Employees

1,001–5,000 employees

Registered

9 August 2008