Автор
CAIIIKA
в Жизнь «Лаборатории Касперского»
-
Похожий контент
-
Автор KL FC Bot
Разработчики вредоносных программ для Android должны последовательно решить несколько проблем: обмануть пользователя и проникнуть в смартфон, уберечься от защитного ПО, уговорить жертву дать им различные системные разрешения, защититься от штатных оптимизаторов батареи, убивающих лишние приложения, а после всего этого еще и сделать что-то прибыльное для своих хозяев. Авторы недавно обнаруженной нашими экспертами кампании, получившей название BeatBanker, придумали нечто новое на каждом из этих шагов. Атака (пока) нацелена на бразильских пользователей, но амбиции разработчиков наверняка подтолкнут их к международной экспансии, поэтому стоит оставаться настороже и изучить трюки злоумышленников. Полный технический анализ кампании вы можете найти на Securelist.
Как BeatBanker проникает в смартфон
Зловред распространяют через специально созданные фишинговые страницы, имитирующие магазин Google Play. На странице, трудноотличимой от страницы официального магазина, можно скачать полезное на вид приложение. В одной кампании троян маскировался под официальное приложение для получения госуслуг в Бразилии, INSS Reembolso, в другой — под приложение Starlink.
Вредоносный сайт cupomgratisfood{.}shop имитирует магазин приложений. Непонятно только, почему поддельный INSS Reembolso присутствует аж трижды — чтобы наверняка?
View the full article
-
Автор KL FC Bot
В феврале 2026 года компания Oversecured опубликовала отчет, после которого хочется стереть все с телефона и уйти в лес. Исследователи проверили десять популярных Android-приложений для психического здоровья — трекеры настроения, ИИ-терапевты, инструменты для борьбы с депрессией и тревожностью — и нашли в них 1575 уязвимостей. Пятьдесят четыре из них оказались критическими. При этом, судя по количеству установок из Google Play, суммарно этими приложениями может пользоваться до 15 миллионов человек. Но самое неприятное — шесть из десяти проверенных приложений клятвенно обещали, что данные пользователей зашифрованы и надежно защищены.
Разбираемся в скандальной «утечке мозгов»: что именно может утечь, как именно это происходит и почему «анонимность» в таких сервисах — чаще всего маркетинговый миф.
Что нашли в приложениях
Oversecured — компания, которая занимается безопасностью мобильных приложений. Ее сканер проверяет APK-файлы на известные паттерны уязвимостей по десяткам категорий. В январе 2026 года исследователи прогнали через сканер десять приложений для контроля психического здоровья из Google Play — и получили впечатляющую картину.
Тип приложения Всего установок Уязвимости по степени риска Высокий Средний Низкий Всего Трекер настроения и привычек 10+ млн 1 147 189 337 Чат-бот для психотерапии с использованием ИИ 1+ млн 23 63 169 255 Платформа для эмоционального здоровья с использованием ИИ 1+ млн 13 124 78 215 Трекер самочувствия 500+ тыс. 7 31 173 211 Приложение для мониторинга депрессии 100+ тыс. 0 66 91 157 Приложение контроля тревожности на основе когнитивно-поведенческой терапии (КПТ) 500+ тыс. 3 45 62 110 Приложение онлайн-сообщества для психотерапии 1+ млн 7 20 71 98 Приложение самопомощи при тревожности и фобиях 50+ тыс. 0 15 54 69 Приложение для управления стрессом в армии 50+ тыс. 0 12 50 62 Чат-бот для когнитивно-поведенческой терапии (КПТ) с использованием ИИ 500+ тыс. 0 15 46 61 Всего 14,7+ млн 54 538 983 1575 Таблица уязвимостей в десяти протестированных приложениях для контроля психического здоровья. Источник
View the full article
-
Автор KL FC Bot
В 2022 году в нашем блоге мы подробно описали метод атаки под названием «Браузер в браузере» (browser-in-the-browser), разработанный исследователем кибербезопасности под ником mr.d0x. Тогда примеров реализации этой модели «в дикой природе» не было. Однако четыре года спустя атаки «браузер в браузере» перестали быть теорией — злоумышленники уже активно используют их на практике. В этом посте еще раз разберем, что собой представляет атака browser-in-the-browser, покажем, как злоумышленники ее применяют, и, главное, объясним, как не стать жертвой.
Что такое атака «Браузер в браузере» (browser-in-the-browser, BitB)
Для начала давайте вспомним, что же придумал mr.d0x. Сама идея атаки основывалась на его наблюдении продвинутости современных средств построения веб-страниц — HTML, CSS, JavaScript и других. Собственно, это наблюдение натолкнуло исследователя на идею создания замысловатой модели фишинга.
Атака «Браузер в браузере» — это разновидность фишинга, которая предполагает правдоподобную подделку окна входа с использованием известных сервисов — Microsoft, Google, Facebook* или Apple — на мошеннических сайтах посредством веб-дизайна. По задумке исследователя злоумышленник создает правдоподобно выглядящий сайт, на который заманивает своих жертв. При этом действия — оставлять комментарии, совершать покупки и так далее — на ресурсе могут совершать только авторизованные пользователи.
Авторизоваться на сайте совершенно не сложно — достаточно нажать на кнопку «Войти с помощью {название популярного сервиса}». Вот тут и начинается самое интересное: после нажатия кнопки перед пользователем вместо настоящей страницы аутентификации в легитимном сервисе появляется нарисованная внутри мошеннического сайта форма, которая выглядит как… всплывающее окно браузера. При этом в адресной строке этого всплывающего окна — также нарисованной злоумышленниками — отображается совершенно легитимный адрес, и даже внимательное его изучение не позволит распознать подвох.
Дальше доверчивый пользователь вводит в нарисованное окно свои учетные данные от того сервиса, с помощью которого он хотел аутентифицироваться, — Microsoft, Google, Facebook* или Apple, — и они, в свою очередь, отправляются прямиком к преступнику. Некоторое время подобная схема оставалась только теоретическим экспериментом исследователя кибербезопасности. Однако теперь ее на вооружение взяли настоящие преступники.
View the full article
-
Автор KL FC Bot
Можно ли заразить компьютер вредоносным ПО, просто обрабатывая фотографии? Особенно если это «Мак», который многие до сих пор считают устойчивым к зловредам? Как выясняется, можно — если пользоваться уязвимой версией приложения ExifTool или многочисленных приложений на его основе. Это популярнейшее решение с открытым исходным кодом (open source) для чтения, редактирования и записи метаданных в изображениях используется фотографами и специалистами фотоархивов, применяется в аналитике, криминалистических экспертизах и журналистских расследованиях.
Наши эксперты GReAT обнаружили в нем уязвимость CVE-2026-3102, которая проявляется при обработке вредоносного файла изображения (например, PNG), содержащего в метаданных команды оболочки. При обработке такого файла с помощью ExifTool на macOS команда срабатывает, и на компьютере выполняются действия, задуманные злоумышленником, — например, загрузка и запуск вредоносного ПО с внешнего сервера. Мы расскажем, как это возможно, порекомендуем способы защиты и объясним, как проверить свой компьютер на уязвимость.
Что такое ExifTool
Бесплатное приложение с открытым исходным кодом ExifTool решает узкую, но важную задачу. Оно извлекает из файлов метаданные и позволяет обрабатывать эти данные и сами файлы. Метаданные — это сопроводительная информация, зашитая в большинстве современных форматов файлов. Например, у музыкального трека метаданными будут имя исполнителя и название песни, жанр, год выпуска, фото обложки альбома. Для фотографий метаданные — это дата, время и географические координаты съемки, использованные настройки светочувствительности и затвора, модель и производитель камеры. У офисных документов в метаданных хранятся имя автора, продолжительность редактирования, название и дата создания документа.
View the full article
-
Автор KL FC Bot
В прошлом материале мы показывали на практическом примере, как атрибуция угрозы помогает в расследовании инцидентов, а также рассказывали о нашем движке Kaspersky Threat Attribution Engine (KTAE), позволяющем создать взвешенное предположение о принадлежности образца зловреда конкретной группировке. Для демонстрации мы использовали наш облачный инструмент Kaspersky Threat Intelligence Portal, который в составе комплексного сервиса «Анализ угроз», наряду с «песочницей» и дополнительным инструментом поиска похожих файлов (без вынесения вердикта об атрибуции), предоставляет доступ и к KTAE. Преимущество облачного сервиса очевидно — для его использования не нужно выделять оборудование, устанавливать и администрировать какой-либо софт. Но, как показывает практика, облачный вариант инструмента атрибуции подходит не всем.
Во-первых, есть организации, которые в силу регуляторных ограничений не допускают выход какой-либо информации за пределы периметра организации. ИБ-аналитики таких организаций не могут позволить себе загружать какие-либо файлы в сторонний сервис. Во-вторых, в некоторых компаниях работают настоящие исследователи киберугроз, которым необходим более гибкий инструмент, позволяющий работать не только с предоставляемой «Лабораторией Касперского» информацией об угрозах, но и с собственными данными. Поэтому наш KTAE доступен в двух вариантах — облачном и в виде поставки для локального развертывания.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти