Перейти к содержанию

SparkCat — первый троян-стилер, пробравшийся в App Store | Блог Касперского


Рекомендуемые сообщения

В галерее вашего смартфона почти наверняка найдется важная информация, сфотографированная для надежности и удобства — например, фото документов, банковских договоров или сид-фраз, позволяющих восстановить доступ к криптокошелькам. Все эти данные могут быть украдены вредоносным приложением, подобным обнаруженному нами стилеру SparkCat. В текущей конфигурации этот зловред обучен красть данные криптокошельков, но с другими настройками он может мгновенно перейти к краже любой другой ценной информации.

Самое неприятное — этот зловред пробрался в официальные магазины приложений, и только из Google Play зараженные им аппы суммарно загрузили почти 250 тысяч раз. И если в Google Play вредоносные приложения не единожды обнаруживались и до этого, то в App Store троян-стилер обнаружен впервые. Как же устроена эта угроза и что сделать для защиты?

Довесок к легитимным приложениям

Приложения, содержащие вредоносные компоненты SparkCat, делятся на две группы. Некоторые из них — например, многочисленные схожие мессенджеры с заявленными функциями ИИ от одного и того же разработчика — очевидно, опубликованы сугубо как приманка. Но есть и другие — легитимные приложения сервисов доставки еды, чтения новостей, утилиты для владельцев криптокошельков. Как в них появилась троянская функциональность, мы не знаем. Возможно, это была атака на цепочку поставок, при которой был заражен один из вспомогательных компонентов — «кирпичиков», из которых собрано готовое приложение, или же разработчики намеренно встраивали трояна в свои приложения.

Зараженное SparkCat-приложение ComeCome в Google Play и App Store

Первое приложение, в котором мы обнаружили SparkCat — это сервис для доставки еды в ОАЭ и Индонезии под названием ComeCome. Зараженное приложение было обнаружено как в Google Play, так и в App Store

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Ваши снимки — это буквально ключи к личной жизни. В галерее мы храним планы на будущее, собственные финансовые секреты, фотографии котиков, а порой даже то, чем нельзя делиться ни с кем. Но как часто вы задумываетесь о защите своих снимков? Надеемся, что после истории с кроссплатформенным трояном-стилером SparkCat — чаще обычного.
      Мы обнаружили младшего брата этой угрозы. Троян ласково назвали SparkKitty. Но не обольщайтесь, за милым названием скрывается шпион, который, как и его старший брат, нацелен на кражу фотографий со смартфонов жертв. В чем особенности этой угрозы и почему ей нужно уделить внимание владельцам Android и iPhone?
      Как SparkKitty попадает на устройства
      Стилер распространяется двумя способами: в дикой природе — то есть на безымянных просторах Интернета, и в официальных магазинах приложений — App Store и Google Play. Обо всем по порядку.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Если вы активно пользуетесь криптовалютой, но все еще качаете торренты и не представляете, как безопасно хранить сид-фразы, то у нас для вас плохие новости. Мы обнаружили новый троян Efimer, который подменяет адреса криптокошельков прямо в буфере обмена. Один клик — и деньги оказываются в кошельке злоумышленников.
      Рассказываем, что нужно сделать, чтобы ваша крипта оставалась в безопасности.
      Как распространяется Efimer
      Один из каналов распространения Efimer — сайты в системе WordPress. Ко всеобщему несчастью, WordPress — бесплатная и самая популярная система для управления веб-сайтами. Ею пользуются все: небольшие блогеры и бизнесы, крупные СМИ и корпорации. Злоумышленники взламывают плохо защищенные сайты и публикуют на них посты с зараженными торрентами.
      Как выглядит взломанный сайт на WordPress с Efimer
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      В современном мире постоянно оставаться онлайн — не просто привычка, а насущная потребность. Мы привыкли делиться фото с морских берегов в соцсетях, держать связь с близкими из другого часового пояса и решать рабочие вопросы из любой точки мира. Все это возможно, если в смартфоне надежный Интернет.
      Долгое время главными барьерами к беззаботной связи за границей оставались стоимость роуминга и сложности с физическими SIM-картами, которые надо было искать, покупать, активировать, менять и для которых нужно было находить варианты пополнения, — с риском потерять родную SIM-карту. С изобретением eSIM (встроенных цифровых SIM-карт), поддерживаемых большинством современных смартфонов, возня с физическими «симками» осталась в прошлом, но по-прежнему приходилось искать подходящую для нужного региона одноразовую eSIM и для каждой поездки делать это заново.  К тому же из-за санкций со стороны международных платежных систем российские пользователи вынуждены были искать нетривиальные способы оплаты eSIM зарубежных операторов, что жизнь тоже не упрощало.
      Новый Kaspersky eSIM Store меняет подход к мобильному Интернету, предоставляя простой способ найти, оплатить и активировать доступные тарифные планы от местных операторов связи по всему миру. При этом вам не придется каждый раз приобретать и активировать новую eSIM — установив ее один раз, вы можете пользоваться ею сколь угодно долго, подключая к ней тарифные планы для разных регионов с нужным вам объемом трафика через удобное приложение или веб-сайт. При этом на бессрочных тарифах оплаченный трафик не «сгорает», а значит, неиспользованные гигабайты останутся у вас до следующей поездки. Но обо всем — подробнее.
      Что такое eSIM
      Для начала давайте вспомним, или узнаем, что такое eSIM (embedded — встроенная — SIM) и чем она отличается от обычных физических SIM-карт.
      Во всех мобильных телефонах есть один или несколько слотов для мини-, микро- или нано-SIM. Этот кусочек пластика с контактами и чипом — по сути дела, микрокомпьютер — хранит ключи идентификации для GSM-сети, по которым сеть определяет абонента. Также на «симке» могут храниться ваши контакты, SMS-ки, списки входящих/исходящих/пропущенных вызовов и предустановленные приложения оператора связи. Но объем памяти SIM-карт обычно невелик, поэтому функциональность ее ограничена.
      Но почему бы не извлечь чип из пластика и не установить его непосредственно в телефон? Именно так в 2016 году появился eSIM. Данные, идентифицирующие абонента, теперь не зашиваются в чип SIM-карты при ее производстве, а передаются оператором абоненту в зашифрованном виде и записываются в eSIM на его устройстве. За счет большего объема памяти eSIM может хранить несколько профилей операторов — так в вашем телефоне может поселиться сразу несколько виртуальных «симок».
      Однако это не означает, что все они будут работать одновременно — чаще всего вы можете хранить несколько профилей и переключаться между ними, зато вам не приходится возиться с заменой крошечного куска пластика с риском его потерять. В зависимости от смартфона одновременно могут быть активны один или несколько профилей.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?
      Мотивы перехода на passkeys в компании
      Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:
      Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Современные злоумышленники всеми силами пытаются выдать свою активность за какие-либо нормальные процессы. Они используют легитимные инструменты, организовывают связь между зловредом и серверами управления через публичные сервисы, маскируют запуск вредоносного кода под действия пользователя. С точки зрения традиционных защитных решений такая активность практически незаметна. Однако если анализировать поведение конкретных пользователей или, например, служебных учетных записей, то можно выявить определенные аномалии. Именно в этом и заключается метод выявления киберугроз под названием UEBA — User and Entity Behavior Analytics (поведенческий анализ пользователей и сущностей). И именно он реализован в последней версии нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform.
      Как работает UEBA в рамках SIEM
      Согласно определению, UEBA, или «поведенческий анализ пользователей и сущностей», это технология выявления киберугроз, основанная на анализе поведения пользователей, а также устройств, приложений и иных объектов в информационной системе. В принципе, такая технология может работать в рамках любого защитного решения, однако, на наш взгляд, наиболее эффективно ее использование на уровне SIEM-платформы. Используя машинное обучение для установления «нормального поведения» пользователя или объекта (машины, сервиса и так далее), SIEM-система, оснащенная правилами детектирования UEBA, может анализировать отклонения от типичного поведения. Это, в свою очередь, позволит своевременно обнаруживать APT, целевые атаки и инсайдерские угрозы.
      Именно поэтому мы оснастили нашу SIEM-систему KUMA пакетом правил UEBA, предназначенным для комплексного выявления аномалий в процессах аутентификации, в сетевой активности и при запуске процессов на рабочих станциях и серверах, работающих под управлением Windows. Это позволило сделать систему умнее в плане выявления новых атак, которые сложно обнаружить с помощью обычных правил корреляции, сигнатур или индикаторов компрометации. Каждое правило в пакете правил UEBA основано на профилировании поведения пользователей и объектов. Сами правила делятся на два типа.
      Статистические правила, которые рассчитываются с использованием межквартильного размаха для выявления аномалий на основе данных о текущем поведении. Правила на основе исторических данных, которые фиксируют отклонения от нормального поведения, определяемого путем анализа опыта предыдущей работы учетной записи или объекта. При обнаружении отклонений от исторических норм или статистических ожиданий происходит генерация алертов, а также повышается риск-оценка соответствующего объекта (пользователя или хоста). О том, каким образом наше SIEM-решение использует ИИ для риск-оценки объектов, можно прочитать в одной из прошлых статей.
       
      View the full article
×
×
  • Создать...