Сотрудники Google выявили в общей сложности 20 приложений, инфицированных Lipizzan.

Специалисты команды безопасности Google обнаружили новое мощное вредоносное ПО для Android, предназначенное для шпионажа. По данным экспертов, вредонос, получивший название Lipizzan, разработан израильской компанией Equus Technologies. Согласно профилю компании в LinkedIn, она специализируется на создании «индивидуальных инновационных решений для правоохранительных органов, разведслужб и организаций по обеспечению национальной безопасности».

Сотрудники Google выявили в общей сложности 20 приложений, инфицированных Lipizzan, некоторые из них были доступны через официальный интернет-каталог Google Play Store.

Зараженные приложения используют двухэтапный процесс для обхода проверок системы защиты Google Bouncer. Программы содержат легитимный код, который Google Bouncer не детектирует как вредоносный, но, оказавшись на устройстве жертвы, Lipizzan загружает дополнительный модуль под видом процесса проверки лицензии. В действительности этот модуль сканирует данные, содержащиеся на устройстве, и если гаджет проходит проверку, компонент получает права суперпользователя с помощью различных эксплоитов.

Lipizzan может осуществлять запись телефонных звонков и VoIP разговоров, делать скриншоты, использовать камеру устройства для съемки фотографий, собирать информацию о гаджете и пользователе (контакты, журнал звонков, SMS-сообщения и пр.), а также извлекать данные из ряда приложений, в том числе Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber и WhatsApp.

В настоящее время неизвестно, кто является оператором вредоносного ПО, и с какой целью инфицированные приложения были загружены в Google Play Store.

Подробнее: http://www.securitylab.ru/news/487504.php

Исследователи из компании Zscaler обнаружили новый вариант вымогательского ПО для Android, который может уклоняться от обнаружения мобильными антивирусами. В настоящее время вредонос ориентирован на русскоязычных пользователей и, по словам экспертов, лишен функционала дешифрования. То есть, жертвы вымогателя не смогут разблокировать свои мобильные устройства и восстановить данные даже в случае выплаты выкупа.

Дистрибуция вымогательского ПО происходит через сторонние магазины приложений. Операторы вредоносной программы используют распространенный среди преступников метод - маскируют вредоносные приложения под популярные в Google Play Store программы.

После установки на системе вредоносное приложение ожидает четыре часа и затем начинает отображать всплывающие сообщения, запрашивающие права администратора. Даже если пользователь закроет уведомление, оно будет появляться до тех пор, пока вредоносная программа не получит требуемое. Далее вредонос блокирует экран устройства и отображает с сообщение о том, что данные пользователя зашифрованы и для их восстановления требуется заплатить выкуп в размере 500 рублей. Кроме того, в уведомлении содержится угроза отправить SMS-сообщение компрометирующего характера всем контактам жертвы, если требуемая сумма не будет выплачена.

По словам специалистов Zscaler, в процессе анализа исходного кода вредоноса они не обнаружили функции, отвечающие за проверку транзакций или отправку SMS-сообщений. Как полагают эксперты, вымогателю удается обойти антивирусы благодаря использованию качественно обфусцированного кода и техники Java Reflection для его исполнения. Кроме того, четырехчасовое «окно» позволяет вредоносу избежать обнаружения антивирусными решениями, полагающимися на динамический анализ.

EN S: https://www.zscaler.com/blogs/research/new-android-ransomwar...

Вредоносное ПО, примененное в недавних кибератаках на польские банки, содержит подложные доказательства, указывающее на то, что атаки были осуществлены якобы русскоговорящими хакерами. К такому выводу пришли эксперты компании BAE Systems Сергей Шевченко и Адриан Ниш (Adrian Nish) по итогам анализа.

Исследованный специалистами образец вредоносного ПО содержал большое количество исковерканных русских слов, которые никогда не используются нативными носителями русского языка. Как показал анализ, вирусописатели использовали сервисы online-перевода, такие как Google Translate, для перевода слов с английского на русский. По словам Шевченко, тот, кто переводил текст, никогда не имел дела с русским языком, поэтому не обратил внимания на разницу в фонетическом написании.

В частности, при переводе английского слова «client» вирусописатель использовал его фонетическое написание («kliyent»), вместо «client» или «klient». Кроме того, команды также переводились с помощью online-переводчиков. Например, команда «установить» была написана как «ustanavlivat», команда «выйти» как «vykhodit» и так далее.

Подобные ошибки были обнаружены не только во вредоносном ПО, но и в кастомном эксплоит-ките, использовавшемся для доставки вредоноса на компьютеры жертв.

В начале февраля текущего года стало известно о масштабной кибератаке на финансовый сектор Польши, в результате которой пострадали порядка 20 коммерческих банков страны. Несколько дней спустя специалисты Symantec сообщили о волне кибератак, направленных на организации по всему миру, в том числе польские банки. Как полагают эксперты, методы и инструменты, используемые в атаках, имеют сходные характеристики с кибергруппировкой Lazarus, подозреваемой в атаках на финансовую систему SWIFT.