Более 50 приложений в Google Play содержали малварь GhostTeam - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Более 50 приложений в Google Play содержали малварь GhostTeam - «Новости»

Специалисты компаний Trend Micro и Avast обнаружили в официальном каталоге приложений Google Play семейство малвари GhostTeam, похищающее учетные данные от аккаунтов Facebook и демонстрирующее своим жертвам рекламу. Вредоносные приложения начали появляться в Google Play еще в апреле 2017 года, но были обнаружены лишь недавно. Полный список можно найти здесь. Страницу загрузки одного из опасных приложений можно увидеть ниже, оно было загружено 100-500 тысяч раз.


Более 50 приложений в Google Play содержали малварь GhostTeam - «Новости»


GhostTeam был обнаружен в составе более чем 50 различных приложений, это были сканеры QR-кодов, фонарики, компасы, «чистильщики», а также развлекательные решения и даже приложения для загрузки видео. Как это и бывает чаще всего, сами приложения не содержали вредоносного кода (иначе путь в Google Play был бы для них закрыт). Вместо этого, уже после установки приложения, малварь проверяла, не работает ли она в изолированном окружении, и лишь потом загружала с удаленного сервера вредоносный пейлоад. Затем GhostTeam запрашивал у пользователя права администратора, а получив их, закреплялся в системе и начинал работать.


Исследователи рассказывают, что помимо отображения огромного количества рекламы GhostTeam собирал самые разные данные о зараженном устройстве, включая параметры дисплея, уникальный ID, данные о местоположении и системном языке.


К тому же, как только жертва запускала приложение Facebook, вредонос немедленно сообщал ей о необходимости повторной верификации аккаунта. Для этого GhostTeam задействовал не обычный фишинговый оверлей, но запускал WebView или WebChromeClient, в сущности, похищая учетные данные с реальной страницы логина социальной сети. Настоящая страница логина, запущенная таким образом, комплектовалась вредоносным jаvascript, который и воровал логины и пароли, отправляя их на удаленный сервер злоумышленников. Так как все операции осуществлялись посредством легитимных компонентов Android, на настоящем Facebook, мобильные защитные решения не замечали в действиях GhostTeam ничего подозрительного.


Аналитики считают, что похищенные учетные данные использовались злоумышленниками для продвижения различных постов в Facebook. Собрав достаточное количество скомпрометированных аккаунтов, преступники могли создать свою небольшую «зомби армию», к примеру, распространявшую фальшивые новости или малварь. Также не стоит забывать о том, что взломанные аккаунты можно попросту продать на черном рынке.


По мнению исследователей, малварь была создана вьетнамским разработчиком. Дело в том, что все вредоносные приложения по умолчанию предлагались именно на этом языке, их описания часто  были выполнены на вьетнамском, а также на вьетнамском IP-адресе располагался управляющий сервер преступников. Невзирая на этот факт, от GhostTeam пострадали пользователи в самых разных странах мира, включая Индию, Индонезию и Бразилию, на которые пришлось более 60% заражений.





Хотя все опасные приложения уже были удалены из Google Play, ИБ-специалисты советуют пользователям свериться со списком вредоносных приложений и, если понадобится, не только удалить малварь с устройства, но и немедленно поменять учетные данные для Facebook и подключить двухфакторную аутентификацию.


Источник новостиgoogle.com

Специалисты компаний Trend Micro и Avast обнаружили в официальном каталоге приложений Google Play семейство малвари GhostTeam, похищающее учетные данные от аккаунтов Facebook и демонстрирующее своим жертвам рекламу. Вредоносные приложения начали появляться в Google Play еще в апреле 2017 года, но были обнаружены лишь недавно. Полный список можно найти здесь. Страницу загрузки одного из опасных приложений можно увидеть ниже, оно было загружено 100-500 тысяч раз. GhostTeam был обнаружен в составе более чем 50 различных приложений, это были сканеры QR-кодов, фонарики, компасы, «чистильщики», а также развлекательные решения и даже приложения для загрузки видео. Как это и бывает чаще всего, сами приложения не содержали вредоносного кода (иначе путь в Google Play был бы для них закрыт). Вместо этого, уже после установки приложения, малварь проверяла, не работает ли она в изолированном окружении, и лишь потом загружала с удаленного сервера вредоносный пейлоад. Затем GhostTeam запрашивал у пользователя права администратора, а получив их, закреплялся в системе и начинал работать. Исследователи рассказывают, что помимо отображения огромного количества рекламы GhostTeam собирал самые разные данные о зараженном устройстве, включая параметры дисплея, уникальный ID, данные о местоположении и системном языке. К тому же, как только жертва запускала приложение Facebook, вредонос немедленно сообщал ей о необходимости повторной верификации аккаунта. Для этого GhostTeam задействовал не обычный фишинговый оверлей, но запускал WebView или WebChromeClient, в сущности, похищая учетные данные с реальной страницы логина социальной сети. Настоящая страница логина, запущенная таким образом, комплектовалась вредоносным j

0

Смотрите также

А что там на главной? )))



Комментарии )))