Таким образом, по словам Сана, троян убеждается, что установлен на настоящем устройстве, находящемся в руках у пользователя, а не запущен на эмуляторе эксперта по компьютерной безопасности. Так ему удаётся оставаться незамеченным для антивирусов, которые не могут зафиксировать подозрительную активность, и специалистов Google, проверяющих приложения перед добавлением в магазин Google Play.
К столь коварному способу избежать обнаружения, в частности, прибегает банковский троян Anubis. Вирус, активирующийся только при перемещении заражённого устройства, был найден в двух приложениях: в BatterySaverMobi и в конвертере валют Currency Converter. К настоящему моменту обе программы удалены из магазина Google, пишет Ars Technica, однако не исключено, что новым трояном могут быть поражены и другие приложения.
Ранее стало известно, что файловый менеджер ES File Explorer ("ES Проводник"), установленный из магазина Google Play более 500 миллионов раз(!), содержит критическую уязвимость, позволяющую злоумышленнику выкачивать файлы и документы с Android-устройства. Первым об этом сообщил эксперт по кибербезопасности Баптист Робер.
Ошибка обусловлена природой диспетчера: "ES Проводник" запускает на смартфоне вэб-сервер в урезанном виде, что делает его уязвимым к целому ряду атак. По вине открытого порта, сказал Робер, "доступ к данным могут получить все подключённые к локальной сети устройства" (см. видео).
Используя скрипт, исследователь показал, как из менеджера файлов могут быть "вытянуты" изображения, видео, названия программ и файлы на карте памяти. Более того, возможен даже удалённый запуск приложений на Android-устройстве жертвы.
По словам Робера, ошибка допущена в "ES Проводнике" версии 4.1.9.5.2 и ниже. Причём неясно, была ли она исправлена в текущей версии (4.1.9.7.4).
Приглашённый IT-эксперт нашего информационного блога Николай Изнов уже неоднократно отмечал, что Samsung необходимо как можно скорее переходить на собственную мобильную ОС TIZEN, поскольку корпорация портит имидж смартфонов Galaxy из-за ненадёжного ПО от Google, которое является настоящим раем для хакеров и многочисленных спецслужб, следящих за жизнью граждан.
New critical vulnerabilities found in Android OS
Google Play malware used phones’ motion sensors to conceal itself
To elude emulators, banking trojan would trigger only when infected devices moved
Malicious apps hosted in the Google Play market are trying a clever trick to avoid detection—they monitor the motion-sensor input of an infected device before installing a powerful banking trojan to make sure it doesn’t load on emulators researchers use to detect attacks.
The thinking behind the monitoring is that sensors in real end-user devices will record motion as people use them. By contrast, emulators used by security researchers—and possibly Google employees screening apps submitted to Play—are less likely to use sensors. Two Google Play apps recently caught dropping the Anubis banking malware on infected devices would activate the payload only when motion was detected first. Otherwise, the trojan would remain dormant.
Security firm Trend Micro found the motion-activated dropper in two apps—BatterySaverMobi, which had about 5,000 downloads, and Currency Converter, which had an unknown number of downloads. Google removed them once it learned they were malicious.
The motion detection wasn’t the only clever feature of the malicious apps. Once one of the apps installed Anubis on a device, the dropper used requests and responses over Twitter and Telegram to locate the required command and control server.
“Then, it registers with the C&C server and checks for commands with an HTTP POST request,” Trend Micro researcher Kevin Sun wrote. “If the server responds to the app with an APK command and attaches the download URL, then the Anubis payload will be dropped in the background.” The dropper then tried to trick users into installing the app using the fake system update.
Once Anubis was installed, it used a built-in keylogger that can steal users’ account credentials. The malware can also obtain credentials by taking screenshots of the infected users’ screen. Sun continued:
"Our data shows that the latest version of Anubis has been distributed to 93 different countries and targets the users of 377 variations of financial apps to farm account details. We can also see that, if Anubis successfully runs, an attacker would gain access to contact lists as well as location. It would also have the ability to record audio, send SMS messages, make calls, and alter external storage. Anubis can use these permissions to send spam messages to contacts, call numbers from the device, and other malicious activities. Previous research from security company Quick Heal Technologies shows that versions of Anubis even function as a ransomware".
Critical vulnerability in a mobile Android-application ES File Explorer
Quick Description:
Everytime a user is launching ES File Explorer, a HTTP server is started. This server is opening locally the port 59777. An attacker connected on the same local network than the victim, can obtain a lot of juicy information (device info, app installed, ...) about the victim's phone, remotely get a file from the victim's phone and remotely launch an app on the victim's phone.
The invited IT expert of our information blog, Nikolay Iznov, has repeatedly noted that Samsung needs to switch to its own TIZEN mobile OS as soon as possible, since the corporation is spoiling the image of Galaxy smartphones due to unreliable software from Google, which is a paradise for hackers and numerous special services, follow the life of citizens.
