Форум Протвино


Яндекс.Метрика

Написать Админу: protvino-forum@mail.ru
 
Вернуться   Форум города Протвино > Протвино - техника > Домашний ПК
Регистрация Справка Пользователи Календарь Поиск Сообщения за день Все разделы прочитаны

Домашний ПК Модернизация. Оптимизация. программы.

Ответ
 
Опции темы Опции просмотра
  #1  
Старый 26.08.2022, 17:34
Аватар для Владимир Аникеев
Владимир Аникеев Владимир Аникеев вне форума
ce est moi
(офицер)
 
Регистрация: 11.06.2008
Сообщения: 4,713
Вес репутации: 3476
Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть
обнаружение бэкдоров в системном разделе ряда бюджетных моделей Android-смартфонов


23.08.2022
Компания «Доктор Веб» сообщила об обнаружении бэкдоров в системном разделе ряда бюджетных моделей Android-смартфонов, которые являются подделками устройств известных брендов. Эти троянцы нацелены на выполнение произвольного кода в мессенджерах WhatsApp и WhatsApp Business и потенциально могут использоваться в различных сценариях атак, включая перехват чатов и кражу содержащейся в них конфиденциальной информации, организацию спам-рассылок, а также разнообразные мошеннические схемы. Кроме того, для данных устройств производители заявляют о современной и безопасной версии ОС Android, но в действительности на них установлена сильно устаревшая версия с многочисленными уязвимостями.

Цитата:
В июле, сообщают в «Доктор Веб», в вирусную лабораторию компании обратилось сразу несколько пользователей с жалобами на подозрительную активность на их Android-смартфонах. В частности, антивирус Dr.Web фиксировал изменение системной области памяти, а также появление одинаковых во всех случаях вредоносных приложений в системном разделе. Отмеченные инциденты объединяет то, что атакованные устройства являются копиями моделей известных брендов. Кроме того, вместо одной из актуальных версий ОС, информация о которой показывается в сведениях об устройстве (например, Android 10), на них установлена давно устаревшая версия 4.4.2.

Затронутыми оказались как минимум четыре модели смартфонов: P48pro, radmi note 8, Note30u, Mate40. Их названия созвучны названиям ряда моделей известных производителей. Вкупе с ложными сведениями об установленной версии ОС это фактически позволяет рассматривать данные устройства как подделки.

Антивирус Dr.Web с помощью функции контроля целостности системного раздела и отслеживания изменений файлов в нем зафиксировал изменения следующих объектов: /system/lib/libcutils.so и /system/lib/libmtd.so. libcutils.so – это системная библиотека, которая сама по себе не представляет опасности, однако она была модифицирована таким образом, что при ее использовании любой программой происходит запуск трояна из файла libmtd.so. Измененная версия данной библиотеки детектируется антивирусом Dr.Web как Android.BackDoor.3105.

Троянская библиотека libmtd.so получила по классификации компании «Доктор Веб» имя Android.BackDoor.3104. Выполняемые ей действия зависят от того, какое приложение использует библиотеку libcutils.so (то есть какое из них фактически привело к запуску бэкдора через нее). Если это были приложения WhatsApp и WhatsApp Business, а также системные программы «Настройки» и «Телефон», Android.BackDoor.3104 переходит ко второй стадии заражения. Для этого троянец копирует в каталог соответствующего приложения другой бэкдор (добавлен в вирусную базу Dr.Web как Android.Backdoor.854.origin), который затем запускает. Основная функция этого компонента – загрузка и установка дополнительных вредоносных модулей.

Для загрузки модулей Android.Backdoor.854.origin подключается к одному из нескольких управляющих серверов, передавая в запросе определенный массив технических данных об устройстве. В ответ сервер направляет троянцу список плагинов, которые тот загружает, расшифровывает и запускает. Обнаруженные вредоносные программы и скачиваемые ими модули функционируют таким образом, что фактически становятся частью целевых приложений. В результате они получают доступ к файлам атакуемых программ и могут читать переписку, осуществлять спам-рассылки, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия, в зависимости от функциональности загружаемых модулей.

Если же в запуске троянца участвовало системное приложение wpa_supplicant (оно управляет беспроводным соединением), то Android.BackDoor.3104 запускает локальный сервер. Он позволяет удаленному или локальному клиенту подключаться и работать в консольной программе mysh, которая предварительно должна быть установлена на устройство или изначально присутствовать в его прошивке.

Как считают в «Доктор Веб», наиболее вероятным источником появления вредоносных приложений в системном разделе атакованных устройств мог выступать представитель известного семейства троянцев Android.FakeUpdates. Злоумышленники встраивают их в различные системные компоненты – программу обновления прошивки, приложение настроек или компонент, отвечающий за графический интерфейс системы. В процессе работы они выполняют разнообразные Lua-скрипты, с помощью которых, в частности, способны загружать и устанавливать другое ПО. Именно такая троянская программа Android.FakeUpdates.1.origin – была выявлена на одном из целевых смартфонов.
А Балда приговаривал с укоризной:
«Не гонялся бы ты, поп, за дешевизной».
(с)
__________________
Бритва Хэнлона: Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью.
(англ. Hanlon's Razor «Never attribute to malice that which can be adequately explained by stupidity»).
Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Праздники сегодня

 

Реклама на форуме

 

 
Часовой пояс GMT +3, время: 16:09.


vBulletin v3.6.2, Copyright ©2000-2022, Jelsoft Enterprises Ltd.
Русский перевод: zCarot, Vovan & Co
Администрация форума не несет ответственности за содержание сообщений на форуме.