W związku z rosnącą popularnością urządzeń wyposażonych w system Android i co za tym idzie, wzrostem liczby szkodliwych aplikacji, Google uruchomiło usługę Bouncer.
Nowe dziecko Google będzie wykorzystywało dwa mechanizmy w celu określenia, czy dana aplikacja jest szkodliwa, czy też nie jeszcze zanim zostanie opublikowana w Android Market.
Pierwszy z nich to całkowicie zautomatyzowany proces skanowania aplikacji trafiających do sklepu z aplikacjami dla Androida.
Drugi natomiast, to uruchomienie programu w piaskownicy w celu określenia, czy zachowanie danej aplikacji nie jest podejrzane.
W związku z tym, że obydwa procesy będą całkowicie zautomatyzowane, rodzi się pytanie, co w przypadku kiedy Bouncer uzna aplikację „czystą” za malware i nie dopuści jej do Android Market?
Deweloperzy mogą spać spokojnie, ponieważ w takim przypadku program zostanie poddany dodatkowej analizie przez wykwalifikowanych specjalistów.

Miejmy nadzieję, że dzięki nowemu mechanizmowi weryfikującemu aplikacje dostępne Android Market, stanie się on w niedługim czasie mniej atrakcyjny dla twórców szkodliwych aplikacji.

Źródło: Google Mobile Blog

Andrey Sabelnikov, wskazany przez Microsoft jako operator botnetu Kelihos, nie przyznaje się do winy, o czym informuje w swoim wpisie na LiveJournal:

„I did not commit this crime, [have] never participated in the management of botnets [nor] any other similar programs, and especially not extracted from it any benefit,”

Sabelnikov przebywa obecnie w Rosji i tam też będzie sądzony, ponieważ rosyjskie prawo nie przewiduje możliwości ekstradycji swoich obywateli.

Źródło: Infosecurity

We wpisie opublikowanym wczoraj na swoim oficjalnym blogu, firma Microsoft ujawnia kilka „pikantnych” szczegółów na temat operatora botnetu Kelihos – zlikwidowanego w zeszłym roku przez Microsoft przy współpracy z Kaspersky Labs i Kyrus Inc.
Jak wynika z wyżej wymienionego wpisu, 31-letni mieszkaniec St. Petersburga, Andrey N. Sabelnikov, był zatrudniony jako software engineer oraz project manager w jednej z rosyjskich firm odpowiedzialnych za tworzenie oprogramowania zabezpieczającego.
Microsoft nie podaje co prawda nazwy firmy, jednak z informacji, jakie są zawarte na profilu Sabelnikova na portalu LinkedIn, wynika że w latach od 2005 do 2007 pracował on w firmie Agnitum, która jest producentem cenionej na świecie zapory – Outpost Firewall.
Sablenikov pracował również dla firmy Teknavo, która dostarcza oprogramowanie dla firm działających w sektorze usług finansowych.

Źródło: KrebsOnSecurity

Hacker przedstawiający się jako „Yama Tough”, poinformował poprzez serwis Twitter, o tym że w najbliższy wtorek opublikuje pełny kod źródłowy Norton Antivirus:

This coming Tuesday behold the full Norton Antivirus 1,7Gb src, the rest will follow

W zeszłym tygodniu hacker opublikował fragmenty kodu oraz cache wiadomości email. Jak twierdzi Yama Tough, wszystkie dane zostały wykradzione z indyjskich serwerów rządowych.

Źródło: Reuters

Wszyscy chyba otrzymali kiedyś email z Nigerii informujący o możliwości zarobienia milionów dolarów czy otrzymania wynagrodzenia w diamentach w zamian za drobną pomoc. Takie działanie nazywamy „Nigeryjskim szwindlem” albo też „419 scam” (od numeru artykułu w kodeksie karnym Nigerii, dotyczącego tego przestępstwa).
Z pozoru wydaje się to dość niewinne i większość z nas po prostu ignoruje takie wiadomości, jednak kiedy damy się wciągnąć w cała zabawę, może mieć to opłakane skutki, co najlepiej obrazuje historia pochodzącego z Korei Południowej, 65-letniego mężczyzny i jego 30-letniej córki.
Wierząc w treść wiadomości informującej o wygranej dziesiątek milionów dolarów w loterii, wybrali się oni do Afryki Południowej w celu podjęcia pieniędzy z wygranej.
Jednakże wkrótce po dotarciu na miejsce, ojciec, córka oraz kierowca, który odebrał ich z lotniska zostali porwani przez Nigeryjski gang i byli przez nich przetrzymywani przez cztery dni w Meadowlands, Soweto, dopóki nie zostali odbici przez lokalną policję.
Było to możliwe dzięki kierowcy, który zdołał uciec i poinformować odpowiednie służby.
Pomimo że podejrzani zostali zatrzymani, to jednak nie zostaną obciążeni zeznaniami Koreańczyków – byli oni tak upokorzeni, że wkrótce po uwolnieniu udali się w drogę powrotną do Korei bez składania zeznań.

Źródło: Softpedia

Eksperci z Kaspersky Lab odkryli nową złośliwą aplikację atakującą urządzenia wyposażone w system Android.
Nie jest jeszcze do końca jasne w jaki sposób szkodnik się rozprzestrzenia ale pewnym jest, że po infekcji widoczna jest na liście aplikacji gra MADDEN NFL 12:

Plik waży powyżej 5MB i jest to trojan wrzucający do systemu bota IRC, SMS Trojan oraz root exploit.
Tworzy on również katalog ‘/data/data/com.android.bot/files‘ z prawami dostępu ustawionymi na ’777′ (odczyt/zapis/wykonanie dla wszystkich użytkowników) a następnie w utworzonym katalogu umieszcza 3 pliki:

- header01.png (root exploit)
- footer01.png (bot IRC)
- border01.png (trojan SMS)

Następnie nadawane są prawa ’777′ dla pliku header01.png (root exploit) i wywoływane jest wykonanie pliku, po którym pojawia się komunikat: „(0×14) Error – Not registred application”
Jeżeli operacja wywołania exploita powiodła się i urządzenia zostało zrootowane, wówczas szkodanik wykonuje plik footer01.png (bot IRC), który w pierwszej kolejności będzie próbował usunąć katalog ‘etc/sent‘.
Kolejnym krokiem jest ustanowienie właściciela root dla pliku border01.png (trojan SMS) za pomocą komendy ‘chown’, nadanie praw ’644′ dla tego pliku oraz jego instalacja i uruchomienie.
Instalowany w ten sposób trojan jest niewielką modyfikacją znanego już wcześniej szkodnika: ‘Foncy SMS Trojan‘. Podobnie jak poprzednia wersja, tak również i ta używa metody ‘getSimCountryIso‘ w celu zidentyfikowania kraju pochodzenia karty SIM i umożliwienia w ten sposób wysyłania SMS Premium.
Trojan ma również możliwość blokowania wiadomości przychodzących z usług Premium, dzięki czemu ofiara nie jest w stanie rozpoznać aktywności malware w systemie (do czasu otrzymania rachunku).
Największą ciekawostką jest jednak bot IRC – pierwszy jak do tej pory tego typu szkodnik atakujący system Android.
Po instalacji trojana, bot łączy się z serwerem IRC 199.68.*.* (był on niedostępny w trakcie analizy malware) na kanale ‘#andros‘ z losowo wygenerowaną nazwą użytkownika. Po połączeniu z serwerem bot jest w stanie odbierać komendy i wykonywać je na zainfekowanym urządzeniu.
Dzięki kilku modułom wchodzącym a skład tego malware, przestępcy mogą uzyskać niemal nieograniczoną kontrolę nad zainfekowanym systemem.

Złośliwa aplikacja została sklasyfikowana i jest rozpoznawana przez produkty Kaspersky Lab jako:

- Trojan-Dropper.AndroidOS.Foncy.a
- Exploit.Linux.Lotoor.ac
- Backdoor.Linux.Foncy.a
- Trojan-SMS.AndroidOS.Foncy.a

Źródło: Kaspersky Lab

Twórcy trojana Sykipot, w jego nowej wersji obrali sobie za cel użytkowników czytników kart chipowych dostarczanych przez ActivIdentity – firmę oferującą oprogramowanie autoryzujące dla m.in. agencji rządowych oraz dużych korporacji na całym świecie.

Badacze z Alienvault Labs potwierdzają, że nowy wariant backdoora pochodzi z Chin i jako główny cel ataków mogą zostać obrane amerykańskie organizacje rządowe, takie jak Departament Obrony, Departament Bezpieczeństwa Wewnętrznego czy Straż Wybrzeża, gdyż pracownicy tych struktur rządowych używają systemów autoryzacji obsługiwanych przez ActivIdentity.
Schemat działania trojana jest bardzo prosty: wykrada on certyfikaty zlokalizowane na komputerze ofiary (włączając w to karty chipowe) oraz kody PIN, używając w tym celu modułu keyloggera. Zdobyte w ten sposób dane są następnie wykorzystywane do logowania do zasobów zabezpieczonych tymi certyfikatami oraz kartami elektronicznymi.

Źródło: ZDNet

Początek nowego roku nie jest najszczęśliwszym okresem dla firmy Symantec – po wycieku kodu źródłowego flagowych produktów firmy, teraz doszło oskarżenie o używanie przez firmę metod znanych ze „scareware” w celu sprzedaży swoich produktów.
Oskarżenie zarzuca producentowi, że oprogramowanie takie jak Norton Utilities, PC Tools Registry Mechanic, oraz PC Tools Performance Toolkit wprowadza użytkownika w błąd informując o wykrytych zagrożeniach prywatności, błędach systemowych itd. niezależnie od tego, czy takowe rzeczywiście występują.

Jednakże analitycy przewidują, że sprawa zostanie rozpatrzona na korzyść Symantec’a, ponieważ bardzo trudnym do udowodnienia będzie to, że oprogramowanie myli się informując o wykrytych błędach.
Andy Kellett, analityk z firmy Ovum tak komentuje całą sprawę:

“It’s a tricky one as there are lots of unknowns, how do you prove Symantec is in the wrong? It’s not something that has been done before.”

Źródło: ZDNet