Analitycy z firmy Lookout Mobile odkryli prawdopodobnie pierwszą próbę infekcji systemu mobilnego za pomocą metody „drive-by download”.
Ta metoda ataku polega na cichej instalacji przez stronę WWW złośliwego kodu na urządzeniu ofiary, poprzez wykorzystanie ramki iframe, która pozwala m.in. na załadowanie innej strony w tle.
W tym konkretnym przypadku wygląda to następująco:

W przypadku Androida, aby próba infekcji zakończyła się sukcesem, urządzenie musi mieć włączoną opcję instalacji oprogramowania z nieznanych źródeł – w innym przypadku instalacja zostanie zablokowana.
Jeżeli natomiast dojdzie do infekcji, wówczas użytkownik zostanie jedynie poproszony o potwierdzenie instalacji programu:

Źródło: Lookout Mobile

Szkodnik wykryty przez Lookout Mobile został nazwany NotCompatible i póki co, zostały zidentyfikowane dwie strony, poprzez które odbywa się dystrybucja trojana:

- gaoanalitics.info

- androidonlinefix.info

Jako, że ta metoda ataku jest nowością w świecie urządzeń mobilnych, to wciąż trwają analizy nowego zagrożenia, może się więc okazać, że spreparowanych stron jest znacznie więcej.

Póki co, pocieszeniem może być fakt, że nie odnotowano znacznego ruchu na wyżej wymienionych stronach, więc istnieje szansa, że ilość urządzeń zarażonych nowym malware jest niewielka.

Źródło: Lookout Mobile, VentureBeat

Laboratorium firmy Symantec wykryło nowy wariant bardzo znanego już Duqu.

Co prawda plik, w którego posiadanie weszli analitycy, to tylko część tego dość złożonego malware, jednak bardzo istotna część – loader, odpowiedzialny za ładowanie pozostałych komponentów szkodnika po restarcie systemu (komponenty te są przechowywane w postaci zaszyfrowanej na dysku).

Źródło: Symantec

Jak wynika z raportu firmy Symantec, nowy wariant Duqu został skompilowany 23 lutego 2012 i wnosi pewne zmiany w stosunku do poprzednich wariantów szkodnika.

Pierwszą z nich jest nowy mechanizm szyfrowania wykorzystywany do zakamuflowania elementów malware na dysku zainfekowanej maszyny.

Kolejną zmianą jest brak podpisu cyfrowego sterownika. W poprzedniej wersji, twórcy Duqu, użyli skradzionego certyfikatu – nowa wersja podszywa się pod sterownik WDM.

Odkrycie nowej wersji Duqu daje nam jasny sygnał, że jego twórcy nie złożyli broni i będą używać coraz bardziej wyszukanych metod kamuflażu szkodnika.

Źródło: eHacking News, Symantec

Znany wszystkim producent świetnego oprogramowania antywirusowego – Avira – wydał właśnie wersję BETA aplikacji zabezpieczającej smartfony wyposażone w system Android: Avira Free Android Security

Czytaj więcej…

Analitycy z SophosLabs wykryli nowego szkodnika atakującego urządzenia z systemem Android, który do rozprzestrzeniania się wykorzystuje klienta popularnego serwisu społecznościowego – Facebook.

Schemat infekcji jest bardzo prosty i najlepiej zobrazuje go video dostępne na kanale SophosLabs:

Android malware – spread via Facebook

Głównym celem szkodnika jest narażenie użytkownika na straty finansowe poprzez wykonywanie połączeń z numerami o podwyższonej opłacie i wysyłanie wiadomości tekstowych na numery Premium, przy czym należy zaznaczyć, że malware zawiera całą bazę takich numerów z niemal wszystkich krajów.

Źródło: SophosLabs

W związku z rosnącą popularnością urządzeń wyposażonych w system Android i co za tym idzie, wzrostem liczby szkodliwych aplikacji, Google uruchomiło usługę Bouncer.
Nowe dziecko Google będzie wykorzystywało dwa mechanizmy w celu określenia, czy dana aplikacja jest szkodliwa, czy też nie jeszcze zanim zostanie opublikowana w Android Market.
Pierwszy z nich to całkowicie zautomatyzowany proces skanowania aplikacji trafiających do sklepu z aplikacjami dla Androida.
Drugi natomiast, to uruchomienie programu w piaskownicy w celu określenia, czy zachowanie danej aplikacji nie jest podejrzane.
W związku z tym, że obydwa procesy będą całkowicie zautomatyzowane, rodzi się pytanie, co w przypadku kiedy Bouncer uzna aplikację „czystą” za malware i nie dopuści jej do Android Market?
Deweloperzy mogą spać spokojnie, ponieważ w takim przypadku program zostanie poddany dodatkowej analizie przez wykwalifikowanych specjalistów.

Miejmy nadzieję, że dzięki nowemu mechanizmowi weryfikującemu aplikacje dostępne Android Market, stanie się on w niedługim czasie mniej atrakcyjny dla twórców szkodliwych aplikacji.

Źródło: Google Mobile Blog

Andrey Sabelnikov, wskazany przez Microsoft jako operator botnetu Kelihos, nie przyznaje się do winy, o czym informuje w swoim wpisie na LiveJournal:

„I did not commit this crime, [have] never participated in the management of botnets [nor] any other similar programs, and especially not extracted from it any benefit,”

Sabelnikov przebywa obecnie w Rosji i tam też będzie sądzony, ponieważ rosyjskie prawo nie przewiduje możliwości ekstradycji swoich obywateli.

Źródło: Infosecurity

We wpisie opublikowanym wczoraj na swoim oficjalnym blogu, firma Microsoft ujawnia kilka „pikantnych” szczegółów na temat operatora botnetu Kelihos – zlikwidowanego w zeszłym roku przez Microsoft przy współpracy z Kaspersky Labs i Kyrus Inc.
Jak wynika z wyżej wymienionego wpisu, 31-letni mieszkaniec St. Petersburga, Andrey N. Sabelnikov, był zatrudniony jako software engineer oraz project manager w jednej z rosyjskich firm odpowiedzialnych za tworzenie oprogramowania zabezpieczającego.
Microsoft nie podaje co prawda nazwy firmy, jednak z informacji, jakie są zawarte na profilu Sabelnikova na portalu LinkedIn, wynika że w latach od 2005 do 2007 pracował on w firmie Agnitum, która jest producentem cenionej na świecie zapory – Outpost Firewall.
Sablenikov pracował również dla firmy Teknavo, która dostarcza oprogramowanie dla firm działających w sektorze usług finansowych.

Źródło: KrebsOnSecurity

Hacker przedstawiający się jako „Yama Tough”, poinformował poprzez serwis Twitter, o tym że w najbliższy wtorek opublikuje pełny kod źródłowy Norton Antivirus:

This coming Tuesday behold the full Norton Antivirus 1,7Gb src, the rest will follow

W zeszłym tygodniu hacker opublikował fragmenty kodu oraz cache wiadomości email. Jak twierdzi Yama Tough, wszystkie dane zostały wykradzione z indyjskich serwerów rządowych.

Źródło: Reuters

Wszyscy chyba otrzymali kiedyś email z Nigerii informujący o możliwości zarobienia milionów dolarów czy otrzymania wynagrodzenia w diamentach w zamian za drobną pomoc. Takie działanie nazywamy „Nigeryjskim szwindlem” albo też „419 scam” (od numeru artykułu w kodeksie karnym Nigerii, dotyczącego tego przestępstwa).
Z pozoru wydaje się to dość niewinne i większość z nas po prostu ignoruje takie wiadomości, jednak kiedy damy się wciągnąć w cała zabawę, może mieć to opłakane skutki, co najlepiej obrazuje historia pochodzącego z Korei Południowej, 65-letniego mężczyzny i jego 30-letniej córki.
Wierząc w treść wiadomości informującej o wygranej dziesiątek milionów dolarów w loterii, wybrali się oni do Afryki Południowej w celu podjęcia pieniędzy z wygranej.
Jednakże wkrótce po dotarciu na miejsce, ojciec, córka oraz kierowca, który odebrał ich z lotniska zostali porwani przez Nigeryjski gang i byli przez nich przetrzymywani przez cztery dni w Meadowlands, Soweto, dopóki nie zostali odbici przez lokalną policję.
Było to możliwe dzięki kierowcy, który zdołał uciec i poinformować odpowiednie służby.
Pomimo że podejrzani zostali zatrzymani, to jednak nie zostaną obciążeni zeznaniami Koreańczyków – byli oni tak upokorzeni, że wkrótce po uwolnieniu udali się w drogę powrotną do Korei bez składania zeznań.

Źródło: Softpedia

Eksperci z Kaspersky Lab odkryli nową złośliwą aplikację atakującą urządzenia wyposażone w system Android.
Nie jest jeszcze do końca jasne w jaki sposób szkodnik się rozprzestrzenia ale pewnym jest, że po infekcji widoczna jest na liście aplikacji gra MADDEN NFL 12:

Plik waży powyżej 5MB i jest to trojan wrzucający do systemu bota IRC, SMS Trojan oraz root exploit.
Tworzy on również katalog ‘/data/data/com.android.bot/files‘ z prawami dostępu ustawionymi na ’777′ (odczyt/zapis/wykonanie dla wszystkich użytkowników) a następnie w utworzonym katalogu umieszcza 3 pliki:

- header01.png (root exploit)
- footer01.png (bot IRC)
- border01.png (trojan SMS)

Następnie nadawane są prawa ’777′ dla pliku header01.png (root exploit) i wywoływane jest wykonanie pliku, po którym pojawia się komunikat: „(0×14) Error – Not registred application”
Jeżeli operacja wywołania exploita powiodła się i urządzenia zostało zrootowane, wówczas szkodanik wykonuje plik footer01.png (bot IRC), który w pierwszej kolejności będzie próbował usunąć katalog ‘etc/sent‘.
Kolejnym krokiem jest ustanowienie właściciela root dla pliku border01.png (trojan SMS) za pomocą komendy ‘chown’, nadanie praw ’644′ dla tego pliku oraz jego instalacja i uruchomienie.
Instalowany w ten sposób trojan jest niewielką modyfikacją znanego już wcześniej szkodnika: ‘Foncy SMS Trojan‘. Podobnie jak poprzednia wersja, tak również i ta używa metody ‘getSimCountryIso‘ w celu zidentyfikowania kraju pochodzenia karty SIM i umożliwienia w ten sposób wysyłania SMS Premium.
Trojan ma również możliwość blokowania wiadomości przychodzących z usług Premium, dzięki czemu ofiara nie jest w stanie rozpoznać aktywności malware w systemie (do czasu otrzymania rachunku).
Największą ciekawostką jest jednak bot IRC – pierwszy jak do tej pory tego typu szkodnik atakujący system Android.
Po instalacji trojana, bot łączy się z serwerem IRC 199.68.*.* (był on niedostępny w trakcie analizy malware) na kanale ‘#andros‘ z losowo wygenerowaną nazwą użytkownika. Po połączeniu z serwerem bot jest w stanie odbierać komendy i wykonywać je na zainfekowanym urządzeniu.
Dzięki kilku modułom wchodzącym a skład tego malware, przestępcy mogą uzyskać niemal nieograniczoną kontrolę nad zainfekowanym systemem.

Złośliwa aplikacja została sklasyfikowana i jest rozpoznawana przez produkty Kaspersky Lab jako:

- Trojan-Dropper.AndroidOS.Foncy.a
- Exploit.Linux.Lotoor.ac
- Backdoor.Linux.Foncy.a
- Trojan-SMS.AndroidOS.Foncy.a

Źródło: Kaspersky Lab