Analitycy z firmy Lookout Mobile odkryli prawdopodobnie pierwszą próbę infekcji systemu mobilnego za pomocą metody „drive-by download”.
Ta metoda ataku polega na cichej instalacji przez stronę WWW złośliwego kodu na urządzeniu ofiary, poprzez wykorzystanie ramki iframe, która pozwala m.in. na załadowanie innej strony w tle.
W tym konkretnym przypadku wygląda to następująco:
W przypadku Androida, aby próba infekcji zakończyła się sukcesem, urządzenie musi mieć włączoną opcję instalacji oprogramowania z nieznanych źródeł – w innym przypadku instalacja zostanie zablokowana.
Jeżeli natomiast dojdzie do infekcji, wówczas użytkownik zostanie jedynie poproszony o potwierdzenie instalacji programu:
Źródło: Lookout Mobile
Szkodnik wykryty przez Lookout Mobile został nazwany NotCompatible i póki co, zostały zidentyfikowane dwie strony, poprzez które odbywa się dystrybucja trojana:
- gaoanalitics.info
- androidonlinefix.info
Jako, że ta metoda ataku jest nowością w świecie urządzeń mobilnych, to wciąż trwają analizy nowego zagrożenia, może się więc okazać, że spreparowanych stron jest znacznie więcej.
Póki co, pocieszeniem może być fakt, że nie odnotowano znacznego ruchu na wyżej wymienionych stronach, więc istnieje szansa, że ilość urządzeń zarażonych nowym malware jest niewielka.
Źródło: Lookout Mobile, VentureBeat
Redakcja portalu SafeGroup ma przyjemność zaprosić Was do udziału w kolejnym konkursie. Wszystkie osoby, które udzielą poprawnych odpowiedzi staną przed szansą wygrania jednej z dwóch oryginalnych, rocznych licencji programu Emsisoft Online Armor Firewall.
Aby wziąć udział w konkursie wystarczy, skorzystać ze specjalnej strony konkursowej i odpowiedzieć na kilka prostych pytań. Spośród osób, które odpowiedzą na nie prawidłowo, wylosowanych zostanie dwóch szczęśliwców, którzy otrzymają licencje na program. Wystarczy powiedzieć, że Emsisoft Online Armor Firewall zdobył już do tej pory i ciągle zdobywa prestiżowe nagrody w testach wielu portali.
Konkurs jest dostępny dla zarejestrowanych użytkowników serwisu SafeGroup.pl i trwa od 9.04.2012r. do 16.04.2012r. Zwycięzcy zostaną powiadomieni o wygranej drogą mailową, na adres podany w formularzu. W przypadku braku odpowiedzi ze strony zwycięzcy 5 dni od zakończenia konkursu, nagroda zostanie rozlosowana ponownie.
Nie będziemy ukrywać, że przywiązaliśmy się już granatu, który od sporego czasu jest logiem serwisu SafeGroup. Niestety nie jest to w żaden sposób grafika unikalna. Została ona pobrana z wolnych zasobów i przerobiona na nasze potrzeby.
W ostatnim czasie zdecydowaliśmy się więc na zmianę tego elementu, bowiem odnajdujemy go w przeróżnych miejscach internetu. Kilka wewnętrznych propozycji to jednak o wiele za mało, więc dajemy szansę wykazać się wszystkim użytkownikom!
Sądzisz, że jesteś stanie stworzyć logo, które mogłoby godnie reprezentować portal SafeGroup.pl?
Już teraz możesz się wykazać!
Wystarczy, że stworzycie logo i wyślecie je na adres email redakcja@safegroup.pl wraz ze swoim loginem z serwisu. Nie ograniczamy ilości wysyłanych prac, prosimy jednak o wybieranie najlepszych ;)
Co oferujemy w zamian? Najlepsze logo może stać się naszym oficjalnym symbolem rozpoznawczym. Ponadto, osoby wyróżniające się swoimi pracami mają szanse na dołączenie do naszej redakcji jako graficy, oczywiście o ile będą zainteresowane wejściem w skład naszej ekipy.
Zapraszamy do wzięcia udział w naszej akcji, czekamy na wasze propozycje!
Laboratorium firmy Symantec wykryło nowy wariant bardzo znanego już Duqu.
Co prawda plik, w którego posiadanie weszli analitycy, to tylko część tego dość złożonego malware, jednak bardzo istotna część – loader, odpowiedzialny za ładowanie pozostałych komponentów szkodnika po restarcie systemu (komponenty te są przechowywane w postaci zaszyfrowanej na dysku).
Źródło: Symantec
Jak wynika z raportu firmy Symantec, nowy wariant Duqu został skompilowany 23 lutego 2012 i wnosi pewne zmiany w stosunku do poprzednich wariantów szkodnika.
Pierwszą z nich jest nowy mechanizm szyfrowania wykorzystywany do zakamuflowania elementów malware na dysku zainfekowanej maszyny.
Kolejną zmianą jest brak podpisu cyfrowego sterownika. W poprzedniej wersji, twórcy Duqu, użyli skradzionego certyfikatu – nowa wersja podszywa się pod sterownik WDM.
Odkrycie nowej wersji Duqu daje nam jasny sygnał, że jego twórcy nie złożyli broni i będą używać coraz bardziej wyszukanych metod kamuflażu szkodnika.
Źródło: eHacking News, Symantec
Znany wszystkim producent świetnego oprogramowania antywirusowego – Avira – wydał właśnie wersję BETA aplikacji zabezpieczającej smartfony wyposażone w system Android: Avira Free Android Security
Czytaj więcej…
Analitycy z SophosLabs wykryli nowego szkodnika atakującego urządzenia z systemem Android, który do rozprzestrzeniania się wykorzystuje klienta popularnego serwisu społecznościowego – Facebook.
Schemat infekcji jest bardzo prosty i najlepiej zobrazuje go video dostępne na kanale SophosLabs:
Android malware – spread via Facebook
Głównym celem szkodnika jest narażenie użytkownika na straty finansowe poprzez wykonywanie połączeń z numerami o podwyższonej opłacie i wysyłanie wiadomości tekstowych na numery Premium, przy czym należy zaznaczyć, że malware zawiera całą bazę takich numerów z niemal wszystkich krajów.
Źródło: SophosLabs
W związku z rosnącą popularnością urządzeń wyposażonych w system Android i co za tym idzie, wzrostem liczby szkodliwych aplikacji, Google uruchomiło usługę Bouncer.
Nowe dziecko Google będzie wykorzystywało dwa mechanizmy w celu określenia, czy dana aplikacja jest szkodliwa, czy też nie jeszcze zanim zostanie opublikowana w Android Market.
Pierwszy z nich to całkowicie zautomatyzowany proces skanowania aplikacji trafiających do sklepu z aplikacjami dla Androida.
Drugi natomiast, to uruchomienie programu w piaskownicy w celu określenia, czy zachowanie danej aplikacji nie jest podejrzane.
W związku z tym, że obydwa procesy będą całkowicie zautomatyzowane, rodzi się pytanie, co w przypadku kiedy Bouncer uzna aplikację „czystą” za malware i nie dopuści jej do Android Market?
Deweloperzy mogą spać spokojnie, ponieważ w takim przypadku program zostanie poddany dodatkowej analizie przez wykwalifikowanych specjalistów.
Miejmy nadzieję, że dzięki nowemu mechanizmowi weryfikującemu aplikacje dostępne Android Market, stanie się on w niedługim czasie mniej atrakcyjny dla twórców szkodliwych aplikacji.
Źródło: Google Mobile Blog
Andrey Sabelnikov, wskazany przez Microsoft jako operator botnetu Kelihos, nie przyznaje się do winy, o czym informuje w swoim wpisie na LiveJournal:
„I did not commit this crime, [have] never participated in the management of botnets [nor] any other similar programs, and especially not extracted from it any benefit,”
Sabelnikov przebywa obecnie w Rosji i tam też będzie sądzony, ponieważ rosyjskie prawo nie przewiduje możliwości ekstradycji swoich obywateli.
Źródło: Infosecurity
We wpisie opublikowanym wczoraj na swoim oficjalnym blogu, firma Microsoft ujawnia kilka „pikantnych” szczegółów na temat operatora botnetu Kelihos – zlikwidowanego w zeszłym roku przez Microsoft przy współpracy z Kaspersky Labs i Kyrus Inc.
Jak wynika z wyżej wymienionego wpisu, 31-letni mieszkaniec St. Petersburga, Andrey N. Sabelnikov, był zatrudniony jako software engineer oraz project manager w jednej z rosyjskich firm odpowiedzialnych za tworzenie oprogramowania zabezpieczającego.
Microsoft nie podaje co prawda nazwy firmy, jednak z informacji, jakie są zawarte na profilu Sabelnikova na portalu LinkedIn, wynika że w latach od 2005 do 2007 pracował on w firmie Agnitum, która jest producentem cenionej na świecie zapory – Outpost Firewall.
Sablenikov pracował również dla firmy Teknavo, która dostarcza oprogramowanie dla firm działających w sektorze usług finansowych.
Źródło: KrebsOnSecurity
Hacker przedstawiający się jako „Yama Tough”, poinformował poprzez serwis Twitter, o tym że w najbliższy wtorek opublikuje pełny kod źródłowy Norton Antivirus:
This coming Tuesday behold the full Norton Antivirus 1,7Gb src, the rest will follow
W zeszłym tygodniu hacker opublikował fragmenty kodu oraz cache wiadomości email. Jak twierdzi Yama Tough, wszystkie dane zostały wykradzione z indyjskich serwerów rządowych.
Źródło: Reuters
Ostatnie komentarze