W przypadku Androida, aby próba infekcji zakończyła się sukcesem, urządzenie musi mieć włączoną opcję instalacji oprogramowania z nieznanych źródeł – w innym przypadku instalacja zostanie zablokowana.
Jeżeli natomiast dojdzie do infekcji, wówczas użytkownik zostanie jedynie poproszony o potwierdzenie instalacji programu:

Źródło: Lookout Mobile

Szkodnik wykryty przez Lookout Mobile został nazwany NotCompatible i póki co, zostały zidentyfikowane dwie strony, poprzez które odbywa się dystrybucja trojana:

- gaoanalitics.info

- androidonlinefix.info

Jako, że ta metoda ataku jest nowością w świecie urządzeń mobilnych, to wciąż trwają analizy nowego zagrożenia, może się więc okazać, że spreparowanych stron jest znacznie więcej.

Póki co, pocieszeniem może być fakt, że nie odnotowano znacznego ruchu na wyżej wymienionych stronach, więc istnieje szansa, że ilość urządzeń zarażonych nowym malware jest niewielka.

Źródło: Lookout Mobile, VentureBeat

Najważniejsze obserwacje

Od kwietnia do czerwca 2011 roku miały miejsce bardzo intensywne ataki internetowe na infrastrukturę sieciową światowego potentata w dziedzinach rozrywki i technologii, firmy Sony. Zaatakowano sieci PlayStation Network (PSN) oraz Sony Entertainment Network (SEN), w wyniku czego skradziono dane ponad 100mln użytkowników i prawdopodobnie 10mln numerów kart kredytowych. Zaatakowano także firmy Nintendo i Codemasters, pornograficzny serwis pron.com oraz Citibank. Pradopodobnie w atakach brali udział członkowie grup Lulzsec oraz Anonymous.

W maju wyciekł kod źródłowy trojana bankowego ZeuS. Chociaż zdobyte informacje pozwoliły chwilowo zwiększyć bezpieczeństwo użytkowników programów antywirusowych, chwilę po tym zdarzeniu pojawiły się doniesienia o nowych wersjach tego bardzo groźnego trojana.
Najczęściej skanowanym portem był port o numerze 445, związany z usługą SMB w Windows, natomiast najczęściej niebezpieczne strony znajdowały się na darmowych serwerach Republiki.pl, Interii.pl oraz Friko.pl. Najpopularniejszy robak sieciowy to okryty złą sławą Conficker – 2.1mln zgłoszeń dotyczyło właśnie tego bota.
W Polsce znajduje się ponad 160 tysięcy źle skonfigurowanych serwerów nazw domenowych (DNS), problem ten dotyczy wszystkich operatorów.

Liczby w raporcie CERT

W 2011 roku zespół CERT Polska otrzymał 21 210 508 automatycznych zgłoszeń naruszenia bezpieczeństwa. Ponad 9mln dotyczyło działalności botów (zaobserwowano 5.5mln botów), prawie 6mln to przypadki skanowania portów, za spam odpowiada 4.5mln zgłoszeń. Co najciekawsze, zarejestrowano zaledwie 16 ataków DDoS.

Zgłoszono 266 300 przypadków ataków phisingowych. Połowa z nich została przeprowadzona z terytorium Stanów Zjednoczonych (50.9%). Drugim krajem z którego wykonywano ataki był Hong Kong (6.7%), trzecim – Niemcy (4.8%). W atakach najczęściej wykorzystano darmowe domeny cc oraz tk, które nawiasem mówiąc zostały usunięte z indeksów Google, ponieważ często były zainfekowane złośliwym oprogramowaniem. Z tego wynika że bez weryfikacji abonenta domeny nie możemy liczyć na wzrost ochrony przed phisingiem.

Pełny raport dostępny jest tutaj, natomiast raporty z poprzednich lat dostępne są tutaj. Gorąco zachęcam do zapoznania się z nimi.

Aby wziąć udział w konkursie wystarczy, skorzystać ze specjalnej strony konkursowej i odpowiedzieć na kilka prostych pytań. Spośród osób, które odpowiedzą na nie prawidłowo, wylosowanych zostanie dwóch szczęśliwców, którzy otrzymają licencje na program. Wystarczy powiedzieć, że Emsisoft Online Armor Firewall zdobył już do tej pory i ciągle zdobywa prestiżowe nagrody w testach wielu portali.

• Konkurs Emsisoft Online Armor Firewall – Podstrona konkursowa

Konkurs jest dostępny dla zarejestrowanych użytkowników serwisu SafeGroup.pl i trwa od 9.04.2012r. do 16.04.2012r. Zwycięzcy zostaną powiadomieni o wygranej drogą mailową, na adres podany w formularzu. W przypadku braku odpowiedzi ze strony zwycięzcy 5 dni od zakończenia konkursu, nagroda zostanie rozlosowana ponownie.

W ostatnim czasie zdecydowaliśmy się więc na zmianę tego elementu, bowiem odnajdujemy go w przeróżnych miejscach internetu. Kilka wewnętrznych propozycji to jednak o wiele za mało, więc dajemy szansę wykazać się wszystkim użytkownikom!

Sądzisz, że jesteś stanie stworzyć logo, które mogłoby godnie reprezentować portal SafeGroup.pl?
Już teraz możesz się wykazać!

Wystarczy, że stworzycie logo i wyślecie je na adres email redakcja@safegroup.pl wraz ze swoim loginem z serwisu. Nie ograniczamy ilości wysyłanych prac, prosimy jednak o wybieranie najlepszych ;)

Co oferujemy w zamian? Najlepsze logo może stać się naszym oficjalnym symbolem rozpoznawczym. Ponadto, osoby wyróżniające się swoimi pracami mają szanse na dołączenie do naszej redakcji jako graficy, oczywiście o ile będą zainteresowane wejściem w skład naszej ekipy.

Zapraszamy do wzięcia udział w naszej akcji, czekamy na wasze propozycje!

• Konkurs Emsisoft Anti-Malware – Podstrona konkursowa

Konkurs jest dostępny dla zarejestrowanych użytkowników serwisu SafeGroup.pl i trwa od 26.03.2012r. do 02.04.2012r. Zwycięzcy zostaną powiadomieni o wygranej drogą mailową, na adres podany w formularzu. W przypadku braku odpowiedzi ze strony zwycięzcy 5 dni od zakończenia konkursu, nagroda zostanie rozlosowana ponownie.

Ponadto zapraszamy do obejrzenia video-testu dotyczącego właśnie Emsisoft Anti-Malware, który znajdziecie na kanale SafeGroup na YouTube.

• Videotest Emsisoft Anti-Malware – Kanał SafeGroup

Co prawda plik, w którego posiadanie weszli analitycy, to tylko część tego dość złożonego malware, jednak bardzo istotna część – loader, odpowiedzialny za ładowanie pozostałych komponentów szkodnika po restarcie systemu (komponenty te są przechowywane w postaci zaszyfrowanej na dysku).

Źródło: Symantec

Jak wynika z raportu firmy Symantec, nowy wariant Duqu został skompilowany 23 lutego 2012 i wnosi pewne zmiany w stosunku do poprzednich wariantów szkodnika.

Pierwszą z nich jest nowy mechanizm szyfrowania wykorzystywany do zakamuflowania elementów malware na dysku zainfekowanej maszyny.

Kolejną zmianą jest brak podpisu cyfrowego sterownika. W poprzedniej wersji, twórcy Duqu, użyli skradzionego certyfikatu – nowa wersja podszywa się pod sterownik WDM.

Odkrycie nowej wersji Duqu daje nam jasny sygnał, że jego twórcy nie złożyli broni i będą używać coraz bardziej wyszukanych metod kamuflażu szkodnika.

Źródło: eHacking News, Symantec

Poza samym modułem ochronnym, aplikacja oferuje również funkcję „anti-theft”, s skład której wchodzą m.in.:

- zdalna blokada urządzenia

- śledzenie z wykorzystaniem GPS

- funkcja „scream”

Poza typowymi dla tego typu aplikacji funkcjami, wymienionymi we wcześniejszym akapicie, Avira posiada kilka funkcjonalności wyróżniających jej produkt spośród innych, jak chociażby dodanie specjalnego przycisku do ekranu blokady, który pozwala na połączenie z wcześniej zdefiniowanym numerem telefonu – dzięki temu uczciwy znalazca będzie mógł w prosty sposób skontaktować się właścicielem urządzenia.

Kolejnym „ficzerem”, o którym warto wspomnieć jest możliwość przechowywania historii zabezpieczeń oraz zapisywania poleceń użytkownika, co z kolei może być bardzo przydatne w przypadku kradzieży urządzenia.

Nowy produkt ze stajni Aviry zapowiada się dość obiecująco i polecam go wypróbować, szczególnie biorąc pod uwagę to, że (na chwilę obecną) wszystkie funkcjonalności programu udostępnione są bezpłatnie.

Pobieranie: Android Market

Źródło: Android Police

Schemat infekcji jest bardzo prosty i najlepiej zobrazuje go video dostępne na kanale SophosLabs:

Android malware – spread via Facebook

Głównym celem szkodnika jest narażenie użytkownika na straty finansowe poprzez wykonywanie połączeń z numerami o podwyższonej opłacie i wysyłanie wiadomości tekstowych na numery Premium, przy czym należy zaznaczyć, że malware zawiera całą bazę takich numerów z niemal wszystkich krajów.

Źródło: SophosLabs

Miejmy nadzieję, że dzięki nowemu mechanizmowi weryfikującemu aplikacje dostępne Android Market, stanie się on w niedługim czasie mniej atrakcyjny dla twórców szkodliwych aplikacji.

Źródło: Google Mobile Blog

„I did not commit this crime, [have] never participated in the management of botnets [nor] any other similar programs, and especially not extracted from it any benefit,”

Sabelnikov przebywa obecnie w Rosji i tam też będzie sądzony, ponieważ rosyjskie prawo nie przewiduje możliwości ekstradycji swoich obywateli.

Źródło: Infosecurity