По данным компании Digital Security, питерского специалиста по аудиту информационной безопасности, все мобильные клиенты российских банков для iOS и Android содержат хотя бы одну уязвимость, позволяющую перехватывать данные при обмене клиента с сервером или напрямую эксплуатировать уязвимости мобильного устройства и самого приложения.

Эксперты в течение года тестировали бесплатные платежные iOS- и Android-приложения сорока российских банков, использующие сетевые средства доступа к счету, и пришли к выводу, что разработчики такого софта не уделяют достаточно внимания вопросам безопасности. Cтатический анализ кода клиентской части приложений, проведенный по методу черного ящика, показал, что 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, т.е. позволяют перехватывать платежные данные по методу «человек посередине». 22% приложений для iOS и 20% для Android потенциально уязвимы к SQL-инъекциям, что создает риск кражи информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android содержат XSS-уязвимости; 45% iOS-приложений уязвимы к XXE-атакам (XML eXternal Entity, уязвимость к XML-инъекциям). Последние особо опасны для разлоченных устройств (подвергнутых столь популярному в России jailbreak’у). Наконец, около 22% Android-клиентов неправильно используют механизмы межпроцессного взаимодействия, позволяя сторонним приложениям обращаться к критичным банковским данным.

Четвертого июля с нами связался наш партнер «МегаФон», являющийся одним из крупнейших сотовых операторов в России. Нас уведомили о подозрительном приложении, версии которого были обнаружены и в App Store, и в Google Play. На первый взгляд могло показаться, что мы имеем дело с SMS-червем, который распространяется посредством отправки коротких сообщений, содержащих ссылку на тело червя, всем контактам из телефонной книги.

Однако наш анализ версий приложения под iOS и Android показал, что это не SMS-червь, а троянец, который загружает телефонную книгу пользователя на удаленный сервер. А «размножение» осуществляется самим сервером, т.е. SMS спам сообщения, содержащие ссылку на приложение, отправляются сервером всем контактам из украденной телефонной книги.

Приложение называется «Find and Call» и до вечера 5 июля было доступно для скачивания и в App Store, и в Google Play. Apple и Google были уведомлены о данном инциденте.

Find and Call в App Store

Find and Call в Google Play

Фактически все комментарии пользователей (и в App Store, и в Google Play) достаточно агрессивны и содержат одну и ту же жалобу на то, что приложение рассылает SMS спам.

Примеры комментариев

Несколько дней назад мы зарегистрировали новую APT-кампанию, в которой был применен новый вариант бэкдора для MacOS X, нацеленный на уйгурских активистов.

Однако прежде чем перейти к подробностям, предложу вам небольшую викторину:

Далай-лама заходит в магазин Apple Store. Зачем?

Возможный ответ: «Чтобы купить новый компьютер MacBook Pro с дисплеем Retina!» (кстати говоря, я бы тоже купил такой с большим удовольствием, но чем я буду оправдывать дыру в семейном бюджете?).

Шутки шутками, а Далай-лама — известный пользователь компьютеров Mac. Вот фото, на котором он использует Mac во время сеанса конференц-связи:

Призрак объявленной ФБР в ноябре 2011 года и надолго затянувшейся операции «Ghost Click», в рамках которой делаются попытки вылечить компьютеры, входящие в ботнет Rove Digital (мы уже писали про эту операцию), по-прежнему не дает покоя интернету и средствам массовой информации. Опубликованные на днях статьи в Forbes и Time снова вывели привидение на передний край. В одном из этих материалов содержалось неверное утверждение о новизне созданного рабочей группой по DNSChanger (DNSChanger Working Group) сайта, посвященного этой вредоносной программе. Операция 2011 года, о которой мы здесь говорим, временные подменные DNS-серверы, поддерживаемые аутсорсером, и задержка с лечением зараженных машин — все это одна и та же история. В этом призраке нет ничего сверхъестественного — так к чему столько слов? Решение федерального судьи, позволяющее ФБР использовать подменные DNS-серверы, в любом случае требует отключить эти серверы в начале июля. Когда эти серверы (принадлежавшие раньше компании Rove Digital) перестанут действовать, обработка DNS-запросов, посылаемых с зараженных компьютеров, прекратится. Девятое июля наступит совсем скоро, а в данный момент продолжается отправка уведомлений по поводу все еще зараженных машин, число которых достигает сотен тысяч в одних только Соединенных Штатах.

Рыночная доля! Это очевидный, но не единственный возможный ответ.

По различным оценкам в 2011 году на долю компании Apple приходилось более 5% персональных компьютеров/ноутбуков по всему миру. Это достаточно серьезная доля рынка: ОС Linux установлена менее чем на 2% всех компьютеров, а доля Google ChromeOS и того меньше. Достижение компьютерами на базе Mac OS максимального уровня популярности за последние 15 лет совпало по времени с появлением атак с использованием фальшивых антивирусов, нацеленных на компьютеры Apple. Мы обнаружили атаку и написали о ней в блоге в апреле, а потом снова в мае 2011 года. Теперь это совпадение уже не кажется странным. Кстати, то, что вредоносное ПО для компьютеров Apple стало распространенным именно сейчас, скорее всего, не связано с тем, что раньше не было эксплойтов для Apple или с тем, что в системе Mac OS X уделяется какое-то особенное внимание безопасности. Во время «Месяца багов Apple» (Month of Apple Bugs), прошедшего в 2007 году, было показано, что Mac OS X и код, написанный для этой системы, полны уязвимостей, которые злоумышленники вполне могут использовать. На хакерских конкурсах регулярно создаются эксплойты для Safari, Quicktime и других программ, установленных на устройствах Apple. И все же до прошлого года система не привлекала внимания широких масс киберпреступников.

В конце прошлой недели мы обнаружили признаки связи между троянцем-бэкдором для Mac OS X и APT-атакой, известной под названием LuckyCat. IP-адрес командного сервера (C&C), с которым соединяется данный бот (199.192.152.*), использовался также в 2011 году некоторыми вредоносными программами для Windows, из чего мы сделали вывод, что за всеми этими атаками стоит одна и та же группа киберпреступников.

В течение двух дней мы вели мониторинг «фальшивой» зараженной системы — это обычная наша практика, когда дело касается ботов, используемых в APT-атаках. Нетрудно вообразить наше удивление, когда на выходных киберпреступники, управляющие APT-атакой, взяли под свой контроль нашу «зараженную» машину и принялись ее исследовать.

В пятницу, 13 апреля был закрыт порт 80 на командном сервере по адресу rt*****.onedumb.com, размещенном на виртуальном выделенном сервере (VPS), находящемся в г. Фремонт (Калифорния) в США. В субботу порт был открыт, и бот вышел на связь с командным сервером. В течение всего дня трафик формировали только handshake- и служебные пакеты.

Утром воскресенья 15 апреля характер трафика, генерируемого C&C, поменялся. Злоумышленники перехватили соединение и принялись за анализ нашего фальшивого компьютера-жертвы. Они вывели список файлов корневой и домашней папок и даже украли некоторые из размещенных нами на компьютере в качестве приманки документов!

На прошлой неделе Apple выпустил два срочных обновления для Mac OS X, предназначенных для:

1. Удаления зловреда Flashback, о котором мы уже писали.
2. Автоматического отключения Java-плагина для браузера и фреймворка Java Web Start, что по сути означает отключение поддержки Java-апплетов в браузерах.

Необходимость второго шага связана с высокой степенью опасности уязвимости CVE-2012-0507, эксплуатируя которую Flashback смог заразить почти 700 000 пользователей через drive-by загрузки вредоносных программ.

Собственно, решение выпустить эти обновления было правильным. Мы может подтвердить, что в настоящее время через Java-эксплойты в дикой среде распространяется еще один зловред для Mac – Backdoor.OSX.SabPub.a.

Эта новая угроза представляет собой бэкдор для OS X, судя по всему, специально созданный для использования в целевых атаках. После активации в зараженной системе он соединяется с удалённым веб-сайтом для получения инструкций по классической схеме бот – командный сервер (C&C). Бэкдор содержит функционал для снятия скриншотов текущей сессии пользователя и выполнения команд на зараженном компьютере.

Сегодня по всему миру насчитывается более 100 миллионов пользователей Mac OS X. В последние годы их количество быстро росло, и мы ожидаем продолжения этого роста. До недавнего времени вредоносное ПО для Mac OS X оставалось достаточно узкой категорией. В эту категорию входили, в частности, троянские программы, такие как версия DNSChanger для Mac OS X. Позже к ним присоединились атаки фальшивых антивирусов/scareware, пик которых пришелся на 2011 год. В сентябре 2011 года появились первые версии троянца Flashback, созданного для Mac OS X, однако они не получили большого распространения до марта 2012 года. По данным, собранным «Лабораторией Касперского», в начале апреля насчитывалось почти 700 000 зараженных троянцем компьютеров — хотя возможно, что на самом деле их было еще больше. Уровень безопасности системы Mac OS X может быть очень высоким, однако для того чтобы не стать жертвой атак, которые становятся все более многочисленными, имеет смысл принять определенные меры.

После того как в пятницу мы перехватили одно из доменных имен, которые использует Mac-троянец Flashfake, и установили специальный sinkhole-сервер, мы смогли собрать статистику о размере и географическом распределении ботнета. Информацию об этом мы публиковали в прошлом блогпосте.

Мы продолжаем перехват доменных имен и мониторинг размера ботнета. Суммарное количество зафиксированных нами уникальных ботов составляет более 670 тысяч.

Интересно, что в выходные дни (7-8 апреля) нами отмечено значительно снижение числа подключавшихся ботов:

Однако, это не говорит о том, что размер ботнета стремительно уменьшается – данные цифры обусловлены вероятно именно выходными днями.

На протяжении нескольких дней наш сервер регистрировал все данные обращения зараженных компьютеров и собирал базу их уникальных идентификаторов, передаваемых ботом. На основании этой информации мы реализовали специальный сервер онлайн-проверки для всех пользователей Mac OSX, желающих проверить наличие возможного заражения Flashback. Теперь мы можем установить, был ли ваш UUID зафиксирован в базе обращений ботов к нашему sinkhole-серверу.

Подробная информация о том, как пройти данную проверку, и рекомендации, что необходимо сделать в случае заражения, находится на сайте flashbackcheck.com

Пользователи Mac OSX также могут проверить, инфицирован ли их компьютер Flashfake, и удалить вредоносную программу в случае ее наличия, используя специальную утилиту «Лаборатории Касперского».

На прошлой неделе компания «Доктор Веб» сообщила об обнаружении ботнета Flashback (Flashfake), состоящего из машин с операционной системой Mac OS X. По данным компании, в состав ботнета входит более полумиллиона зараженных компьютеров Mac.

Мы откликнулись на это сообщение анализом новейшего варианта бота — Trojan-Downloader.OSX.Flashfake.ab.

Бот распространяется через зараженные вебсайты в виде Java-апплета, выдаваемого за обновление для Adobe Flash Player. Java-апплет запускает на выполнение загрузчик первого уровня, который загружает и устанавливает основной компонент троянской программы. Основной компонент представляет собой троянец-загрузчик, который постоянно соединяется с одним из командных (C&C) серверов и ожидает команд на загрузку и выполнение новых компонентов.

Бот находит свои C&C серверы по доменным именам, которые генерируются с помощью двух алгоритмов. Первый алгоритм основан на текущей дате, второй использует несколько переменных, которые хранятся в теле бота в зашифрованном виде. Шифрование основано на алгоритме RC4 и использует UUID (уникальный идентификатор компьютера) в качестве ключа.