Будет ли сервис Bouncer эффективным инструментом в борьбе с вредоносным ПО в приложениях на базе Android?

Компания Google приняла правильные и, безусловно, необходимые меры, однако полностью проблема пока не решена. Судя по опубликованным об этом сервисе данным, все приложения будут проверяться на наличие уже известного вредоносного ПО. Другими словами, будет применяться система мультисканирования или нечто подобное, а значит, качество детектирования будет напрямую зависеть от того, какой антивирусный движок для анализа приложений будет использовать Google. Качество у всех движков очень разное, поэтому существует вероятность того, что некоторые вредоносные приложения не будут квалифицированы как вредоносные. Еще одним шагом Google станет эмуляция. Прием хороший, однако и его можно обойти: с помощью «обмана» эмулятора или запрограммировав приложение «вести себя» во время эмуляции как невредоносное. Короче говоря, те же приемы, которые используются для преодоления защиты Windows, теперь могут применяться и на Android.

Неутомимый исследователь Брайан Кребс взял на мушку еще один ботнет, используемый для рассылки спама. В темных аллеях интернета нашлись зацепки, позволившие распознать оператора Grum среди участников фармпартнерок.

Grum, он же Tedroo, появился на спам-арене три года назад и специализируется, в основном, на рассылке рекламы фармпрепаратов. Зловред, лежащий в основе ботнета, распространяется посредством эксплойта уязвимости в браузере и использует руткит режима ядра. В начале прошлого года Grum насчитывал порядка 65 тыс. зараженных машин с совокупной производительностью свыше 1 млрд сообщений в сутки. По данным M86 Security, в настоящее время этот ботнет опережает всех конкурентов и ответственен за четверть спам-трафика в интернете.

Среди наиболее удачливых участников почившей SpamIt числился некий GeRa, владелец нескольких аккаунтов и активный покупатель эксплойт-трафика. Из фрагментов приватных чатов, слитых конкурентами одиозной фармпартнерки, Кребс узнал, что благодаря спам-рассылкам, проводимым этим подрядчиком и его протеже, SpamIt за 3 года осуществила не менее 80 тыс. продаж через интернет-аптеки, выручив свыше 6 млн. долларов. Общая сумма комиссионных по ним составила более 2,7 млн. долл. Как удалось установить, GeRa получал свои комиссионные на электронный кошелек WebMoney, открытый в 2006 году в московском офисе по паспорту некого Николая Алексеевича Костогрыза.

GeRa часто обращался к администраторам SpamIt, жалуясь на неадекватное поведение хостинг-провайдеров или проблемы с серверами. Названные им IP-адреса были опознаны экспертами как центры управления Grum. Со временем GeRa покинул SpamIt и переметнулся к ее конкуренту, партнерке Rx-Promotion, которую Кребс ассоциирует с именем экс-главы ChronoPay Павла Врублевского. По данным университетских исследователей из Сан-Диего, Rx-Promotion перечисляла все комиссионные за спам, генерируемый Grum, на один и тот же номер счета, открытого пользователем «gera».

Barracuda Networks опубликовала результаты статистического исследования, позволившего выявить ключевые различия реальных и поддельных профилей на Facebook.

Основой для исследования послужили данные о зловредной активности на Facebook и Twitter, собранные с помощью Barracuda Profile Protector, а также открытая информация о типовом поведении пользователей в Сети. Эксперты проанализировали тысячи подставных профилей на Facebook, созданные спамерами и мошенниками, чтобы определить характерные особенности, отличающие их от рядовых участников социальной сети. По результатам этого анализа была написана эвристическая подпрограмма, способная выявить имитаторов, примкнувших к социальному сообществу с недоброй целью.

Согласно итоговой статистике, собранной Barracuda по случайной выборке из 2884 активных Facebook-профилей, почти все подставные участники этой соцсети (97%) представляются дамами, тогда как у рядовых пользователей этот показатель составляет 40%. Около 60% имитаторов именуют себя бисексуалами ― в 10 раз больше, чем в реальности. Дружеских контактов у них почти в 6 раз больше, чем у обычных «фейсбукеров», они чаще причисляют себя к выпускникам колледжей и не делают легкомысленных записей в графе «Интересы». Интересно, что в фейковых профилях тэги к фотографиям проставляются в 100 раз чаще, чем это делают реальные пользователи. Все эти ключевые моменты в наглядной форме представлены на сайте компании.

Зима – время морозов, горнолыжных курортов и распродаж. Самое время для того, чтобы утеплиться, купить новую горнолыжную куртку или же просто обновить гардероб.

Предприимчивые мошенники активно пользуются интересом покупателей к распродажам и создают поддельные онлайн-магазины, которые якобы продают зимнюю одежду топовых брендов. На сайты таких «магазинов» покупателей заманивают скидками на товары.

Неплохие скидки на куртки “The North Face” на фальшивом сайте

Огромные скидки на товары модного бренда «Burberry» на фальшивом сайте

Цель мошенников – заполучить персональные данные пользователей. Если на таком сайте ввести всю необходимую для оплаты кредитной картой информацию (номер кредитной карты, фамилию и имя держателя карты, срок действия карты и секретный номер cvv), она попадает к злоумышленникам, а покупатель останется не только без оплаченного товара, но и без средств на счете.

Напомним, что мошенничество такого рода называется фишингом.

Сайтов фальшивых онлайн-магазинов в Сети много, и сделаны они качественно.

Фальшивые сайты

Нередко их дизайн в точности повторяет дизайн настоящих магазинов мировых брендов. Поэтому отличить поддельный сайт от официального очень нелегко.

Официальный сайт бренда «Burberry»

Сайт-подделка под «Burberry»

Как распознать фальшивки?

Компания Adobe объявила о выпуске бета-версии Flash Player, снабженной «песочницей», для Mozilla Firefox.

Flash Player Protected Mode использует тот же механизм, который был реализован больше года назад в Adobe Reader X. Загружаемый объект (в данном случае swf-файл) обрабатывается в изолированной среде; все запросы на действия, требующие повышения привилегий, подаются через посредника («брокера»), реакция которого определена жестким набором правил и корректируется белыми списками.

Такой подход не избавляет от попыток эксплуатации брешей в популярном приложении, но помогает существенно ограничить неприятные последствия таких кибератак, усложняя задачу вирусописателям. С момента взятия «песочницы» на вооружение Adobe не зафиксировала ни одной успешной itw-атаки на Reader X. Работа Flash Player в безопасном режиме тоже доказала свою эффективность ― в этом уже имели возможность убедиться пользователи Google Chrome. Разработчики надеются, что интеграция Flash Player Protected Mode в Firefox окажется не менее полезной, и обещают перенести опыт на другие браузеры.

Безопасный режим Flash Player доступен для версий Firefox 4.0 и выше, работающих под Windows Vista или Windows 7. Пробная сборка пока предлагается для скачивания лишь сообществу разработчиков, актуальная информация уже опубликована на сайте компании. Результаты бета-тестирования будут учтены при подготовке финальной версии, выпуск которой запланирован на текущий год.

Google объявила о запуске нового защитного сервиса, который будет автоматически проверять Android Market на наличие вредоносного контента.

Система Bouncer подвергает анализу новые и уже загруженные приложения, а также учетные записи разработчиков. Как только продукт появляется на сайте, он подвергается проверке по антивирусной базе. Bouncer также прогоняет новую программу на симуляторе, отслеживая признаки потенциальной угрозы, и производит сравнение с проанализированными ранее приложениями. Проверка репутации разработчиков введена с целью пресечения нежелательных рецидивов.

По словам Google, новый сканер был запущен в тестовом режиме в прошлом году и уже позволил сократить число зловредных загрузок на 40%. В условиях роста интернет-угроз, ориентированных на платформу Android, это можно считать серьезным достижением, если только этот спад не является следствием низкой эффективности нововведения. Последняя авральная чистка Android Market от зловредов была проведена в середине декабря, и SMS-троянцев в магазине Google обнаружил не Bouncer, а сторонние эксперты.

Справедливости ради стоит отметить, что разработчики Android снабдили свое детище средствами самозащиты. Они реализовали на этой платформе «песочницу» и встроили систему запроса привилегий для приложений. К сожалению, практика показывает, что при установке новых программ многие пользователи игнорируют этот список, выводимый на экран, и бездумно соглашаются со всеми требованиями.

Безусловно, введение нового уровня защиты на Android Market можно только приветствовать, хотя более настоятельная проблема пока не решена. С нетерпением ждем от Google новостей об исправлении ситуации с обновлениями и о сокращении сроков закрытия уязвимостей по клиентской базе.

По данным Imperva, в июне-ноябре интенсивность попыток эксплойта уязвимостей в веб-приложениях, осуществляемых с помощью ботнетов, в среднем составляла 130-385 тыс. в месяц. На пике этот показатель взмывал почти до 38 тыс. в час (10 запросов в секунду).

К 30 объектам, отобранным для мониторинга полгода назад, эксперты добавили еще десяток популярных программ и расширили классификацию вредоносного трафика до 7 категорий. Как показывает статистика, хакеры отдают предпочтение «техничным» методикам, основанным на эксплойте типовых уязвимостей, которые, к сожалению, нетрудно отыскать. Наибольшее распространение получили такие техники, как RFI (Remote File Inclusion), SQL-инъекции, LFI (Local File Inclusion), XSS и DT (Directory Traversal). На долю двух последних пришлось больше половины вредоносного трафика, зафиксированного в отчетный период.

В новом отчете Imperva рассматривает также 2 новых разновидности кибератак, которые она называет business logic attacks, BLA ― атаки, использующие логику бизнес-приложения. Данная техника не нарушает функционала атакуемой программы и использует легальные входные значения, поэтому такой абьюз трудно обнаружить. Путем несложных манипуляций атакующий может выудить из приложения приватную информацию, изменить объем совместно используемых ресурсов, исказить данные, находящиеся в общем доступе, и т.п. ― зачастую в обход защитных механизмов.

Эксперты различают две вида BLA: коммент-спам и извлечение email-адресов. Оба легко поддаются автоматизации, а их результаты приносят хакерам материальную выгоду. Внедрение рекламных ссылок в поля комментариев является одним из способов накрутки рейтинга спамерских сайтов в поисковых системах. Согласно статистике Imperva, эти атаки особенно популярны в Восточной Европе. Возможность извлекать из веб-приложений почтовые адреса и прочую личную информацию помогает спамерам формировать списки для грядущих рассылок. Сбором адресов увлекаются африканские хакеры. В минувшем полугодии вклад BLA в зловредный трафик составил 14%.

Некоммерческая организация HostExploit опубликовала Тор 50 неблагополучных AS-провайдеров за октябрь-декабрь. В составлении квартального отчета принимала деятельное участие российская Group-IB.

Новый рейтинг был составлен по итогам исследования 39,8 тыс. автономных систем. Его возглавляет литовский хостер Hosting Media (AS47583), который в предыдущем квартале занимал 2-е место. На его площадках по-прежнему много эксплойтов, зловредов, их активно используют фишеры и спамеры, а по количеству серверов, управляющих ботнетами, Hosting Media вновь нет равных.

Прежний лидер непочетного списка, американский провайдер Oversee.net (AS33626) улучшил свои показатели в полтора раза, что позволило ему опуститься на 12-ю строку. США вновь заняли половину мест в ведущей десятке, а в Тор 50 их присутствие увеличилось до 20 позиций [PDF 1,68 Мб]. Россияне находятся за пределами первой 20-ки, в Тор 50 их четверо: ОАО «Вебальта» (AS41947), «Мегафон» (AS31133), «Агава» (AS43146) и SpaceWeb (AS44112). «Вебальта», похоже, почистила свои сети и смогла опуститься на 28-ю строку; тем не менее, этой компании было присвоено 4-е место в категории «Зараженные сайты». «Мегафон» с регионами занимает 3 позиции в десятке лидеров по спаму, столько же пришлось на долю России в категории «C&C ZeuS».

Британская компания NCC Group, специализирующаяся в области информационной защиты, опубликовала Тор 10 стран, с территории которых осуществляются хакерские атаки.

Географический рейтинг хак-плацдармов возглавляют США и Китай, на долю которых в минувшем году приходилось 22 и 16% попыток взлома соответственно. По совокупности эти нападения ежегодно обходятся мировой экономике в 43 млрд. долл. Третье место с большим отрывом занимает Россия с показателем 3,6%; годовой ущерб от действий российских хакеров составляет порядка 4 млрд. долл. Пятерку лидеров замыкают Бразилия (3,5%) и Италия (3,1%).

Примечательно, что половину позиций в Тор 10 занимают страны Западной Европы. С территории Италии, Голландии, Франции, Дании и Германии было произведено почти 200 млн. непрошеных вторжений, обошедшихся жертвам в 16 млрд. долл. Великобритания оказалась за пределами ведущей «десятки», заняв 15-е место. Однако, по оценкам исследователей, деятельность британских хакеров причиняет значительный ущерб; в минувшем году его размеры составили 2 млрд. долл.

Рейтинг NCC был составлен на основе данных о несанкционированных вторжениях, представленных добровольцами в рамках проекта DSHield (автор ― американский институт SANS). Итоговая статистика учитывает все попытки взлома, как успешные, так и провальные.

В Румынии задержан 20-летний студент, подозреваемый во взломе сайтов Пентагона и НАСА.

Полицейские убеждены, что будущий ИТ-профи Маноле Разван Чернэяну (Manole Razvan Cernăianu) ― не кто иной, как TinKode. Сей азартный взломщик известен тем, что атакует именитые сайты для забавы, похваляется своими «подвигами» в социальных сетях и публикует обнаруженные уязвимости. На счету TinKode немало «боевых трофеев», хотя предпочтение он отдает американским ресурсам. Два года назад от его проделок пострадал официальный сайт британских ВМС, лишившись ряда паролей. TinKode также причастен к взлому сайтов Европейского космического агентства и MySQL, куда он цинично проник посредством SQL-инъекции.

Поскольку в расследовании, помимо румын, принимали участие ФБР и НАСА, Чернэяну инкриминируются лишь незаконное вторжение в американское пространство и нарушение нормального функционирования компьютерных ресурсов. В доказательство новых успехов хакер успел опубликовать видеоролик с демонстрацией кибератак, а также предлагал в своем блоге поделиться хакерским инструментарием.