ак подготовить ИБ-департаменты компании к форс-мажорам? Какие решения помогут удаленно работать сотрудникам вне офиса? Можно ли гарантированно обезопасить предприятие от потери данных? Читайте электронную книгу о правилах обеспечения непрерывности бизнеса и смотрите вебинар о том, как организовать удаленную работу сотрудников. Посмотреть вебинар × С чего начнется четвертая промышленная революция в вашей компании?
Операционные технологии управляют оборудованием в критически важных инфраструктурах. И они отделены от традиционных ИТ-сетей. Их интеграция - одна из основ Индустрии 4.0. Но 90% компаний отдаляются от цели, потому что не могут обеспечить безопасность ОТ-сетей.
Как минимизировать риски и научиться извлекать максимальную прибыль? Как научиться идентифицировать все устройства в своих сетях? Как правильно управлять идентификацией и доступом? Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу о безопасной интеграции ОТ- и ИТ-сетей прямо сейчас. × Как защитить критическую инфраструктуру от киберпреступников?ОТ-системы, управляющие оборудованием в КИИ - под серьезной угрозой. В 85% случаев они беззащитны даже перед повторными атаками одних и тех же зловредов. Всему виной - цифровизация, которая вынуждает ОТ- и ИТ-сети интегрироваться. Данные становятся ближе к оборудованию КИИ, а хакеры - к данным.
С какими угрозами борются компании с ОТ-сетями? Какие ОТ-протоколы чаще всего страдают от атак? У каких поставщиков ICS/SCADA есть иммунитет от преступников? Зарегистрируйтесь, чтобы скачать бесплатно исследование о тенденциях в сфере безопасности операционных технологий прямо сейчас. × Цифровые инновации для каналов связи с филиалами Можно ли защититься от новых угроз, появившихся вместе с трансформацией и внедрением SD-WAN? Как предотвратить распространение проникшего в сеть вредоносного ПО? Где найти квалифицированных ИБ-специалистов для удаленных филиалов? Как обеспечить скорость реакции и качество сервиса для бизнес-приложений? Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу об безопасной интеграции ОТ- и ИТ-сетей прямо сейчас. «Касперский»: Шпионские программы годами «легально» распространялись через официальный магазин Android 24096 Безопасность Техника Маркет 30.04.2020, Чт, 09:04, Мск , Текст: Роман Георгиев«Лаборатория Касперского» обнаружила APT-кампанию, в рамках которой вредоносные программы длительное время распространялись в том числе через Google Play.
Вредоносы в официальных источникахНа протяжении нескольких лет пользователи Android были объектами атак со стороны вредоносной кампании PhantomLance, операторы которой использовали Google Play для распространения приложений с вредоносными модулями.
По данным «Лаборатории Касперского», кампания велась как минимум с 2015 г. и продолжается по сей день. Ее операторы используют множество различных версий своего вредоносного ПО, которые распространялись через десятки приложений, включая те, которые были опубликованы в Google Play. Некоторые зараженные приложения встречались также в неофициальных магазинах приложений APKpure и APKCombo.
«Один из последних сэмплов был обнаружен в официальном магазине приложений 6 ноября 2019 г. Мы проинформировали Google о вредоносе, и тот был вскоре устранен», — говорится в публикации «Лаборатории Касперского». Однако в неофициальных магазинах некоторые из вредоносных программ PhantomLance встречаются до сих пор.
Основное назначение вредоносных программ — сбор данных: выводится геолокационная информация, логи вызовов, список контактов, перечень установленных приложений, версия операционной системы, идентификатор устройства и т. д. В случае надобности вредонос докачивает и устанавливает дополнительные модули, набор которых определяется версией ОС и сведениями об установленных приложениях.
«Касперский» нашел «легальные» шпионские программы-старожилы в Google PlayТактика злоумышленников довольно проста: изначально в магазины — официальные и неофициальные — загружаются чистые версии приложений, лишенные каких бы то ни было вредоносных компонентов. Вредоносная начинка, а также модули для загрузки и выполнения на конечных устройствах, добавляется позже.
«Тот факт, что эта тактика продемонстрировала свою эффективность, показывает, что защитные инструменты Google Play нуждаются в некотором совершенствовании, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — PhantomLance явно не первые, кто применяет этот метод. Тот факт, что кампанию так долго не могли обнаружить, объясняется очень низким количеством заражений, что, видимо, связано со специфичностью вредоносных приложений».
Магазины приложений вроде apkcombo.com, apk.support, apkpure.com, apkpourandroid.com по большей части «зеркалят» Google Play, поэтому в них оказывается все, что поступает в официальный магазин приложений. Но далеко не все удаляется.
Инфраструктура предшественникаПо данным «Лаборатории Касперского», PhantomLance использует ту же инфраструктуру, с которой осуществлялись атаки в рамках APT-группировки OceanLotus (она же APT32), предположительно вьетнамского происхождения.
Того же мнения придерживается кампания Antiy Labs, которая еще в мае 2019 г. описывала вредоносную программу под Android, проассоциированную позже с PhantomLance.
Деятельность OceanLotus в основном была свернута к 2018 г. К настоящему времени «Лаборатории Касперского» удалось засечь около 300 случаев заражения вредоносами PhantomLance — в Индии, Бангладеше, Индонезии, а также Иране, Алжире, ЮАР и др.
Объектами атак становятся преимущественно иностранные компании, которые инвестируют в ключевые промышленные секторы Вьетнама. В прицеле также оказываются правозащитные организации, исследовательские учреждения и медиаконгломераты. Атакованы и некоторые судостроительные корпорации Китая.