Agent Smith atakuje… Skojarzenia z kultowym Matrix’em nie są przypadkowe. Stworzony przez cyberprzestępców program, zainfekował już ponad 25 milionów urządzeń z systemem Android. Jesteście ciekawi szczegółów? Więcej informacji znajdziecie w nowym zestawieniu newsów.
1. Agent Smith zainfekował 25 mln urządzeń Android
Agent Smith to nazwa nowego, złośliwego programu, który podobnie jak jego matrix’owy pierwowzór potrafi zmieniać swoją postać. W ten sposób wirus spreparował m.in. aplikację WhatsApp czy przeglądarkę Opera.
Przestępcy wykorzystali odkrytą jakiś czas temu podatność w systemie Android, która wymusza aktualizację do najnowszej wersji systemu. Uzbrojona w złośliwy kod aplikacja pracuje w prawidłowy sposób. Co więc chcieli osiągnąć przestępcy?
Agent Smith zyskuje wszystkie uprawnienia, które użytkownicy wcześniej przyznali prawdziwym aplikacjom. W ten sposób malware zmienia urządzenie w słup reklamowy – na ten moment zainfekowane urządzenia są wręcz bombardowane niechcianymi reklamami. Specjaliści jednak już teraz zwracają uwagę, że kolejne wersje będą w stanie wyrządzić dużo więcej szkód: atakować aplikacje bankowe i wykradać numery kart kredytowych.
Program rozprzestrzeniał się głównie poprzez serwis 9Apps – należący do chińskiego giganta Alibaba. Specjaliści od bezpieczeństwa znaleźli także w Google Play 11 aplikacji z „uśpioną” wersję Agenta Smitha, która mogła zostać aktywowana przez złośliwą reklamę banerową zawierającą słowo kluczowe „infect”. Aplikacje zostały już usunięte ale nie zmienia to faktu, że pobrano je ponad 10 milionów razy.
Szacuje się, że złośliwe oprogramowanie zainfekowało nawet 25 milionów urządzeń na świecie. Głównie w Indiach, Stanach Zjednoczonych, Wielkiej Brytanii oraz Rosji.
2. Zmierzch uwierzytelniania za pomocą kodów SMS
Do końca 2019 roku niemieckie banki zrezygnują na stałe z uwierzytelniania przy użyciu kodów SMS.
Coraz więcej osób korzysta z bankowości mobilnej. Aby zdobyć dostęp do konta bankowego, hakerzy muszą więc tylko przejąć kontrolę nad jednym urządzeniem – o złośliwych trojanach bankowych pisaliśmy m.in. tutaj. W ostatnich latach coraz powszechniejsze stały się również ataki z wykorzystaniem duplikatów karty SIM. Przestępcy wykorzystują także luki w protokołach zabezpieczających, aby omijać dwuskładnikowe uwierzytelnianie.
Unia Europejska naciska na jak najszybsze wprowadzenie konkretnych zmian w tej kwestii. Payment Services Directive II (PSD2) obliguje banki oraz inne instytucje finansowe do tego by wszystkie transakcje były autoryzowane przy użyciu tzw. silnego uwierzytelniania klienta (ang. strong customer authentication). Kody SMS w żadnym razie za takie nie uchodzą.
Co powinna zawierać silna autoryzacja?
„Silne uwierzytelnianie klienta” oznacza uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest użytkownik), niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnianie jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających.
— dlklegal.com
Więcej informacji na ten temat przeczytacie w serwisie DLK Legal.
3. 32 mln dolarów wyparowały z giełdy kryptowalut Bitpoint
Japońska giełda kryptowalut Bitpoint w czwartek 11 lipca 2019 roku padła ofiarą cyberprzestępców, którzy wykradli z niej 32 miliony dolarów (3,5 miliarda jenów). 23 miliony skradzionych środków pochodziła z portfeli inwestorów, reszta z portfeli właścicieli giełdy.
Początkowo administratorzy wykryli nieznany błąd podczas wykonywania transakcji w walucie Ripple. 23 minuty później zrozumieli już jednak, że padli ofiarą ataku. A po trzech godzinach potwierdzili, że przestępcy wykradli również inne kryptowaluty (Bitcoin, Bitcoin Cash, Litecoin oraz Ethereal).
Bitpoint poinformował o zdarzeniu organy ścigania. Do czasu wyjaśnienia sprawy, giełda zawiesiła wszystkie transakcje. Spółka Remixpoint. Atak przyniósł także straty japońskiej giełdzie – akcje Remixpoint spadły o 19 punktów.
Z ostatniej chwili: specjaliści Bitpoint wykryli kradzież dodatkowych 2.3 miliona dolarów (250 milionów jenów).
4. Podatność w aplikacji Walkie-Talkie w Apple Watch umożliwia podsłuchiwanie
Apple wyłącza jedną z aplikacji dla Apple Watch po wykryciu poważnej luki, która mogłaby zostać wykorzystana do podsłuchiwania użytkowników.
Walkie-Talkie pozwala użytkownikom prowadzić między sobą rozmowy, bez konieczności wykonywania połączeń telefonicznych. Aplikacja – jak jej nazwa zresztą wskazuje – zmienia więc Apple Watch w tradycyjną krótkofalówkę.
Firma nie wyjawia szczegółowych informacji nt. podatności. Jedyna wzmianka, która przedostała się do mediów sugeruje, że luka umożliwia atakującemu wykorzystanie iPhone’a innego użytkownika jako urządzenia nasłuchującego.
Prace nad aktualizacją oprogramowania już trwają. Do czasu wydania łatki, Walkie-Talkie ma być nadal instalowana na zegarkach, jednak aplikacja nie będzie działać.
5. Podatność w aplikacji Zoom dla Macbook
Zła wiadomość dla posiadaczy popularnych Mac’ów. Oprogramowanie Zoom – wykorzystywane przez firmy m.in do prowadzenia wideorozmów i webinarów – posiada lukę, która umożliwia przechwycenie widoku z kamery internetowej urządzenia.
Zoom – jak większość tego typu platform – pozwala użytkownikom dołączyć do wideokonferencji po kliknięciu w otrzymany w zaproszeniu link. Po zainstalowaniu na komputerze aplikacji klienckiej, Zoom tworzy na urządzeniu także web server, który następnie nie jest jednak usuwany podczas deinstalacji samej aplikacji. Jeśli użytkownik trafi na zainfekowaną stronę, program zostanie zainstalowany ponownie.
Zdaniem producenta podatność nie została dotąd wykorzystana w praktyce. Zoom proponuje użytkownikom konfigurację ustawień w taki sposób, aby domyślnie widok z kamery był zawsze wyłączony.
6. FinSpy ewoluuje i wykrada teraz także dane z popularnych komunikatorów
Nowa wersja FinSpy stała się dużo bardziej rozwinięta. Atakuje zarówno urządzenia z systemem Android jak i iOS – w tym jest w stanie monitorować aktywność z większości popularnych komunikatorów.
Spyware skutecznie ukrywa swoją obecność na urządzeniach iOS (z wersją systemu iOS 11 lub starszą) oraz uzyskuje uprawnienia root’a na urządzeniach z systemem Android.
Jakie dane mogą paść łupem przestępców?
- kontakty, wiadomości SMS i MMS, maile, zdjęcia, nagrania rozmów, lokalizację GPS oraz inne dane nt. użytkowników,
- program jest również w stanie szpiegować komunikatory takie jak WhatsApp, Messenger, Signal, Telegram, Threema czy Viber.
W jaki sposób dochodzi do infekcji? Na szczęście przestępcy muszą uzyskać bezpośredni dostęp do telefonu. Jest to jednak znacznie prostsze, gdy mamy do czynienia z urządzeniem, które nie posiada już ograniczeń nałożonych przez producenta. Czyli w grę wchodzą zrootowane Androidy lub iPhony określane mianem „jailbroken”. Przestępcy mogą również wykorzystać do tego celu ciągle popularny phishing (podejrzane sms-y, maile lub wiadomości push).
Twórcy FinSpy stale weryfikują nowe aktualizacje zabezpieczeń dla urządzeń mobilnych. Są więc w stanie szybko dostosować swój program by nieprzerwanie czerpać zyski z jego szpiegowskiej działalności. A czy ty na bieżąco instalujesz udostępniane aktualizacje? Nie wypada być gorszym od przestępców, prawda?