Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Эксперты «Лаборатории Касперского» рассказали, что еще в начале 2018 года обнаружили многофункциональную Android-малварь BusyGasper. Она представляет собой уникальный шпионский имплант с такими нестандартными функциями, как слежка за датчиками устройства (включая датчики движения), возможность обхода системы энергосбережения «Doze» и невероятно широкий протокол – около ста команд.
Как и любое современное шпионское ПО для Android, BusyGasper способен извлекать данные из различных мессенджеров (WhatsApp, Viber, Facebook). Более того, у BusyGasper есть функциональность кейлоггера – малварь обрабатывает каждое касание пользователя к экрану, анализирует координаты касаний, сопоставляет их с заданными величинами и таким образом вычисляет, какой символ ввел пользователь.
Угроза имеет многокомпонентную структуру и может скачивать дополнительные вредоносные инструменты и обновления с управляющего сервера, который, как оказалось, является FTP-сервером, предоставляемым российским хостинговым сервисом Ucoz.
Также эксперты отмечают, что BusyGasper поддерживает протокол IRC, а это редкость для Android-малвари. И наконец, вредонос может использовать электронный почтовый ящик злоумышленников в качестве командного центра: после авторизации он анализирует письма в специальной папке на наличие команд, а также может сохранять вредоносную нагрузку на устройство из вложений электронной почты.
Аналитики сообщают, что текущая операция BusyGasper активна примерно с мая 2016 года до настоящего времени.
При поиске вектора заражения исследователи не обнаружили следов фишинга или других распространенных путей проникновения. Но некоторые признаки, такие как наличие скрытого меню для управления оператором, указывают на ручное заражение. Похоже, что злоумышленники устанавливают зловред, используя физический доступ к устройству жертвы. Это объясняет и столь мало число пострадавших: их менее десяти, и все они расположены в России.
Заинтересовавшись, аналитики продолжили поиск и обнаружили еще несколько зацепок, которые раскрывают некоторую информацию о владельцах зараженных устройств. Несколько TXT-файлов с командами, находящиеся на FTP-сервере злоумышленников, содержат в именах идентификаторы жертв, которые, вероятно, были добавлены злоумышленниками. Некоторые из них похожи на русские имена: Jana, SlavaAl, Nikusha.
Также анализ дампа FTP-сервера выявил наличие в нем компонента прошивки ASUS – это указывает на интерес злоумышленников к устройствам этого производителя, а также объясняет, почему строка ‘ASUS’ содержится в идентификаторе жертвы CMDS10134-Ju_ASUS.txt.
В информации, полученной из почтовой учетной записи злоумышленников, содержится множество личных данных жертв, в том числе сообщения из мессенджеров. В числе собираемых данных были и сообщения SMS-банкинга, которые указали на наличие у одной из жертв счета с суммой более 10 000 долларов. При этом стоящие за данной кампанией преступники, очевидно, не заинтересованы в краже денег.
Первый модуль, который устанавливается на целевом устройстве, мог контролироваться посредством протокола IRC и позволял устанавливать другие компоненты путем загрузки вредоносной функциональности с FTP-сервера:
Как видно на скриншоте, приведенном выше, новый компонент копировался в системную директорию, хотя операция такого типа невозможна без root-привилегий. Пока у специалистов нет свидетельств того, что для получения root-привилегий хакеры использовали какой-либо эксплоит, но, возможно, для этого злоумышленники прибегали к помощи какой-то неизвестного компонента.
Имплант использует сложный механизм коммуникации между компонентами, основанный на Intent:
Второй и главный модуль BusyGasper записывает лог исполнения команд в файл с названием «lock», который впоследствии отправляется злоумышленникам. Лог-файлы могут загружаться на FTP-сервер и отсылаться на электронную почту злоумышленников, также есть возможность пересылать лог через SMS-сообщения.
Как видно на скриншоте выше, в малвари представлен собственный синтаксис команд, которые состоят из комбинаций символов, а символ «#» используется как разделитель. Полный список команд можно найти в отчете экспертов.
Имплант обладает всеми функциями современного шпионского ПО для Android. Например, он способен:
Кейлоггер в BusyGasper тоже реализован оригинальным способом. Сразу после активации малварь создает в новом окне элемент TextView со следующими параметрами:
Все эти элементы обеспечивают сокрытие элемента от пользователя.
Затем малварь добавляет onTouchListener в элемент TextView и может обрабатывать каждое касание пользователя. Интересно, что есть особый список activity, касания в которых игнорируются:
Обработчик получает только координаты касаний, а затем, сопоставляя их с заданным величинами, вычисляет, какие символы нажимает пользователь. Кроме того, если это было предварительно задано командой, то клавиатурный перехватчик может сделать скриншот области экрана, где было касание.
Интересно, что эксперты «Лаборатории Касперского» не обнаружили никакого сходства между BusyGasper и коммерческими шпионскими программами, а также другими известными вариантами шпионского ПО. В итоге специалисты полагают, что BusyGasper разработан и используется лишь одной хакерской группой. Такие факты, как отсутствие шифрования, использование публичного FTP-сервера и низкий уровень конфиденциальности операции могут указывать на то, что за малварью стоят злоумышленники невысокой квалификации.
|
|