Баг WhatsApp вызывает сбой программы у всех участников чата

Исследователи из компании Check Point обнаружили в WhatsApp уязвимость, позволяющую вызвать сбой приложения у всех участников целевого чата. Для этого автору атаки достаточно лишь отправить в беседу вредоносное сообщение. Восстановить работоспособность мессенджера без потери всех сообщений в группе невозможно. Разработчики исправили баг в сентябрьском релизе программы.
Киберпреступники могут уничтожить любой чат WhatsApp?
Проблема кроется в протоколе XMPP (Extensible Messaging and Presence Protocol), который WhatsApp использует для передачи сообщений. Как выяснили ИБ-специалисты, каждое послание в чат содержит идентификаторы отправителя, такие как имя и номер телефона. Последний параметр представляет собой последовательность цифр длиной от 5 до 20 символов. Если выйти за пределы этого диапазона или подставить вместо номера текстовую строку, парсер прочтет его как пустую переменную.
Не получив требуемого параметра, WhatsApp прекратит работу на всех устройствах, чьи владельцы являются участниками чата. Программа будет выдавать ошибку при повторном запуске и сможет продолжить работу только после переустановки и удаления канала, содержащего вредоносное сообщение.
Баг был обнаружен при помощи инструмента, разработанного экспертами Checkpoint для демонстрации другой уязвимости WhatsApp. Недостаток в протоколе protobuf2 допускал перехват и манипуляцию сообщениями мессенджера, включая замену ключевых параметров послания. Кроме того, для организации новой PoC-атаки ИБ-специалисты использовали модуль DevTools браузера Chrome, легитимную утилиту Burp Suite, а также один из локальных Python-серверов, доступных на GitHub.
Исследователи перехватывали отправленное сообщение, декодировали отдельные параметры и, заменив их, возвращали в WhatsApp.Таким же образом могут поступить и злоумышленники, стремящиеся уничтожить данные в целевом чате.
Аналитики сообщили разработчикам мессенджера об ошибке в августе 2019 года. Создатели WhatsApp исправили уязвимость в версии 2.19.246, вышедшей в сентябре. Пользователям программы рекомендуют как можно скорее установить этот или более поздний релиз приложения.

Источник: https://threatpost.ru/whatsapp-vuln-causes-crash-loop-loss-of-all-data-shared-in-the-group/35051/

Киберполиция заблокировала троян Imminent Monitor

Европол совместно с правоохранительными органами Колумбии, Австралии и ряда других стран пресек распространение трояна Imminent Monitor. Киберполицейские добились отключения серверов проекта, который позиционировался как легитимная утилита, однако обладал всеми функциями RAT-трояна.
По информации следователей, вредоносную программу приобрели более 14 тыс. пользователей, распространявших ее в 124 странах, но участники криминальных форумов говорят о вдвое большем тираже приложения.
Что такое Imminent Monitor?
Зловред Imminent Monitor существует в Сети с 2013 года, однако наибольшую известность приобрел пару лет назад, после ухода с рынка нескольких ключевых игроков. Не последнюю роль в росте популярности трояна сыграла его цена — любой желающий мог приобрести RAT-утилиту за $25. Создатели программы представляли ее как средство удаленного администрирования, однако рекламировали свою разработку на хакерских форумах и других ресурсах в даркнете.
Зловред, установленный на целевое устройство, давал атакующему возможность:
Получать изображения с веб-камер;
Перехватывать работу с клавиатурой;
Удаленно подключаться к рабочему столу жертвы;
Похищать логины и пароли из множества приложений;
Прослушивать разговоры в реальном времени через микрофон компьютера;
Использовать инфицированную машину в качестве прокси-сервера.
Как проходила операция по блокировке RAT-утилиты?
В апреле этого года пользователи одного из хакерских форумов заметили, что автор программы, скрывавшийся под псевдонимом Shockwave, долгое время не появляется на ресурсе. Участники криминального сообщества предположили, что деятельностью злоумышленника заинтересовались правоохранительные органы. Эта информация подтвердилась, когда у покупателей Imminent Monitor стали проходить обыски.
Как сообщили представители Европола, активная фаза операции началась летом 2019 года, когда киберполицийские Австралии и Бельгии получили ордеры на арест создателя зловреда и одного из его помощников. В данный момент задержаны 13 наиболее активных пользователей трояна, изъято 430 устройств, проводится экспертиза остального оборудования, полученного в ходе рейдов. Следственные действия прошли в Чехии, Великобритании, Колумбии, Польше, Испании, Швеции и Нидерландах.
Бэкенд-серверы сайта вредоносной программы отключены — теперь по адресу криминального веб-ресурса размещено сообщение о его блокировке. По словам представителей правоохранительных органов, покупатели Imminent Monitor более не смогут использовать приложение.
В июне этого года Европол отчитался об аресте шести человек, подозреваемых в краже 24 млн евро из криптовалютных кошельков. По мнению киберполицейских, злоумышленники при помощи фишинговых сайтов сумели похитить учетные данные более 4000 аккаунтов пользователей цифровой валюты и вывести накопленные на них средства.

Источник: https://threatpost.ru/europol-international-operation-takes-down-imminent-rat-infrastructure/34946/

Предустановленное ПО Android-смартфонов полно уязвимостей

Специалисты компании Kryptowire провели автоматический анализ приложений, предустановленных на Android-смартфонах, и выявили в них почти 150 уязвимостей. Среди прочего программы, поставляемые с новыми устройствами, допускают удаленное изменение настроек, выполнение стороннего кода и несанкционированную запись аудио. Список вендоров, на чьих телефонах обнаружены недостатки, включает в себя лидеров индустрии — Samsung, Xiaomi, Asus и Sony.
Какие уязвимости были найдены в Android-смартфонах?
Объектами анализа, выполненного при помощи собственного движка Kryptowire, стали модифицированные версии Android и оригинальные программы, не входящие в стандартный пакет ОС. Под прицел экспертов попали устройства 29 производителей, представленных на американском рынке. Тестирование выявило в них 146 уязвимостей, из которых почти треть связана с эскалацией привилегий и дает возможность сторонним приложениям получить несанкционированный доступ к настройкам системы.
Большая группа багов связана с обходом границ безопасности Android. Исследователи обнаружили 34 приложения, способных установить на устройство программы сторонних разработчиков без проверки цифровой подписи. Еще 30 системных утилит допускают запуск сторонних продуктов с расширенными привилегиями, вне зависимости от имеющихся для этого разрешений. Среди других уязвимостей — возможность изменения настроек через беспроводное соединение, несанкционированная работа с микрофоном и динамическая загрузка стороннего кода.
Баги в прошивках Asus, Xiaomi и Samsung:
Наибольшее количество багов — 33 — найдено в прошивках телефонов Samsung, на второй строчке устройства ASUS, в которых обнаружено 26 недостатков, на третьем месте Xiaomi с 15 уязвимостями.
Так, специалисты обнаружили и зарегистрировали следующие проблемы:
CVE-2019-15394— любое приложение, установленное на Asus ZenFone 5 Selfie, может взаимодействовать с компонентами программы с именем пакета com.asus.atd.smmitest и получить права на изменение настроек беспроводного соединения.
CVE-2019-15446— менеджер оформления телефона Samsung S7 может быть использован другими предустановленными продуктами для инсталляции сторонних программ без соответствующих разрешений.
CVE-2019-15475— один из модулей прошивки чипсета Qualcomm в Xiaomi Mi A3 дает возможность вредоносному приложению перехватывать работу с микрофоном и вести запись телефонных звонков.

Источник: https://threatpost.ru/experts-find-dozens-vulnerabilities-in-android-pre-installed-apps/34878/

Chrome 79 для Android уничтожает пользовательские данные

Компания Google отозвала обновление Chrome для Android до версии 79, вышедшей 10 декабря. Как выяснилось, программа содержала критическую ошибку, которая приводит к потере данных у части пользователей.
Баг связан с изменением каталогов хранения важной информации в Android-варианте браузера. Файлы с настройками, зашифрованные логины и пароли, а также другие сведения, используемые мобильными приложениями и сайтами, могут быть утеряны безвозвратно.
В чем проблема Chrome 79 для Android?
Как выяснили специалисты, в свежем релизе разработчики Chrome изменили место расположения локальных баз WebSQL и localStorage. Из-за этого сохраненные данные многих приложений оказались недоступны, а возможно, и удалены. Проблема коснулась мобильных программ, использующих технологию WebView.
По сути, такие приложения являются лишь веб-ресурсами, открываемыми в окне браузера. Большинство из них хранит информацию о текущей конфигурации и идентификационные данные локально — на мобильном устройстве. Теперь пользователи таких продуктов вынуждены повторно авторизоваться и восстанавливать настройки. В ряде случаев сброс пароля для таких разработок невозможен, и владелец аккаунта потеряет к нему доступ, если забудет секретную комбинацию.
Баг выявили через несколько дней после выпуска Chrome 79. Создатели браузера отозвали релиз, однако к тому времени около половины пользователей уже получили обновление. В Google работают над исправлением, но пока не знают, возможно ли восстановить потерянные данные. Авторы приложений, затронутых проблемой, сообщают о возмущении пользователей и падении рейтингов своих продуктов.
Ошибка коснулась лишь Android-версии браузера. Chrome 79.0.3945.79 для Windows, macOS и Linux по-прежнему доставляется пользователям. В свежем релизе появилась штатная функция предупреждения о компрометации учетных данных, а также новый вариант API Safe Browsing — сервиса Google по отслеживанию нежелательных сайтов. Кроме того, разработчики интернет-обозревателя исправили более полусотни багов, два из которых оценены как критические.
Update. Раздачу Chrome 79 на Android возобновили — в новой сборке, которая внесет необходимые изменения в код WebView. В новой блог-записи разработчики подчеркнули, что при развертывании предыдущего выпуска браузера (79.0.3945.79) потери данных не произошло, и после установки обновления 79.0.3945.93 пользователи вновь получат к ним доступ.

Источник: https://threatpost.ru/chrome-79-for-android-bug-deletes-user-data/35042/

Дуэт румынских хакеров в сумме получил 38 лет тюрьмы в США

Суд штата Огайо приговорил Богдана Николеску (Bogdan Nicolescu) и Раду Миклауса (Radu Miclaus) к длительным срокам заключения за кражу более $4 млн с банковских счетов жителей США и других стран. Сторона обвинения доказала, что граждане Румынии рассылали фишинговые письма и устанавливали на компьютеры жертв вредоносное ПО Bayrob, похищавшее учетные данные и сведения о банковских картах.
Как киберпреступники похищали деньги с банковских счетов?
Злоумышленники вели свою деятельность с 2007 года. По данным следствия, Николеску и Миклаус вместе с другими киберпреступниками создали в Бухаресте кибергруппировку Bayrob, которая занималась рассылкой спама от имени Western Union, Norton Antivirus и Налогового управления США. Послания содержали вредоносный файл, открыв который, жертва загружала на свое устройство троян, нацеленный на кражу данных.
Помимо сбора конфиденциальных сведений зловред рассылал копию письма по адресной книге пользователя, что позволило киберпреступникам заразить большое число машин. Первоначально сторона обвинения говорила о 60 тыс. инфицированных компьютеров, однако в процессе следствия выяснилось, что троян был установлен более чем на 400 тыс. хостов.
Используя полученную информацию, злоумышленники выводили деньги со счетов жертв, а также продавали собранные данные в дарквебе. Кроме того, киберпреступники получали дополнительный доход от установки майнеров и добычи криптовалюты на зараженных машинах. Киберпреступники были арестованы в Румынии и переданы американским властям в декабре 2016-го.
В том же году Бухарест одобрил экстрадицию в США Марчела Лехела (Marcel Lazăr Lehel), причастного к взлому почтовых ящиков ряда политических деятелей. До этого он уже был осужден на родине за проникновение в email-аккаунт представителя Румынии в Европарламенте.
Позднее киберпреступнику были предъявлены обвинения в заказных атаках на профили социальных сетей и почтовые ящики семейства Буш, бывшего госсекретаря США Колина Пауэлла, а также известных актеров, журналистов и бизнесменов. Суд штата Вирджиния приговорил злоумышленника к 52 месяцам тюрьмы. В рамках того же дела в США, Индии, Румынии и Китае были арестованы еще 11 человек.

Источник: https://threatpost.ru/two-romanians-get-prison-terms-for-stealing-4-mln-dollars-through-the-use-of-bayrob-trojan/34996/