Исследователи нашли в Google Play сканер QR-кодов с вирусом, крадущим данные банковских приложений Статьи редакции
Программа может получить доступ к информации клиентов «Сбера», «Тинькоффа», ВТБ и других банков.
- Эксперты компании по кибербезопасности ThreatFactor опубликовали отчёт о вирусах, которые распространяются через приложения в Google Play для кражи банковской информации.
- В России распространяется банковский троян Anatsa через приложение Free QR Сode Scanner от издателя QrBarBode LDC, выяснили исследователи. У приложения высокий рейтинг в Google Play и больше 50 тысяч скачиваний, есть положительные отзывы.
- После установки пользователю предлагают загрузить обновление. Вместе с ним программа оценивает устройство по идентификатору, модели, региону, стране и версии Android и определяет, стоит ли загружать вирус на телефон.
- Даже после загрузки вируса сканер QR-кода работает нормально, поэтому владелец заражённого устройства может ничего об этом не знать. Из-за того, что опасный код загружается отдельно от приложения, оно проходит проверки в Google Play.
- Среди российских банков, чьи данные могла украсть программа, исследователи перечислили «Сбер», «Тинькофф», «Уралсиб», «Почта-банк», ВТБ, «Райффайзен» и «ОТП-банк».
16
показов
54K
открытий
2
репоста
Чтобы вирус заработал надо дважды в явном виде согласиться на это.
After successfully downloading the “update”, the user will be asked for the permission to install apps from unknown sources. The user, previously convinced that the update is necessary for the app to work properly, grants the permission. After the installation is complete, Anatsa is running on the device and immediately asks the victim to grant Accessibility Service privileges. After enabling Accessibility Service, Anatsa has full control over the device and can perform actions on the victim’s behalf.
но все андроидоводы же так защищают установку не из маркета, и еще и эппл постоянно хотят заставить дыру им приоткрыть
А тут не в установке не из маркета дело
а в том что надо согласится на обновление (ну ладно - у плейстора есть аналогичная штука)
затем еще и на использования Accessibility Service согласится, для сканера QR-кодов ну ну.
Поясните, жертва сама виновата, это вы хотите сказать? Разве такой редкий кейс когда пользователи просто жмут разрешая все? Но тогда никто бы и не ловился. К камере все равно сканер досуп попросит - это ожидаемо, жмякнут и лишнее. Проблема же не в пользователях-жертвах, а в платформе - обновлений нет, сильная фрагментация версий ОС, и при этом можно поставить любой зловред. И неудовлетворительная проверка приложений - ведь этот софт со сканером был в плей маркете, а маркет не смог проанализовать что используется api для загрузки и запуска внешнего кода, для внешнего кода не были определены жесткие ограничения которые были установлены для исходного приложения запускающего этот код. Где тут вина пользователя? Виноват-ли пользователь поверивший в безопасность андроида и их маркета?
Комментарий недоступен
безусловно право на железо у вас есть. но согласитесь у произодителя также есть право отрубить все сервисы эппл (icloud). ведь они не тестили их на совместимость и безопасность с вашим неопубликованным нигде софтом - значит не могут обеспечить вам тот уровень поддержки как у всех и безопасность тоже не обеспечить (вдруг ваш софт тырит из icloud keychain или куки из браузера - кто будет с этим кейсом разбираться?)
* Представил как при покупке микроволновки на алиэкспрессе, выключается холодильник. Ну а вдруг несовместимые помехи ему мозги сожгут и компрессор разрушат?
(Я тут ужинаю просто)
вы занимаетесь разработкой ПО? Так же как FCC тестируется электромагнитная совместимость вашей микроволновки требуются некоторые гаедлайны и интеграционные тесты и для софта. Невозможно протестить совместимость чего-то с чем-то то, что даже не находится в общем репозитории, а загружено пользователем с компа.
* представил себе общий репозиторий тысяч наименований холодильников и микроволновок и их интеграционное тестирование
Вам знакомо понятие комбинаторный взрыв?
опять на личности -ок, мне знакомо то что делает FCC, и комбинаторика мне тоже знакома, не поверете, но я сейчас в разработке ПО а когда-то хрень всякую писал и конкретно под iOS. И если вы не разраб - тогда я понимаю почему вы не знаете какие тесты все это проходит. Но если вы не разраб тогда и не ясно зачем вам подавай то рут, то права на установку кастомного софта, почему не хотите быть просто пользователем? Почему не требуете установку на сони плейстейшен софта не из маркета? Или на нинтенду? Почему в конце концов не требуете рут на микроволновку?
То есть вопрос знакомо ли вам понятие - это переход на личности, и занимаюсь ли я разработкой - нет?) А вам понятие "обиженка" знакомо?
FCC не занимается интеграционными тестами. Потому, что они знаю что такое комбинаторный взрыв
вы спросили меня - я ответил, но вы отказываетесь отвечать. Я для чего спрашиваю - возможно вы не вообще не специалист в но употребляете тут как аргумент разные технические и математические термины о которых сами слабо себе представляете. Если вы не спец, то к чему это?
Вот это и называется переход на личности. А когда вместо ответа про комбинаторный взрыв отвечают про комбинаторику - это подмена понятий.
а комбинаторный взрыв не связан с законами комбинаторики? вы слились представиться, что вы вообще разбираетесь в терминах конторые употребляете. если при этом никак не в теме ПО или матана - какой же это диалог, вы просто накидываете термины на вертилятор и говорите "на, опровергай"
Ну да, как-то связан. Но раз вы не признаетесь, что не знаете как, то понимаю ваше желание вместо матана обсуждать вентилятор
История с микроволновкой и котом учит, что вполне могут обвинить производителя.
Обновления выходят раз в год мажорные
Минорные почти каждый месяц. (у меня вот в ноябре было)
То что производители творят - вопрос отдельный. И то - с каждой версией андроид сложности для производителей делать обновления уменьшаются (А кое что теперь и с плейстора). (Я не вижу смысла писать ссылки и описания что именно делается тут).
То что не все производители вообще этим заморачиваются - вопрос скорее к тем кто их продукцию покупает.
На андроиде производителя аппарата тоже надо выбирать. И не только по цене.
"api для загрузки внешнего кода" - не существует. пусть это и не очевидно не программистам.
ограничения БЫЛИ установлены, вот только приложение запросило (и получило, с согласия пользователя) дополнительные.
Ну да, это же не платформа и гугл разрешает производителям лепить одноразовые необновляемые девайсы. Напомню чтобы покрыть 80% хотябы аудитории при разработке под андроид, надо базироваться максимум на версию андроид 8 (2017 год). А сейчас уже 12. То есть уже миллиарды необновленных девайсов, и продолжаем клепать эти дырявофоны, чтобы получить обновления - надо купить новый телефон! Очень соответствует sustainability подходу и экологии? Нет, но гуглу плевать - главное деньги.
Тот большой проект на котором в том числе и я работаю недавно поднял границу с 4 до 6 (а по факту в некоторых местах до 7, про 8 можно только мечтать).
И отключение поддержки старых версий приложения - в планах.
И комментарии от пользователей что все плохо - приходилось наблюдать.
Есть технические причины для данного решения. В том числе чисто затраты времени команды разработки на поддержку старого железа.
Гугл потребовать обновлять все старое - не может. Там слишком много интересов замешано вне гугла.
Например то что с Qualcomm'а не дождешься BSP для новых ядер на старые SoC.
Но - ситуацию потихоньку правят.
А для пользователя это "потихоньку правят" проявляется например в заявлении Samsung делать 4 года обновлений безопасности (и - системы) - https://www.gsmarena.com/samsung_promises_at_least_four_years_of_security_updates_for_galaxies_from_2019_on-news-47868.php
А насчет sustainability вперед всего - купите Fairphone, https://shop.fairphone.com/ как раз новая модель вышла. Прямо обещают как минимум 5 лет поддержки (и по обновлениям тоже). И судя по прошлым моделям - сделают. Да, спеки совсем не топовые.
зачем эта теория про то что когда-то наступит светлое будущее? есть три факта - затрояненный маркет, возможность вызова неподписанного кода и повышения им своих привелегий, фрагментация платформы настолько что только 50% сидят на двух последних мажорны х релизах. Давайте не строить теории заговора, ведь платформой управляет всего одна крупная корпорация - гугл, и без его сервисов ни обходится ни один из крупных вендоров. Значит сделали ровно так как и заложено в приоритетах - сначала продажи, чтобы обогнать эппл, потом все остальное.
А huawei у тебя мелкий вендор?
Эппл начал зарядку продавать за деньги, теперь модно sustainability... У самого то как, айфон старше 2017? Или ты против sustainability?
переход на личности - удел демагогов. У меня лично до сих пор iphone 7, использую до сих пор исключительно от жадности и потому что работает до сих пор. Обновление до iOS 15 прилетело но еще не поставил, пруфы нужны? Что там на андроде, есть апдейты для 4х летних телефонов? Судя по фрагментации только у половины пользователей последняя и предпоследняя версия ОС. Значит у половины сразу дырявое не безопасное ПО. Решение убрать зарядку тоже все обосрали, но только потом это сделал и самсунг, а теперь это часть проекта законодательства ЕС - как же так, выходит всех зря бомбило?
Если вы хотите сказать что все что в проекте законодательства ЕС автоматически хорошо, то убедите на айфон универсальное гнездо зарядки поставить. Если вы хотите сказать, что все что делает Самсунг автоматически хорошо, то напомню что они и гнездо наушников убирали. Если вы хотите сказать, что половина пользователей с телефонами старше 4 лет - это плохой sustainability, то тоже нет. А что вирусам красть у людей с 4х летним андроидом - я не знаю.
вы не ответили есть-ли на андроиды 2017 года обновления, вам нужно объяснять почему это плохо? Я не обеляю конкретно эппл, просто то что их все засирали становится стандартом, раз. Далее против обязательства зафиксировать стандарт на USB-C уже выступил даже глава USB-IF - и с теми же основаниям что и Эппл, что это убивает инновации. Эппл выпустил лайтнинг в 2012 уже в продажу. Там всего 8 пинов а не 24, он до сих пор надежнее. А самсунг ставил в свои телефоны микро-усб 2.0б - это было просто монстром, что же хорошего когда компания делает заведомо плохой и недолгоживущий дизайн? Эппл мусор пока не клепает, и тому подтверждение - айфон 7 б/у до сих пор с рук стоит 10 тыр. А почем самсунг из 2017 и безопасен-ли он, апдейты есть?
Нет, не становится что они делают стандартом. Нет, лайтнинг не надёжнее. А зачем мне Самсунг 2017 за 10к, если я за 10к могу новый телефон без дыр купить? И это будет не единственным его преимуществом
слив не защитан. "а какой у вас самого телефон", "а как же они зарядку убрали", "а почему у них не USB-C", "а зачем мне апдейты на телефон 2017 я могу новый купить". Круг полностью замкнулся. Вот и выяснилось что это не sustainable подход и небезопасная платформа без обновлений
А я и не говорил что у андроида sustainable подход. Это вы сами с собой спорите. Я говорю, что у меня в кармане с обновлениями, а у вас - нет. И при этом вы ещё и отдали за него кучу денег, и он тормозит. А уж какими рассказам sustainability вас развели на это - это не моя забота
И, кстати, не забудьте себя записать в число людей с дырявым телефоном. Эппл прям не заботится об обновлении ваших устройств, беда же.
вы дважды переходили на личности но так и не ясно откуда вы лично можете судить о дырявости если вы не близки к разработке? в эппл ничтожно мало нецелевых взломов, так как они эти найденные уязвимости устраняют. а на большинство андроидов апдейтов нет и даже софт из маркета позволяет повышение привелегий - факт этот является темой этой заметки
Ты бы почитал что такое переход на личности, для начала (или справку об уровне квалификации по демагогологии, а то с неспециалистом что толку обсуждать). Потом свои фантазии к чему я близок умерил. А потом я тебе расскажу где апдейты брать. А пока ты сам признался что у тебя телефон дырявый
вы меня спросили ЛИЧНО - какой у меня самого телефон. Это переход на мою личность. Я ответил и сказал чем занимаюсь. Но при переходе на личности вы сами при этом отказались сообщать в чем ваша профессия и квалификация. Вместо этого очередные набросы "ты бы почитал", "свои фантазии.. умерил", "я тебе расскажу". Но я с вами не знаком и на ты с вами не переходил.
Повторяю, что такое переход на личности надо почитать, а не фантазировать про однокоренные слова