SECURITY SUNDAY 31/2024

Android pod útoky hackerů

Tento týden bylo nalezeno několik bezpečnostních problémů v systému android.

První zprávou bylo zjištění, že se od roku 2022 ukrývá v několika aplikacích v obchodě Google Play špionážní software s názvem "Mandrake"

Společnost Bitdefender poprvé zdokumentovala Mandrake v roce 2020, přičemž výzkumníci upozornili na sofistikované špionážní schopnosti tohoto malwaru a poznamenali, že ve volné přírodě funguje nejméně od roku 2016.

Společnost Kaspersky nyní uvádí, že nová varianta Mandrake, která se vyznačuje lepší obfuskací pronikla do Google Play prostřednictvím pěti aplikací.

Tyto aplikace zůstaly k dispozici nejméně rok, zatímco poslední, AirFS, která byla z hlediska popularity a infekcí nejúspěšnější, byla odstraněna na konci března 2024.

Celkový počet stažení aplikací dosáhl čísla 32000.

Další zprávou bylo zjištění že se v obchodě Google play nachází malware, který se zaměřuje na krádež OTP klíčů z SMS zpráv.

Škodlivé aplikace jsou navrženy tak, aby zachytily jednorázová hesla (OTP) používaná k ověřování online účtů za účelem páchání podvodů s identitou.

Oběti kampaně byly zjištěny ve 113 zemích, přičemž na prvním místě seznamu jsou Indie a Rusko, následované Brazílií, Mexikem, USA, Ukrajinou, Španělskem a Tureckem.

Po instalaci si aplikace vyžádá povolení k přístupu k příchozím SMS zprávám, načež se spojí s jedním ze 13 řídicích a kontrolních serverů (C2) a předá ukradené SMS zprávy.

"Malware zůstává skrytý a neustále monitoruje nové příchozí SMS zprávy," uvedli výzkumníci.

Do třetice se objevil výzkumníci v oblasti kybernetické bezpečnosti nový trojský kůň pro vzdálený přístup k systému Android (RAT) s názvem BingoMod, který nejenže provádí podvodné převody peněz z napadených zařízení, ale také je vymazává ve snaze vymazat stopy po malwaru.

Italská kyberbezpečnostní společnost Cleafy, která RAT objevila ke konci května 2024, uvedla, že tento malware je aktivně vyvíjen. Trojského koně pro Android přisoudila pravděpodobně rumunsky mluvícímu útočníkovi vzhledem k přítomnosti komentářů v rumunštině ve zdrojovém kódu spojených s ranými verzemi.

"BingoMod patří k moderní generaci mobilního malwaru RAT, protože jeho možnosti vzdáleného přístupu umožňují útočníkům provádět převzetí účtu přímo z infikovaného zařízení" uvedli výzkumníci Alessandro Strino a Simone Mattia.

Za zmínku stojí, že tato technika byla pozorována i u dalších bankovních trojských koní pro Android, jako jsou Medusa (alias TangleBot), Copybara a TeaBot (alias Anatsa).

BingoMod se stejně jako BRATA vyznačuje také tím, že používá mechanismus sebedestrukce, který je navržen tak, aby z infikovaného zařízení odstranil veškeré důkazy o podvodném převodu a ztížil tak forenzní analýzu.

Některé z identifikovaných aplikací se maskují jako antivirové nástroje a aktualizace pro Google Chrome. Po instalaci pomocí taktiky smishingu aplikace vyzve uživatele, aby jí udělil oprávnění ke službám přístupnosti, a použije ji k zahájení škodlivých akcí.

Ty zahrnují spuštění hlavního payloadu a zablokování uživatele na hlavní obrazovce za účelem shromažďování informací o zařízení, které jsou následně exfiltrovány na server ovládaný útočníkem.

Aplikace WhatsApp pro Windows umožňuje spouštět PHP a Python skripty bez varování

Bezpečnostní chyba v nejnovější verzi aplikace WhatsApp pro Windows umožňuje odesílání příloh v jazycích Python a PHP, které se po otevření příjemcem spustí bez jakéhokoli varování.

Aby byl útok úspěšný, musí být nainstalován Python, což je podmínka, která může omezit cíle útoku na vývojáře softwaru, výzkumníky a zkušené uživatele.

Problém je podobný tomu, který v dubnu postihl Telegram pro Windows, kdy útočníci mohli obejít bezpečnostní varování a provést vzdálené spuštění kódu.

"Varujeme uživatele, aby nikdy neklikali na soubor od někoho, koho neznají." uvedl zástupce společnosti Meta

Hackeři využívají zranitelnost VMware, která jim umožňuje spravovat hypervizor

Společnost Microsoft varuje uživatele hypervizoru VMware ESXi o probíhající kampani ransomwarových skupin, která jim umožňují plnou kontrolu nad hypervizory.

Zranitelnost, sledovaná jako CVE-2024-37085 (CVSs skóre 6,8), umožňuje útočníkům, kteří již získali omezená systémová práva na cílovém serveru, získat plnou kontrolu nad hypervizorem ESXi.

Útočníci spojení s několika ransomwarovými skupinami – včetně Storm-0506, Storm-1175, Octo Tempest a Manatee Tempest - využívají tuto chybu již několik měsíců.

Plná administrátorská kontrola nad hypervizorem dává útočníkům různé možnosti, včetně šifrování souborového systému a odstavení hostovaných serverů. Kontrola nad hypervizorem může útočníkům také umožnit přístup k hostovaným virtuálním počítačům, aby buď exfiltrovali data, nebo rozšířili své postavení v síti.

Společnost Microsoft objevila zneužívanou zranitelnost při běžném vyšetřování útoků a nahlásila ji společnosti VMware.

VMware ohodnotil tuto závažnost jako Medium což vyvolalo kritiku některých zkušených bezpečnostních odborníků.

Zranitelnost byla opravena ve čtvrtek.

Microsoft tvrdí, že masivní výpadek Azure byl způsoben útokem DDoS

Společnost Microsoft dnes potvrdila, že úterní devítihodinový výpadek, který vyřadil z provozu řadu služeb Microsoft 365 a Azure po celém světě, byl způsoben DDoS útokem.

Výpadek měl dopad na Microsoft Entra, některé služby Microsoft 365, Microsoft Purview  a také na služby Azure.

"Ačkoli prvotní spouštěcí událostí byl útok DDoS (Distributed Denial-of-Service), který aktivoval naše ochranné Anti DDoS mechanismy, počáteční vyšetřování naznačuje, že chyba v implementaci našich ochranných mechanismů dopad útoku spíše zesílila, než aby jej zmírnila," uvedl Microsoft.

Zatím jsme útok nespojili s žádnou skupinou, vyšetřování stále probíhá.