Пользователи смартфонов, будь то Android или iOS, не должны переходить по ссылкам или загружать файлы, прикрепленные к сообщениям, даже если их прислал друг. Лишь крошечная часть смартфонов обладает защитным ПО, которое сможет перехватить эту угрозу и защитить от неё. Риск просто не стоит того, предупреждает автор.

Cерьезное предупреждение для пользователей Android: новое вредоносное ПО из Play Store активно использует «очень опасные» настройки телефона. Владельцы смартфонов, даже защищенных моделей Samsung, Google, Xiaomi и Huawei, должны проверить, не включена ли эта настройка на их устройстве. Вот что вы должны сделать сегодня.

Это очень простой способ атаки. Такое не должно быть возможно, точно не в 2021 году и не на устройстве Android с самой современной прошивкой и настройками безопасности, и уж точно не в случае загрузки приложения из защищенного Play Store. Но это стало возможным. Вот что конкретно произошло. Вредоносное приложение, обойдя защиту Google автоматически шлет контактам пользователя в WhatsApp зараженные сообщения.

Установили, что это вредоносное ПО использует довольно тщательно скрытые настройки Android, и это второе подобное предупреждение за этот год. Внезапно вам нужно проверить, что никакое приложение на вашем устройстве не имеет доступа к этим настройкам, помимо системных программ или программ, предоставленных очень надежными источниками. Инструкция, как это сделать, будет ниже.

По словам команды Check Point, которая и обнаружила это вредоносное ПО, оно «выполняет ряд вредоносных действий, включая кражу информации и учетных данных». Команда предупреждает, что подобное поднимает «беспокоящие красные флажки» над защитой Play Store. Хотя эту конкретную атаку остановили, «тип вредоносных ПО останется, оно может вернуться в скрытом виде в другом приложении».

В прошлом году Check Point уже предупреждали, что улучшения безопасности Play Store «развиваются не так, как мы ожидали. Google инвестирует в борьбу с вредоносными ПО, но, учитывая текущее состоянии, этого недостаточно». Прошёл год, и всё повторилось.

На этот раз вектор атаки интереснее, чем специфика (вредоносное ПО предлагает бесплатный доступ к Netflix и затем рассылает сообщения, предлагающие то же самое). После установки приложение FlixOnline перехватывает уведомления WhatsApp, когда приходит новое сообщение, и отправляет автоматический ответ со ссылкой на фальшивый сайт Netflix, который запрашивает данные учетной записи и кредитной карты.

Серьезной точкой уязвимости является сервис «Прослушиватель уведомлений» (Notification Listener Service), который можно активировать, дав соответствующее разрешение. Вновь устанавливаемое приложение обманом заставляет пользователей дать его и получает возможность перехватывать входящие сообщения и управлять ими. «Сложно найти хорошее применение этому разрешению, — рассказал мне Авиран Хазум (Aviran Hazum) из Check Point. — По большей части обычные приложения не запрашивают такое разрешение».

В январе мы уже сталкивались с подобной уязвимостью, а в 2016 году было даже сделано пророческое предупреждение. Разница только в том, что в этот раз вредоносное ПО загружается из самого Play Store, а не какого-то стороннего магазина, и это по-настоящему плохая новость. По словам Check Point, «это новое и инновационное вредоносное ПО» быстро остановили, его успели загрузить всего несколько сотен раз, но его установка вообще не должна была быть возможной.

Вектор атаки сейчас хорошо известен. В этом году уже дважды происходило подобное, что делает всю эту ситуацию ещё более реальной. Почти наверняка этот вектор будут использовать вновь, поэтому вам нужно принять меры и обезопасить себя. 

Это один «из двух механизмов Android, которыми чаще всего злоупотребляют, — рассказал мне Хазум. — Чаще всего их используют, чтобы шпионить». Этот механизм также можно использовать, чтобы автоматически распространять новые заражения, что очень опасно для пользователя и его контактов, говорит Хазум. По его словам, печально известное вредоносное ПО «Joker» использовало то же самое слабое место, чтобы «перехватывать содержимое верифицирующего SMS-сообщения, которое получал Премиум сервис», о подписке на который пользователи не знали.

«Перехватить предопределяемые уведомлением действия относительно просто, если приложение получает доступ к „прослушивателю уведомлений", — предупреждает Хазум. — Это актуально не только для WhatsApp, а для всех приложений. В этом случае перехватывали уведомления WhatsApp и отвечали сообщениями со ссылкой на вредоносный APK-файл, фальшивые новости, фишинговые кампании и много другое».

После появления информации Check Point, Google убрал это приложение из Play Store, как мне сообщили, немногие успели его установить. Однако уязвимое место сохраняется. Перед публикацией я также попросил WhatsApp прокомментировать ситуацию, хотя мессенджер не несет ответственности за это упущение.

По словам Хазума, «это злоупотребление опасным механизмом, сервисом „прослушивателя уведомлений", который позволяет приложению получать доступ ко всем уведомлениям и определять ответные действия,» вероятнее всего повторится. Как и всегда, об этом слабом месте узнали, и, учитывая относительную легкость злоупотребления им, угроза вполне реальна.

Если пользователи Android хотят узнать, в чем же iOS лучше защищает свои устройства, то перед вами вполне понятный пример. «Apple не позволяет ни одному приложению просматривать все уведомления, а значит, такой тип атаки не сработал бы», — говорит Хазум. Так что, пользователям Android нужно проверить, не установлен ли у них FlixOnline, и в случае обнаружения удалить его. Кроме того, они должны также проверить настройки доступа к уведомлениям.

Проверьте каждое приложение, которому разрешен доступ к уведомлениям. Я бы посоветовал давать такой доступ только надежным системным приложениям, например, дать его функции «Не беспокоить» и Android Auto. Проще говоря, я бы настойчиво посоветовал не давать доступ к уведомлениям приложениям, загруженным из Play Store или другого магазина, ведь так у них будет больше доступа к персональной информации, чем нужно.

Конечно, в жизни не всё так просто. Check Point предупреждает, что FlixOnline «не пишет „Notification Listener"», когда запрашивает к нему доступ, он открывает сам экран доступа к уведомлениям, всё поймут только те, кто его прочитает». Но теперь вы знает, насколько опасно давать такое разрешение, вы будете начеку, время от времени проверяя сами настройки.

Последнее мое предупреждение состоит из двух частей, пользователям Android стоит прочитать их внимательно. Во-первых, защиту Play Store всё ещё можно обойти, эту проблему, похоже, никак решить нельзя. А во-вторых, Android остается чувствительным к исследованиям возможностей ОС из-за своей гибкости и более низких ограничений, чем у iOS.

Учитывая «очень опасный» потенциал сервиса «прослушиватель уведомлений» и тот факт, что им, очевидно, продолжают злоупотреблять, незамедлительно нужно ввести дополнительный контроль и ограничения. Пользователю не должны угрожать настолько простые по своему вектору атаки, учитывая, в каком состоянии сейчас находятся вредоносные ПО.

Есть тут, конечно же, и ещё одно предостережение. Пользователи смартфонов, будь то Android или iOS, не должны переходить по ссылкам или загружать файлы, прикрепленные к сообщениям, даже если их прислал друг. Лишь крошечная часть смартфонов обладает защитным ПО, которое сможет перехватить эту угрозу и защитить от неё. Риск просто не стоит того.

Названы настройки, которые нельзя менять на смартфоне 

Почему нельзя менять некоторые настройки на смартфоне, рассказал руководитель центра цифровой экспертизы "Роскачества" Антон Куканов, сообщает zakon.kz. 

Рядовые пользователи не должны использовать джейлбрейк на iPhone или активировать root-доступ на Android-девайсах. В случае активации скрытых режимов телефона есть риск изменить важные настройки аппарата, отключить некоторые механизмы и лишиться фирменной гарантии на гаджет, - сказал агентству "Прайм" Антон Куканов. 

Специалист посоветовал не отключать функции "Локатор" на iPhone и "Найти устройство" на Android, которые могут пригодиться в случае потери гаджета. Он предложил с осторожностью активировать режим запрета звонков с незнакомых номеров, так как в этом случае есть риск получить неспособный принимать вызовы аппарат. 

Также стоит быть осторожными с настройками "Универсального доступа" — можно активировать определенные интерфейсные возможности, которые затем будет не так-то легко отменить, - сказал эксперт. 

При этом специалист считает, что перечисленные рекомендации относятся к обычным владельцам смартфонов. Тот, кто считает себя опытным пользователем, по словам специалиста, может пренебрегать ограничениями.

Эксперт рассказал, какие настройки в смартфоне лучше не трогать

Самое главное, что не стоит трогать вообще – это настройки SIM-карты. В результате неосторожных действий можно остаться без интернета или потерять сеть. Вернуть гаджет к заводским настройкам без участия специалиста будет достаточно сложно, рассказала агентству "Прайм" операционный директор Gamesup42 Ольга Тимофеева, передает РИА новости.
"Нужно очень аккуратно действовать с подписками или платными услугами – не стоит пытаться их отключить, если они встроены в меню SIM-карты оператором. Также не стоит использовать режим разработчика для самостоятельных внесений изменений в функционал смартфона", — советует эксперт.

Она добавляет, что этот режим создан для тонкой настройки устройств, которую делают на производстве. Что-либо изменив, вы получите устройство, которое работает со сбоями или не работает совсем.

Эксперт назвал приложения, которые нужно немедленно удалить с телефона

Эксперт журнала Forbes Зак Доффман перечислил приложения, которые нужно немедленно удалить со смартфона, передает zakon.kz со ссылкой на РИА Новости.

По словам специалиста, в Google Play обнаружили восемь опасных приложений, которые могут украсть банковские реквизиты пользователя и даже обойти двухфакторную аутентификацию.

Доффман предупредил, что в этих программах присутствует троян под названием Clast82, который может устанавливать любое вредоносное ПО на гаджет. Clast82 получает удаленный доступ к зараженному устройству. После этого троян чаще всего устанавливает приложение AlienBot для кражи банковских данных. 

Clast82 получает полный доступ к смартфону, как если бы хакер держал его в своих руках, - говорится в статье. 

Специалист перечислил названия приложений из Google Play Store, содержащие вредоносное ПО:

• Cake VPN (com.lazycoder.cakevpns)
• Pacific VPN (com.protectvpn.freeapp)
• eVPN (com.abcd.evpnfree)
• BeatPlayer (com.crrl.beatplayers)
• QR/Barcode Scanner MAX (com.bezrukd.qrcodebarcode)
• Music Player (com.revosleap.samplemusicplayers)
• tooltipnatorlibrary (com.mistergrizzlys.docscanpro)
• QRecorder (com.record.callvoicerecorder)

Эксперт посоветовал после удаления перечисленных программ со смартфона проверить банковские счета на подозрительную активность, а также сменить пароли для входа в мобильный банк.

В статье уточняется, что Google удалил эти приложения из своего Play Store, однако эксперты назвали их возвращение в сервис по скачиванию приложений под другими названиями лишь вопросом времени.