Online Tržište

Antivirus kompanija Symantec objavila je da je u dosada najvećoj Android malware kampaniji zaraženo oko 5 milijuna korisnika preuzimanjem zaraženih aplikacija sa Google Android Market-a.

Prema kompaniji Symantec, malware je bio pakiran u 13 različitih aplikacija od tri različita izdavača, sa naslova od "Sexy Girls Puzzle" do "Counter Strike Ground Force". Symantec upozorava korisnike da su mnogi od ovih zaraženih aplikacija još uvijek dostupne na Android Market-u.

Antivirus kompanija navodi da je taktika kojom se služe tvorci ovog Android malware ta da oni u legitimnu aplikaciju ubacuju svoj zlonamjerni Kod, a zatim aplikaciju ponovno vrate na tržište u nadi da će se korisnici zbuniti i umjesto prave preuzeti ovu lažnu aplikaciju.

Symantec procjenjuje da se sa ovih 13 aplikacija ukupno zaraženo između milijun i 5 milijuna Android korisnika i da je ovo do sada najveća malware kampanja na Android Market-u.

"Android.Counterclank" je trojanac koji kada se instalira na Android smartphone prikuplja širok spektar informacija, uključujući bookmarks i informacije o proizvođaču a također modificira i početnu stranicu preglednika. Ako se netko sučajno pita koji je cilj ovog malwarea i šta njegovi tvorci imaju od toga, naravno odgovor je online zarada.

Online zarada tvoraca malwarea dolazi od prikazivanja neželjenih oglasa na zaraženim Android telefonima.
Android.Counterclank je manja varijacija starijeg Android trojanca Android.Tonclank koji je otkriven u lipnju 2011 godine.

Treba naglasiti da je svih 13 zaraženih aplikacija besplatno za preuzimanje. Symantec navodi da su obavjestili Google o otkriću ovog malware, ali da Google nije bar za sada adekvatno reagirao.

Kompanija Symantec je objavila popis 13 zaraženih Android aplikacija na svom web sajtu.

Mnogo puta kada se neki softverski paketi nude besplatno, iza njih stoje prevaranti koji ih koriste kao mamac za širenje trojanaca i drugih zlonamernih programa među sistemima ljudi koji pokušavaju da izbegnu plaćanje za softver.

Ova praksa nije ništa novo, pre nekoliko godina pojavio se trojanac pod nazivom iServices koji je pronađen ugrađen u piratske kopije Apple iWork ’09 paketa. On je kao i većina trojanaca pokušao da kontaktira remote servere i da pošalje lične podatke i preuzime zlonamerne datoteke na zaraženim sistemima.

U poslednjih nedelju dana, još jedan sličan trojanac pod nazivom DevilRobber ili Miner-D pronađen je ugrađen u piratskim kopijama alata za manipulaciju slikama, Graphic Converter. To je popularan program kojeg je Apple imao u paketu sa Mac sistemima. Graphic Converter program je legitiman softver ali njegova kompromitovana verzije koja se pojavila na sajtovima za delenje sadržaja sadrže malware.

Kao i kod drugih trojanaca i ovaj novi takođe pokušava da ukrade lične podatke, međutim, njegov osnovni cilj je da iskoristi zaražene računare za falsifikovanje Bitcoin virtuelne valute.

Svaki Bitcoin je sličan sertifikatu kojem je dat šifrovani potpis za pojedinca i koji se čuva u virtuelnom “novčaniku” za tog korisnika. Kada se Bitcoin prenosi drugom pojedincu, šifrovani potpis se prosleđuje novom korisniku i čuva u novčaniku tog korisnika, nudeći u suštini sličan vrednosni transfer kakav je u slučaju kada država sponzoriše monetarne sistema kao što su dolar ili evro.

Da bi se napravio balans sistema, Bitcoin mreža ima programe pod nazivom Miners koji uzimaju u obzir broj izvršenih Bitcoin transakcija a potom stvara nove po stopi koja se bazira na korištenju. U suštini Miners (rudari) su slični Centralnim bankama jer prate broj novca u opticaju kako bi se sprečila veštačka inflacija ili deflacije.

Bitcoin valuta je ideja koju jedni smatraju veoma opasnom a drugi obećavajućom, ali, kao što postoji problem falsifikovanja stvarnih valuta tako postoje pokušaji da se falsifikuju i Bitcoins. Tome u prilog ide i postojanje Bitcoin Exchange servisa koji nude razmenu za robu ili konvertovanje u dolare, evre i još neke druge konvencijalne valute.                              Pogledaj kompletan post »

Malware je i dalje minimalna opasnost za većinu Mac korisnika, ali to ne znači da napadači na razne načine ne pokušavaju da ukradu podatke ili pak da pretvore korisnikova računala u botnet trutove.

Novi Mac trojanac predstavlja se kao PDF datoteka i nastoj da računala korisnika pretvori u botnet trutove, navode istraživači F-Secure.

Ovaj malware je identificiran kao Trojan-Dropper:OSX/Revir.A, koji instalira Backdoor:OSX/Imuler.A, na korisnikov Mac. Trenutno, Backdoor ne komuniciraju ni sa kim. Komandni i kontrolni centar za ovaj malware je očito razotkriven Apache instalacijom, koji miruje na sadašnjem domenu još od svibnja ove godine. Zbog toga, korisnici koji su potencijalne žrtve ovakvog napada nisu za sada vidjeli nikakve loše učinke ali to bi se mogao promijeniti ako se ova datoteka raširi na veći broj Mac računala.

Kao što je spomenuto ranije, ovaj trojanac se širi tako što pravi samog sebe kao PDF datoteku i koji se prikazuje na zaslonu kao dokument na Kineskom jeziku u pokušaju da u pozadini sakrije svoju aktivnosti.

Nažalost, za sada nema informacija o tome kako se točno malware distribuira, ali kao i kod drugih zlonamjernih programa, on se može distribuirati putem spam e-mailova i web stranica. Ako primjetite nepoznati PDF koji se pokreće automatski na vašem sustavu, onda ste i vi njegova žrtva. Kao i kod drugih zlonamjernih programa na OS X, oni moraju biti eksplicitno pokrenuti od strane korisnika kako bi se instalirali, pa stoga oprez sa programima koje ste preuzeli, pogotovi ako su na neočekivanom jeziku ili sadrže mnogo pravopisnih i gramatičkih grešaka.

Osim korištenje malware skenera, sam OS X sada ima nekoliko načina borbe protiv ovakvih trojanaca. Pa tako, sustav zastavlja svaki program koji je preuzet a vas upozorava da je to prvi put da pokrećete tu datoteku.

Ruska sajber grupa Soldier otuđila je 3,2 milijuna dolara od američkih građana koristeći se trojancem za krađu podataka SpyEye-Zeus.

Sigurnosna kompanija Trend Micro navodi da su od siječnja 2011 godine utvrdili da je Ruska sajber grupa Soldier bila u mogućnosti da kompromitira američka poslovanja, uključujući i banke, zračne luke, istraživačke institucije, pa čak i američku vojsku i Vlada, kao i obične građane.

Ukupno 25.394 sustava je zaraženo samo u periodu između 19. travnja i 29. lipnja, od kojih je 57% Windows XP sustava a čak 4.500 žrtava je imalo Windows 7 operacijski sustav.

Sigurnosna kompanija Trend Micro ne daje nikakvo objašnjenje po pitanju od koga je 3,2 milijuna dolara ukradeno, građana ili poslovanja niti koliko je ta brojka tačna. Za mnoge račune sa raznih aplikacija je utvrđeno da su kompromitovani a među tri najveća su Facebook, Yahoo i Google, ali se na popisu također nalaze i računi sa eBay, Amazon, PayPal i Skype-a.

Ruska sajber grupa Soldier je ​​uglavnom usmjerena na Američke korisnika i povećanje broja uspješnih infekcija u SAD-u. Prema nekim informacijama grupa je čak kupovala američki web promet od druge Internet kriminalaca. Ono što sigurnosna kompanija Trend Micro navodi sa sigurnošću jeste da je ova Ruska grupa online kriminalaca koristila malware za krađu novca sa kompromitovanih računa ali i krađu ostalih korisničkih podataka.

Bankarski trojanaci kao što je SpyEye i stariji Zeus su korišteni u nekoliko velikih online zločina među koje spada i krađa 12 milijuna funti u Velikoj Britaniji kroz niz aktivnosti, uključujući i online bankovne prijevare. Također, postoje određene indicije da je početkom 2010 godine, pomoću trojanca Zeus izvršena krađa 20 milijuna funti, ali policija još uvijek to sa sigurnošću ne može da potvrdi.

Alarmantan broj Windows korisnika nepotrebno je otvario mogućnost da postanu mete online napada isključivanjem User Access Control (UAC) koji dolazi sa Windows 7 i Vista, priopćila je kompanija Microsoft.

Prema nekim pretpostavkama za gotovo 23 posto osobnih računala je utvrđeno da su zaražene opasnim vrstama rootkit i crva, a radi se o račnalima na kojima je UAC onemogućen. To kako je UAC onemogućen na tim strojevima je vrlo zanimljiva stvar.

Postoje samo tri načina za to, prvi korištenjem ranjivosti softvera za cijanje usluge koja ima administratorske privilegije po defaultu, taktika koja se ispostavila da djeljuje u sve većem broju slučajeva. Svaki malware koji dođe ovako daleko može isključiti UAC, zaustavljanjem njegovih zahtjeva za administratorske privilegije nakon svakog ponovno paljenje računara.

Druga metoda je da se korisnik prevari da klikne na "da" kada se UAC obavještenje pojavi.

Treći način je da se zarazi računalo na kojem je UAC već onesposobljen, a to je nešto za što Microsoft smatra da se veoma rijetko događa.

Virusi iz skupine Sality, Alureon rootkits, lažni antivirusi poput FakePAV, crv Autorun i trojanac Bancos su sve varijante koje će isključiti UAC,

navodi u priopćenju Microsoft Malware Protection Center.

Poruka je jasna, korisnici bi trebali uvijek imati UAC uključen dok bi poslovanja mogla jednostavno ograničiti Windows admin prava i potpuno zaobići ovisnost o UAC.

Također, osim ovog upozorenja kompanije Microsoft, također treba obratiti pozornost na novi malware koji se veoma brzo širi. U manje od dva tjedna, malware koji je usmjeren na e-commerce web stranice do sada je zarazi više od 6 milijuna stranica. Malware, pod nazivom willysy, iskorištava ranjivosti u popularnoj platformi za online trgovinu, osCommerce.

Sigurnosna tvrtka Armorize je 24 srpnja prvi put izvijestila o postojanju ovog malware-a i tada je utvrđeno da jeinficirano 90.000 stranice. Drugi uvid u inficiranost malware-om willysy pokazao je da se infekcija proširio na oko 6.300.000 stranica. Iako je identitet malware napadača za sada još uvijek nepoznat, tvrtka Armorize izvještava da je na tragu osam IP adrese, kao mogućim izvorima napada, i sve su locirane u Ukrajini.

Tvrtka Armorize navodi da napad iskorištava tri poznate ranjivosti u osCommerce verziji 2.2. Ove ranjivosti omogućavaju napadačima da postave nevidljivi okvir (iFrame) na stranice, a zatim ubrizgaju zlonamjerni Kod (JavaScript) u stranicu, koji će zaraziti posjetitelja online trgovine.

Nakon što se infekcije proširi na računalo posjetitelja, ona cilja ranjivosti u Java, Adobe Reader, Windows Help Center i Internet Explorer-u. Iako su propusti u ovim programima poznati i za njih već postoje zakrpe, napadači se nadaju da korisnik nije zakrpio sve programe.

Prema navodima osCommerce, open source software koristi oko 250.000 trgovaca, programere, pružatelja usluga i entuzijasta.

Otkriven je novi Android trojanac koji snima vaše telefonske razgovore, navode tim zadužen za bezbednost u kompaniju CA Technologies.

Prethodni trojanac kojeg je CA otkrio prikupljao je detalje dolaznih i odlaznih telefonskih poziva kao i trajanje poziva, malware identifikovan ove nedelje beleži stvarne telefonske razgovore u AMR formatu i smešta snimak na SD karticu uređaja.

Malware takođe kreira i konfiguracijski fajl koji sadrži ključne informacije o udaljenom serveru i parametrima, što ukazuje na to da bi ti snimljeni razgovori mogli biti otpremljeni na server napadača, navodi Dinesh Venkatesan iz kompanije CA.

Dinesh Venkatesan je testirano ovaj trojanac u "kontrolisanom okruženju sa dva mobilna emulatora koji rade zajedno sa simuliranim Internet servisom". Rezultati pokazuju da se trojanac može instalirati samo ako vlasnik Android uređaja klikne na "Install" dugme koje se nalazi na poruci koja izgleda veoma slično instalacijskom ekranu legitimnih aplikacija.

Nakon što su malware i fajl sa konfiguracijom udaljenog servera instalirani na Android uređaj, telefonski poziv je okidač koji aktivira snimanje poziva i njegovo čuvanje na SD kartici.

Android omogućava mnogo veću fleksibilnost od iPhone-a kada je u pitanju dozvoljavanje instaliranja aplikacija drugih proizvođača, čak i onih koje nisu odobrene za Android Market, a ova sloboda donosi i znatno veći bezbednosni rizik.

Brzošireći ubačeni SQL napad razbija antivirus barijere i ugrožava milione sajtova, uz online prevaru bezazlenih žrtava. Vesti o ovome napadu objavljena je od strane Websense Security Labs. Websense Security Labs navodi da je njena Threatseeker Network identifikovala novu zlonamernu masovno kampanju pod nazivom LizaMoon.

Kako to radi

Prema njihovim navodima, LizaMoon masovno ubrizgavanje je SQL napad koji privlači korisnike na lažni sajt na kojem će biti žrtve napada. SQL napad počinje sa ubacivanjem linije u kod stranice.

Ova skripta koristi ranjivost web aplikacije u sajtovima (zastareli CMS i Blog sistemi) i vodi korisnike na LizaMoon lažni sajt.

Datoteka koja treba da uplaši korisnika instalirana je na sajtu, a zatim kada se korisnici pojave počinje proces koji tada vara korisnika tako da on poveruju da je računar zaražen virusima prikazujući lažno trojansko upozorenje. Zlonamerni fajl zatim prodaje softver korisniku nudeći da će izbrisati viruse. Pored novca potrošenog na lažni softver, u pozadini je još jedan napad koji kompromituje bezbednosti korisnikovog sistema.

Zaraženo četiri miliona sajtova

Broj web sajtova koji su ugroženi dopuštajući da im se u njihov kod instalira skripta sa linkom koji korisnike preusmerava na lažni Lizamooon.com sajt, u petak je iznosio čak 500.000, međutim CNNMoney navodi da je stvarni broj sajtova koji su se našli pod napadom sada čak nešto više od četiri miliona. Pogledaj kompletan post »

Google je povukao 21 popularanu besplatnu aplikaciju sa Android Market-a zbog malicioznih funkcionalnosti omogućenih exploitom poznatim pod nazivom "rageagainstthecage". Prema navodima kompanije, malware aplikacije su usmjerene na dobivanje root pristupa uređaju korisnika, zahvatajući širok raspon dostupnih podataka, te download-ovanju više Kodova na uređaj bez znanja korisnika.

Iako je Google uspješno i brzo povukao aplikacije sa Android Market-a ipak su do sada te aplikacije skinute više od 50.000 puta.

Sve ove aplikacije su piratske verzije popularnih igra i programa. Jednom preuzete, aplikacije root korisnikov uređaj pomoću metode "rageagainstthecage", a zatim koristite Android izvršnu datoteku (APK) kako bi izvukli podatke korisnika i uređaja, kao što su davatelj mobilnih usluga i korisnički ID, lozinke i ostalo. Konačno, aplikacija djeluje kao široko otvorena stražnja vrata vašeg uređaja koja služe za tiho preuzimanje više zloćudnih kodova, naravno brz vašeg znanja.

Svaku od 21 aplikacije na Android Market je postavila jedna osoba pod nazivom "Myournet".  Ako ste preuzeli neku od njih, najbolje bi bilo da uređaj odnesete na servis ili na zamjenu kako bi bili sigurni da su vaše informacije zaista sigurne. Reset podataka i postavki nije dovoljan, već se preporučuje potpuno brisanje i reinstalacija uređaja.

U nastavku je djelomičan popis ovih aplikacija:

• Falling Down
• Super Guitar Solo
• Super History Eraser
• Photo Editor
• Super Ringtone Maker
• Super Sex Positions
• Hot Sexy Videos
• Chess
• Hilton Sex Sound
• Screaming Sexy Japanese Girls
• Falling Ball Dodge
• Scientific Calculator
• Dice Roller
• Advanced Currency Converter
• APP Uninstaller
• Funny Paint
• Spider Man

“Oglasi-mine” koji su posetiocima pružali lažne bezbednosne softvere otkriveni su na sajtu Londonske Berze (LSE).

Analiza LSE sajta ukazuje na to da su u poslednjih 90 dana oko 363 stranice hostovale malware.

LSE u svojoj izjavi navodi da je sajt sada bezbedan i da je istraga pokazala da su krivci za ovo oglasi treće strane.

Jedna žrtva je tvrdila da je njen računar bio potpuno neupotrebljiv nakon infekcije. Stručnjak za bezbednost Paul Mutton postao je i sam žrtva, kada je gledao sajt 27. februara. On je posetio početnu stranicu LSE da biste saznao zašto neki ljudi izjavljuju da ne mogu da joj pristupe.

Sajt je bio blokiran od strane Firefox-a, ali je bio dostupna preko Google Chrome-a. Činilo se da sa Chrome-om sve radi bez problema, međutim nekoliko sekundi kasnije, bez bilo kakvog klikanja počeli su da iskaču pop-up prozori,

izjavio je Paul Mutton.

Dok se borio da povrati kontrolu nad svojom mašinom, malware je počeo da izbacuje nekoliko lažnih virusnih upozorenja u pop-up prozorima. Jedan od prozora je bio lažni bezbednosni skener koji je tvrdio da je otkrio mnogo različitih zlonamernih programa na računaru.

Gospodin Mutton navodi da je njegova mašina žrtva uprkos tome što je ažurirana sa najnovijim definicijama virusa.

Analiza početne stranice LSE-a izvršena sa Google-ovom bezbednom šemom pregledanja, koja skenira web stranice tražeći zlonamerni kod, pronašla je da je sajt imao "sumnjive aktivnosti 6 put u proteklih 90 dana".

Od 1112 stranica koje Google skenirao na LSE sajtu u poslednjih 90 dana, za 363 je utvrđeno da hostuju malware.

Stručnjaci bezbednosne firme Lookout Mobile Security upozoravaju na pojavu novog "trojanca" koji napada Anroid uređaje i ističu kako predstavlja najsofisticiraniju bezbedosnu pretnju za mobilne uređaje koja se do sada pojavila.

Trojanac nazvan Geinimi prvo se pojavio u Kini, a sposoban je preuzeti veliku količinu ličnih podataka i poslati ih na udaljene servere. Prema tvrdnjama stručnjaka iz Lookout-a, Geinimi ima karakteristike botnet-a i najsofisticiraniji je softverska pretnja mobilnim uređajima koju su do sada videli.

Geinimi se širi "upakovan" u aplikacije, prvenstveno igrice, i to putem nezavisnih prodavnica aplikacija. Zaražene aplikacije prilikom instalacije zahtevaju znatno veća ovlaštenja u odnosu na originalne verzije softvera. Više detalja o ovom trojancu pogledajte na blogu firme Lookout.

Većina korisnika preuzima aplikacije sa oficijelnog Android Market, što je sigurnija opcija, a ako baš morate da preuzmete neke aplikacije sa drugog mesta, pre nego što to uradite uverite se da nepostoji pretnja od softverske zaraze.