Специалисты по безопасности в интернете давно говорят: лучше не подключать свой телефон к зарядкам, которые неизвестны. Мы часто игнорировали этот совет и всё равно заряжали свои устройства в общественных местах. Однако теперь Android 16 хочет помочь нам избежать проблем.
Google добавит новую функцию в Android 16: теперь нельзя будет подключать новые USB-устройства, если телефон заблокирован. Зарядка будет работать, но другие устройства, как флешки или клавиатуры, не подключатся. Это защитит ваш телефон от возможных атак через USB-порты.
Когда телефон заблокирован, передача данных через USB будет отключена. Чтобы подключить что-то, нужно сначала разблокировать экран. Раньше для этого приходилось устанавливать отдельные приложения, но теперь функция будет встроена в систему.
Android 16 также будет отправлять уведомление, если кто-то попытается подключить подозрительное устройство через USB.
В режиме Advanced Protection Mode:
— Нельзя устанавливать приложения в обход Google Play,
— Отключается 2G-связь,
— Включается защита памяти,
— Блокируются небезопасные Wi-Fi сети.
Пока что функцию можно включить только в Android 16 Beta 4, но скоро она будет доступна для всех.
Важно: уже подключенные устройства не будут затронуты. Функция блокирует только новые подключения. Теперь можно не беспокоиться о безопасности телефона, пока заряжаете его в общественных местах.
Метка: DLL Sideloading
-
Безопасная зарядка в общественных местах: уроки от Android 16
-
Банковские счета программистов разорены из-за DLL-атаки в Eclipse
Хакеры постоянно улучшают способы скрытия вредоносных программ, используя обычные программы для обхода защиты. Один из таких методов — DLL Sideloading, который позволяет загружать вредоносные библиотеки через доверенные приложения.
Недавно специалисты из AhnLab Security Intelligence Center (ASEC) обнаружили новую атаку с использованием XLoader, где злоумышленники используют утилиту jarsigner из Eclipse IDE.
Атака начинается с распространения зараженного ZIP-архива с тремя файлами: переименованный «jarsigner.exe» (как «Documents2012.exe»), поддельная библиотека «jli.dll», которая загружает вредоносную «concrt140e.dll» и сам загрузчик XLoader. Запуск «Documents2012.exe» запускает XLoader.
После успешной атаки вредоносный код скрывается в процессе «aspnet_wp.exe», чтобы скрыть присутствие XLoader. Основная цель вредоносной программы — кража личной информации, включая данные браузера и учетные записи. Кроме того, XLoader может загружать другие вредоносные программы.
XLoader является продолжением Formbook и работает по принципу Malware-as-a-Service (MaaS). Он был обнаружен в 2020 году и постоянно развивается, в том числе была найдена версия для macOS в 2023 году. Последние версии XLoader имеют улучшенные методы маскировки, включая шифрование кода.
XLoader использует ложные доменные имена для скрытия сетевой активности, смешивая ее с обращениями к настоящим сайтам. Этот метод ранее использовался в других угрозах, таких как Pushdo и SmokeLoader.
Помимо XLoader, были обнаружены новые загрузчики вредоносных программ — NodeLoader и RiseLoader, распространяющие различные угрозы. Анализ RiseLoader показал сходство его кода с другим вредоносным ПО — RisePro, что указывает на связь между группировками.
Развитие XLoader и других инструментов хакеров говорит о усложнении атак и активном использовании методов маскировки. Пользователям и организациям следует уделить внимание защите своих систем: регулярно обновлять антивирусные программы и избегать открытия файлов из подозрительных источников. -
PoC-эксплойт обнаружен в утилите очистки диска Windows
В утилите Windows для очистки диска (Disk Cleanup Tool — cleanmgr.exe) обнаружена уязвимость, которая может быть использована злоумышленниками для повышения своих прав на компьютере до уровня SYSTEM. Эксперты называют эту проблему серьезной и присвоили ей 7,8 баллов по шкале безопасности.
Уязвимость была обнаружена анонимным исследователем, который опубликовал демонстрационный эксплойт на GitHub. Она позволяет загрузить вредоносную библиотеку в память через процесс cleanmgr.exe. Microsoft выпустила патч для устранения этой проблемы в своем февральском обновлении.
Пока нет информации о том, что уязвимость была использована в реальных кибератаках, но всё равно рекомендуется установить обновления как можно скорее.
-
От разведки к рэкету: правительственные хакеры на деньги
Эксперты компании Symantec сообщили, что китайская группировка Emperor Dragonfly использовала инструменты шпионов для атаки с помощью программы-вымогателя. Эта атака произошла в конце 2024 года, когда злоумышленники напали на азиатскую IT-компанию.
Emperor Dragonfly ранее была связана с кибершпионажем, но теперь она начала использовать программы-вымогатели. Они использовали программу RA World, которая была связана с другой группой RA Group, появившейся в 2023 году.
В июле 2024 года неизвестная группировка атаковала МИД одной из стран Юго-Восточной Европы, используя метод DLL Sideloading. Затем была зафиксирована атака на правительственные структуры другой страны, а также на телекоммуникационную компанию в регионе.
В ноябре 2024 года хакеры атаковали IT-компанию в Южной Азии с помощью уязвимости CVE-2024-0012 в Palo Alto PAN-OS. Они украли данные и зашифровали компьютеры программой-вымогателем RA World, требуя выкуп в размере $2 млн.
Специалисты предполагают, что группа могла использовать методы киберпреступников для сокрытия следов или для личной выгоды. Они также учитывают, что хакеры, занимающиеся кибершпионажем, могут участвовать в преступной деятельности ради личной выгоды.