Az FBI Denver Field Office figyelmeztetést adott ki olyan csaló weboldalak terjedéséről, amelyek ingyenes online fájlkonvertáló szolgáltatásokat kínálnak. Ezek a weboldalak első ránézésre ártalmatlannak tűnnek, azonban valójában kártékony programokat telepítenek a gyanútlan felhasználók eszközeire. Az FBI különösen a ransomware támadásokhoz vezető fertőzésekre hívta fel a figyelmet, de más kártékony szoftverek, böngészőeltérítők, reklámprogramok és más nem kívánt alkalmazások is terjedhetnek ezen az úton.
A „KoSpy” elnevezésű új Android spyware legalább öt rosszindulatú alkalmazáson keresztül került be a Google Play Áruházba és egy harmadik féltől származó APKPure nevű alkalmazásboltba.
A Doctor Web kutatói azonosították a Vo1d nevű kártékony programot, amely világszerte közel 1,3 millió Android-alapú TV-boxot fertőzött meg. A malware egy backdoorként működik, amely lehetővé teszi a támadók számára, hogy további szoftvereket telepítsenek a fertőzött eszközökre.
A szerb hatóságok egy Cellebrite által fejlesztett Android nulladik napi exploitláncot alkalmaztak egy diákaktivista telefonjának feltörésére, valamint kémprogram telepítésére tett kísérletre – derült ki az Amnesty International vizsgálatából.
Az FBI, amerikai igazságügyi minisztérium illetve nemzetközi partnereik bejelentették, hogy több ezer számítógépről törölték a PlugX malware-t világszerte egy több hónapos bűnüldözési akció keretein belül. A malware a kínai Mustang Panda (másnéven Twill Typhoon) nevű fenyegető szereplőhöz köthető, melyet a támadó érzékeny adatok eltulajdonítására használt. A bírósági dokumentumokból az derült ki, hogy Mustang Pandát a kínai kormány kérte fel és fizette a kártékony program fejlesztésére.
A NoviSpy névre keresztelt új Android kémprogram a Qualcomm chipjeinek kihasználatlan nulladik napi sebezhetőségeit (zero-day vulnerabilities) használja ki. A kártevőt a szerb hatóságok állítólag újságírók, aktivisták és tüntetők megfigyelésére alkalmazták, jelentős aggályokat vetve fel az emberi jogok és adatvédelem terén.
A FakeCall nevű androidos malware új verziója képes eltéríteni a felhasználók bankját célzó kimenő hívásokat, és azokat átirányítani a támadó telefonszámára. Az új verzió célja továbbra is az, mint eddig: ellopni az emberek érzékeny adatait és pénzét a bankszámlájukról.
A Google Play, az Android hivatalos áruháza, egy éves időtávot vizsgálva több mint 200 rosszindulatú alkalmazást terjesztett, amelyeket összesítve nagyjából nyolcmilliószor töltöttek le a felhasználók. Az adatokat 2023 júniusa, és 2024 áprilisa között gyűjtötték a Zscaler kutatói, akik az időszakban több malware családot is észleltek a vizsgált alkalmazásokban a Google Play-en, és egyéb platformokon is.
A leggyakoribb fenyegetések ezek között a következők voltak:
Egy új, „FakeUpdate” csalási kampány francia felhasználókat céloz meg, és kompromittált weboldalakat felhasználva hamis böngésző és alkalmazás-frissítéseket jelenít meg számukra, amelyek valójában a WarmCookie backdoor új verzióját terjesztik. A FakeUpdate egy olyan támadási stratégia, amit a SocGolish nevű fenyegetési csoport előszeretettel alkalmaz.
A Google Playen keresztül 11 millió Android eszközre telepítették a Necro malware új verzióját, a Necro Trojan-t, rosszindulatú SDK (Software Development Kits) supply chain támadások során. A Necro számos rosszindulatú programot tölt be és különböző rosszindulatú bővítményt aktivál a fertőzött eszközökön, úgymint:
Egy malware-rel kapcsolatos kampány szokatlan módszere, hogy zárolja a böngészőt kioszk módban, ezzel a Google hitelesítő adataik megadására kényszeríti a felhasználókat, amelyeket aztán az információlopó rosszindulatú programokkal ellopnak.
A kioszk mód egy speciális konfiguráció a webböngészőkben vagy az alkalmazásokban, amely teljes képernyős módban fut a szabványos felhasználói felület elemei (eszköztárak, címsorok vagy navigációs gombok) nélkül. Úgy lett tervezve, hogy a felhasználói interakciót bizonyos funkciókra korlátozza.
A kampány kapcsolódik az ESET nemrégiben kiadott jelentéséhez, amely a progresszív webes alkalmazások (PWA-k) és fejlett WebAPK-k fokozott használatáról szól, amelyekkel banki hitelesítő adatokat lopnak el.
Biztonsági kutatók a Vultur banki trójai Androidra szánt új verzióját fedezték fel, amely fejlettebb távvezérlési képességeket és egy továbbfejlesztett kikerülési mechanizmust tartalmaz.
A Vultur legújabb fertőzési lánca azzal kezdődik, hogy az áldozat SMS üzenetet kap, amely egy jogosulatlan banki tranzakcióra figyelmeztet, és arra utasítja az áldozatot, hogy hívjon fel egy megadott számot útmutatásért.
Az Androidos PixPirate banki trójai legújabb verziója egy új módszert alkalmaz arra, hogy elrejtőzzön a telefonokon, miközben aktív marad, még akkor is, ha a dropper alkalmazását eltávolították.
Két külön esetre derült fény ezen a héten amelyek kémszoftvereket telepítettek a felhasználók Android rendszerű telefonjára és Chrome alapú böngészőjébe. Nézzék át a telefonjaikat és böngészőiket a lehetséges rossz szándékú kiegészítők után kutatva, illetve használjanak friss vírusvédelmi megoldást.