Fortinet ostrzega: uwaga na aplikację ai.type oraz nową kampanię ransomware
Analitycy z FortiGuard Labs firmy Fortinet opublikowali najnowszy cotygodniowy przegląd cyberzagrożeń. Zwracają w nim uwagę na nową kampanię ransomware’u, niebezpieczne załączniki Excel oraz złośliwe oprogramowanie ukryte w popularnej aplikacji ai.type dla systemu Android.
Złośliwe funkcje w popularnej aplikacji
Ai.type to popularna aplikacja dla systemu Android, która modyfikuje wygląd wirtualnej klawiatury (wprowadza dodatkowe emotikonki i pozwala na zmianę czcionki klawiszy), a także uczy się stylu pisania użytkownika i automatycznie poprawia błędy. W tym roku Google usunęło ją z Google Play, ponieważ została ona zidentyfikowana jako złośliwa. Wcześniej jednak pobrano ją 40 milionów razy. Wciąż jest też dostępna w innych źródłach.
Aplikacja po pobraniu wysyłała żądania w celu dokonania zakupu usług cyfrowych premium. Jak dotąd zidentyfikowano około 14 milionów podejrzanych transakcji pochodzących z ponad 100 tys. unikalnych urządzeń. Wartość zakupów niechcianych usług cyfrowych, wygenerowanych za pośrednictwem ai.type wyniosła ponad 18 mln dolarów.
Osoby, które korzystały z tej aplikacji powinny sprawdzić telefon pod kątem nietypowych zachowań. Należy szukać oznak zwiększonego wykorzystania danych, które mogłyby wskazywać, że aplikacja zużywa je w tle. Ponadto warto zweryfikować, czy na rachunku nie pojawiły się niechciane lub nieoczekiwane opłaty.
Ransomware wciąż popularny
Analitycy Fortinet wykryli również nowy wariant oprogramowania ransomware o nazwie Buran, dostępny w modelu ransomware jako usługa (Ransomware-as-a-Service, RaaS). Buran jest dostarczany przez popularny eksploit RIG Kit. Został zauważony po raz pierwszy w maju tego roku. Jest to klasyczny przykład ransomware’u, który ma na celu przynieść zysk finansowy poprzez uzyskanie okupu w zamian za odszyfrowanie plików na zainfekowanym urządzeniu.
Ze względu na pojawienie się tej usługi na rosyjskojęzycznych forach i jej zabezpieczenie przed wykonaniem złośliwego kodu w Rosji, na Białorusi i Ukrainie można podejrzewać, że jego twórcy znajdują się w jednym z tych krajów.
Ostrożnie wobec plików SVG i załączników Excel
Badacze z FortiGuard Labs analizowali także aplikacje internetowe z osadzonymi obrazami w formacie SVG (Scalable Vector Graphics). Jest to bazujący na języku XML format dwuwymiarowych obrazów wektorowych, z obsługą interaktywności i animacji. Zdefiniowane w plikach tekstowych XML obrazy SVG można tworzyć i edytować za pomocą dowolnego edytora tekstu, a także oprogramowania do rysowania. Wszystkie największe nowoczesne przeglądarki zapewniają obsługę renderowania SVG. Mimo że ten model ułatwia tworzenie bardziej dynamicznych treści internetowych, to wprowadza również dodatkowe zagrożenia.
Ponieważ struktura plików SVG jest zbliżona do języka HTML, specjaliści zalecają, aby programiści usług sieciowych nie ładowali, o ile to możliwe, plików w tym formacie jako obiektu lub ramki iframe. Administrator sieci powinien również ograniczyć typy plików, które mogą być załadowane. W przeciwnym razie każdy niezaufany plik SVG powinien zostać zweryfikowany przed wgraniem na serwer.
Zespół Fortinet odnotował również dwie duże kampanie spamowe, w ramach których wykorzystano załączniki w formacie plików Excela. Wszystkie używane w nich e-maile zostały napisane w języku niemieckim i nakłaniały adresatów do otwarcia załączonego dokumentu, który rzekomo miał zawierać rachunek za usługę.
Przedsięwzięcia na tak dużą skalę są czymś wyjątkowym, ponieważ mniejsze, skalowalne kampanie dają większe szanse na uniknięcie wykrycia spamu. Podobną kampanię zaobserwowano na początku roku, była ona skierowana do japońskich użytkowników.