Știri
Știri din categoria Securitate cibernetică
Apple a retras din App Store două aplicații cu probleme, iar cazul ridică semne de întrebare despre eficiența filtrării și reacția platformei la alerte timpurii, după ce peste 50 de utilizatori ar fi pierdut în total aproximativ 9,5 milioane de dolari (aprox. 43,7 milioane lei) în criptomonede, potrivit IT之家.
Într-unul dintre cazuri, o aplicație falsă care imita „Ledger Live” ar fi reușit să treacă de mecanismele de verificare ale App Store, conform relatării 9to5Mac, care citează CoinDesk. Între 7 și 13 aprilie, aplicația malițioasă ar fi dus la furtul de active precum Bitcoin și Ethereum de la cel puțin 50 de victime. Publicația notează că cei mai afectați trei utilizatori ar fi pierdut sume de ordinul milioanelor de dolari, iar cea mai mare pierdere într-o singură tranzacție ar fi ajuns la 3,23 milioane de dolari (aprox. 14,9 milioane lei). Apple a eliminat ulterior aplicația, însă nu a comentat public situația, potrivit aceleiași surse.
Anchetatori din zona blockchain au indicat că fondurile furate ar fi fost mutate către o adresă de depozit KuCoin. Aceeași adresă este asociată, potrivit investigației citate, cu un serviciu centralizat de „mixare” (amestecare a tranzacțiilor pentru a ascunde originea banilor), care ar percepe comisioane ridicate pentru a masca traseul fondurilor ilicite.
Investigatorul blockchain ZachXBT a avertizat că incidentul ar putea declanșa o acțiune colectivă în instanță. Rămâne neclar cum a trecut aplicația de procesul de aprobare și de ce Apple nu ar fi intervenit imediat după primele raportări de furt, conform materialului citat de IT之家.
În aceeași zi, Apple a retras și aplicația „Freecash”, după ce TechCrunch a relatat că aceasta s-a promovat pe TikTok cu promisiunea „câștigi bani uitându-te la clipuri”, dar ar fi colectat date personale sensibile, inclusiv informații despre rasă, sănătate și date biometrice.
Un raport Malwarebytes citat în articol susține că aplicația funcționa, în esență, ca intermediar de date, folosind un sistem de recompense pentru a împinge utilizatorii să descarce și să cheltuiască în anumite jocuri mobile.
Investigația menționează și un istoric de schimbări care ar fi facilitat revenirea aplicației în magazin:
Pentru utilizatori și pentru companiile care se bazează pe distribuția prin App Store, cele două episoade readuc în discuție riscul operațional al aplicațiilor care trec de verificare și importanța reacției rapide a platformei atunci când apar semnale timpurii de fraudă sau abuz de date.
Recomandate
Un nou tip de exploit de escaladare a privilegiilor pe macOS, identificat cu ajutorul modelului AI Mythos , a ajuns pe masa Apple și este în curs de verificare , potrivit 9to5Mac . Miza pentru companii și utilizatori este operațională: ocolirea unor mecanisme „de ultimă generație” de securitate poate deschide calea către preluarea controlului unui Mac, dacă este combinată cu alte atacuri. Ce au găsit cercetătorii și de ce contează Conform informațiilor publicate de The Wall Street Journal (citat de 9to5Mac), o echipă de cercetători a testat în aprilie o versiune timpurie a Mythos, modelul AI al Anthropic, și a folosit tehnicile rezultate pentru a „lega” două erori și „o mână de tehnici” care permit coruperea memoriei unui Mac și accesarea unor zone care ar trebui să fie inaccesibile. Acest tip de atac este descris ca un „exploit de escaladare a privilegiilor” — adică o metodă prin care un atacator poate obține drepturi mai mari în sistem decât ar trebui. În lanț cu alte vulnerabilități, ar putea fi folosit pentru a prelua controlul asupra computerului, potrivit aceleiași relatări. Cine este implicat și în ce stadiu e răspunsul Apple Cercetarea este atribuită unei companii de securitate din Palo Alto, Calif. Publicația notează că Apple „revizuiește” raportul primit de la Calif pentru a valida concluziile. Un purtător de cuvânt al Apple a declarat pentru The Wall Street Journal: „Securitatea este prioritatea noastră principală și tratăm foarte serios rapoartele privind potențiale vulnerabilități.” Echipa Calif ar fi întocmit un raport de 55 de pagini, livrat personal către Apple, în Cupertino, cu detaliile tehnice ale constatărilor. Ce urmează: publicarea detaliilor, după remediere Directorul executiv al Calif, Thai Dong, a spus că atacul „nu ar fi putut fi realizat doar de Mythos” și că a folosit expertiza umană a unor hackeri din echipă. Detaliile despre vulnerabilități ar urma să fie făcute publice după ce Apple rezolvă problemele de bază; în același context, Dong a estimat că erorile „probabil vor fi reparate destul de repede”. În acest moment, articolul nu indică dacă vulnerabilitățile afectează versiuni specifice de macOS sau dacă există exploatare activă în mediul real; informația disponibilă este că Apple investighează raportul și validează constatările. [...]
Un furt de telefon în vacanță s-a transformat în 14 transferuri neautorizate, iar un cuplu de pensionari a pierdut 30.000 de euro (aprox. 150.000 lei) în 36 de minute , potrivit Focus . Cazul ridică întrebări despre cât de repede pot fi golite conturile după compromiterea accesului de pe un smartphone și despre eficiența limitelor bancare de transfer în astfel de situații. Cuplul, din Portugalia, se afla în São Paulo, iar incidentul a avut loc pe Avenida Paulista , unde un hoț i-a smuls unuia dintre ei telefonul din mână, relatează postul portughez NOW Canal (citat de Focus). La scurt timp, au început tranzacțiile care au dus la dispariția economiilor. Cum s-au derulat tranzacțiile și ce nu se leagă, potrivit victimelor În intervalul de 36 de minute, banca ar fi înregistrat 14 tranzacții către conturi străine. Cei doi susțin că nu au autorizat niciunul dintre transferuri, conform NOW Canal. Un element care, potrivit relatării, rămâne neclar pentru victime este cum au putut fi procesate sume atât de mari în condițiile existenței unui plafon de transfer la banca lor. Cu toate acestea, tranzacțiile „au trecut” aparent fără întrerupere. După incident, cuplul a notificat poliția judiciară și banca centrală a Portugaliei . Banii nu au fost recuperați până acum, iar cei doi cer rambursarea integrală a sumelor pierdute. Ce recomandă autoritățile și un expert pentru debitări neautorizate Pentru situațiile în care apar debitări neautorizate, Focus indică drept pași imediat necesari informarea băncii și depunerea unei contestații. Publicația menționează că, în Germania, termenul pentru contestarea unor debitări neautorizate poate ajunge până la 13 luni, în timp ce pentru debitări greșite, dar autorizate, termenul este de opt săptămâni. Expertul în protecția consumatorilor Niels Nauhauser a declarat pentru „ Polizei Dein Partner ” că verificarea regulată a extraselor și raportarea rapidă a operațiunilor suspecte sunt esențiale. După furt sau fraudă, recomandarea este blocarea imediată a cardurilor și sesizarea poliției. În context mai larg, materialul notează că infractorii ajung frecvent la accesul în cont prin date bancare furate, bancomate manipulate sau programe malițioase (software dăunător). În multe cazuri, băncile acoperă prejudiciul, însă condițiile depind de circumstanțe și de evaluarea autorizării tranzacțiilor. [...]
Google pare să pregătească migrarea cheilor de acces pe Android , prin opțiuni de import și export în Google Password Manager, un pas care ar reduce blocarea utilizatorilor într-un singur dispozitiv și ar face mai simplă trecerea la un telefon nou, potrivit GSMArena . Cheile de acces (passkeys) sunt o alternativă la parole, bazată pe criptografie: utilizatorul păstrează local pe dispozitiv o cheie privată, iar serviciile online primesc cheia publică asociată. Autentificarea se face apoi printr-o metodă sigură pe dispozitiv (de exemplu, biometrie), fără a mai introduce o parolă. De ce contează: transferul între dispozitive rămâne „veriga” sensibilă Principalul obstacol practic pentru adoptarea cheilor de acces este migrarea lor atunci când utilizatorul schimbă telefonul sau își pierde dispozitivul. Pentru asta există Credential Exchange Protocol (CXP) , un standard în dezvoltare susținut de FIDO Alliance , care permite transferul sigur al acreditărilor între furnizori și dispozitive. GSMArena notează că, deși Google se numără printre susținătorii CXP, compania nu a implementat oficial până acum CXP în Google Password Manager și, implicit, în Android. Ce a fost observat: interfață „ascunsă” pentru import/export Conform articolului, Android Authority a reușit să activeze o interfață încă ascunsă în Google Password Manager care permite atât importul, cât și exportul cheilor de acces. Miza este operațională: pe Android, transferul prin CXP se bazează pe Google Play Services și pe Google Password Manager pentru a „muta” cheile între furnizori, iar existența acestei interfețe sugerează că fundația tehnică necesară este deja pregătită. Ce ar putea urma Dacă funcționalitatea va fi lansată oficial, este probabil să apară opțiuni de migrare a cheilor de acces nu doar în Google Password Manager, ci și în alți manageri de parole care rulează pe Android și suportă passkeys, fiind menționat ca exemplu Samsung Pass. Publicația subliniază însă că, în acest moment, este vorba despre o funcție neanunțată oficial și încă ascunsă în aplicație. [...]
O rețea de 28 de aplicații-capcană a scos bani din abonamente pe baza unor „date” inventate , după ce a ajuns la peste 7 milioane de descărcări din Google Play Store , potrivit Antena 3 . Miza economică pentru utilizatori a fost directă: aplicațiile promiteau acces la istoricul apelurilor, conversațiile WhatsApp și SMS-urile oricărui număr, dar afișau informații fabricate și cereau plată înainte de „rezultate”. Frauda a fost identificată de compania de securitate cibernetică ESET , care a numit rețeaua „CallPhantom”. Specialiștii arată că promisiunea – acces la datele de comunicații ale altor persoane – este imposibil de livrat de o aplicație legitimă, ceea ce indică un model construit în jurul înșelării și monetizării rapide. Cum funcționa schema: „istorice” generate aleatoriu și plată înainte de afișare În loc să extragă date reale, aplicațiile generau local conținut fals: numere aleatorii combinate cu nume prestabilite, ore și durate de apel introduse în codul sursă. Utilizatorii erau împinși către plata unui abonament pentru a vedea aceste „rezultate”, deși informațiile nu aveau legătură cu realitatea. Prețurile abonamentelor, conform articolului, variau de la aproximativ 5 euro (aprox. 25 lei) până la aproape 75 de euro (aprox. 375 lei). De ce au prins: identități „credibile”, piață țintită și presiune psihologică Prima aplicație depistată de ESET, în decembrie 2025, se numea „Call History of Any Number” și era publicată de un dezvoltator cu un nume ales pentru a inspira încredere: „Indian gov.in”, sugerând o legătură cu guvernul indian, deși aceasta nu exista. Inclusiv imaginile de prezentare din Google Play ar fi fost manipulate pentru a crea impresia că aplicația funcționează. Aplicațiile vizau în special India: multe aveau deja selectat prefixul internațional +91 și foloseau UPI, un sistem de plată popular aproape exclusiv pe această piață. În plus, schema includea un mecanism de „recuperare” a utilizatorilor care nu plăteau imediat: dacă închideau aplicația, primeau ulterior un e-mail de notificare fals, care anunța că „rezultatele” sunt gata și îi trimitea direct la pagina de plată. Eliminarea din Google Play și problema rambursărilor ESET a raportat aplicațiile către Google pe 16 decembrie 2025, iar acestea au fost eliminate ulterior din magazin. Totuși, nu toți utilizatorii și-au recuperat banii, deoarece unele aplicații evitau sistemul oficial de plăți Google Play și foloseau servicii externe compatibile cu UPI sau module proprii pentru plata cu cardul. Un semnal de avertizare exista deja în recenziile din Google Play: mai mulți utilizatori ar fi scris că aplicațiile sunt false și că istoricul afișat conține nume și numere generate aleatoriu. [...]
Echipa lui Trump a aplicat un protocol „zero obiecte din China” înainte de îmbarcarea în Air Force One , aruncând telefoane cu cartelă, ecusoane și cadouri primite la Beijing, într-un gest care indică nivelul la care riscurile de spionaj și compromitere a datelor sunt tratate operațional în relația SUA–China, potrivit news.ro . Potrivit unui jurnalist din grupul de presă de la Casa Albă, obiectele ar fi fost aruncate într-un coș de gunoi amplasat lângă scările avionului, cu puțin timp înainte de plecarea de pe aeroportul din Beijing, la finalul unei vizite de două zile a președintelui SUA Donald Trump în China. Ce măsuri de securitate cibernetică au fost descrise Relatarea indică un set de precauții care vizează reducerea riscului ca dispozitivele sau obiectele primite să fie folosite pentru supraveghere, urmărire sau colectare de informații: aruncarea „tuturor obiectelor oferite de gazdele chineze” înainte de îmbarcare (cadouri, insigne, broșe, suveniruri); folosirea pe durata vizitei a telefoanelor cu cartelă preplătită, descrise ca dispozitive „curate” și de unică folosință; lăsarea acasă a dispozitivelor electronice personale înainte de deplasare. Emily Goodin, corespondentă la Casa Albă pentru New York Post, a rezumat directiva într-o postare pe X: „Nimic din China nu este permis în avion.” De ce contează: securitatea operațională devine parte din „costul” relației bilaterale Dincolo de simbolism, episodul arată cum neîncrederea dintre Washington și Beijing se traduce în proceduri concrete, cu impact direct asupra modului în care se organizează deplasările oficiale și activitatea presei care însoțește delegațiile. În astfel de contexte, distrugerea sau predarea dispozitivelor și a materialelor sensibile este prezentată ca o practică menită să prevină spionajul sau compromiterea datelor. Materialul notează că măsura vine pe fondul îngrijorărilor de lungă durată ale Washingtonului legate de capacitățile de supraveghere cibernetică ale Beijingului și de posibilitatea ca inclusiv suvenirurile să fie folosite pentru culegere de informații sau urmărire. Context: tensiuni în culise, în pofida unei imagini publice cordiale Deși vizita a fost prezentată public ca fiind cordială, au existat tensiuni privind măsurile de securitate și accesul presei la evenimente, potrivit The Hill, citat de news.ro. Un exemplu menționat este un incident la Templul Cerului din Beijing , unde unui agent al Serviciului Secret american i s-ar fi refuzat accesul din cauza faptului că purta o armă de foc, ceea ce ar fi dus la o întârziere de aproape 90 de minute înainte ca presa să fie lăsată să intre, după o „discuție intensă” între oficiali. În același timp, rămân dezacorduri majore între cele două puteri pe teme precum dezechilibrele comerciale, concurența tehnologică, Taiwanul și războiul din Iran, mai arată materialul. [...]
O nouă versiune a malware-ului Kazuar funcționează ca botnet P2P modular, ceea ce complică detectarea și crește persistența în rețelele compromise , potrivit BleepingComputer . Evoluția este atribuită grupului Secret Blizzard , asociat în mod repetat cu operațiuni de spionaj cibernetic și cu servicii rusești de informații, iar schimbarea de arhitectură mută presiunea de pe „semnături” (indicatori statici) pe detecția comportamentală în companii și instituții. De ce contează pentru organizații: mai puțin trafic „vizibil”, mai multă reziliență Analiza Microsoft asupra unei variante recente arată că Kazuar a fost transformat într-o structură de tip peer-to-peer (P2P), în care nu toate sistemele infectate comunică direct cu infrastructura de comandă și control (C2). În practică, asta reduce „suprafața” de detecție: mai puține conexiuni externe repetate din mai multe stații, mai mult trafic intern care se poate confunda cu activitatea normală. Un element-cheie este mecanismul de „lider”: un singur sistem infectat dintr-un mediu compromis este ales să comunice cu C2, primește sarcini și le distribuie intern către celelalte sisteme infectate, care intră în mod „tăcut” și nu mai vorbesc direct cu serverele atacatorilor. „Liderul Kernel este modulul Kernel ales care comunică cu modulul Bridge în numele celorlalte module Kernel, reducând vizibilitatea prin evitarea unor volume mari de trafic extern de la mai multe gazde infectate”, explică Microsoft. Cum este construit noul Kazuar: trei module și comunicații interne criptate Microsoft descrie o arhitectură cu trei module distincte: Kernel : coordonatorul central; gestionează sarcini, controlează celelalte module, alege liderul și orchestrează comunicațiile și fluxul de date în botnet. Selecția liderului este internă și autonomă, pe baza unor criterii precum timpul de funcționare și numărul de reporniri/întreruperi. Bridge : „proxy”-ul de comunicații externe; face legătura între lider și infrastructura C2, folosind protocoale precum HTTP, WebSockets sau Exchange Web Services (EWS). Worker : execută efectiv operațiunile de spionaj și colectare de date. Comunicațiile interne se bazează pe IPC (comunicare între procese) prin mecanisme Windows precum Windows Messaging, Mailslots și „named pipes” (canale denumite), pentru a se amesteca în „zgomotul” operațional. Mesajele sunt criptate cu AES și serializate cu Google Protocol Buffers (Protobuf). Ce poate face pe sistemele compromise: de la keylogging la colectare de e-mail Modulul Worker este folosit pentru activități tipice de spionaj, inclusiv: înregistrarea tastelor (keylogging); capturi de ecran; colectare de date din sistemul de fișiere; recunoaștere de sistem și rețea; colectare de date e-mail/MAPI (inclusiv descărcări din Outlook); monitorizarea ferestrelor; furtul fișierelor recente. Datele colectate sunt criptate, stocate temporar local și apoi exfiltrate prin modulul Bridge. Microsoft mai subliniază că Kazuar a ajuns să suporte 150 de opțiuni de configurare , permițând operatorilor să ajusteze inclusiv programarea sarcinilor, temporizarea furtului de date și dimensiunea „bucăților” exfiltrate, injecția de procese și managementul execuției de comenzi. Ocolirea controalelor de securitate și implicații pentru apărare În zona de „bypass” (ocolire a controalelor), Kazuar include opțiuni pentru: ocolirea AMSI (Antimalware Scan Interface); ocolirea ETW (Event Tracing for Windows); ocolirea WLDP (Windows Lockdown Policy). În acest context, recomandarea Microsoft este ca organizațiile să prioritizeze detecția comportamentală în locul semnăturilor statice, tocmai pentru că modularitatea și configurabilitatea ridicată fac amenințarea mai greu de prins prin indicatori fixați. Context: un malware vechi, reutilizat în campanii de spionaj Kazuar este documentat din 2017, iar cercetătorii au identificat o „linie” de cod care ar merge până în 2005. Activitatea a fost asociată cu Turla, grup de spionaj legat de FSB, iar în anii anteriori a fost observat în atacuri care au vizat organizații guvernamentale europene și, ulterior, în atacuri împotriva Ucrainei. Pentru companii și instituții, schimbarea relevantă este operațională: un botnet P2P cu lider ales intern și cu comunicații interne criptate poate rămâne mai mult timp nedetectat, ceea ce crește riscul de scurgeri de documente și conținut de e-mail cu valoare politică sau strategică. [...]
