«Доктор Веб»: обзор вирусной активности в августе 2018 года |
31 августа 2018 года
В августе специалисты «Доктор Веб» зафиксировали распространение троянцев-майнеров, предназначенных для добычи криптовалют без ведома пользователей. Подобные программы были предназначены как для устройств под управлением Windows, так и для Linux-устройств. В течение последнего летнего месяца киберпреступники рассылали мошеннические письма администраторам освобождающихся доменов в надежде обманным путем завладеть их деньгами. Кроме того, в августе вирусные базы Dr.Web пополнились новыми записями для Android-троянцев.
Вредоносную программу, добавленную в вирусные базы под именем Linux.BtcMine.82, злоумышленники начали использовать еще в июне. Этот троянец написан на языке Go и представляет собой дроппер, в теле которого хранится упакованный майнер. Дроппер сохраняет его на диск и запускает, после чего майнер приступает к добыче криптовалюты Monero (XMR). На принадлежащем злоумышленникам сервере аналитики «Доктор Веб» обнаружили еще несколько майнеров для ОС Windows.
Все выявленные аналитиками вредоносные программы были добавлены в вирусные базы Dr.Web. Более подробную информацию об этом инциденте можно получить из новостного материала, опубликованного на нашем сайте.
В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В августе активизировались кибермошенники, целью которых на этот раз стали администраторы освобождающихся доменов, ранее пользовавшиеся услугами регистратора «Региональный Сетевой Информационный Центр» (RU-CENTER). В середине месяца они стали получать по электронной почте сообщения якобы от имени этой компании. В письмах содержалось напоминание об окончании оплаченного периода регистрации доменного имени. Злоумышленники утверждали, что администратор должен оплатить услугу продления домена в течение одного рабочего дня с момента получения письма, иначе этот домен будет исключен из реестра.
Ссылка в письме вела на взломанный веб-сайт, адрес которого был добавлен в базы нерекомендуемых интернет-ресурсов Офисного и Родительского контроля. Установленный там сценарий перенаправлял получателя письма на страницу платежной системы Яндекс.Деньги, позволяющую перевести денежные средства на электронный кошелек мошенников. Подробнее об этой рассылке мы рассказали в опубликованной на нашем сайте статье.
Также в августе многие пользователи Интернета получали электронные письма, в которых сетевые жулики сообщали получателю его пароль, ранее использованный при регистрации на одном из сайтов, либо комбинацию логина и пароля. Авторы сообщения утверждали, что они якобы разместили вирус на одном из порносайтов, и при его посещении включили камеру устройства, с помощью которой записали видеоролик с участием получателя письма. Чтобы избежать рассылки этого ролика по списку адресов, будто бы скопированному из адресной книги потенциальной жертвы, ей предлагалось заплатить выкуп в биткойнах, эквивалентный нескольким тысячам долларов США.
Разумеется, подобные сообщения являются пустой угрозой: по всей видимости, в руки злоумышленников попала база данных зарегистрированных пользователей, похищенная с одного или нескольких интернет-ресурсов. Чтобы не попадаться в руки мошенников, специалисты «Доктор Веб» рекомендуют чаще менять пароли и не использовать одинаковые учетные данные для регистрации на разных сайтах.
В течение августа 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 538 480 интернет-адресов.
| Июль 2018 | Август 2018 | Динамика |
|---|---|---|
| + 512 763 | + 538 480 | +5% |
В августе 2018 года вирусные аналитики компании «Доктор Веб» обнаружили троянца-клиппера Android.Clipper.1.origin, подменяющего номера электронных кошельков в буфере обмена зараженных Android-устройств. Помимо этого, в каталоге Google Play было выявлено множество различных вредоносных программ. Среди них – банковские троянцы Android.Banker.2843 и Android.Banker.2855, распространявшиеся под видом безобидных приложений. Кроме того, киберпреступники пытались заразить мобильные устройства пользователей при помощи троянцев-загрузчиков Android.DownLoader.768.origin, Android.DownLoader.772.origin и Android.DownLoader.784.origin, которые скачивали на смартфоны и планшеты различные вредоносные приложения. Также в течение уходящего месяца специалисты компании «Доктор Веб» обнаружили в Google Play большое число троянцев семейства Android.Click. Злоумышленники использовали их в мошеннических целях и зарабатывали с их помощью деньги. Еще один троянец, созданный для мошенничества, получил имя Android.FakeApp.110. Он также распространялся через каталог Google Play. Среди выявленных в августе вредоносных программ оказался опасный троянец-шпион Android.Spy.490.origin, которого вирусописатели могли встраивать в любые приложения и распространять их под видом оригиналов.
Наиболее заметные события, связанные с «мобильной» безопасностью в августе:
Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.
|
|
«Доктор Веб» выявил в Google Play 130 мошеннических приложений |
30 августа 2018 года
Одну из обнаруженных вредоносных программ, получившую имя Android.Click.265.origin, злоумышленники используют для подписки пользователей на дорогостоящие мобильные услуги. Это хорошо известный вид сетевого мошенничества, который предприимчивые киберпреступники практикуют уже много лет. Android.Click.265.origin замаскирован под официальное приложение для работы с онлайн-магазином торговой сети «Эльдорадо». Вирусные аналитики «Доктор Веб» обнаружили два случая проникновения троянца в Google Play, и на момент выхода этой новости обе его модификации были удалены из каталога программ для ОС Android.
Android.Click.265.origin действительно выполнял заявленные его создателями функции: он загружал в своем окне мобильную версию веб-магазина «Эльдорадо» и позволял полноценно с ним работать. Однако, помимо этого, он выполнял и менее желательные действия. Троянец показывал надоедливую рекламу, а также открывал страницы сервисов дорогостоящих мобильных услуг и автоматически нажимал на расположенную там кнопку подтверждения подписки. После этого с мобильного счета жертвы каждый день списывалась определенная сумма.
Android.Click.248.origin — еще один троянец, которого злоумышленники используют в мошеннической схеме с подпиской владельцев Android-смартфонов и планшетов на премиум-услуги. Эта вредоносная программа, известная специалистам «Доктор Веб» с апреля текущего года, в уходящем месяце вновь распространялась через Google Play. Как и ранее, вирусописатели выдавали Android.Click.248.origin за известное ПО, например за клиентское приложение интернет-доски объявлений «Юла» и онлайн-магазина AliExpress, а также за голосовой помощник Алиса от компании «Яндекс».
Этот троянец открывает один из фишинговых сайтов, на котором пользователю предлагается скачать ту или иную известную программу либо сообщается о выигрыше ценного приза. У потенциальной жертвы мошенничества запрашивается номер мобильного телефона, якобы необходимый для получения проверочного кода. Однако на самом деле этот код нужен для подтверждения подписки на платную услугу, за использование которой каждый день будет взиматься плата. Если же зараженное устройство подключено к Интернету через мобильное соединение, то после ввода номера телефона на таком сайте владелец Android-смартфона или планшета подписывается на премиум-услугу автоматически. Примеры мошеннических веб-страниц, которые загружает Android.Click.248.origin, показаны на изображении ниже:
Кроме того, среди выявленных в августе вредоносных программ, которые распространялись через каталог Google Play, стоит отметить множество других модификаций троянцев семейства Android.Click. Исследованные нашими вирусными аналитиками представители этого семейства выдавались за официальные программы различных букмекерских контор, таких как «Олимп», «Мостбет», «Фонбет», «Лига ставок», 1xBet, Winline и других. В общей сложности специалисты «Доктор Веб» выявили 127 таких вредоносных программ, которые распространяли 44 разработчика. Компания Google оперативно удаляет эти приложения из Google Play, однако предприимчивые мошенники продолжают добавлять их в каталог почти каждый день.
После запуска эти троянцы соединяются с управляющим сервером и получают от него команду на загрузку того или иного сайта, который демонстрируется пользователю. В настоящее время указанные вредоносные программы открывают официальные страницы букмекерских фирм, при этом название троянского приложения никак не влияет на загружаемый сайт. Кроме того, в любой момент управляющий сервер способен отдать троянцам команду на загрузку произвольного веб-ресурса, в том числе мошеннического или вредоносного онлайн-портала, с которого на Android-устройство могут загружаться другие вредоносные программы. Именно поэтому эти троянцы представляют серьезную опасность.
Наконец, другой троянец-мошенник, обнаруженный в уходящем месяце, скрывался в приложении с именем «Опрос». Он был добавлен в вирусную базу как Android.FakeApp.110. Его авторы обещали пользователям денежное вознаграждение за участие в простых опросах, прохождение которых не займет больше нескольких минут.
При запуске Android.FakeApp.110 загружал принадлежащий злоумышленникам мошеннический сайт, на котором потенциальным жертвам предлагалось ответить на несколько незамысловатых вопросов якобы от спонсоров, готовых щедро заплатить за участие в маркетинговом исследовании. Например, у пользователя могли поинтересоваться, какой парфюм он предпочитает и на автомобиле какого автоконцерна ездит.
После ответа на несколько таких вопросов владельцу мобильного устройства обещали вознаграждение в размере десятков или даже сотен тысяч рублей. При этом тут же его предупреждали, что якобы из-за лимита платежных систем перевод этих средств будет выполнен несколькими частями в течение определенного промежутка времени. Однако для того, чтобы моментально получить честно заработанное, жертве необходимо всего лишь выполнить некий идентификационный платеж в размере 100–200 рублей, который якобы подтвердит личность «счастливчика». В этом и заключается смысл описанного мошенничества: жертва обмана добровольно отдает свои деньги интернет-жуликам, ожидая получить обещанное вознаграждение, однако никаких баснословных выплат она, конечно же, никогда не увидит. Специалисты кампании «Доктор Веб» оповестили корпорацию Google об этом вредоносном приложении, и в настоящее время оно недоступно для загрузки.
Для отъема денег у владельцев мобильных устройств и получения иной выгоды злоумышленники применяют всевозможные уловки, а также изобретают всё новые мошеннические схемы. Компания «Доктор Веб» напоминает, что устанавливать приложения даже из каталога Google Play необходимо с осторожностью. Стоит обращать внимание на имя разработчика, дату публикации интересующей программы, а также отзывы других пользователей. Эти простые действия помогут снизить риск заражения смартфонов и планшетов. Кроме того, для защиты Android-устройств пользователям следует установить антивирусные продукты Dr.Web для Android, которые успешно детектируют и удаляют все известные вредоносные и нежелательные программы.
Подробнее об Android.Click.265.origin
Подробнее об Android.Click.248.origin
Подробнее об Android.FakeApp.110
#Android, #мошенничество, #Google_Play, #троянец
|
|
«Доктор Веб» обнаружил троянца-клипера для Android |
7 августа 2018 года
Троянцев, способных незаметно подменять номера электронных кошельков в буфере обмена, чтобы отправляемые деньги поступали не получателю, а злоумышленникам, принято называть «клиперами» (от термина clipboard, «буфер обмена»). До недавнего времени такие вредоносные программы досаждали в основном пользователям Windows. Аналогичные по возможностям троянцы для Android в «дикой природе» встречаются редко. В августе 2018 года в вирусные базы Dr.Web были добавлены записи для детектирования двух модификаций троянца-клипера Android.Clipper, которые получили имена Android.Clipper.1.origin и Android.Clipper.2.origin. Эти вредоносные программы угрожают пользователям устройств под управлением Android.
Android.Clipper способен подменять в буфере обмена номера электронных кошельков платежных систем Qiwi, Webmoney (R и Z) и «Яндекс.Деньги», а также криптовалют Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin. Один из исследованных вирусными аналитиками образцов троянца Android.Clipper маскируется под приложение для работы с электронными кошельками Bitcoin:
При запуске на инфицированном устройстве троянец выводит поддельное сообщение об ошибке и продолжает работу в скрытом режиме. Он скрывает свой значок из списка приложений главного экрана операционной системы, после чего вредоносную программу можно увидеть только в системных настройках мобильного устройства в разделе управления установленным ПО. Далее обе модификации Android.Clipper запускаются автоматически при каждом включении инфицированного смартфона или планшета.
После успешного заражения Android-устройства троянец начинает отслеживать изменение содержимого буфера обмена. Если Android.Clipper обнаруживает, что пользователь скопировал в буфер номер электронного кошелька, он отсылает этот номер на управляющий сервер. Далее вредоносная программа отправляет на сервер еще один запрос, ожидая в ответ номер кошелька злоумышленников, который требуется вставить в буфер обмена вместо исходного.
Автор Android.Clipper активно продает троянцев этого семейства на хакерских форумах. При этом клиенты вирусописателя могут использовать произвольный значок и имя приложения для каждой приобретаемой копии вредоносной программы. В ближайшее время можно ожидать появления большого количества модификаций этих троянцев, которых злоумышленники будут распространять под видом безобидного и полезного ПО.
В своих рекламных сообщениях вирусописатель заявляет о возможности отправки отчетов о работе вредоносной программы в приложение Telegram и оперативной смены номеров кошельков, внедряемых в буфер обмена, с использованием протокола FTP. Однако в самом троянце эти функции не реализованы. Описанные возможности предоставляет киберпреступникам сам управляющий сервер.
Антивирусные продукты Dr.Web для Android обнаруживают и удаляют все известные модификации троянцев семейства Android.Clipper, поэтому те не представляют опасности для наших пользователей.
Подробнее об Android.Clipper.1.origin
Подробнее об Android.Clipper.2.origin
#Android #биткойн #криптовалюты
|
|
Вирусописатели распространяют майнеры для Linux и Windows |
2 августа 2018 года
Вредоносные программы и утилиты для добычи криптовалют, о которых пойдет речь в этой статье, были загружены на один из наших «ханипотов» (от англ. honeypot, «горшочек с медом») — специальных серверов, используемых специалистами «Доктор Веб» в качестве приманки для злоумышленников. Первые подобные атаки на работающие под управлением Linux серверы были зафиксированы вирусными аналитиками в начале мая 2018 года. Киберпреступники соединялись с сервером по протоколу SSH, подбирали логин и пароль методом их перебора по словарю (bruteforce) и после успешной авторизации на сервере отключали утилиту iptables, управляющую работой межсетевого экрана. Затем злоумышленники загружали на атакованный сервер утилиту-майнер и файл конфигурации для нее. Для запуска утилиты они редактировали содержимое файла /etc/rc.local, после чего завершали соединение.
В начале июня киберпреступники изменили эту схему и начали использовать вредоносную программу, добавленную в вирусные базы Dr.Web под именем Linux.BtcMine.82. Этот троянец написан на языке Go и представляет собой дроппер, в теле которого хранится упакованный майнер. Дроппер сохраняет его на диск и запускает, что значительно упрощает сценарий атаки. Адрес кошелька, на который переводится добытая криптовалюта, также зашит в теле вредоносной программы.
Вирусные аналитики исследовали принадлежащий злоумышленникам сервер, с которого загружался этот троянец, и обнаружили там несколько майнеров для ОС Windows.
Версия майнера для Windows реализована в виде самораспаковывающегося RAR-архива, содержащего файл конфигурации, несколько VBS-сценариев для запуска майнера и саму утилиту для добычи криптовалюты. После запуска архива утилита распаковывается в папку %SYSTEMROOT%\addins и регистрируется в качестве службы с именем SystemEsinesBreker.
Версии майнера для 32- и 64-разрядных ОС Windows детектируются Антивирусом Dr.Web как представители семейства Tool.BtcMine. Наши пользователи полностью защищены от действия этих вредоносных программ.
#Honeypot #Linux #криптовалюты #майнинг #троянец|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2018 года |
31 июля 2018 года
В июле 2018 года злоумышленники вновь распространяли опасный Android-бэкдор Android.Backdoor.554.origin, который известен вирусным аналитикам компании «Доктор Веб» еще с апреля 2017 года. Этот троянец шпионил за пользователями и позволял киберпреступникам дистанционно управлять зараженными смартфонами и планшетами. Android.Backdoor.554.origin скрывал в себе Windows-червя, которого копировал на подключенную к мобильному устройству карту памяти для последующего заражения компьютеров под управлением ОС Windows. Кроме того, в уходящем месяце злоумышленники продолжили атаковать владельцев Android-смартфонов и планшетов с использованием банковских троянцев. Один из них, получивший имя Android.Banker.2746, был доступен для загрузки в Google Play. Ряд других банковских троянцев загружала на мобильные устройства вредоносная программа Android.DownLoader.753.origin, которая также была доступна в официальном каталоге программ ОС Android. Кроме того, в течение июля киберпреступники распространяли прочих банковских троянцев для ОС Android. Среди них был Android.BankBot.279.origin, которого вирусописатели выдавали за полезные приложения. Также в июле вирусные аналитики «Доктор Веб» обнаружили несколько новых коммерческих программ-шпионов, получивших имена Program.Shadspy.1.origin и Program.AppSpy.1.origin.
В июле специалисты по информационной безопасности зафиксировали очередную атаку бэкдора Android.Backdoor.554.origin на пользователей Android-смартфонов и планшетов. Этот троянец распространялся под видом новых версий известных программ для онлайн-общения, таких как WhatsApp и Telegram, а также системных и других важных обновлений.
Android.Backdoor.554.origin выполнял команды злоумышленников, а также позволял киберпреступникам контролировать зараженное мобильное устройство и шпионить за его владельцем. Троянец отслеживал местоположение Android-смартфона или планшета, перехватывал переписку в популярных программах обмена сообщениями, получал доступ к звонкам и СМС, крал информацию о контактах из телефонной книги и выполнял другие вредоносные действия. Кроме того, этот бэкдор скрывал в своих файловых ресурсах Windows-червя, получившего имя Win32.HLLW.Siggen.10482. После заражения мобильного устройства Android.Backdoor.554.origin копировал червя на карту памяти, помещая его в каталоги с изображениями. При этом исполняемый файл Win32.HLLW.Siggen.10482, имеющий расширение .pif, получал имя директории, в которой он размещался. В результате при последующем открытии или копировании этих каталогов на компьютер для просмотра изображений пользователь рисковал запустить червя.
На следующей иллюстрации показан список директорий, в которые троянец Android.Backdoor.554.origin помещал Win32.HLLW.Siggen.10482:
Примеры успешного копирования исполняемого файла червя в каталоги с изображениями на карте памяти инфицированного Android-устройства:
В уходящем месяце специалисты по информационной безопасности обнаружили в каталоге Google Play троянца, по классификации компании «Доктор Веб» получившего имя Android.DownLoader.753.origin. Эта вредоносная программа распространялась под видом финансовых приложений. Некоторые ее модификации действительно выполняли заявленные функции, в то время как остальные были бесполезны и лишь предлагали установить настоящее банковское ПО, загружая его страницы в программе Play Маркет.
Android.DownLoader.753.origin незаметно скачивал с удаленного сервера одного из банковских троянцев семейства Android.BankBot и пытался установить его, показывая стандартный диалог инсталляции.
В середине июля специалисты «Доктор Веб» проанализировали Android-банкера, получившего имя Android.Banker.2746. Вирусописатели распространяли этого троянца через каталог Google Play, выдавая вредоносную программу за официальное банковское приложение.
С его помощью они пытались получить доступ к учетным записям клиентов одной из турецких кредитных организаций. Android.Banker.2746 показывал поддельное окно ввода логина и пароля и перехватывал СМС с одноразовыми проверочными кодами.
Среди банковских троянцев, атаковавших пользователей в уходящем месяце, была вредоносная программа Android.BankBot.279.origin. Киберпреступники распространяли ее с использованием мошеннических веб-сайтов. При посещении одного из них с мобильного устройства троянец загружался под видом безобидных и полезных программ, таких как проигрыватель Adobe Flash Player, программы для онлайн-общения, клиенты для подключения к VPN-сервисам и другое ПО. Android.BankBot.279.origin отслеживал запуск установленных на смартфоне или планшете банковских приложений и показывал поверх их окон фишинговую форму ввода логина и пароля для доступа к учетной записи пользователя. Кроме того, банкер мог менять pin-код разблокировки экрана и блокировать зараженное устройство.
Примеры сайтов, с которых на Android-смартфоны и планшеты скачивался Android.BankBot.279.origin:
В уходящем месяце специалисты «Доктор Веб» обнаружили несколько новых коммерческих программ-шпионов. Одна из них получила имя Program.AppSpy.1.origin. Она отслеживает местоположение зараженного устройства, прослушивает телефонные звонки и перехватывает СМС-сообщения. Другая программа для кибершпионажа была добавлена в вирусную базу Dr.Web как Program.Shadspy.1.origin. Это приложение обладает обширным функционалом. Program.Shadspy.1.origin отслеживает СМС-переписку, телефонные звонки, местоположение устройства, выполняет запись окружения с использованием встроенного микрофона, копирует историю посещения сайтов из веб-браузера, информацию о запланированных событиях из календаря пользователя, может делать снимки при помощи камеры смартфона или планшета, а также выполнять ряд других действий. Кроме того, при наличии root-полномочий Program.Shadspy.1.origin может перехватывать переписку в программах Facebook и WhatsApp.
Банковские троянцы представляют серьезную опасность для владельцев мобильных устройств. Злоумышленники продолжают распространять эти вредоносные программы не только с помощью мошеннических сайтов, но и через официальный каталог программ Google Play. Для защиты от этих и других Android-троянцев пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в июле 2018 года |
31 июля 2018 года
В начале июля вирусные аналитики «Доктор Веб» проанализировали нового троянца-майнера, который использовал необычную схему распространения. Также в течение месяца проявляли активность спамеры, рекламировавшие мошеннические сайты. Кроме того, в июле вирусные базы Dr.Web пополнились новыми записями для вредоносных программ, ориентированных на мобильную платформу Android.
Специалисты по информационной безопасности уже сталкивались с распространением вредоносных программ при помощи механизма обновления приложений. Именно так попали к пользователям троянец-шифровальщик Trojan.Encoder.12544 (Petya, Petya.A, ExPetya и WannaCry-2) и бэкдор BackDoor.Dande. В июле в службу технической поддержки «Доктор Веб» обратился пользователь, на компьютере которого регулярно появлялось приложение для майнинга криптовалют, всякий раз удаляемое антивирусом. Проведенное аналитиками расследование показало, что виновником инцидента стала программа «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе.
Механизм обновления этой программы автоматически скачивал из Интернета и устанавливал в систему троянца-майнера Trojan.BtcMine.2869. На 9 июля специалисты «Доктор Веб» обнаружили 2700 зараженных этим троянцем компьютеров. Более подробная информация об этом инциденте изложена в опубликованной на нашем сайте статье.
В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В июле специалисты «Доктор Веб» зафиксировали несколько массовых почтовых рассылок с рекламой различных мошеннических ресурсов. В частности, спамеры отправляли сообщения якобы от имени компании «Яндекс» с предложением подтвердить привязку почтового адреса к аккаунту на портале passport.yandex.ru. При этом ссылка, по которой мошенники предлагали перейти получателю письма, действительно вела на портал «Яндекс». А вот другая ссылка, якобы анонсировавшая получение некоего приза, приводила потенциальную жертву на сайт сетевых мошенников, требовавших оплатить за обещанный подарок небольшой денежный взнос.
В ряде других мошеннических сообщений встречались ссылки на страницы публичных сервисов, подобных Google Docs, где злоумышленники размещали веб-страницу с картинкой, имитирующей стандартную панель автоматической защиты от роботов reCAPCHA. Щелчок мышью по этой картинке перенаправлял пользователей на различные фишинговые сайты.
Адреса всех выявленных аналитиками «Доктор Веб» мошеннических ресурсов были добавлены в базы нерекомендуемых сайтов Родительского и Офисного контроля Dr.Web.
В течение июля 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 512 763 интернет-адреса.
| июнь 2018 | июль 2018 | Динамика |
|---|---|---|
| + 395 477 | + 512 763 | +29.6% |
В уходящем месяце в каталоге Google Play было обнаружено несколько опасных вредоносных программ. Одной из них стал троянец Android.Banker.2746, который показывал поддельное окно ввода персональных данных при запуске банковских приложений. Другой троянец, получивший имя Android.DownLoader.753.origin, скачивал Android-банкеров с сервера злоумышленников, чтобы избежать обнаружения основной вредоносной программы в Google Play. Среди распространявшихся в июле троянцев были и другие банкеры. Один из них – Android.BankBot.279.origin. Он загружался на мобильные устройства при посещении мошеннических сайтов. Также в июле злоумышленники вновь распространяли вредоносное приложение-бэкдор, известное вирусным аналитикам «Доктор Веб» с апреля 2017 года. Оно шпионило за пользователями и распространяло червя, который заражал компьютеры под управлением ОС Windows. Кроме того, в уходящем месяце специалисты «Доктор Веб» обнаружили и исследовали несколько новых программ, предназначенных для кибершпионажа. Они получили имена Program.Shadspy.1.origin и Program.AppSpy.1.origin.
Наиболее заметные события, связанные с «мобильной» безопасностью в июле:
Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.
|
|
«Доктор Веб» предупреждает: троянец-майнер загружается вместо обновления программы |
9 июля 2018 года
В нашу службу технической поддержки от одного из пользователей поступило сообщение о том, что Антивирус Dr.Web регулярно обнаруживает и удаляет на компьютере приложение для добычи криптовалют. Исследование журнала Антивируса показало, что майнер прятался во временной папке на зараженном ПК. В то же время журнал веб-антивируса SpIDer Gate сохранил информацию о том, что приложение пыталось соединиться с IP-адресом, который соответствует сайту компании Astrum Soft — производителя ПО «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе.
В самом приложении официально присутствует функция майнинга (добычи) криптовалют, которую пользователь может включить, когда компьютеры простаивают.
Тем не менее, дальнейшее исследование показало, что программой, беспокоившей пользователя, было не само приложение «Компьютерный зал», а скрытый майнер, добавленный в вирусные базы Dr.Web под именем Trojan.BtcMine.2869. Этот троянец автоматически скачивался с серверов компании Astrum Soft механизмом обновления программы «Компьютерный зал» и устанавливался им в систему.
Приложение «Компьютерный зал» периодически отправляет запрос на сервер своего разработчика, в котором передает версию приложения и сведения о системе. В ответ может поступить команда на загрузку или скачивание и запуск исполняемого файла, в котором должно быть реализовано обновление программы. Однако в исследованном нами образце загружаемый на компьютер файл имеет вредоносный функционал. Это вредоносное ПО завершает работу процессов svchostm.exe и svcnost.exe, сохраняет на диск троянца-майнера и для обеспечения его автоматического запуска модифицирует системный реестр Windows. Данные о кошельке, на который перечисляется добытая криптовалюта, зашиты в теле троянца. При удалении вредоносной программы пользователем механизм обновления может скачать и запустить его заново.
На 9 июля вирусные аналитики насчитали более 2700 зараженных компьютеров, на которых действует Trojan.BtcMine.2869. В исследованном специалистами «Доктор Веб» образце троянца, загружавшегося с сервера Astrum Soft, имена инфицированных ПК (воркеров) начинаются с префикса "soyuz6_", который также записан в теле троянца. На сегодняшний день таких зараженных компьютеров насчитывается 613. Троянец распространялся в период с 24 мая по 4 июля 2018 года. Разработчик ПО Astrum Soft и правоохранительные органы были проинформированы об этом инциденте.
#вредоносное_ПО #криптовалюты #майнинг #троянец|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в мае 2018 года |
31 мая 2018 года
В мае 2018 года вирусные аналитики компании «Доктор Веб» нашли в каталоге Google Play несколько приложений, в которые был встроен троянец Android.Click.248.origin. Он загружал мошеннические веб-страницы, на которых пользователей подписывали на дорогостоящие мобильные услуги. Кроме того, в Google Play была обнаружена вредоносная программа Android.FakeApp, распространявшаяся под видом известного ПО. Она переходила по заданным злоумышленниками ссылкам и накручивала счетчик посещений веб-сайтов. Среди других угроз, встретившихся в официальном каталоге приложений ОС Android, оказались троянцы семейства Android.HiddenAds, предназначенные для показа рекламы. Также в уходящем месяце специалисты по информационной безопасности выявили троянцев Android.Spy.456.origin и Android.Spy.457.origin, которых злоумышленники использовали для кибершпионажа. А в конце мая в вирусную базу Dr.Web была добавлена запись для детектирования новой версии коммерческой программы-шпиона Program.Onespy.
В уходящем месяце специалисты «Доктор Веб» выявили в каталоге Google Play троянца Android.Click.248.origin, которого злоумышленники распространяли под видом таких известных программ как Skype и Алиса (голосовой помощник от компании «Яндекс», в действительности недоступный в виде отдельного приложения).
Троянец загружал мошеннические веб-сайты, на которых пользователей подписывали на платные услуги. Об аналогичных вредоносных приложениях компания «Доктор Веб» сообщала в апреле.
В мае в каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.FakeApp, распространявшегося под видом популярных приложений. По команде вирусописателей Android.FakeApp переходил по заданным ими ссылкам и загружал веб-сайты, накручивая счетчик их посещений.
Особенности троянца:
Пример приложений-подделок, найденных в Google Play:
Кроме того, в мае в официальном каталоге ПО для ОС Android были обнаружены очередные представители троянцев семейства Android.HiddenAds, такие как Android.HiddenAds.267.origin и Android.HiddenAds.277.origin. Эти вредоносные программы распространялись под видом безобидных и известных приложений. Главная функция троянцев – показ рекламы.
В уходящем месяце специалисты по информационной безопасности обнаружили несколько новых Android-троянцев, которых злоумышленники использовали для кибершпионажа. Один из них распространялся через Google Play и получил имя Android.Spy.456.origin. Вредоносная программа похищала фотографии, СМС-сообщения, а также контакты из телефонной книги зараженных мобильных устройств и загружала их на удаленный сервер киберпреступников. Другой мобильный троянец-шпион, выявленный в мае, был добавлен в вирусную базу Dr.Web как Android.Spy.457.origin. Он крал изображения и видеоролики, хранящиеся в памяти Android-смартфонов и планшетов, похищал СМС, отслеживал координаты мобильных устройств, а также мог прослушивать окружение и записывать телефонные разговоры.
В конце месяца специалисты компании «Доктор Веб» обнаружили новую версию коммерческой программы-шпиона Onespy, получившую имя Program.Onespy.3.origin. Это приложение способно перехватывать СМС-сообщения и телефонные звонки, отслеживать местоположение зараженного устройства, прослушивать окружение, красть фотографии, видео, документы и другие файлы, следить за перепиской в популярных программах для общения, таких как Skype, Viber, WhatsApp, Line, Facebook и других, а также выполнять прочие опасные действия.
Несмотря на усилия корпорации Google, злоумышленникам по-прежнему удается распространять Android-троянцев через каталог Google Play. Кроме того, вредоносные и потенциально опасные программы для мобильных устройств подстерегают пользователей и вне официального каталога приложений. Для защиты смартфонов и планшетов их владельцам следует установить антивирусные продукты Dr.Web для Android.
|
|
Киберпреступник заработал миллионы, избрав целью популярную игровую платформу Steam |
30 мая 2018 года
«Faker» использует несколько способов незаконного заработка. Главный среди них — разработанная им схема MaaS (Malware As a Service), реализующая аренду вредоносных программ по подписке. От клиентов «Faker»’а, желающих зарабатывать на распространении троянцев, не требуется ничего, кроме денег и, в некоторых случаях, домена: вирусописатель предоставляет им самого троянца, доступ к административной панели и техническую поддержку. По подсчетам аналитиков «Доктор Веб», это решение «под ключ» принесло своему создателю миллионы, а сколько на этом заработали его клиенты, остается только догадываться – с учетом того, что потраченные деньги на оплату месяца использования этой криминальной услуги могут окупиться за сутки. Все созданные «Faker»’ом вредоносные программы угрожают пользователям популярного игрового сервиса Steam.
Steam — это разработанная компанией Valve Corporation платформа, предназначенная для цифрового распространения компьютерных игр и программ. Зарегистрированный пользователь Steam получает доступ к личному кабинету, в котором собрана информация обо всех приобретенных им ранее играх и приложениях. Помимо этого, он может совершать покупки в магазине Steam, приобретая различный цифровой контент, а также продавать и обменивать игровые предметы. Эти предметы имеют ключевое значение в различных многопользовательских играх. Оружие, амуниция и различный инвентарь позволяют менять внешний вид игрока и визуальное представление его имущества в игре. Игровые предметы можно обменивать на специализированных сайтах, а также покупать и продавать за реальные деньги. Именно на этом построил свой криминальный бизнес «Faker».
Один из применяемых им способов заработка — так называемые «рулетки». Так сетевые игроки называют своеобразные аукционы, на которые сразу несколько участников выставляют различные игровые предметы. Вероятность выигрыша зависит от размера сделанной участником ставки, а победитель забирает все участвующие в розыгрыше лоты. Мошенничество заключается в том, что против реального игрока выступают специальные программы-боты, которые гарантированно выигрывают ставку. Иногда потенциальной жертве предлагают стать администратором такой игры и даже позволяют несколько раз выиграть, прежде чем она выставит на очередной кон какой-либо дорогой игровой предмет, который тут же будет проигран и перейдет в собственность злоумышленников.
Административная панель «рулеток» позволяет гибко настраивать внешний вид сайта, на котором производятся розыгрыши, его отображаемое содержимое, менять имена и текст в организованном на сайте чате, управлять ставками, просматривать список принятых у других игроков предметов, а также полностью управлять «рулеткой».
Кроме того, «Faker» предоставляет в аренду другим киберпреступникам созданные им вредоносные программы. Одна из них получила наименование Trojan.PWS.Steam.13604, она предназначена для хищения учетных данных пользователей Steam. Создатель троянца на условиях ежемесячной абонентской платы предоставляет киберпреступникам собранный для них вредоносный файл, а также доступ к панели управления.
Распространяется троянец несколькими путями. Один из них использует методы социальной инженерии: пользователю Steam приходит сообщение о том, что нескольким участникам сообщества в команду требуется новый игрок. После одного совместного матча для удобства дальнейшего взаимодействия потенциальной жертве предлагают скачать и установить программу-клиент для голосового общения. Злоумышленники отправляют жертве ссылку на поддельный сайт этого приложения. По ссылке под видом программы загружается троянец.
Если потенциальная жертва уже использует чат-клиент TeamSpeak, ей присылают адрес сервера, к которому подключается команда игроков для совместного общения. После подключения к этому серверу на экране жертвы отображается окно с предложением обновить какой-либо из компонентов приложения TeamSpeak или драйвер аудиоподсистемы. Под видом этого обновления на компьютер скачивается вредоносная программа.
При запуске троянец выгружает процесс приложения Steam (если этот процесс – не его собственный), затем определяет путь к каталогу Steam на компьютере, язык приложения и имя пользователя. При наличии одного из служебных файлов программы Steam Trojan.PWS.Steam.13604 извлекает из него пары, состоящие из идентификаторов steamid64 и имен учетных записей. Затем троянец отсылает на управляющий сервер собранную на зараженном компьютере информацию, в том числе версию операционной системы, имя пользователя и машины, язык ОС, путь к приложению Steam, языковую версию этого приложения и т. д.
Выполнив указанные действия, вредоносная программа удаляет оригинальный файл приложения Steam и копирует себя на его место. Чтобы лишить пользователя возможности обновить клиент Steam или получить техническую помощь, троянец меняет содержимое файла hosts, блокируя доступ к сайтам steampowered.com, support.steampowered.com, store.steampowered.com, help.steampowered.com, forums.steampowered.com, virustotal.com и некоторым другим. Затем Trojan.PWS.Steam.13604 показывает на экране поддельное окно авторизации Steam. Если жертва вводит в него свои логин и пароль, троянец пытается авторизоваться с их помощью в сервисе Steam. Если эта попытка увенчалась успехом и на компьютере включен Steam Guard — система двухфакторной аутентификации для защиты учетной записи пользователя, — троянец выводит на экран поддельное окно для ввода кода авторизации. Вся эта информация отсылается на сервер злоумышленников.
Для всех своих клиентов вирусописатель использует один и тот же управляющий сервер. Из полученных данных на нем формируется файл, который в дальнейшем злоумышленники используют для доступа к учетной записи жертвы в сервисе Steam. Интерфейс панели администрирования Trojan.PWS.Steam.13604 показан на следующих иллюстрациях:
Помимо Trojan.PWS.Steam.13604 «Faker» сдает в аренду еще одного созданного им троянца. Он получил наименование Trojan.PWS.Steam.15278. Эта вредоносная программа распространяется аналогичным способом и ориентирована на хищение игрового инвентаря у пользователей платформы Steam. Похищенные виртуальные предметы злоумышленники могут впоследствии продать другим игрокам. Вирусописатель также рекламирует услугу по аренде этой вредоносной программы на специализированных форумах.
Trojan.PWS.Steam.15278 использует в своей работе приложение Fiddler — бесплатную утилиту для анализа трафика при передаче данных по протоколу HTTP, работающую по принципу прокси-сервера. Fiddler устанавливает в систему корневой сертификат, благодаря чему Trojan.PWS.Steam.15278 получает возможность прослушивать зашифрованный HTTPS-трафик. Троянец перехватывает ответы сервера и подменяет в них данные.
Если пользователь зараженной машины обменивается с другими игроками инвентарем на специально предназначенных для этого площадках, таких как opskins.com, igxe.cn, bitskins.com, g2a.com, csgo.tm, market.csgo.com, market.dota2.net и tf2.tm, в момент совершения обменной сделки троянец подменяет получателя игрового предмета. Происходит это так. После того как жертва троянца выставит на продажу или обмен собственный игровой инвентарь, вредоносная программа подключается к его аккаунту и с определенным временным интервалом проверяет поступающие предложения. Если предложивший для обмена какой-либо предмет пользователь зараженного компьютера получает запрос на совершение сделки, троянец отменяет этот запрос, определяет имя пользователя, его аватар, а также текст сообщения из оригинального запроса и высылает жертве в точности такой же запрос, но от имени принадлежащей злоумышленникам учетной записи. Физически подмена осуществляется с использованием веб-инжектов: Trojan.PWS.Steam.15278 встраивает в страницы полученный с управляющего сервера вредоносный код. Следует отметить, что «Faker» является автором и других троянцев, работающих по аналогичному принципу и реализованных в виде расширения для браузера Google Chrome.
При обмене инвентаря через официальный сайт steamcommunity.com Trojan.PWS.Steam.15278 позволяет злоумышленникам подменять отображение игровых предметов у пользователя. Троянец модифицирует содержимое веб-страниц сервиса steamcommunity.com таким образом, что потенциальная жертва видит предложение об обмене очень дорогого и редкого игрового предмета. Если пользователь одобрит сделку, вместо ожидаемого предмета он получит какой-либо тривиальный и дешевый элемент инвентаря. Оспорить подобный несправедливый обмен впоследствии практически невозможно, поскольку с точки зрения сервера пользователь сам и добровольно совершил эту сделку. Например, на странице сервиса steamcommunity.com пользователь зараженного компьютера увидит, будто другой участник сервиса предлагает ему к обмену игровой предмет под названием «PLAYERUNKNOWN's Bandana» стоимостью $265.31. На самом же деле по завершении сделки он получит «Combat Pants (White)» — цена этого предмета составляет всего лишь $0.03.
Панель управления Trojan.PWS.Steam.15278 в целом схожа с административной панелью Trojan.PWS.Steam.13604, однако в обновленной версии появился дополнительный раздел, позволяющий управлять заменами игровых предметов при осуществлении сделок обмена. Злоумышленник может сам настраивать изображения и описания игровых предметов, которые будут показаны жертве вместо реальных. Полученный обманным путем игровой инвентарь киберпреступники впоследствии могут продать за реальные деньги на сетевых торговых площадках.
Все известные на сегодняшний день модификации Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278 успешно детектируются и удаляются Антивирусом Dr.Web, поэтому они не представляют опасности для наших пользователей. Специалисты «Доктор Веб» передали в компанию Valve Corporation информацию о скомпрометированных учетных записях пользователей, а также об аккаунтах, которые использовались в описанных выше мошеннических схемах.
Подробнее о Trojan.PWS.Steam.13604
Подробнее о Trojan.PWS.Steam.15278
#вредоносное_ПО #геймер #игры #троянец
|
|
«Доктор Веб» провел расследование и выявил автора троянцев-шпионов |
14 мая 2018 года
Специалисты компании «Доктор Веб» изучили несколько новых модификаций троянца Trojan.PWS.Stealer.23012, распространявшегося по ссылкам в комментариях к видеороликам на популярном интернет-ресурсе YouTube. Эти ролики были посвящены использованию специальных программ, облегчающих прохождение компьютерных игр, — читов и «трейнеров». Под видом таких приложений злоумышленники и раздавали троянца-шпиона, оставляя с поддельных аккаунтов комментарии к видеороликам со ссылкой на Яндекс.Диск. Также эти вредоносные ссылки злоумышленники активно рекламировали в Twitter.
Все исследованные модификации шпиона написаны на языке Python и преобразованы в исполняемый файл с помощью программы py2exe. Одна из новых версий этой вредоносной программы, получившая наименование Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в поисках сохраненных паролей и файлов cookies браузеров, основанных на Chromium. Кроме того, этот троянец ворует информацию из мессенджера Telegram, FTP-клиента FileZilla, а также копирует файлы изображений и офисных документов по заранее заданному списку. Полученные данные троянец упаковывает в архив и сохраняет его на Яндекс.Диск.
Другая модификация этого троянца-шпиона получила наименование Trojan.PWS.Stealer.23700. Эта вредоносная программа крадет пароли и файлы cookies из браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Помимо этого, троянец копирует файлы ssfn из подпапки config приложения Steam, а также данные, необходимые для доступа к учетной записи Telegram. Кроме того, шпион создает копии изображений и документов, хранящихся на Рабочем столе Windows. Всю украденную информацию он упаковывает в архив и загружает в облачное хранилище pCloud.
Третья модификация шпиона получила наименование Trojan.PWS.Stealer.23732. Дроппер этого троянца написан на языке Autoit, он сохраняет на диск и запускает несколько приложений, являющихся компонентами вредоносной программы. Один из них представляет собой шпионский модуль, как и его предшественники, написанный на языке Python и преобразованный в исполняемый файл. Он ворует на инфицированном устройстве конфиденциальную информацию. Все остальные компоненты троянца написаны на языке Go. Один из них сканирует диски в поисках папок, в которых установлены браузеры, а еще один упаковывает похищенные данные в архивы и загружает их в хранилище pCloud.
Для распространения этой модификации стилера купившие его у вирусописателя злоумышленники придумали еще один, более оригинальный метод. Киберпреступники связывались с администраторами тематических Telegram-каналов и предлагали им написать пост, посвященный якобы разработанной ими новой программе, и предлагали ее протестировать. По словам злоумышленников, эта программа позволяла одновременно подключаться к нескольким аккаунтам Telegram на одном компьютере. На самом же деле под видом полезного приложения они предлагали потенциальной жертве скачать троянца-шпиона.
В коде этих троянцев-шпионов вирусные аналитики обнаружили информацию, позволившую установить автора вредоносных программ. Вирусописатель скрывается под псевдонимом «Енот Погромист», при этом он не только разрабатывает троянцев, но и продает их на одном популярном сайте.
Создатель троянцев-шпионов также ведет канал на YouTube, посвященный разработке вредоносного ПО, и имеет собственную страницу на GitHub, где выкладывает исходный код своих вредоносных программ.
Специалисты «Доктор Веб» проанализировали данные открытых источников и установили несколько электронных адресов разработчика этих троянцев, а также номер его мобильного телефона, к которому привязан используемый для противоправной деятельности аккаунт Telegram. Кроме того, удалось отыскать ряд доменов, используемых вирусописателем для распространения вредоносных программ, а также определить город его проживания. На представленной ниже схеме показана часть выявленных связей «Енота Погромиста» с используемыми им техническими ресурсами.
Логины и пароли от облачных хранилищ, в которые загружаются архивы с украденными файлами, «зашиты» в тело самих троянцев, что позволяет без особого труда вычислить и всех клиентов «Енота Погромиста», приобретавших у него вредоносное ПО. В основном это граждане России и Украины. Некоторые из них используют адреса электронной почты, по которым нетрудно определить их страницы в социальных сетях и установить их реальную личность. Например, сотрудникам «Доктор Веб» удалось выяснить, что многие клиенты «Енота Погромиста» пользуются и другими троянцами-шпионами, которые продаются на подпольных форумах. Следует отметить, что отдельные покупатели оказались настолько умны и сообразительны, что запускали шпиона на своих собственных компьютерах, вероятно, в попытке оценить его работу. В результате их личные файлы были загружены в облачные хранилища, данные для доступа к которым может без труда извлечь из тела троянца любой исследователь.
Специалисты компании «Доктор Веб» напоминают, что создание, использование и распространение вредоносных программ является преступлением, за которое согласно ст. 273 УК РФ предусмотрено наказание вплоть до лишения свободы на срок до четырех лет. Также к покупателям и пользователям троянцев-шпионов применима статья 272 УК РФ «Неправомерный доступ к компьютерной информации».
#вирусописатель #троянец #вредоносное_ПО|
|
«Доктор Веб»: Android-троянец из Google Play зарабатывает для вирусописателей при помощи невидимой рекламы |
26 апреля 2018 года
Android.RemoteCode.152.origin – новая версия троянца Android.RemoteCode.106.origin, известного с 2017 года, компания «Доктор Веб» рассказывала о нем в ноябре. Эта вредоносная программа представляла собой программный модуль, который разработчики ПО встраивали в свои приложения и распространяли через каталог Google Play. Основная функция Android.RemoteCode.106.origin – незаметное скачивание и запуск вспомогательных плагинов, предназначенных для загрузки веб-страниц с рекламой и нажатия на расположенные на них баннеры. Новая версия троянца выполняет аналогичные действия.
После первого запуска приложения, в которое встроен троянец, Android.RemoteCode.152.origin автоматически начинает работу через определенные интервалы времени и самостоятельно запускается после каждой перезагрузки устройства. Таким образом, для его работы не требуется, чтобы владелец мобильного устройства постоянно использовал зараженное приложение.
При старте вредоносная программа загружает с управляющего сервера и запускает один из троянских модулей, который был добавлен в вирусную базу Dr.Web как Android.Click.249.origin. В свою очередь, этот компонент скачивает и запускает еще один модуль, основанный на рекламной платформе MobFox SDK. Она предназначена для монетизации приложений. С ее помощью троянец незаметно создает различные рекламные объявления и баннеры, после чего самостоятельно нажимает на них, зарабатывая деньги для киберпреступников. Кроме того, Android.RemoteCode.152.origin поддерживает работу с мобильной маркетинговой сетью AppLovin, через которую также загружает рекламные объявления для получения дополнительного дохода.
Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, в которые был встроен этот троянец. Все они представляют собой различные игры, суммарное число загрузок которых превысило 6 500 000. Специалисты «Доктор Веб» передали в корпорацию Google информацию о найденных программах, и на момент публикации этой новости часть из них была успешно удалена из каталога. При этом некоторые приложения получили обновления, в которых вредоносный модуль уже отсутствует.
Android.RemoteCode.152.origin был обнаружен в следующих программах:
Кроме того, при дальнейшем анализе специалисты «Доктор Веб» выявили троянца еще в нескольких приложениях, которые ранее уже были удалены из каталога:
Примеры ПО со встроенным троянцем Android.RemoteCode.152.origin показаны на следующих изображениях:
Чтобы снизить вероятность заражения мобильных устройств вредоносными и нежелательными программами, специалисты компании «Доктор Веб» рекомендуют устанавливать приложения только от известных и проверенных разработчиков. Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют все известные модификации описанных в этом материале троянцев, поэтому для наших пользователей они опасности не представляют.
Подробнее об Android.RemoteCode.152.origin
#Android, #Google_Play, #рекламное_ПО, #троянец
|
|
Обнаруженный "Доктор Веб" энкодер не способен расшифровывать файлы |
16 апреля 2018 года
Новый троянец-шифровальщик получил наименование Trojan.Encoder.25129. Превентивной защитой Антивируса Dr.Web этот троянец автоматически детектируется под именем DPH:Trojan.Encoder.9. После запуска он проверяет географическое расположение пользователя по IP-адресу инфицированного устройства. По задумке злоумышленников, троянец не шифрует файлы, если IP-адрес расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде энкодер шифрует файлы вне зависимости от географической принадлежности IP-адреса.
Trojan.Encoder.25129 шифрует содержимое папок текущего пользователя, Рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron. Не шифруются файлы размером более 30000000 байт (примерно 28.6 МБ). После завершения шифрования троянец создает файл %ProgramData%\\trig и записывает в него значение «123» (если такой файл уже существует, шифрование не выполняется). Затем энкодер отправляет запрос на сайт iplogger, адрес которого зашит в его теле. После этого вредоносная программа показывает окно с требованиями выкупа.
Размер требуемого злоумышленниками выкупа варьируется от 0,007305 до 0,04 Btc. По нажатию на кнопку HOW TO BUY BITCOIN троянец демонстрирует окно с инструкциями по покупке криптовалюты Bitcoin:
Несмотря на то, что в тексте требований злоумышленники уверяют своих жертв, что они смогут восстановить зашифрованные файлы, из-за допущенной в коде троянца ошибки это в большинстве случаев невозможно.
Пользователи Dr.Web защищены от действий этого шифровальщика, поскольку он успешно детектируется и удаляется превентивной защитой наших антивирусных продуктов. Тем не менее, специалисты компании «Доктор Веб» напоминают о необходимости своевременного резервного копирования всей важной информации.
| Настрой-ка защиту от потери данных | Видео о настройке | Что делать, если... | Бесплатная расшифровка | Рубрика «Закодировать все» |
|
|
«Доктор Веб»: Android-троянец из Google Play подписывает пользователей на платные мобильные услуги |
16 апреля 2018 года
Злоумышленники распространяли Android.Click.245.origin от лица разработчика Roman Zencov и маскировали троянца под известные приложения. Среди них – еще не вышедшая на платформе Android игра Miraculous Ladybug & Cat Noir, нашумевшая в начале весны программа GetContact для звонков и работы с телефонными контактами, а также голосовой помощник Алиса, который встроен в приложения от компании «Яндекс» и как отдельное ПО пока недоступен. Одна из троянских программ входила в тридцатку наиболее популярных новинок каталога Google Play.
Специалисты «Доктор Веб» уведомили корпорацию Google об Android.Click.245.origin, после чего он был удален из каталога. В общей сложности приложения-подделки успели установить свыше 20 000 пользователей. У всех этих программ нет никаких полезных функций. Их основная задача – загрузка веб-страниц по команде злоумышленников.
После запуска Android.Click.245.origin соединяется с управляющим сервером и ожидает от него задания. В зависимости от IP-адреса подключенного к сети зараженного устройства троянец получает ссылку на определенный сайт, который необходимо загрузить. Вредоносная программа переходит по полученной ссылке и с использованием WebView отображает нужную киберпреступникам страницу. Если мобильное устройство подключено к Интернету через Wi-Fi, пользователю предлагается установить интересующее приложение, нажав на соответствующую кнопку. Например, если жертва запускала программу-подделку голосового помощника Алиса, для «скачивания» может быть подготовлен файл под названием «Alice Yandex.apk».
При попытке загрузки указанного файла у владельца мобильного устройства запрашивается номер мобильного телефона для некоей авторизации или подтверждения скачивания. После ввода номера пользователю отправляется проверочный код, который необходимо указать на сайте для завершения «загрузки». Однако никаких программ после этого жертва не получает – вместо этого она подписывается на платную услугу.
Если же зараженное устройство подключено к Интернету через мобильное соединение, загружаемый троянцем сайт выполняет несколько перенаправлений, после чего Android.Click.245.origin открывает конечный адрес в браузере Google Chrome. На загружаемой странице для скачивания некоего файла пользователю предлагается нажать на кнопку «Продолжить», после чего он перенаправляется на другой сайт, с которого якобы и происходит загрузка. После нажатия на кнопку «Начать загрузку» жертва с использованием технологии Wap-Click автоматически подписывается на одну из дорогостоящих услуг, за использование которой каждый день будет взиматься плата. При этом доступ к таким сервисам предоставляется без предварительного ввода номера телефона и кодов подтверждения из СМС.
Если троянец не получил никакого задания, он показывает на экране несколько изображений, которые загружаются из Интернета.
Подключение ненужных контент-услуг – один из самых распространенных и давно известных способов незаконного заработка злоумышленников. Однако оформление таких премиум-подписок через сервис Wap-Click представляет особую опасность, т. к. фактически происходит без какого-либо явного информирования абонентов и часто используется недобросовестными контент-провайдерами.
Чтобы избежать потери денег, владельцам смартфонов и планшетов следует внимательно относиться ко всем посещаемым веб-сайтам и не нажимать на расположенные на них подозрительные ссылки и кнопки. Кроме того, необходимо устанавливать программы только от известных и проверенных разработчиков и пользоваться антивирусом.
Для борьбы с мошенническими подписками всем российским абонентам сотовых сетей рекомендуется активировать Контентный счет. Эта услуга предоставляется бесплатно после обращения в службу поддержки или офис обслуживания мобильных операторов. Согласно поправкам в федеральный закон N 126-ФЗ «О связи», контентный счет – это отдельный счет абонента, предназначенный специально для работы с премиум-услугами. После его подключения все списания для оплаты дорогостоящих подписок от сторонних поставщиков происходят только с него.
Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации Android.Click.245.origin, поэтому для наших пользователей этот троянец не опасен.
#Android, #Google_Play, #мобильный, #платная_подписка, #мошенничество|
|
«Доктор Веб»: свыше 78 000 000 рублей клиентов Сбербанка находятся под угрозой |
5 апреля 2018 года
Android.BankBot.358.origin известен компании «Доктор Веб» с конца 2015 года. Вирусные аналитики установили, что новые модификации троянца Android.BankBot.358.origin предназначены для атаки на российских клиентов Сбербанка и заразили уже более 60 000 мобильных устройств. Однако, поскольку вирусописатели распространяют множество различных версий этого вредоносного приложения, число пострадавших может значительно увеличиться. Суммарный объем средств, которые злоумышленники способны украсть с банковских счетов владельцев зараженных устройств, превышает 78 000 000 рублей. Кроме того, киберпреступники могут похитить более 2 700 000 рублей со счетов мобильных телефонов.
На следующих изображениях показаны разделы панели администрирования Android.BankBot.358.origin с информацией о зараженных устройствах и статистикой по одной из обнаруженных бот-сетей:
Этот банковский троянец распространяется при помощи мошеннических СМС, которые могут рассылать как киберпреступники, так и сама вредоносная программа. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В таких СМС потенциальной жертве предлагается перейти по ссылке – якобы чтобы ознакомиться с ответом на объявление. Например, популярен текст: «Добрый день, обмен интересен?». Кроме того, иногда владельцы мобильных устройств получают поддельные уведомления о кредитах, мобильных переводах и зачислениях денег на счет в банке. Ниже показаны примеры фишинговых сообщений, которые задаются в панели администрирования управляющего сервера троянца и рассылаются по команде вирусописателей:
При переходе по ссылке из такого сообщения жертва попадает на принадлежащий злоумышленникам сайт, откуда на мобильное устройство скачивается apk-файл вредоносного приложения. Для большей убедительности вирусописатели используют в Android.BankBot.358.origin значок настоящей программы Avito, поэтому вероятность успешной установки троянца после его загрузки увеличивается. Некоторые модификации банкера могут распространяться под видом других программ – например, ПО для работы с платежными системами Visa и Western Union.
При первом запуске Android.BankBot.358.origin запрашивает доступ к правам администратора устройства и делает это до тех пор, пока пользователь не согласится предоставить ему необходимые полномочия. После получения нужных привилегий троянец показывает ложное сообщение об ошибке установки и удаляет свой значок из списка программ на главном экране. Так Android.BankBot.358.origin пытается скрыть свое присутствие на смартфоне или планшете. Если же в дальнейшем пользователь пытается удалить банкера из списка администраторов, Android.BankBot.358.origin активирует функцию самозащиты и закрывает соответствующее окно системных настроек. При этом некоторые версии троянца дополнительно устанавливают собственный PIN-код разблокировки экрана.
После инфицирования устройства Android.BankBot.358.origin соединяется с управляющим сервером, сообщает ему об успешном заражении и ожидает дальнейших указаний. Главная цель троянца – похищение денег у русскоязычных клиентов Сбербанка, при этом основным вектором атаки является фишинг. Злоумышленники отправляют троянцу команду на блокирование зараженного устройства окном с мошенническим сообщением. Оно имитирует внешний вид системы дистанционного банковского обслуживания Сбербанк Онлайн и отображается для всех пользователей независимо от того, являются ли они клиентами Сбербанка или другой кредитной организации. В этом сообщении говорится о якобы поступившем денежном переводе в размере 10 000 рублей. Для получения средств владельцу смартфона или планшета предлагается указать полную информацию о банковской карте: ее номер, имя держателя, дату окончания действия, а также секретный код CVV. При этом без ввода требуемых данных мошенническое окно невозможно закрыть, и устройство остается заблокированным. В результате пользователь вынужден подтвердить «зачисление средств», после чего информация о карте передается злоумышленникам, и они могут беспрепятственно украсть все деньги с банковского счета жертвы.
Однако на момент публикации этого материала существующие модификации троянца не выполняют полную проверку сведений о банковских картах, и после ввода любых данных снимают блокировку. В результате пострадавшие от Android.BankBot.358.origin владельцы мобильных устройств могут избавиться от фишингового окна и воспользоваться антивирусом, чтобы удалить вредоносную программу. Для этого в мошенническую форму необходимо ввести произвольный номер карты, который состоит из 16 или 18 цифр, а также указать любой срок ее действия в диапазоне от 2017 до 2030 года включительно. При этом ни в коем случае нельзя вводить информацию о настоящей карте Сбербанка или другой кредитной организации, т. к. злоумышленники получат к ней полный доступ.
Тем не менее, ничто не мешает вирусописателям отдать команду на повторную блокировку смартфона или планшета после обнаружения обмана. Поэтому после того как фишинговое окно будет закрыто, необходимо как можно скорее проверить устройство антивирусом и удалить троянца с мобильного устройства: https://download.drweb.ru/android/
Если у пользователя подключена услуга Мобильный банк, Android.BankBot.358.origin с ее помощью пытается украсть деньги со счета жертвы. Вредоносная программа незаметно отправляет СМС с командами для выполнения операций в системе онлайн-банкинга. Троянец проверяет текущий баланс карты пользователя и автоматически переводит средства либо на банковский счет злоумышленников, либо на счет их мобильного телефона. Пример того, как Android.BankBot.358.origin похищает деньги через сервис дистанционного банковского обслуживания, показан на следующей иллюстрации:
Для получения дополнительного дохода некоторые версии Android.BankBot.358.origin могут заблокировать зараженное устройство сообщением с требованием оплаты штрафа за просмотр запрещенных видео. Кроме того, чтобы скрыть вредоносную активность (например, поступление подозрительных СМС), различные модификации троянца способны также блокировать экран зараженного смартфона или планшета уведомлением об установке некоего системного обновления.
Вирусописатели могут настраивать параметры окон блокировки в панели администрирования управляющего сервера. Например, задавать текст выводимых сообщений, продолжительность их отображения, а также требуемую сумму выкупа. Ниже представлены примеры соответствующих разделов панели управления:
Наряду с кражей денег и блокировкой зараженных устройств Android.BankBot.358.origin способен выполнять и другие вредоносные действия. Получая команды от злоумышленников, троянец может:
Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации Android.BankBot.358.origin, поэтому для наших пользователей троянец опасности не представляет. Специалисты «Доктор Веб» передали информацию о троянце в Сбербанк и продолжают наблюдать за развитием ситуации.
#Android #банкер #мобильный #вымогательство #банковский_троянец
|
|
«Доктор Веб»: новый троянец распространяется на сайте YouTube |
23 марта 2018 года
Вредоносная программа, получившая наименование Trojan.PWS.Stealer.23012, написана на языке Python и заражает компьютеры под управлением Microsoft Windows. Распространение троянца началось в районе 11 марта 2018 и продолжается по сегодняшний день. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на популярном интернет-ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты. Ссылки ведут на серверы Яндекс.Диск. Чтобы убедить посетителя сайта нажать на ссылку, на страничках роликов публикуются комментарии, явно написанные из-под поддельных аккаунтов. При попытке перейти по такой ссылке потенциальная жертва загружает на свой компьютер самораспаковывающийся RAR-архив, который содержит троянца.
Запустившись на инфицированном компьютере, троянец собирает следующую информацию:
Также он копирует с Рабочего стола Windows файлы с расширениями ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".
Все полученные данные Trojan.PWS.Stealer.23012 сохраняет в папке C:/PG148892HQ8. Затем он упаковывает их в архив spam.zip, который вместе с информацией о расположении зараженного устройства отправляется на сервер злоумышленников.
Вирусные аналитики компании «Доктор Веб» обнаружили несколько образцов этого троянца. Часть из них детектируется под именем Trojan.PWS.Stealer.23198. Все известные модификации этой вредоносной программы успешно определяются антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.
#cookies #вредоносное_ПО #снимок_экрана #троянец|
|
«Доктор Веб»: Банкер Android.BankBot.149.origin стал грозным оружием киберпреступников |
20 марта 2018 года
На момент своего появления Android.BankBot.149.origin был банковским троянцем с типичным набором функций. Он показывал фишинговые окна, с помощью которых крал логины и пароли от учетных записей систем онлайн-банкинга различных кредитных организаций, похищал информацию о банковских картах, а также мог перехватывать входящие СМС, чтобы получить доступ к одноразовым паролям для подтверждения денежных переводов. Когда исходный код этого вредоносного приложения стал доступен всем желающим, вирусописатели начали создавать на его основе множество похожих троянцев. При этом злоумышленники активно распространяли их через каталог Google Play. Среди таких банкеров были Android.BankBot.179.origin, Android.BankBot.160.origin, Android.BankBot.163.origin, Android.BankBot.193.origin и Android.Banker.202.origin, которых вирусописатели маскировали под безобидные и полезные приложения.
Еще один троянец, при создании которого киберпреступники использовали опубликованный ранее код, был добавлен в вирусную базу Dr.Web как Android.BankBot.250.origin. Он также известен под именем Anubis. Вирусные аналитики «Доктор Веб» обнаружили первые версии этой вредоносной программы в ноябре 2017 года. Указанные модификации троянца практически полностью копировали возможности Android.BankBot.149.origin. Банкер мог выполнять следующие действия:
На иллюстрациях ниже показан пример панели управления одной из первых версий троянца Android.BankBot.250.origin:
Однако по мере выпуска обновлений Android.BankBot.250.origin его функционал постепенно расширялся. В одной из новых модификаций троянца, получившей имя Android.BankBot.325.origin, появилась возможность дистанционного доступа к зараженным устройствам. В результате банкер мог работать как утилита удаленного администрирования или RAT (Remote Administration Tool). Одной из его новых функций стал просмотр списка файлов, которые хранились в памяти зараженных смартфонов или планшетов, загрузка любого из них на управляющий сервер, а также их удаление. Кроме того, троянец мог отслеживать все, что происходило на экране, делая скриншоты и отправляя их злоумышленникам. Помимо этого по команде вирусописателей Android.BankBot.325.origin прослушивал окружение при помощи встроенного в устройство микрофона. Поэтому он мог применяться и для кибершпионажа. На следующих изображениях показан раздел панели администрирования управляющего сервера троянца, где злоумышленники могли отдать троянцу соответствующую команду:
При этом анализ банкера показал, что вирусописатели используют в названиях методов, а также в командах управления аббревиатуру «VNC», которая расшифровывается как Virtual Network Computing и относится к системе удаленного доступа к рабочему столу. Однако в троянце Android.BankBot.325.origin она никак не реализована, и злоумышленники лишь используют ее название для собственного удобства. Тем не менее, можно сделать вывод, что киберпреступники начали разрабатывать возможность удаленного управления экраном зараженных устройств и превращать банкера в более универсальное вредоносное приложение. Ниже показан фрагмент кода Android.BankBot.325.origin, где используется указанная аббревиатура:
Одна из последних модификаций Android.BankBot.325.origin, которую исследовали вирусные аналитики «Доктор Веб», получила еще больше функций. В список возможностей банкера теперь входят:
На следующих иллюстрациях продемонстрирован список команд, которые злоумышленники могут отправлять банкеру через панель администрирования:
Большинство команд, передаваемых банкеру, настраиваются в этой же панели. Например, на изображении ниже показана конфигурация параметров шифрования файлов. Вирусописатели могут задать ключ шифрования, сумму выкупа (например, в биткойнах), которую Android.BankBot.325.origin запросит у жертвы, а также свой номер кошелька для перевода:
Там же настраиваются поддельные уведомления, которые должны заставить пользователя запустить нужное киберпреступникам приложение. Сразу после старта целевой программы троянец показывает поверх ее окна фишинговую форму ввода логина, пароля и другой секретной информации и передает ее вирусописателям.
Аналогичным образом настраиваются и сами фишинговые окна вместе с дополнительными параметрами:
Android.BankBot.325.origin показывает поддельные формы авторизации при запуске свыше 160 программ, среди которых – ПО для доступа к банковским услугам, платежным системам и социальным сетям. При этом к ним добавились и популярные приложения для работы с криптовалютами. Android.BankBot.325.origin – не первый банкер, который пытается украсть логины и пароли от таких программ, однако именно в нем злоумышленники постарались сделать внешний вид фишинговых окон максимально похожим на интерфейс настоящих приложений. Примеры таких мошеннических форм авторизации показаны на следующих изображениях:
Вирусные аналитики установили, что троянец атакует пользователей из России, Украины, Турции, Англии, Германии, Франции, Индии, США, Гонконга, Венгрии, Израиля, Японии, Новой Зеландии, Кении, Польши и Румынии. Однако в любое время этот список может пополниться и другими государствами, если киберпреступники проявят к ним интерес.
Специалисты компании «Доктор Веб» ожидают, что авторы Android.BankBot.325.origin продолжат совершенствовать функционал троянца и будут добавлять в него новые возможности удаленного управления зараженными смартфонами и планшетами. Не исключено, что в троянце появятся дополнительные шпионские функции. Антивирусные продукты Dr.Web для Android успешно детектируют все известные модификации этого вредоносного приложения, поэтому для наших пользователей оно опасности не представляет.
#Android #банковский_троянец #биткойн|
|
«Доктор Веб»: злоумышленники подделали известные Android-приложения и могут использовать их для фишинга |
13 марта 2018 года
Выявленные программы имеют названия известных приложений, а также схожие с оригиналами значки. Специалисты «Доктор Веб» обнаружили подделки ПО Qiwi Кошелек, Сбербанк Онлайн, Одноклассники, ВКонтакте и НТВ. Ниже продемонстрировано, как интернет-мошенники обманывают потенциальных жертв. На иллюстрации слева показана страница программы-имитатора, которую можно легко найти в каталоге Google Play. Справа – страница подлинного ПО.
При каждом запуске эти приложения-подделки соединяются с управляющим сервером, который в ответ либо отправляет параметр «none», либо передает заданную злоумышленниками веб-ссылку. При получении первого параметра программы извлекают из своих ресурсов несколько изображений и показывают их пользователям. В этом и заключается весь их «полезный» функционал. Если же в ответе программам поступает ссылка на веб-страницу, они загружают и отображают ее. Открытие страницы выполняется с применением WebView непосредственно в самих приложениях, где ссылка на целевой интернет-адрес не видна. При этом содержимое показываемых страниц может быть абсолютно любым. В частности, это могут оказаться поддельные формы входа в учетную запись онлайн-банкинга или социальных сетей. В результате владельцы Android-смартфонов и планшетов рискуют стать жертвами фишинговых атак. Поскольку такой функционал представляет серьезную опасность, указанное ПО добавлено в вирусную базу Dr.Web как вредоносное и детектируется под именем Android.Click.415.
Помимо уже описанных троянцев, вирусные аналитики «Доктор Веб» выявили более 70 аналогичных программ, которые в общей сложности загрузили свыше 270 000 пользователей. Среди этих приложений – поддельные игры, сборники рецептов и пособия по вязанию, некоторые из них действительно обладают заявленными функциями. Однако, как и троянец Android.Click.415, они могут получать от управляющего сервера ссылки на любые веб-страницы, которые затем загрузят и продемонстрируют пользователям. Эти программы также были добавлены в вирусную базу Dr.Web и детектируются под именами Android.Click.416 и Android.Click.417. Кроме того, во время работы различные модификации вредоносных приложений показывают рекламу, постоянно выводя ее на экран мобильного устройства:
Троянцев распространяли как минимум 4 разработчика: Tezov apps, Aydarapps, Chmstudio и SVNGames. Специалисты «Доктор Веб» оповестили корпорацию Google обо всех найденных вредоносных приложениях, однако на момент публикации этой новости они все еще были доступны для загрузки.
Компания «Доктор Веб» напоминает, что при установке программ даже из надежных источников, таких как Google Play, необходимо обращать внимание на имя разработчика. Злоумышленники могут копировать внешний вид приложений, а также использовать похожие названия, чтобы обманом заставить потенциальных жертв установить подделки, которые легко находятся при поиске в каталогах ПО. Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации троянцев Android.Click.415, Android.Click.416 и Android.Click.417, поэтому те для наших пользователей опасности не представляют.
|
|
«Доктор Веб»: новые троянцы-загрузчики работают скрытно |
6 марта 2018 года
Семейство вредоносных программ Trojan.LoadMoney известно еще с 2013 года, и новые его представители появляются с завидной регулярностью. Один из них получил название Trojan.LoadMoney.3209. В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.
Один из файлов, которые загружает Trojan.LoadMoney.3209, получил название Trojan.LoadMoney.3558. Эта вредоносная программа устроена сложнее. Trojan.LoadMoney.3558 играет роль основного инфектора системы и использует для скачивания файлов свободно распространяемую утилиту cURL. Эта утилита позволяет взаимодействовать сразу с несколькими серверами в Интернете по множеству разных протоколов. Троянец расшифровывает ее и сохраняет на диск. Для скачивания файлов на зараженный компьютер с помощью cURL Trojan.LoadMoney.3558 использует Планировщик заданий Windows. Троянец содержит четыре зашифрованных адреса интернет-ресурсов, один из них используется для работы cURL, а с трех оставшихся незаметно для пользователя загружается и запускается исполняемый файл, получивший наименование Trojan.LoadMoney.3263. После запуска исходный файл Trojan.LoadMoney.3263 удаляется.
После скачивания троянец извлекает из себя исполняемый файл, восстанавливает его заголовок и сохраняет во временной папке, а потом запускает. Указанный файл детектируется Dr.Web под именем Trojan.Siggen7.35395. Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.
Вирусные аналитики «Доктор Веб» продолжают исследование этого семейства вредоносных программ и загружаемых ими из Интернета опасных файлов. По мере выявления новых фактов мы будем информировать о них наших читателей. Антивирусные продукты Dr.Web надежно защищают от всех известных на сегодняшний день представителей семейства Trojan.LoadMoney, поэтому те не представляют опасности для наших пользователей.
#майнинг #троянец|
|
«Доктор Веб» выявил в Google Play троянца, атакующего клиентов российских банков |
5 марта 2018 года
Вредоносная программа, получившая имя Android.BankBot.344.origin, скрывается в приложении под названием «ВСЕБАНКИ – Все банки в одном месте». Вирусописатели опубликовали ее совсем недавно, 25 февраля, и троянца успели скачать не более 500 владельцев мобильных устройств. При этом, чтобы сделать банкера более привлекательным для потенциальных жертв, его авторы не поленились оставить поддельные отзывы от имени «счастливых пользователей». Специалисты «Доктор Веб» передали информацию о троянце в корпорацию Google, которая оперативно удалила его из каталога Google Play.
Android.BankBot.344.origin является модификацией вредоносной программы Android.BankBot.336.origin, которая была обнаружена в феврале и также распространялась через Google Play. В отличие от старой версии, атаковавшей украинских пользователей, обновленный троянец нацелен на клиентов российских банков. Как и в случае с предыдущей модификацией, киберпреступники выдавали Android.BankBot.344.origin за приложение, которое якобы предоставляло онлайн-доступ к финансовым услугам сразу нескольких кредитных организаций. Но в действительности оно не имело заявленного функционала.
Троянец предлагал пользователям либо войти в уже существующую учетную запись мобильного банкинга, используя имеющиеся логин и пароль, либо зарегистрироваться, введя информацию о банковской карте. Однако после того как жертвы указывали секретные данные, он передавал их вирусописателям, в результате чего те могли украсть деньги обманутых владельцев мобильных устройств. Как и предыдущая версия троянца, Android.BankBot.344.origin мог перехватывать входящие СМС.
Компания «Доктор Веб» напоминает, что для работы с системами онлайн-банкинга необходимо устанавливать только официальные приложения кредитных организаций. Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации троянца Android.BankBot.344.origin, поэтому для наших пользователей он опасности не представляет.
#Android #Google_Play #банковский_троянец|
|
«Доктор Веб»: более 40 моделей Android-смартфонов заражены на этапе производства |
1 марта 2018 года
Android.Triada.231 – представитель опасного семейства троянцев Android.Triada. Они заражают процесс важного системного компонента ОС Android под названием Zygote, который участвует в запуске всех программ. После внедрения в этот модуль троянцы проникают в процессы остальных работающих приложений и получают возможность выполнять различные вредоносные действия без участия пользователя. Например, незаметно скачивать и запускать ПО. Особенность Android.Triada.231 заключается в том, что вирусописатели встраивают этого троянца в системную библиотеку libandroid_runtime.so на уровне исходного кода, а не распространяют его как отдельную программу. В результате действий злоумышленников вредоносное приложение поселяется непосредственно в прошивке инфицированных мобильных устройств уже на этапе производства, и пользователи становятся обладателями зараженных смартфонов «из коробки».
Сразу после обнаружения Android.Triada.231 летом прошлого года компания «Доктор Веб» сообщила о нем производителям зараженных устройств. Однако, несмотря на своевременное предупреждение, вредоносная программа по-прежнему попадает на новые модели смартфонов. Например, она была найдена на смартфоне Leagoo M9, который был анонсирован в декабре 2017 года. При этом исследование показало, что добавление троянца в прошивку произошло по просьбе партнера Leagoo, компании-разработчика из Шанхая. Эта организация предоставила одно из своих приложений для включения в образ операционной системы мобильных устройств, а также дала инструкцию по внесению стороннего кода в системные библиотеки перед их сборкой (компиляцией). К сожалению, такая сомнительная просьба не вызвала у производителя никаких подозрений, и Android.Triada.231 беспрепятственно попал на смартфоны.
Анализ приложения, которое компания-партнер предложила внести в прошивку Leagoo M9, показал, что оно подписано тем же сертификатом, что и троянец Android.MulDrop.924, о котором «Доктор Веб» рассказывал еще в 2016 году. Можно предположить, что разработчик, попросивший внести дополнительную программу в образ операционной системы, может быть прямо или косвенно причастен к распространению Android.Triada.231.
К настоящему времени вирусные аналитики выявили Android.Triada.231 в прошивке более 40 моделей Android-устройств:
Этот список – не окончательный, перечень инфицированных моделей смартфонов может оказаться гораздо шире.
Такое широкое распространение Android.Triada.231 говорит о том, что многие производители Android-устройств уделяют слишком мало внимания вопросам безопасности, и внедрение троянского кода в системные компоненты из-за ошибок или злого умысла может быть весьма распространенной практикой.
Продукты Dr.Web для Android обнаруживают все известные модификации Android.Triada.231, поэтому, чтобы выяснить, заражено ли мобильное устройство, необходимо выполнить его полную проверку. Dr.Web Security Space для Android при наличии root-полномочий способен обезвредить Android.Triada.231, вылечив зараженный системный компонент. Если же на инфицированном устройстве root-привилегии недоступны, избавиться от вредоносной программы поможет установка чистого образа операционной системы, которую должен предоставить производитель смартфона.
|
|
