Аналитики «Доктор Веб» обнаружили троянца в программе для отслеживания курса криптовалют |
22 января 2019 года
Осенью 2018 года в онлайн-сообществах, посвященных криптовалютам, появились сообщения с предложением установить программу для отслеживания изменения курса цифровых валют. Ее разработчики обещают бесплатный, надежный и сертифицированный виджет. На первый взгляд, приложение не вызывает подозрений: у него есть действительная цифровая подпись и оно показывает актуальную информацию о курсе криптовалют. Но за работоспособностью скрывается вредоносная функциональность.
При установке программа скачивает, компилирует и исполняет исходный код, загруженный с личного аккаунта разработчика на Github. После чего он загружает Trojan.PWS.Stealer.24943, известного также как AZORult. Этот троянец используется для кражи личных данных, включая пароли от кошельков криптовалют.
Преимущественно мошенники предлагают скачать вредоносную программу на русском, английском и польском языках. В русскоязычном сегменте Интернета троянца распространяют в группах майнеров криптовалют на vk.com.
Сейчас троянец все еще доступен на различных файлообменных сервисах, а также на Github. Пользователям продуктов Dr.Web опасность не угрожает, но специалисты Dr.Web настоятельно рекомендуют вовремя продлевать лицензию антивируса и следить за обновлениями.
#bitcoin #криптовалюты #майнинг #троянец
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2018 год |
28 декабря 2018 года
В уходящем году владельцам мобильных устройств под управлением ОС Android вновь угрожало большое число вредоносных и нежелательных программ, многие из которых распространялись через официальный каталог приложений Google Play. При этом заметно усилилась начавшаяся в 2017 году тенденция использования различных приемов маскировки и сокрытия троянцев для снижения вероятности их обнаружения.
Одной из главных угроз для пользователей смартфонов и планшетов за последние 12 месяцев стали Android-банкеры, атаковавшие клиентов кредитных организаций по всему миру. Кроме того, серьезную опасность представляли вредоносные программы, способные скачивать из Интернета и запускать произвольный код.
Вирусописатели активно распространяли троянцев, применявшихся в мошеннических схемах, а также задействовали другие вредоносные приложения, с помощью которых получали незаконный доход. Кроме того, злоумышленники снова пытались заработать «мобильной» добычей криптовалют и даже использовали троянцев-клиперов для подмены номеров электронных кошельков в буфере обмена Android-устройств.
Актуальной осталась проблема заражения прошивок смартфонов и планшетов на этапе их производства. Один из случаев внедрения троянца в образ операционной системы Android вирусные аналитики компании «Доктор Веб» выявили весной — тогда были скомпрометированы свыше 40 моделей мобильных устройств.
Также в течение года пользователям угрожали вредоносные приложения, использовавшиеся для кибершпионажа.
В начале года специалисты по информационной безопасности зафиксировали распространение троянца-майнера Android.CoinMine.15, заражавшего «умные» телевизоры, роутеры, телеприставки и другие устройства под управлением ОС Android. Он проникал на оборудование с использованием отладчика ADB (Android Device Bridge). Для этого Android.CoinMine.15 случайным образом генерировал IP-адреса и пытался подключиться к открытому порту 5555. В случае успеха троянец устанавливал на доступное устройство свою копию вместе со вспомогательными файлами, среди которых были и приложения-майнеры для добычи криптовалюты Monero (XMR).
В марте компания «Доктор Веб» рассказала о новом случае обнаружения троянца Android.Triada.231 в прошивках более 40 моделей Android-смартфонов и планшетов. Неустановленные злоумышленники встроили Android.Triada.231 в одну из системных библиотек на уровне исходного кода, тогда как другие представители семейства Android.Triada обычно распространяются как отдельные приложения. Троянец внедряется в системный процесс Zygote, ответственный за старт программ. В результате Android.Triada.231 заражает остальные процессы и может скрыто выполнять вредоносные действия – например, загружать, устанавливать и удалять ПО без участия пользователя. Более подробные сведения о проведенном специалистами «Доктор Веб» расследовании этого случая доступны в соответствующем информационном материале.
Злоумышленники все чаще используют разнообразные методы, позволяющие уменьшить вероятность обнаружения вредоносных и нежелательных программ. В 2018 году эта тенденция сохранилась. Один из популярных способов снизить заметность — применение приложений-загрузчиков. Благодаря им троянцы и другое опасное ПО дольше остаются вне поля зрения антивирусов и вызывают меньше подозрений у потенциальных жертв. С помощью таких загрузчиков киберпреступники могут распространять вредоносное ПО различного типа – например троянцев-шпионов.
В апреле в каталоге Google Play был обнаружен загрузчик Android.DownLoader.3557, который скачивал на устройства и под видом важных плагинов предлагал пользователям установить вредоносные программы Android.Spy.443.origin и Android.Spy.444.origin. Они отслеживали местоположение зараженного смартфона или планшета, получали информацию обо всех доступных файлах, могли пересылать злоумышленникам документы жертвы, отправлять и красть СМС-сообщения, похищать данные из телефонной книги, записывать видео, прослушивать окружение при помощи встроенного в устройство микрофона, перехватывать телефонные звонки и совершать другие действия.
В августе в Google Play был найден загрузчик Android.DownLoader.784.origin, скачивавший троянца, предназначенного для кибершпионажа. Он получил имя Android.Spy.409.origin. Вирусописатели распространяли Android.DownLoader.784.origin под видом приложения Zee Player, которое позволяло скрывать хранящиеся в памяти мобильных устройств фотографии и видео. Программа была полностью работоспособной, поэтому у жертв злоумышленников не было причин заподозрить какой-либо подвох.
Однако все чаще троянцы-загрузчики используются для распространения Android-банкеров. В июле в Google Play был найден Android.DownLoader.753.origin, которого вирусописатели выдавали за финансовые приложения. Некоторые из них для большей убедительности действительно выполняли заявленные функции. Android.DownLoader.753.origin скачивал и пытался установить различных банковских троянцев, похищавших конфиденциальные данные.
Позднее было выявлено несколько аналогичных вредоносных программ, которые также проникли в Google Play. Одна из них получила имя Android.DownLoader.768.origin — киберпреступники распространяли ее под видом официального ПО корпорации Shell. Другая, добавленная в вирусную базу Dr.Web как Android.DownLoader.772.origin, скрывалась под маской полезных утилит. Оба троянца также использовались для скачивания и установки Android-банкеров.
Загрузчики применяются для заражения мобильных устройств и другим вредоносным ПО. В октябре вирусные аналитики обнаружили в каталоге Google Play троянца Android.DownLoader.818.origin, распространявшегося под видом VPN-клиента. Позже специалисты «Доктор Веб» выявили несколько его модификаций, которые скрывались в поддельных играх и получили имена Android.DownLoader.819.origin и Android.DownLoader.828.origin. Они предназначались для установки рекламных троянцев.
Все большее распространение получают многокомпонентные вредоносные приложения. Каждый из их модулей отвечает за выполнение определенных функций, что позволяет злоумышленникам при необходимости расширять возможности троянцев. Кроме того, такой механизм работы на зараженных мобильных устройствах снижает вероятность выявления угрозы. Вирусописатели способны оперативно обновлять эти плагины и добавлять к ним новые, оставляя основного троянца с минимальным набором функций и делая его менее заметным.
Подобный «комбайн» специалисты «Доктор Веб» обнаружили в феврале — он получил имя Android.RemoteCode.127.origin. Троянец, которого установили свыше 4 500 000 пользователей, незаметно скачивал и запускал вредоносные модули, выполнявшие разнообразные действия. Один из исследованных плагинов Android.RemoteCode.127.origin загружал собственное обновление, скрытое в обычном, на первый взгляд, изображении. Такой способ маскировки вредоносных объектов известен как стеганография. Он знаком специалистам по информационной безопасности уже давно, однако применяется вирусописателями редко.
После расшифровки и запуска модуль скачивал еще одно изображение, в котором скрывался другой плагин, загружавший и запускавший троянца Android.Click.221.origin. Тот незаметно открывал веб-сайты и нажимал на расположенные на них элементы — ссылки и баннеры, — накручивая счетчики посещений и зарабатывая деньги за рекламные «клики».
Примеры изображений с зашифрованными в них модулями Android.RemoteCode.127.origin:
Подробнее об этом троянце рассказано в новостном материале на нашем сайте.
Android.RemoteCode.152.origin — еще один многокомпонентный троянец, способный загружать и выполнять произвольный код. Его установили более 6 500 000 пользователей. Эта вредоносная программа незаметно скачивала и запускала вспомогательные модули, среди которых были рекламные плагины. С их помощью троянец создавал невидимые баннеры с объявлениями и нажимал на них, принося вирусописателям прибыль.
В августе аналитики «Доктор Веб» исследовали троянца-клипера Android.Clipper.1.origin, а также его модификацию Android.Clipper.2.origin. Эта вредоносная программа подменяла в буфере обмена номера электронных кошельков платежных систем «Яндекс.Деньги», Qiwi и Webmoney (R и Z), а также криптовалют Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH и Blackcoin. Вирусописатели распространяли троянца под видом известных и безобидных приложений.
При копировании номера электронного кошелька в буфер обмена Android.Clipper.1.origin перехватывал его и передавал на управляющий сервер. В ответ вредоносная программа получала информацию о номере кошелька злоумышленников, на который троянец заменял номер в буфере обмена. В результате, если пользователь не замечал подмену, он переводил деньги на счет киберпреступников. Подробная информация об Android.Clipper.1.origin доступна в новостной публикации на сайте компании «Доктор Веб».
Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, в 2018 году на Android-устройствах чаще всего обнаруживались рекламные троянцы, вредоносные программы, скачивающие опасное и ненужное ПО, а также троянцы, выполняющие по команде злоумышленников различные действия.
Среди нежелательных и потенциально опасных приложений, обнаруженных на Android-устройствах в течение года, самыми распространенными оказались модули, показывающие рекламу. Кроме того, на смартфонах и планшетах детектировались программы, предназначенные для загрузки и установки различного ПО.
Нежелательные модули, которые разработчики ПО и вирусописатели встраивают в приложения для показа агрессивной рекламы.
Потенциально опасные программы, предназначенные для загрузки и установки других приложений.
Банковские троянцы по-прежнему представляют серьезную опасность для владельцев мобильных устройств. Эти вредоносные приложения похищают логины и пароли доступа к учетным записям клиентов кредитных организаций, информацию о банковских картах и другие конфиденциальные данные, которые могут использоваться для кражи денег. В течение последних 12 месяцев антивирусные продукты Dr.Web для Android обнаруживали таких троянцев на смартфонах и планшетах свыше 110 000 раз. Динамика детектирования Android-банкеров показана на следующем графике:
Когда в конце 2016 года авторы банковского троянца Android.BankBot.149.origin опубликовали его исходный код, специалисты компании «Доктор Веб» спрогнозировали появление множества вредоносных программ, созданных на его основе. Это предположение оказалось верным: вирусописатели активно приступили к производству похожих банкеров, одновременно совершенствуя их и добавляя новые функции. Одним из таких троянцев, которые злоумышленники распространяли в 2018 году, был Android.BankBot.250.origin, а также его обновленная и еще более опасная версия Android.BankBot.325.origin. Этот банкер, известный под именем Anubis, является многофункциональным вредоносным приложением. Оно не только крадет конфиденциальные данные и деньги пользователей, но и способно выполнять множество команд. Кроме того, с его помощью киберпреступники могут получать дистанционный доступ к зараженным устройствам, применяя Android.BankBot.325.origin как утилиту удаленного администрирования. С деталями исследования этого троянца можно ознакомиться в соответствующем материале на нашем сайте.
В марте специалисты «Доктор Веб» обнаружили в Google Play троянца Android.BankBot.344.origin, скрывавшегося в приложении под названием «ВСЕБАНКИ – Все банки в одном месте». Злоумышленники выдавали его за универсальное приложение для работы с системами онлайн-банкинга нескольких российских кредитных организаций.
При запуске Android.BankBot.344.origin предлагал потенциальной жертве войти в уже существующую банковскую учетную запись, указав логин и пароль, либо зарегистрироваться, предоставив сведения о банковской карте. Вводимая информация передавалась кибержуликам, после чего те могли украсть деньги со скомпрометированного счета.
Осенью вирусные аналитики исследовали банкера Android.Banker.2876, который также распространялся через каталог Google Play и атаковал клиентов кредитных учреждений Испании, Франции и Германии. Он отображал фишинговое окно и предлагал потенциальной жертве указать ее номер телефона, после чего передавал его вирусописателям. Затем Android.Banker.2876 начинал перехватывать СМС-сообщения и отправлял их содержимое злоумышленникам. Благодаря этому те могли получать одноразовые коды подтверждения финансовых операций и красть деньги пользователей.
Вскоре наши специалисты выявили в Google Play троянца Android.BankBot.495.origin, предназначенного для пользователей из Бразилии. Android.BankBot.495.origin задействовал специальные возможности ОС Android. С их помощью он считывал содержимое окон работающих приложений, передавал злоумышленникам конфиденциальные данные, а также самостоятельно нажимал на кнопки и управлял атакованными программами. Кроме того, троянец показывал мошеннические окна, в которых запрашивал логины, пароли, номера кредитных карт и другую секретную информацию.
Проводя мошеннические кампании, киберпреступники все чаще используют вредоносные программы для мобильных Android-устройств. В 2018 году было выявлено множество таких троянцев. Об одном из них — Android.Click.245.origin — компания «Доктор Веб» рассказывала в апреле. Он распространялся под видом известных приложений, однако занимался лишь загрузкой мошеннических веб-страниц. На них потенциальным жертвам предлагалось скачать то или иное ПО, указав для этого номер мобильного телефона. После ввода номера жертве приходило СМС-сообщение с кодом подтверждения, который был якобы необходим для завершения загрузки приложения. Однако вводя полученный код на сайте, пользователь подписывался на платную услугу. Если же владелец зараженного устройства был подключен к Интернету через мобильную сеть, при нажатии на поддельную кнопку загрузки оформление дорогостоящей услуги происходило автоматически с использованием технологии Wap-Click. Пример таких веб-сайтов показан ниже:
На протяжении года наши специалисты находили в Google Play и других троянцев, способных по команде управляющего сервера загружать любые веб-страницы. Среди них были Android.Click.415, Android.Click.416, Android.Click.417, Android.Click.246.origin, Android.Click.248.origin, Android.Click.458 и ряд других. Они также распространялись под видом полезных программ — сборников рецептов, различных пособий, голосовых помощников, игр и даже букмекерских приложений.
Кроме того, злоумышленники активно распространяли Android-троянцев семейства Android.FakeApp, которые загружали мошеннические сайты с размещенными на них поддельными опросами. Пользователям предлагалось ответить на несколько простых вопросов, за что кибержулики обещали солидное денежное вознаграждение. Для получения оплаты от потенциальной жертвы требовалось выполнить некий проверочный или иной платеж. Однако после перевода средств мошенникам владелец зараженного устройства не получал никаких денег.
В течение года вирусные аналитики обнаружили десятки мошеннических приложений Android.FakeApp и Android.Click, которые в общей сложности установили не менее 85 000 владельцев Android-смартфонов и планшетов. Более детально о некоторых из этих троянцев компания «Доктор Веб» рассказывала в отдельном информационном материале.
В следующем году пользователи мобильных устройств вновь столкнутся с атаками банковских троянцев, а вирусописатели продолжат улучшать их функционал. Вполне вероятно, что все большее число Android-банкеров будет становиться универсальными вредоносными программами, способными выполнять широкий спектр задач.
Возрастет число мошеннических приложений и рекламных троянцев. Также вирусописатели не оставят попыток заработать на добыче криптовалют, используя вычислительные мощности Android-устройств. Нельзя исключать очередных случаев заражения прошивок.
Киберпреступники будут совершенствовать способы обхода антивирусов, встроенных в операционную систему Android новых ограничений и защитных механизмов. Не исключено появление руткитов и троянцев, способных обходить эти барьеры. Возможно возникновение вредоносных программ с новыми принципами работы и способами получения конфиденциальной информации. Например, использование датчиков мобильного устройства и слежение за движениями глаз для получения информации о набираемом тексте. Кроме того, в новых вредоносных приложениях злоумышленники могут применять алгоритмы машинного обучения и другие методы искусственного интеллекта.
|
|
«Доктор Веб»: обзор вирусной активности за 2018 год |
28 декабря 2018 года
Уходящий год был отмечен широким распространением троянцев-майнеров, предназначенных для добычи криптовалют без ведома пользователей. Подобные вредоносные программы угрожали не только пользователям Microsoft Windows, но также владельцам различных устройств, работающих под управлением ОС семейства Linux. Не утратили своих позиций и энкодеры, шифрующие файлы на зараженных компьютерах и требующие выкуп за их расшифровку: в феврале и апреле специалисты «Доктор Веб» выявили двух новых представителей этого семейства, один из которых, несмотря на заверения вирусописателей, был неспособен восстановить поврежденные файлы даже в случае уплаты жертвой вознаграждения.
В конце марта 2018 года был исследован троянец Trojan.PWS.Stealer.23012, распространявшийся на сайте YouTube. Он был написан на языке Python и предназначен для хищения с зараженного устройства файлов и другой конфиденциальной информации. Проведенное аналитиками «Доктор Веб» расследование позволило выявить создателя этой вредоносной программы и нескольких ее модификаций. Благодаря еще одному расследованию был установлен злоумышленник, похищавший личную информацию у пользователей игровой платформы Steam при помощи специально созданного для этих целей троянца Trojan.PWS.Steam.13604. Деятельность другого сетевого преступника, промышлявшего в сфере криптовалют и заработавшего на обмане интернет-пользователей десятки тысяч долларов, специалисты «Доктор Веб» детально изучили в октябре.
В течение всего года проявляли активность кибермошенники, завлекавшие своих жертв на поддельные сайты и досаждавшие им массовыми почтовыми рассылками. Если в начале года сетевые жулики отправляли почтовые сообщения от имени компании Mail.Ru Group, пытаясь завладеть логинами и паролями пользователей почтового сервиса, то весной они активно рассылали письма с предложениями получить несуществующие денежные компенсации. Летом спамеры тревожили администраторов доменов, представляясь сотрудниками компании-регистратора «Региональный Сетевой Информационный Центр» (RU-CENTER). Их целью было получить деньги за продление регистрации доменных имен, принадлежащих потенциальным жертвам.
В 2018 году вирусописатели не обошли своим вниманием и пользователей мобильных устройств, работающих под управлением Google Android. Еще в январе специалисты по информационной безопасности обнаружили в каталоге Google Play зараженные игры, которые в совокупности были скачаны более 4 500 000 раз. Чуть позже был выявлен Android-майнер, способный заразить 8% различных «умных» устройств, таких как телевизоры, телеприставки, роутеры и иные приспособления, относящиеся к миру «Интернета вещей».
В течение всего года вирусные аналитики предупреждали пользователей о распространении банковских троянцев для ОС Android, обладающих широчайшим диапазоном функциональных возможностей. Кроме того, был обнаружен целый ряд подделок под популярные Android-приложения, которые злоумышленники использовали в целях фишинга. Некоторые мобильные троянцы подписывали своих жертв на различные платные услуги, другие зарабатывали с помощью «невидимой» рекламы, третьи загружали на зараженное устройство другое вредоносное ПО.
В феврале 2018 года был обнаружен новый троянец-шифровальщик, добавленный в вирусные базы Dr.Web под именем Trojan.Encoder.24384. Эта вредоносная программа собирает информацию о запущенных на зараженном устройстве антивирусах и умеет завершать работающие приложения по заранее составленному вирусописателями списку. Троянец шифрует файлы на фиксированных, съемных и сетевых дисках, за исключением ряда служебных и системных папок.
Другой энкодер, получивший известность под именем Trojan.Encoder.25129, при запуске пытался определить географическое положение жертвы по IP-адресу сетевого интерфейса ее устройства. Вирусописатели предусмотрели отмену шифрования для IP-адресов из России, Беларуси или Казахстана (а также если в настройках операционной системы установлены русский язык и российские региональные параметры), однако из-за допущенной в коде троянца ошибки это условие не соблюдалось и шифрование выполнялось в любом случае. После завершения своей вредоносной деятельности троянец показывал на экране требование выкупа.
К сожалению, упомянутая выше ошибка была не единственной в коде этого энкодера: благодаря еще одной оплошности вирусописателей расшифровать поврежденные троянцем файлы оказались не в состоянии даже его авторы. Этот факт еще раз подтверждает важность своевременного резервного копирования всех актуальных для пользователей файлов.
В конце марта аналитики «Доктор Веб» исследовали троянца-шпиона Trojan.PWS.Stealer.23012, написанного на Python и предназначенного для хищения конфиденциальных данных. Вредоносная программа, как и несколько ее модификаций, распространялась через сайт популярного видеохостинга YouTube с помощью ссылок в описаниях видеороликов. Ролики были посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений и активно рекламировались в Twitter.
Спустя месяц с небольшим наши специалисты смогли вычислить и автора этих троянцев. Вредоносная программа и ее модификации воровали сохраненные пароли и файлы cookies браузеров, основанных на Chromium, информацию из мессенджера Telegram, FTP-клиента FileZilla, изображения и офисные документы по заранее заданному списку. Одна из модификаций троянца активно рекламировалась на различных Telegram-каналах. Благодаря тому, что логины и пароли от облачных хранилищ, в которые загружались архивы с украденными файлами, были «зашиты» в тело самих троянцев, вирусные аналитики «Доктор Веб» вычислили и автора этих вредоносных программ, и всех его клиентов. Этому расследованию была посвящена опубликованная на нашем сайте статья.
Другое расследование наших аналитиков, результаты которого были обнародованы в конце мая, посвящено автору троянцев-шпионов, похищавших личные данные у пользователей игровой платформы Steam. Этот злоумышленник использовал сразу несколько способов криминального заработка: мошеннические «рулетки» (своеобразные аукционы, на которые пользователи могут выставить различные игровые предметы), где всегда выигрывают созданные мошенником программы-боты, и аренда вредоносных программ для всех желающих. Для распространения троянцев киберпреступник использовал методы социальной инженерии и поддельные сайты.
О принципах работы троянцев-шпионов Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278, а также об их создателе мы подробно рассказали в своей статье.
Летом аналитики «Доктор Веб» предупредили пользователей о появлении троянца-майнера Trojan.BtcMine.2869, который для своего распространения применял те же методы, что и нашумевший шифровальщик Trojan.Encoder.12544, известный под наименованиями Petya, Petya.A, ExPetya и WannaCry-2. Троянец проникал на компьютеры своих жертв с помощью механизма обновления программы «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе. В период с 24 мая по 4 июля 2018 года майнер успел заразить более 2700 компьютеров.
В сентябре специалисты компании «Доктор Веб» обнаружили банковского троянца Trojan.PWS.Banker1.28321, распространявшегося под видом приложения Adobe Reader и угрожавшего клиентам бразильских кредитных организаций.
При попытке открыть в браузере страницу интернет-банка ряда бразильских финансовых организаций троянец незаметно подменял ее, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просил указать проверочный код авторизации из полученного от банка СМС-сообщения. Эту информацию троянец передавал злоумышленникам. Вирусные аналитики выявили более 340 уникальных образцов Trojan.PWS.Banker1.28321, а также обнаружили 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов. Более подробно об этой вредоносной программе мы рассказали в опубликованной на нашем сайте обзорной статье.
Еще одно проведенное нашими аналитиками расследование, завершившееся в середине октября, было посвящено деятельности киберпреступника, промышлявшего на рынке криптовалют. Злоумышленник использовал целый арсенал вредоносных программ, таких как стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony и многие другие. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Среди них — поддельная криптовалютная биржа, пул устройств для майнинга криптовалюты Dogecoin, который якобы сдается в аренду по очень выгодным ценам, и партнерская программа, предлагавшая вознаграждение за просмотр сайтов в Интернете.
Еще один проект того же автора — онлайн-лотереи, призом в которых служит определенная сумма в криптовалюте Dogecoin. Лотереи устроены таким образом, что выиграть в них стороннему участнику невозможно, заработать на этом может только сам организатор розыгрыша. Среди других начинаний сетевого мошенника — партнерская программа, предлагающая выплату вознаграждения в Dogecoin за просмотр веб-страниц с рекламой (под видом необходимого для такой работы плагина с сайта киберпреступника загружается троянец), и традиционный фишинг. Более подробно обо всех этих видах мошенничества мы рассказали читателям в нашей публикации.
В ноябре была обнаружена вредоносная программа Trojan.Click3.27430, накручивавшая посещаемость веб-сайтов. Троянец маскировался под программу DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса.
Согласно информации, которую удалось собрать аналитикам «Доктор Веб», на сегодняшний день от этого троянца пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются 2013 годом. Более полные сведения об этом инциденте изложены в размещенном на нашем сайте новостном материале.
По данным серверов статистики «Доктор Веб» в 2018 году на компьютерах чаще всего обнаруживались написанные на JavaScript вредоносные сценарии, предназначенные для встраивания постороннего содержимого в веб-страницы и добычи криптовалют, а также троянцы-шпионы и вредоносные загрузчики.
В анализе почтового трафика наблюдается схожая картина, однако во вложениях в сообщения электронной почты намного чаще встречаются троянцы-шпионы:
По сравнению с предыдущим годом, в 2018-м число обращений в службу технической поддержки компании «Доктор Веб» от пользователей, файлы которых оказались зашифрованы троянцами-энкодерами, снизилось. Незначительный всплеск количества пострадавших от шифровальщиков отмечался в период с мая по август, минимальное количество обращений было зафиксировано в январе, максимальное — в ноябре.
Согласно статистике, чаще всего на устройства проникал энкодер Trojan.Encoder.858, вторым по количеству заражений стал Trojan.Encoder.11464, третье место занимает Trojan.Encoder.567.
Среди вредоносных программ для операционных систем семейства Linux в 2018 году чаще всего проявляли себя майнеры, предназначенные для добычи криптовалют. Первые подобные атаки на работающие под управлением Linux серверы были зафиксированы вирусными аналитиками «Доктор Веб» в начале мая 2018 года. Киберпреступники соединялись с сервером по протоколу SSH, подбирали логин и пароль методом их перебора по словарю (bruteforce) и после успешной авторизации на сервере отключали утилиту iptables, управляющую работой межсетевого экрана. Затем злоумышленники загружали на атакованный сервер утилиту-майнер и файл конфигурации для нее. Чуть позже они начали использовать для этих целей вредоносные программы. Так, в августе вирусные аналитики обнаружили троянца Linux.BtcMine.82, написанного на языке Go. Он представлял собой дроппер, который устанавливал на зараженное устройство содержащийся в нем майнер.
Исследовав сервер, с которого загружалась эта вредоносная программа, наши специалисты обнаружили там аналогичных по своим функциям троянцев для Microsoft Windows. Более подробную информацию об этом инциденте можно получить, ознакомившись с опубликованной на нашем сайте статьей.
В ноябре был выявлен еще один Linux-майнер, получивший наименование Linux.BtcMine.174. Он представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Этот троянец состоит из нескольких модулей и умеет отключать работающие на зараженном устройстве антивирусные программы, а также заражать другие устройства в сети. Кроме того, он скачивает и устанавливает на инфицированной машине одну из версий троянца Linux.BackDoor.Gates.9, предназначенного для выполнения поступающих от злоумышленников команд и осуществления DDoS-атак. Об этой вредоносной программе мы также рассказывали в соответствующей новостной публикации.
Базы Родительского (Офисного) контроля и веб-антивируса SpIDer Gate регулярно пополняются новыми адресами нерекомендуемых и потенциально опасных сайтов. Среди них — мошеннические и фишигновые ресурсы, а также страницы, с которых распространяется вредоносное ПО. Динамика пополнения этих баз в уходящем году показана на представленной ниже диаграмме.
Мошенничество в Интернете — весьма распространенный вид криминального бизнеса, и в 2018 году сетевые жулики отнюдь не ушли на заслуженный отдых. Еще в самом начале марта была зафиксирована массовая рассылка фишинговых писем якобы от имени компании Mail.Ru Group. Целью злоумышленников было получение учетных данных пользователей почтового сервера Mail.Ru, для чего киберпреступники использовали поддельный веб-сайт, повторяющий своим оформлением эту популярную почтовую службу.
В мае мы рассказали нашим читателям об очередной схеме сетевого мошенничества, в которой жулики использовали обещания щедрых социальных выплат. При помощи спама и массовых СМС-рассылок жертв завлекали на специально созданные сайты, на которых сообщалось о якобы существующей возможности получить компенсацию за переплату предоставляемых населению коммунальных, медицинских услуг или услуг обязательного страхования. Для получения выплаты мошенники требовали перевести на их счет небольшую сумму. Разумеется, никаких денежных компенсаций обманутым пользователям после такой оплаты не предоставлялось.
Специалисты компании «Доктор Веб» выявили более 110 подобных сайтов, созданных сетевыми мошенниками в период с февраля по май 2018 года. А в августе злоумышленники стали рассылать письма администратором доменов, зарегистрированных в компании «Региональный Сетевой Информационный Центр» (RU-CENTER). Жулики предлагали оплатить продление доменов, срок делегирования которых подходил к концу, при этом вместо официальных реквизитов RU-CENTER они предлагали сделать перевод на собственный кошелек в электронной платежной системе «Яндекс.Деньги».
Мошенники часто рассылают электронные письма от имени известных компаний — не минула эта участь и популярный интернет-магазин Aliexpress. Жулики отправляли его постоянным покупателям сообщения с предложением посетить специальный интернет-магазин с многочисленными скидками и подарками.
В действительности «магазин» представлял собой страницу со ссылками на различные мошеннические торговые площадки, продававшие некачественные товары или товары по завышенным ценам. Вопрос о том, как злоумышленникам удалось раздобыть базу с контактами реальных покупателей Aliexpress, до сих пор остается открытым.
В уходящем году пользователям Android-устройств угрожало множество вредоносных программ. Среди них были банковские троянцы, с помощью которых злоумышленники пытались украсть деньги жителей России, Турции, Бразилии, Испании, Германии, Франции и других государств. Весной вирусные аналитики обнаружили троянца Android.BankBot.344.origin — он распространялся под видом универсального банковского приложения и атаковал клиентов российских кредитных организаций. Android.BankBot.344.origin запрашивал у потенциальной жертвы логин и пароль от личного кабинета в системе онлайн-банкинга, а также номер банковской карты, и передавал полученные данные злоумышленникам.
В ноябре специалисты «Доктор Веб» исследовали вредоносную программу Android.Banker.2876, предназначенную для европейских пользователей Android-устройств. Она перехватывала СМС, крала информацию о номере телефона и другие конфиденциальные сведения.
А уже в декабре был выявлен троянец Android.BankBot.495.origin, атаковавший бразильских пользователей. Он пытался получить доступ к специальным возможностям (Accessibility Service) ОС Android, с использованием которых считывал содержимое окон банковских приложений и самостоятельно управлял ими, нажимая на кнопки меню. Также Android.BankBot.495.origin показывал мошеннические формы поверх атакуемых программ и предлагал жертве ввести аутентификационные данные.
На протяжении всего года вирусописатели активно распространяли Android-банкеров, созданных на основе опубликованного в открытом доступе исходного кода троянца Android.BankBot.149.origin. Среди них были вредоносные программы Android.BankBot.250.origin и Android.BankBot.325.origin, не только способные красть конфиденциальную информацию, но и позволявшие злоумышленникам получать дистанционный доступ к зараженным устройствам.
Многие банкеры попадали на устройства благодаря троянцам-загрузчикам, таким как Android.DownLoader.753.origin, Android.DownLoader.768.origin и Android.DownLoader.772.origin. Киберпреступники выдавали их за полезные программы, которые на самом деле скачивали и пытались установить банковских троянцев. Подобные загрузчики использовались для распространения других вредоносных приложений – например, троянцев-шпионов Android.Spy.409.origin и Android.Spy.443.origin, а также рекламных троянцев Android.HiddenAds.710 и Android.HiddenAds.728, о которых компания «Доктор Веб» сообщала в августе.
В 2018 году владельцам Android-устройств снова угрожали троянцы семейства Android.RemoteCode, способные скачивать из Интернета и запускать произвольный код. Одного из них, получившего имя Android.RemoteCode.127.origin, вирусные аналитики обнаружили в феврале. Android.RemoteCode.127.origin загружал вспомогательные модули, которые также скачивали и запускали другие вредоносные плагины, способные выполнять различные действия. Чтобы снизить вероятность обнаружения компонентов этого троянца, злоумышленники зашифровали их и скрыли в изображениях.
Другой троянец этого семейства, добавленный в вирусную базу Dr.Web как Android.RemoteCode.152.origin, загружал и запускал рекламные модули. Они создавали невидимые баннеры, на которые и нажимал Android.RemoteCode.152.origin, принося киберпреступникам доход.
Для получения незаконного заработка сетевые мошенники применяли и другие вредоносные программы. Среди них были троянцы-майнеры, такие как Android.CoinMine.15. Он заражал различные устройства под управлением ОС Android — роутеры, телеприставки, медиаплееры, «умные» телевизоры и т. п. Android.CoinMine.15 распространялся как сетевой червь, проникая на оборудование с открытым портом 5555, который используется отладчиком ADB (Android Device Bridge).
Осенью специалисты «Доктор Веб» обнаружили троянца-клипера Android.Clipper.1.origin, подменявшего в буфере обмена номера электронных кошельков популярных платежных систем «Яндекс.Деньги», Qiwi и Webmoney (R и Z), а также криптовалют Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH и Blackcoin. При копировании номера одного из них в буфер обмена Android.Clipper.1.origin заменял его на номер вирусописателей, из-за чего невнимательные пользователи рисковали перевести деньги злоумышленникам.
Вирусописатели активно применяли троянцев и в мошеннических кампаниях. Популярной схемой сетевых жуликов в 2018 году было обещание вознаграждения за прохождение опросов. При запуске такие троянцы показывали на экране созданные злоумышленниками веб-страницы, где потенциальным жертвам предлагалось ответить на несколько вопросов. Для получения денег от пользователей требовалась некая проверочная или иная оплата, однако после отправки средств владельцы зараженных устройств не получали ничего. Также популярностью пользовались вредоносные программы-кликеры, которые загружали сайты с рекламой и автоматически нажимали на расположенные на них объявления. Более детально об этих случаях наша компания рассказывала в соответствующей статье.
Другой тип мошенничества заключался в подписке владельцев Android-смартфонов и планшетов на дорогостоящие услуги. Троянцы, такие как Android.Click.245.origin, загружали веб-сайты, на которых жертвам предлагалось скачать различное ПО. Для этого у них запрашивались номера телефонов, на которые приходили коды подтверждения. Однако в некоторых случаях подписка происходила и вовсе автоматически. Этот тип мошенничества освещался в нашем новостном материале.
В уходящем году были выявлены очередные случаи заражения Android-прошивок. Об одном из них мы сообщали в марте. Вирусные аналитики обнаружили троянца Android.Triada.231 в прошивках более 40 моделей мобильных устройств. Злоумышленники встроили эту вредоносную программу в одну из системных библиотек на уровне исходного кода. Android.Triada.231 начинал работу автоматически при каждом включении зараженных смартфонов и планшетов. При старте он внедрялся в системный процесс Zygote, ответственный за запуск остальных процессов, в результате чего проникал во все из них и мог выполнять вредоносные действия без участия пользователя. Основная функция Android.Triada.231 — незаметное скачивание, установка и удаление программ.
Несмотря на то, в что в 2018 году не случилось серьезных вирусных эпидемий, в будущем вполне возможны новые волны массового распространения различных угроз. По-прежнему будет расти число вредоносных сценариев, написанных на различных интерпретируемых языках. При этом подобные скрипты будут угрожать не только устройствам под управлением Microsoft Windows, но и другим платформам, прежде всего — Linux.
Будут появляться новые троянцы-майнеры, предназначенные для добычи криптовалют с использованием аппаратных ресурсов инфицированных устройств. Не ослабнет интерес злоумышленников и к «Интернету вещей»: троянцы для «умных устройств» существуют уже сейчас, но в недалеком будущем их количество наверняка вырастет.
Имеются все основания полагать, что в 2019 году вирусописатели будут создавать и распространять новых троянцев для мобильной платформы Google Android. Тенденции уходящего года показывают, что среди мобильных вредоносных программ скорее всего будут преобладать рекламные и банковские троянцы.
Также вряд ли снизится число мошеннических почтовых рассылок: сетевые жулики будут изобретать все новые и новые способы обмана интернет-пользователей. Как бы то ни было, в наступающем году определенно появятся новые угрозы информационной безопасности, а значит, очень важно обеспечить своим устройствам надежную и современную антивирусную защиту.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в декабре 2018 года |
28 декабря 2018 года
В начале декабря бразильских пользователей Android-устройств атаковал банковский троянец, распространявшийся через Google Play. Кроме того, в течение месяца в этом официальном каталоге ПО для Android были выявлены другие вредоносные приложения. В конце декабря специалисты «Доктор Веб» обнаружили новую версию коммерческой шпионской программы, собирающей большой объем конфиденциальной информации.
В начале декабря вирусные аналитики исследовали банковского троянца Android.BankBot.495.origin, атаковавшего клиентов бразильских кредитных учреждений. Эта вредоносная программа пыталась получить доступ к специальным возможностям (Accessibility Service) ОС Android, с использованием которых она самостоятельно управляла банковскими программами, считывала содержимое их окон и передавала злоумышленникам конфиденциальную информацию. Кроме того, Android.BankBot.495.origin показывал фишинговые окна поверх приложений и обманом получал от жертв пароли, логины, данные банковских карт и другие секретные сведения.
Подробнее об этом троянце рассказано в опубликованной на сайте компании «Доктор Веб» новости.
В течение месяца в Google Play было выявлено множество вредоносных и нежелательных программ. Среди них — рекламные троянцы Android.HiddenAds.343.origin и Android.HiddenAds.847, распространявшиеся под видом игр и полезных приложений. После запуска они скрывали свой значок с главного экрана и начинали показывать рекламу.
Также были выявлены программы со встроенными нежелательными модулями Adware.Patacore и Adware.HiddenAds. Они демонстрировали рекламу даже тогда, когда содержащее их ПО не было запущено. В общей сложности такие программы установили свыше 5 300 000 пользователей.
Злоумышленники вновь распространяли мошеннические приложения. В вирусную базу Dr.Web были добавлены записи для детектирования троянцев Android.FakeApp.149, Android.FakeApp.151 и Android.FakeApp.152. Эти вредоносные программы загружали веб-страницы, на которых потенциальным жертвам предлагалось за вознаграждение ответить на вопросы. Для получения «оплаты» от пользователя требовалось выполнить проверочный платеж, однако после перевода средств киберпреступникам владельцы зараженных устройств не получали ничего.
Кроме того, вирусные аналитики обнаружили троянца Android.Proxy.4.origin, которого вирусописатели использовали для перенаправления трафика через смартфоны и планшеты их владельцев. Android.Proxy.4.origin скрывался в безобидных на первый взгляд играх.
Среди выявленных в декабре потенциально опасных программ оказалась новая версия коммерческого шпиона Program.Spyzie.1.origin, который позволяет следить за пользователями Android-устройств. Он перехватывает содержимое СМС и сообщений электронной почты, отслеживает телефонные звонки, историю посещений веб-браузера, координаты зараженного смартфона или планшета, получает доступ к переписке в популярных программах для онлайн-общения, а также крадет другую информацию.
Пользователям ОС Android угрожают различные вредоносные и нежелательные программы, которые распространяются как при помощи веб-сайтов, так и через каталог Google Play. Кроме того, злоумышленники могут инсталлировать их самостоятельно, если получат физический доступ к мобильным устройствам. Для защиты смартфонов и планшетов их владельцам следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в декабре 2018 года |
28 декабря 2018 года
Последний месяц 2018 года не был отмечен какими-либо заметными событиями в сфере информационной безопасности. Среди обнаруживаемых на компьютерах и в почте вредоносных программ по-прежнему лидируют опасные сценарии, написанные на языке JavaScript. Значительная их часть предназначена для загрузки на инфицированное устройство другого вредоносного ПО и добычи криптовалют с использованием аппаратных ресурсов зараженного компьютера. Как и в ноябре, на жестких дисках часто обнаруживается Trojan.SpyBot.699 — многокомпонентный банковский троянец. С его помощью киберпреступники могут удаленно выполнять на компьютере различные команды и запускать другие вредоносные приложения.
В декабре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение декабря 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 257 197 интернет-адресов.
| Ноябрь 2018 | Декабрь 2018 | Динамика |
|---|---|---|
| + 231 074 | + 257 197 | +11.3% |
В декабре специалисты «Доктор Веб» обнаружили в каталоге Google Play вредоносное приложение Android.BankBot.495.origin, предназначенное для бразильских пользователей. Оно похищало конфиденциальную банковскую информацию и могло самостоятельно управлять другими программами благодаря специальным возможностям (Accessibility Service) ОС Android. Помимо этого, в Google Play были выявлены рекламные троянцы семейств Adware.HiddenAds и Adware.Patacore и другие вредоносные и нежелательные приложения. Также вирусные аналитики обнаружили новую версию коммерческой шпионской программы Program.Spyzie.1.origin, которая позволяла злоумышленникам следить за владельцами мобильных устройств.
Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:
Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.
|
|
Мобильные устройства бразильских пользователей атаковал банковский троянец |
6 декабря 2018 года
Киберпреступники распространяли Android.BankBot.495.origin под видом приложений, якобы позволяющих следить за пользователями Android-смартфонов и планшетов. Троянец скрывался в программах с названиями WLocaliza Ache J'a, WhatsWhere Ache J'a и WhatsLocal Ache J'a. После обращения специалистов «Доктор Веб» в корпорацию Google та оперативно удалила их из Google Play. Банкера успели загрузить свыше 2000 пользователей.
При запуске Android.BankBot.495.origin пытается получить доступ к функциям специальных возможностей (Accessibility) ОС Android, открывая меню системных настроек и предлагая пользователю активировать соответствующий параметр. Если потенциальная жертва согласится предоставить троянцу запрошенные полномочия, Android.BankBot.495.origin сможет незаметно управлять программами, самостоятельно нажимать на кнопки и красть содержимое активных окон приложений.
Когда пользователь дает банкеру разрешение на работу с функциями специальных возможностей, тот закрывает свое окно, запускает вредоносный сервис и с его помощью продолжает действовать в скрытом режиме. Затем Android.BankBot.495.origin запрашивает доступ к показу экранных форм поверх запущенных программ. Эта опция в дальнейшем необходима троянцу для демонстрации фишинговых окон. Благодаря полученному ранее разрешению использовать специальные возможности Android.BankBot.495.origin автоматически нажимает на все кнопки с текстом «PERMITIR» («Разрешить»), которые появляются при запросе полномочий. В результате, если языком системы является португальский, банкер самостоятельно обеспечивает себе нужные привилегии.
Кроме того, вредоносное приложение использует функции специальных возможностей и для самозащиты, отслеживая работу ряда антивирусов и различных утилит. При их запуске он пытается закрыть их окна, 4 раза подряд нажимая кнопку «Назад».
Android.BankBot.495.origin соединяется с удаленным узлом для приема первоначальных настроек и в невидимом окне WebView переходит по заданной вирусописателями ссылке. В результате нескольких перенаправлений на загруженном сайте троянец получает конечную ссылку, в которой зашифрованы IP-адреса двух управляющих серверов. Далее Android.BankBot.495.origin подключается к одному из них и принимает список с именами приложений. Троянец проверяет, какие из них установлены на устройстве, и уведомляет об этом сервер. Затем банкер поочередно отправляет несколько специальным образом сформированных запросов. В зависимости от настроек сервера в ответ Android.BankBot.495.origin получает команду на старт той или иной программы. На момент анализа он мог запускать ПО кредитных организаций Banco Ita'u S.A. и Banco Bradesco S.A., а также установленное по умолчанию приложение для работы с СМС.
При запуске программы Banco Ita'u троянец с использованием функции специальных возможностей считывает содержимое ее окна и передает злоумышленникам информацию о балансе банковского счета пользователя. Затем он самостоятельно выполняет навигацию внутри приложения и переходит в раздел управления учетной записью. Там троянец копирует и отправляет вирусописателям ключ iToken – код безопасности, который используется для проверки электронных транзакций.
После запуска приложения Bradesco банкер считывает информацию об аккаунте жертвы и пытается автоматически войти в него, вводя полученный от управляющего сервера PIN-код. Android.BankBot.495.origin копирует данные о сумме на счете пользователя и вместе с полученными ранее сведениями об учетной записи передает их киберпреступникам.
Получив команду на запуск приложения для работы с СМС, банкер открывает его, считывает и сохраняет текст доступных сообщений и отправляет их на сервер. При этом он выделяет СМС, поступившие от банка CaixaBank, S.A., и передает их отдельным запросом.
Кроме того, авторы Android.BankBot.495.origin используют банкера для проведения фишинг-атак. Троянец отслеживает запуск программ Itaucard Controle seu cart~ao, Banco do Brasil, Banco Ita'u, CAIXA, Bradesco, Uber, Netflix и Twitter. Если банкер обнаруживает, что одно из них начало работу, он отображает поверх него окно с мошеннической веб-страницей, которая загружается со второго управляющего сервера. Эта страница имитирует внешний вид атакуемого приложения. На ней у пользователя может быть запрошена информация об учетной записи, номере банковского счета, сведения о банковской карте, логины, пароли и другие секретные данные.
Пример таких фишинговых страниц показан на изображениях ниже:
Введенная жертвой конфиденциальная информация передается злоумышленникам, после чего троянец закрывает мошенническое окно и повторно запускает атакуемую программу. Это делается для того, чтобы не вызвать у владельца устройства подозрений при сворачивании или закрытии целевого приложения.
Компания «Доктор Веб» призывает с осторожностью устанавливать Android-программы, даже если они распространяются через Google Play. Злоумышленники могут подделывать известное ПО, а также создавать внешне безобидные приложения. Для снижения риска установки троянца стоит обращать внимание на имя разработчика, дату размешения программы в каталоге, число загрузок и отзывы других пользователей. Кроме того, следует использовать антивирус.
Все известные модификации банкера Android.BankBot.495.origin детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей они опасности не представляют.
#Android, #Google_Play, #банковский_троянец, #фишинг
|
|
«Доктор Веб»: обзор вирусной активности в ноябре 2018 года |
30 ноября 2018 года
Последний осенний месяц 2018 года был отмечен сразу несколькими интересными событиями в сфере информационной безопасности. В ноябре специалисты «Доктор Веб» исследовали троянца-майнера для Linux, способного удалять работающие на зараженном устройстве антивирусные программы. Вскоре был обнаружен троянец-кликер для ОС Windows, который отличается любопытным способом проникновения на компьютеры потенциальных жертв. Не снижается интерес вирусописателей и к мобильной платформе Android – в ноябре были обнаружены и добавлены в вирусные базы Dr.Web новые вредоносные программы для этой ОС.
Троянец, добавленный в вирусные базы Dr.Web под именем Trojan.Click3.27430, представляет собой вредоносную программу, предназначенную для накрутки посещаемости различных веб-сайтов. Распространяется он под видом приложения DynDNS, позволяющего привязать субдомен к компьютеру, не имеющему статического IP-адреса. Для распространения троянца злоумышленники создали специальный веб-сайт.
С этого сайта загружается архив, содержащий исполняемый файл setup.exe, который на самом деле представляет собой загрузчик. Он, в свою очередь, скачивает из Интернета другой файл, маскирующийся под ARJ-архив. На самом деле файл представляет собой дроппер, который устанавливает в систему троянца и настоящее приложение DynDNS. Если впоследствии пользователь решит деинсталлировать его с зараженного компьютера, будет удалена только сама программа DynDNS, а Trojan.Click3.27430 по-прежнему останется в системе и продолжит свою вредоносную деятельность. Более подробная информация об этом троянце и принципах его работы изложена в опубликованной на нашем сайте статье.
В ноябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
Среди прочих опасных и нерекомендуемых сайтов отдельную категорию составляют фишинговые интернет-ресурсы. Фишинг — это разновидность сетевого мошенничества, конечной целью которого является хищение у жертвы конфиденциальной информации – например, логинов и паролей от различных интернет-сервисов и учетных данных для авторизации в социальных сетях. Для этого злоумышленники создают поддельные сайты, имитирующие оформление настоящих интернет-ресурсов, и всевозможными методами завлекают туда пользователей. Впоследствии киберпреступники могут использовать полученную информацию для рассылки рекламных сообщений, в целях мошенничества или шантажа.
В ноябре специалисты «Доктор Веб» зафиксировали несколько случаев подобных мошеннических рассылок. Киберпресупники отправляли пользователям письма якобы от имени администраторов их почтового сервиса. В послании сообщалось, что от пользователя поступил запрос на деактивацию его почтового ящика, и, чтобы отменить его, нужно перейти по предложенной в письме ссылке.
Ссылка вела на фишинговый сайт, содержащий форму для ввода логина и пароля от электронного почтового ящика потенциальной жертвы. Какие бы данные ни ввел посетитель мошеннической страницы, ему демонстрировалось сообщение об ошибке, в то время как указанная им информация незамедлительно передавалась злоумышленникам. Специалисты «Доктор Веб» выявили несколько таких фишинговых сайтов, их адреса были добавлены в базы нерекомендуемых интернет-ресурсов SpIDer Gate.
В течение ноября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 231 074 интернет-адреса.
| Октябрь 2018 | Ноябрь 2018 | Динамика |
|---|---|---|
| + 156 188 | + 231 074 | + 47.94% |
Linux.BtcMine.174 — далеко не первый из известных аналитикам «Доктор Веб» троянцев для Linux, использующих ресурсы зараженного компьютера для добычи криптовалют. Эта вредоносная программа интересна своей способностью искать и удалять установленные на инфицированном устройстве антивирусы.
Троянец представляет собой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Он состоит из нескольких компонентов, которые скачивает с принадлежащего злоумышленникам сервера. После успешной установки на устройство вредоносный сценарий скачивает из Интернета одну из версий троянца Linux.BackDoor.Gates.9, предназначенного для организации DDoS-атак и способного выполнять поступающие от злоумышленников команды.
Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы. Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий он использует набор эксплойтов. Затем вредоносная программа пытается отыскать работающие сервисы антивирусных программ, завершить их, а потом с помощью пакетных менеджеров удаляет их файлы и директорию, в которой был установлен антивирусный продукт. Помимо этого троянец скачивает и запускает на инфицированном устройстве руткит, собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их. Более подробные сведения об этой вредоносной программе изложены в опубликованной на нашем сайте обзорной статье.
Согласно статистике, собранной серверами «Доктор Веб» на зараженных компьютерах и в почтовом трафике, одной из наиболее распространенных в ноябре вредоносных программ является Trojan.SpyBot.699. Она распространяется хакерской группировкой «RTM» и представляет собой многомодульного банковского троянца.
Вредоносные функции Trojan.SpyBot.699 сосредоточены в динамической библиотеке с внутренним именем core.dll, которую он загружает в память устройства. Троянец регистрирует себя в автозагрузке Windows, все передаваемые на управляющий сервер данные вредоносная программа шифрует.
По команде злоумышленников Trojan.SpyBot.699 может загружать, сохранять на диск и запускать исполняемые файлы, скачивать и запускать программы без сохранения, загружать в память динамические библиотеки, самообновляться, устанавливать цифровые сертификаты в системное хранилище и выполнять иные поступающие извне команды.
Эта вредоносная программа умеет искать банковские клиенты среди запущенных процессов, в именах открытых окон и среди хранящихся на дисках файлов. Также троянец ищет информацию о системах «банк-клиент» в файлах cookies браузеров. Получив нужные сведения, злоумышленники с помощью Trojan.SpyBot.699 и загружаемых им модулей могут детально исследовать атакуемую систему, обеспечить постоянное присутствие в ней других троянцев, внедрять вредоносное ПО в бухгалтерские программы и программы «банк-клиент». Конечной целью киберпреступников является хищение денег с банковских счетов жертвы. Антивирусные продукты Dr.Web успешно детектируют и удаляют Trojan.SpyBot.699 и известные на сегодняшний день вредоносные модули, которые злоумышленники используют совместно с этим троянцем.
В уходящем ноябре вирусные аналитики «Доктор Веб» выявили троянца Android.Banker.2876, который распространялся через каталог Google Play. Злоумышленники использовали его для кражи конфиденциальных данных клиентов нескольких европейских банков. Кроме того, в Google Play были найдены прочие угрозы. Среди них – загрузчик Android.DownLoader.832.origin. Он скачивал и пытался установить другие вредоносные программы. Также наши специалисты обнаружили троянцев семейства Android.FakeApp, которых кибермошенники использовали для незаконного заработка. Кроме того, были выявлены приложения со встроенными рекламными модулями Adware.HiddenAds.
Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:
Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в ноябре 2018 года |
30 ноября 2018 года
В последнем осеннем месяце этого года вирусные аналитики «Доктор Веб» выявили нового банковского троянца для ОС Android. Он распространялся через каталог Google Play и атаковал клиентов европейских кредитных организаций. Кроме того, в течение ноября в Google Play были обнаружены другие троянцы, а также нежелательные программы.
В середине ноября специалисты компании «Доктор Веб» выявили банковского троянца Android.Banker.2876, который угрожал клиентам нескольких европейских кредитных организаций. Он крал конфиденциальную информацию, а также перехватывал и отправлял СМС-сообщения.
Особенности Android.Banker.2876:
Подробнее об этом троянце рассказано в соответствующей новостной публикации на нашем сайте.
В начале ноября вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play приложения со встроенными в них нежелательными рекламными модулями Adware.HiddenAds.7.origin и Adware.HiddenAds.8.origin. Они показывали рекламу даже тогда, когда содержащие их программы не использовались.
Позднее специалисты «Доктор Веб» выявили в Google Play очередных троянцев семейства Android.FakeApp, добавленных в вирусную базу Dr.Web как Android.FakeApp.138, Android.FakeApp.139 и Android.FakeApp.144. Они скрывались в приложениях, которые якобы позволяли получать деньги за участие в опросах. При запуске вредоносные программы загружали мошеннические веб-сайты, где потенциальной жертве предлагалось ответить на несколько вопросов. После этого для получения обещанного «вознаграждения» от пользователя требовалось оплатить некую комиссию за перевод средств, конвертацию валюты или за иную придуманную злоумышленниками процедуру. Если владелец зараженного устройства соглашался на оплату, запрашиваемая сумма оседала в карманах сетевых жуликов, а жертва мошенничества не получала ничего.
Кроме того, под видом различных утилит злоумышленники распространяли троянца-загрузчика Android.DownLoader.832.origin. Он скачивал другие вредоносные приложения и пытался установить их.
Каталог Google Play остается одним из самых безопасных источников приложений для смартфонов и планшетов под управлением ОС Android, однако киберпреступникам по-прежнему удается распространять через него вредоносные программы. Для защиты мобильных устройств пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
Троянец-кликер распространяется под видом программы DynDNS |
23 ноября 2018 года
Сам по себе Trojan.Click3.27430 не представляет особого интереса: это обычный троянец-кликер для искусственной накрутки посещаемости веб-сайтов. Гораздо любопытнее метод, используемый злоумышленниками для установки этой вредоносной программы на устройства потенциальных жертв.
Целевая аудитория этого троянца — пользователи программы DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса. Вирусописатель создал в Интернете веб-страницу dnsip.ru, с которой якобы можно бесплатно скачать эту программу. Также вирусописателю принадлежит домен dns-free.com, с которого происходит автоматическое перенаправление посетителей на сайт dnsip.ru.
С указанного сайта действительно можно загрузить некий архив. В нем содержится исполняемый файл setup.exe, который на самом деле представляет собой не программу установки DynDNS, а загрузчик. В этом загрузчике хранится имя скачиваемого из Интернета файла, который в исследованном нами образце называется Setup100.arj.
Несмотря на «говорящее» расширение, Setup100.arj — не ARJ-архив, а исполняемый MZPE-файл, в котором вирусописатель изменил три значения таким образом, чтобы он не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.
В первую очередь с использованием PowerShell он отключает Windows Defender и для пущей надежности вносит изменения в записи системного реестра, отвечающие за запуск этой программы.
Затем дроппер сохраняет в папку System32 файлы instsrv.exe, srvany.exe, dnshost.exe и yandexservice.exe. Instsrv.exe, srvany.exe и dnshost.exe — это разработанные Microsoft утилиты для создания в Windows определяемых пользователем служб, а yandexservice.exe — сам троянец Trojan.Click3.27430. Затем дроппер регистрирует исполняемый файл yandexservice.exe, в котором и реализованы все вредоносные функции Trojan.Click3.27430, в качестве службы с именем «YandexService». При этом в процессе установки настраивается автоматический запуск этой службы одновременно с загрузкой Windows. Сохранив на диске и запустив вредоносную службу, дроппер устанавливает настоящее приложение DynDNS. Таким образом, если впоследствии пользователь решит деинсталлировать его с зараженного компьютера, будет удалена только сама программа DynDNS, а Trojan.Click3.27430 по-прежнему останется в системе и продолжит свою вредоносную деятельность.
Вирусные аналитики исследовали и другой компонент троянца, выполненный в виде исполняемого файла с именем dnsservice.exe, который также устанавливается на зараженный компьютер в качестве службы Windows с именем «DNS-Service». Вирусописателя выдают характерные отладочные строки, которые он забыл удалить в своих вредоносных программах:
C:\Boris\Программы\BDown\Project1.vbp
C:\Boris\Программы\BarmashSetService\Project1.vbp
C:\Boris\Программы\Barmash.ru.new\Project1.vbp
C:\Boris\Программы\Barmash_ru_Restarter3\Project1.vbp
Этот компонент распространяется в виде маскирующегося под архив файла dnsservice.arj с сайта barmash.ru.
Все известные на сегодняшний день модификации Trojan.Click3.27430 распознаются и удаляются Антивирусом Dr.Web, а сайты dnsip.ru, dns-free.com и barmash.ru были добавлены в базы нерекомендуемых интернет-ресурсов веб-антивируса SpIDer Gate.
Согласно информации, которую удалось собрать аналитикам «Доктор Веб», на сегодняшний день от этого троянца пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются 2013 годом. Полный список индикаторов компрометации можно посмотреть здесь.
#кликер #троянец|
|
Новый троянец-майнер для Linux удаляет антивирусы |
20 ноября 2018 года
Троянец, добавленный в вирусные базы Dr.Web под именем Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Эта вредоносная программа состоит из нескольких компонентов. При запуске троянец проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и подыскивает на диске папку с правами на запись, в которую эти модули будут затем загружены. После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве демона. Для этого троянец использует утилиту nohup. Если та в системе отсутствует, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.
В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.
Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы. Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов. Вирусные аналитики «Доктор Веб» выявили как минимум два применяемых Linux.BtcMine.174 эксплойта: это Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из Интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.
После этого вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения троянец не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.
Затем Linux.BtcMine.174 регистрирует себя в автозагрузке, после чего скачивает и запускает на инфицированном устройстве руткит. Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Среди функций руткит-модуля можно выделить кражу вводимых пользователем паролей команды su, сокрытие файлов в файловой системе, сетевых соединений и запускаемых процессов. Троянец собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их.
Выполнив все эти действия, Linux.BtcMine.174 запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). С интервалом в минуту троянец проверяет, запущен ли этот майнер, и при необходимости автоматически перезапускает его. Также он в непрерывном цикле соединяется с управляющим сервером и скачивает оттуда обновления, если они доступны.
Linux.BtcMine.174, а также все его компоненты успешно детектируются Антивирусом Dr.Web для Linux, поэтому не представляют опасности для наших пользователей.
Полный список индикаторов компрометации можно посмотреть по ссылке https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174.
#Linux #криптовалюты #майнинг #троянец
|
|
Банковский троянец атакует европейских пользователей Android-устройств |
16 ноября 2018 года
Троянец, получивший имя Android.Banker.2876, распространялся под видом официальных приложений нескольких европейских кредитных организаций: испанских Bankia, Banco Bilbao Vizcaya Argentaria (BBVA) и Santander, французских Credit Agricole и Groupe Banque Populaire, а также немецкой Postbank. В общей сложности наши специалисты обнаружили 6 модификаций Android.Banker.2876. Все они были оперативно удалены из Google Play после обращения «Доктор Веб» в корпорацию Google.
После запуска пользователем троянец запрашивает доступ к управлению телефонными звонками и совершению вызовов, а также к отправке и получению СМС-сообщений. При этом на устройствах c ОС Android ниже версии 6.0 эти разрешения предоставляются автоматически во время установки вредоносной программы. Пример такого запроса показан на изображениях ниже:
Android.Banker.2876 собирает и отправляет в облачную базу данных Firebase конфиденциальную информацию – номер мобильного телефона и данные SIM-карты, а также ряд технических сведений о мобильном устройстве, – после чего уведомляет злоумышленников об успешном заражении. Затем троянец показывает окно с сообщением, в котором потенциальной жертве якобы для продолжения работы с программой предлагается указать номер телефона. При этом каждая из модификаций банкера предназначена для конкретной аудитории. Например, если троянец имитирует приложение испанского банка, то интерфейс Android.Banker.2876 и демонстрируемый текст будут на испанском языке.
Введенный жертвой номер передается в облачную базу данных, а пользователь видит второе сообщение. В нем говорится о необходимости подождать подтверждения «регистрации». Здесь же отображается кнопка «Submit», при нажатии на которую совершенно неожиданно для жертвы вирусописателей запускается встроенная в Android.Banker.2876 игра.
Если ранее троянец успешно загрузил в «облако» информацию о мобильном устройстве, он скрывает свой значок с главного экрана и в дальнейшем запускается в скрытом режиме автоматически при включении зараженного смартфона или планшета.
Android.Banker.2876 перехватывает все входящие СМС и сохраняет их содержимое в локальную базу данных. Кроме того, текст сообщений загружается в базу Firebase и дублируется в СМС, отправляемых на мобильный номер киберпреступников. В результате злоумышленники способны получать одноразовые пароли подтверждения банковских операций и другую конфиденциальную информацию, которая может быть использована для проведения фишинг-атак. Помимо этого, собираемые троянцем номера телефонов могут помочь вирусописателям в организации различных мошеннических кампаний.
Все известные модификации Android.Banker.2876 успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android и потому для наших пользователей опасности не представляют.
#Android, #Google_Play, #банковский_троянец, #фишинг, #мошенничество|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2018 года |
31 октября 2018 года
В октябре специалисты по информационной безопасности обнаружили Android-троянца, способного выполнять полученные с удаленного сервера скрипты, написанные на языке C#, а также скачивать и запускать вредоносные модули. Кроме того, в течение уходящего месяца в каталоге Google Play были вновь выявлены вредоносные приложения.
В октябре специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца-загрузчика Android.DownLoader.818.origin, распространявшегося под видом VPN-клиента. Вредоносная программа скачивала на мобильные устройства и пыталась установить рекламного троянца. Позже вирусные аналитики выявили модификации этого загрузчика, которые получили имена Android.DownLoader.819.origin и Android.DownLoader.828.origin. Злоумышленники выдавали их за различные игры.
Особенности троянцев:
В начале месяца специалисты «Доктор Веб» обнаружили в каталоге Google Play троянца Android.FakeApp.125. Он распространялся под видом программы, с помощью которой пользователи якобы могли заработать деньги, отвечая на простые вопросы. В действительности же Android.FakeApp.125 по команде управляющего сервера загружал и показывал потенциальным жертвам мошеннические веб-сайты.
Позже вирусные аналитики выявили троянца Android.Click.245.origin, которого киберпреступники выдавали за популярную игру «Клевер», принадлежащую социальной сети «ВКонтакте». Как и Android.FakeApp.125, Android.Click.245.origin загружал страницы мошеннических веб-порталов и демонстрировал их пользователям.
В конце октября аналитики «Доктор Веб» исследовали вредоносные программы Android.RemoteCode.192.origin и Android.RemoteCode.193.origin. Они скрывались в 18 безобидных, на первый взгляд, программах — сканерах штрих-кодов, ПО для навигации, менеджерах загрузок файлов и различных играх, которые в общей сложности установили как минимум 1 600 000 владельцев Android-смартфонов и планшетов. Эти троянцы показывали рекламу, могли скачивать и запускать вредоносные модули, а также открывать заданные злоумышленниками видео на портале YouTube, искусственно увеличивая их популярность.
Помимо этого, в вирусную базу Dr.Web были добавлены записи для детектирования вредоносных программ Android.DownLoader.3897, Android.DownLoader.826.origin и Android.BankBot.484.origin. Они загружали на мобильные устройства и пытались установить банковских троянцев.
Среди обнаруженных в октябре вредоносных программ для мобильных устройств оказался Android-банкер Android.BankBot.1781, имеющий модульную архитектуру. По команде управляющего сервера он мог загружать различные троянские плагины, а также скачивать и выполнять написанные на языке C# скрипты. Android.BankBot.1781 похищал информацию о банковских картах, мог красть СМС-сообщения и другую конфиденциальную информацию.
Злоумышленники распространяют вредоносные программы для мобильных Android-устройств как через каталог приложений Google Play, так и с применением мошеннических или взломанных веб-сайтов. Для защиты смартфонов и планшетов пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в октябре 2018 года |
31 октября 2018 года
В октябре компания «Доктор Веб» обнародовала результаты расследования деятельности одного из сетевых мошенников. Жертвами киберпреступника стали более 10 000 человек, которые потеряли в общей сложности не менее $24 000.
В течение месяца злоумышленники продолжали рассылать письма, в которых вымогали у пользователей деньги под угрозой компрометации их персональных данных. По всей видимости, в руки злоумышленников попало несколько баз данных с регистрационной информацией, содержащий адреса электронной почты и пароли. По этим адресам вымогатели и рассылали сообщения о том, что им известен пароль жертвы, и на их компьютерах якобы установлена вредоносная программа. Чтобы личная жизнь получателя не стала достоянием общественности, киберпреступники требовали выкуп в криптовалюте биткойн, эквивалентный сумме от 500 до 850 долларов США.
Жулики активно используют несколько биткойн-кошельков, и, судя по информации на сайте blockchain.com, несколько жертв уже купилось на угрозы мошенников.
В последнее время этот способ вымогательства крайне популярен среди киберпреступников: они массово рассылают письма с различными угрозами, но с ограниченным количеством сочетаний адреса электронной почты и пароля. Разумеется, никаких вирусов и троянцев для добычи этих сведений вымогатели не использовали, а чтобы обезопасить себя от подобных посягательств, пользователям достаточно всего лишь сменить используемые пароли.
Специалисты компании «Доктор Веб» провели масштабное расследование, результатами которого поделились с читателями в уходящем октябре. Предметом внимания вирусных аналитиков стала деятельность киберпреступника, скрывающегося под псевдонимами Investimer, Hyipblock и Mmpower. Для достижения своих целей он использовал широчайший набор вредоносных программ, включающий различные стилеры, загрузчики, бэкдоры и троянца-майнера со встренным модулем для подмены содержимого буфера обмена.
Специализировался Investimer на мошенничестве в сфере криптовалют. Ассортимент применяемых им способов подпольного заработка весьма велик: он создавал поддельные сайты криптовалютных бирж, ферм для майнинга, партнерских программ по выплате вознаграждений за просмотр рекламы и онлайн-лотерей.
В целом используемая киберпреступником схема обмана такова. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает троянца, который по команде злоумышленника устанавливает на компьютер другие вредоносные программы. Такие программы (в основном троянцы-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой жулик затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.
Аналитики «Доктор Веб» полагают, что общее количество пользователей, пострадавших от противоправной деятельности Investimer’а, превышает 10 000 человек. Ущерб, нанесенный злоумышленником своим жертвам, наши специалисты оценивают в более чем 23 000 долларов США. К этому следует добавить более 182 000 в криптовалюте Dogecoin, что по нынешнему курсу составляет еще порядка 900 долларов. Более подробная информация об этом расследовании представлена в опубликованной на нашем сайте статье.
В октябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение октября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 156 188 интернет-адресов.
| Сентябрь 2018 | Октябрь 2018 | Динамика |
|---|---|---|
| + 271 605 | + 156 188 | - 42.49% |
В начале октября в вирусные базы Dr.Web была добавлена запись для детектирования Android-банкера Android.BankBot.1781. Он способен скачивать и запускать вспомогательные модули, а также компилировать и выполнять получаемый от злоумышленников код, написанный на C#. Позже специалисты «Доктор Веб» выявили в официальном каталоге приложений для ОС Android несколько троянцев. Среди них были вредоносные программы Android.FakeApp.125 и Android.Click.245.origin, которые загружали и демонстрировали мошеннические веб-сайты.
В конце месяца в Google Play были найдены троянцы-загрузчики Android.DownLoader.818.origin и Android.DownLoader.819.origin. Они скачивали на мобильные устройства и пытались установить других Android-троянцев. Также вирусные аналитики исследовали вредоносные приложения Android.RemoteCode.192.origin и Android.RemoteCode.193.origin, распространявшиеся под видом безобидного ПО. Троянцы показывали рекламу, могли загружать вспомогательные модули и открывать заданные злоумышленниками видео, размещенные на портале YouTube. Тем самым они «накручивали» счетчик просмотров и повышали популярность видеороликов.
Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:
Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.
|
|
«Доктор Веб»: троянца-загрузчика из Google Play установили свыше 51 000 пользователей |
23 октября 2018 года
Android.DownLoader.819.origin представляет собой загрузчика, который скачивает на Android-устройства другие вредоносные приложения и запускает их. Троянец распространялся от имени разработчика Quoac под видом различных игр. Специалисты «Доктор Веб» обнаружили 14 копий Android.DownLoader.819.origin, которые успели скачать как минимум 51 100 владельцев Android-смартфонов и планшетов. Вирусные аналитики передали сведения о выявленных программах в компанию Google, и на момент публикации этого материала они были удалены из Google Play.
Информация о найденных вредоносных приложениях представлена в сводной таблице ниже:
| Имя приложения | Название программного пакета | Версия |
|---|---|---|
| Extreme SUV 4x4 Driving Simulator | com.quoac.extreme.suv.driving | 0.3 |
| Moto Extreme Racer 3D | com.quoac.moto.extreme.racing | 0.3 |
| SUV City Traffic Racer | com.suv.traffic.racer | 0.3 |
| Sports Car Racing | com.quoac.sports.car.racing | 0.3 |
| Crime Traffic Racer | com.quoac.crime.traffic.game | 0.3 |
| Police Car Traffic | com.quoac.police.car.traffic | 0.3 |
| Tank Traffic Racer | com.quoac.tank.traffic.racer | 0.3 |
| Extreme Car Driving Simulator | com.quoac.extreme.car.driving.simulator | 0.3 |
| Russian Cars Retro | com.quoac.russian.car.retro | 0.3 |
| Motocross Beach Jumping - Bike Stund Racing | com.quoac.motocross.beach.jumping | 0.4 |
| Luxury Supercar Simulator | com.quoac.luxury.supercar.simulator | 0.3 |
| Crime Crazy Security | com.quoac.crime.crazy.security | 0.4 |
| Furious Extreme Drift | com.quoac.furious.extreme.drift | 0.3 |
| Drift Car Driving Simulator | com.quoac.car.driving.simulator | 0.5 |
Android.DownLoader.819.origin является модификацией троянца Android.DownLoader.818.origin и обладает теми же функциями. При запуске он пытается получить доступ к чтению и записи файлов на SD-карту, а также запрашивает разрешение на добавление его в список администраторов мобильного устройства. В случае успеха троянец удаляет собственный значок из меню главного экрана операционной системы и скрывает свое присутствие на устройстве. После этого запустить «игру» становится невозможно, а найти само вредоносное приложение можно лишь в списке установленных программ в системных настройках.
Получив необходимые полномочия, троянец подключается к удаленному серверу и незаметно загружает с него apk-файл, после чего предлагает владельцу зараженного устройства установить его. В случае отказа вредоносная программа вновь пытается выполнить инсталляцию, каждые 20 секунд показывая то же самое диалоговое окно, – до тех пор, пока жертва не согласится установить скачанное приложение. Загружаемый и устанавливаемый троянцем файл является вредоносной программой Android.HiddenAds.728, которая показывает рекламу при включении экрана зараженного смартфона или планшета.
Все известные модификации троянца-загрузчика Android.DownLoader.819.origin, а также скачиваемых им вредоносных приложений надежно детектируются и удаляются антивирусными продуктами Dr.Web для Android и потому не представляют для наших пользователей никакой угрозы.
|
|
«Доктор Веб»: VPN-клиент для Android содержал троянца-загрузчика |
19 октября 2018 года
Троянец, получивший имя Android.DownLoader.818.origin, был встроен в программу с именем Turbo VPN – Unlimited Free VPN & Proxy, которую загрузили свыше 11 000 владельцев мобильных Android-устройств. Название вредоносного приложения практически полностью совпадало с именем популярного VPN-клиента Turbo VPN — Unlimited Free VPN & Fast Security VPN от компании Innovative Connecting, которая к созданию подделки не имеет никакого отношения. Выдавая Android.DownLoader.818.origin за известное ПО для подключения к частным виртуальным сетям, авторы троянца пытались ввести потенциальных жертв в заблуждение и увеличить число его загрузок.
При запуске Android.DownLoader.818.origin пытался получить разрешение на чтение и запись файлов, показывая соответствующий запрос. После этого он запрашивал доступ к правам администратора мобильного устройства.
Android.DownLoader.818.origin действительно позволял работать с VPN-сетями — при его создании злоумышленники позаимствовали наработки из проекта с открытым исходным кодом OpenVPN for Android. Однако те, кто установил, приложение, воспользоваться им не смогли — после получения необходимых системных привилегий Android.DownLoader.818.origin удалял свой значок из списка программ главного экрана операционной системы. С этого момента запустить троянский VPN-клиент самостоятельно становилось невозможно.
После того как вредоносная программа скрывалась от пользователя, она незаметно скачивала с удаленного сервера apk-файл и сохраняла его на карту памяти. Затем она предлагала установить загруженное приложение до тех пор, пока пользователь не соглашался это сделать. Пример сообщения, которым Android.DownLoader.818.origin вынуждал выполнить установку другой программы, показан ниже:
На момент анализа Android.DownLoader.818.origin скачиваемый им файл представлял собой троянца Android.HiddenAds.710, который предназначен для показа рекламы. Однако в зависимости от настроек сервера и целей злоумышленников Android.DownLoader.818.origin может загрузить и попытаться установить любое другое вредоносное или нежелательное приложение.
Специалисты «Доктор Веб» оповестили корпорацию Google о найденной в Google Play опасной программе, после чего она была оперативно удалена из каталога.
Все описанные выше троянцы не представляют опасности для наших пользователей — антивирусные продукты Dr.Web для Android успешно детектируют и удаляют их с мобильных устройств.
#Android, #Google_Play, #вредоносное_ПО, #троянец|
|
«Доктор Веб» сообщает: сетевой мошенник нанес ущерб более чем на $24 000, число жертв превысило 10 000 |
18 октября 2018 года
Кибермошенник, известный в Интернете под вымышленными именами Investimer, Hyipblock и Mmpower, использует в своей деятельности широчайший набор самых распространенных сегодня на подпольном рынке коммерческих троянцев. Среди них — стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony. Также в арсенале злоумышленника замечен бэкдор Spy-Agent, разработанный на базе приложения TeamViewer, бэкдоры DarkVNC и HVNC, предназначенные для доступа к зараженному компьютеру по протоколу VNC, и еще один бэкдор, созданный на основе ПО RMS. Киберпреступник активно применяет загрузчик Smoke Loader, а ранее использовал Loader by Danij и троянца-майнера, имеющего встренный модуль для подмены содержимого буфера обмена (клипер). Управляющие серверы с административным интерфейсом Investimer держит на таких площадках как jino.ru, marosnet.ru и hostlife.net, при этом большинство из них работает под защитой сервиса Cloudflare с целью скрыть истинный IP-адрес этих сетевых ресурсов.
Investimer специализируется на мошенничестве с криптовалютами, преимущественно — с Dogecoin. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Один из них — поддельная криптовалютная биржа, для работы с которой якобы требуется специальная программа-клиент. Под видом этого приложения на компьютер жертвы скачивается троянец Spy-Agent.
Другой «стартап» того же кибермошенника — пул устройств для майнинга криптовалюты Dogecoin, который якобы сдается в аренду по очень выгодным ценам. Для работы с этим несуществующим в реальности пулом тоже якобы требуется специальное приложение-клиент, которое загружается на компьютер потенциальной жертвы в запароленном архиве. Наличие пароля не позволяет антивирусным программам проанализировать содержимое архива и удалить его еще на этапе скачивания. Внутри же, как несложно догадаться, прячется троянец-стилер.
Еще один созданный Investimer’ом мошеннический ресурс посвящен криптовалюте Etherium. Потенциальным жертвам мошенник предлагает вознаграждение за просмотр сайтов в Интернете, для чего им также предлагается установить вредоносную программу под видом специального приложения. Здесь троянец начинает загружаться автоматически при заходе посетителя на сайт. Кибермошенник даже озаботился написанием нескольких поддельных отзывов о работе этого сервиса.
Еще один способ сетевого мошенничества, который практикует Investimer, — организация онлайн-лотерей, призом в которых служит определенная сумма в криптовалюте Dogecoin. Разумеется, лотереи устроены таким образом, что выиграть в них стороннему участнику невозможно, заработать на этом может только сам организатор розыгрыша. Тем не менее, на момент написания этой статьи на сайте организованной Investimer’ом лотереи было зарегистрировано более 5800 пользователей.
Помимо проведения лотерей на одном из своих сайтов Investimer предлагает выплату вознаграждения в Dogecoin за просмотр веб-страниц с рекламой. Этот проект насчитывает более 11 000 зарегистрированных пользователей.
Разумеется, с сайта «партнера» на компьютер участника системы под видом плагина для браузера, позволяющего зарабатывать на серфинге в Интернете, незамедлительно скачивается бэкдор. Затем он обычно устанавливает на инфицированное устройство троянца-стилера.
Не брезгует Investimer и традиционным фишингом. Созданный им веб-сайт якобы предлагает вознаграждение за привлечение новых пользователей в платежную систему Etherium, однако на самом деле собирает введенную пользователями при регистрации информацию и передает ее злоумышленнику.
Помимо перечисленных выше способов криминального заработка, Investimer попытался скопировать официальный сайт cryptobrowser.site. Создатели оригинального проекта разработали специальный браузер, который в фоновом режиме добывает криптовалюту в процессе просмотра пользователем веб-страниц. Подделка, которую создал Investimer, выполнена не слишком качественно: часть графики на сайте не отображается вовсе, в тексте лицензионного соглашения фигурирует адрес электронной почты настоящих разработчиков, а троянец, которого жертва получает под видом браузера, загружается с ресурса, расположенного на другом домене. На следующей иллюстрации показан поддельный сайт, созданный Investimer’ом (слева), в сравнении с оригинальным (справа).
Investimer был замечен в реализации и других схем сетевого жульничества – в частности онлайн-игр, построенных по принципу финансовой пирамиды. Собранную с при помощи троянцев-стилеров информацию этот злоумышленник использует преимущественно для хищения криптовалюты и денег, которые его жертвы хранят в кошельках различных электронных платежных систем. Примечательно, что в административной панели, с использованием которой Investimer управляет доступом к взломанным компьютерам, запись о каждой своей жертве он снабжает непристойными комментариями, процитировать которые мы не можем по цензурным соображениям.
В целом используемая киберпреступником схема обмана пользователей Интернета такова. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает троянца, который по команде злоумышленника устанавливает на компьютер другие вредоносные программы. Такие программы (в основном троянцы-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой жулик затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.
Аналитики «Доктор Веб» полагают, что общее количество пользователей, пострадавших от противоправной деятельности Investimer’а, превышает 10 000 человек. Ущерб, нанесенный злоумышленником своим жертвам, наши специалисты оценивают в более чем 23 000 долларов США. К этому следует добавить более 182 000 в криптовалюте Dogecoin, что по нынешнему курсу составляет еще порядка 900 долларов.
Адреса всех созданных Investimer’ом веб-сайтов были добавлены в базы Dr.Web SpIDer Gate, все используемые им вредоносные программы успешно детектируются и удаляются нашим Антивирусом.
Полный список индикаторов компрометации можно посмотреть по ссылке https://github.com/DoctorWebLtd/malware-iocs/tree/master/investimer.
#криминал #криптовалюты #майнинг #мошенничество
|
|
«Доктор Веб»: обзор вирусной активности в сентябре 2018 года |
28 сентября 2018 года
Сентябрь 2018 года был отмечен распространением банковского троянца, угрожавшего клиентам бразильских кредитных организаций. Специалисты «Доктор Веб» выявили более 300 уникальных образцов этой вредоносной программы, а также порядка 120 интернет-площадок, с которых банкер загружал собственные компоненты. Также в уходящем месяце был выявлен ряд новых опасных приложений для мобильной платформы Android.
Банковские троянцы, предназначенные для хищения денежных средств клиентов кредитных организаций, чрезвычайно распространены во всем мире. Новый банкер, исследованный в сентябре вирусными аналитиками «Доктор Веб» и получивший наименование Trojan.PWS.Banker1.28321, ориентирован на жителей Бразилии. На сегодняшний день известно 340 уникальных образцов Trojan.PWS.Banker1.28321, а также 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы.
Троянец распространяется под видом приложения для просмотра PDF-документов Adobe Reader. Он заражает компьютеры под управлением Microsoft Windows, в настройках которых в качестве основного установлен португальский язык. Все вредоносные функции Trojan.PWS.Banker1.28321 сосредоточены в зашифрованной и упакованной в архив динамической библиотеке, которую банкер скачивает с принадлежащих злоумышленникам сайтов.
Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, троянец незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Затем эта информация передается злоумышленникам. Подробнее об этом инциденте мы рассказали в опубликованной на нашем сайте статье.
В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение сентября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 271 605 интернет-адресов.
| Август 2018 | Сентябрь 2018 | Динамика |
|---|---|---|
| + 538 480 | + 271 605 | – 49,5% |
В уходящем месяце специалисты компании «Доктор Веб» вновь зафиксировали распространение в каталоге Google Play троянцев семейства Android.Click. Многие из них представляли собой программы, которые злоумышленники выдавали за официальные приложения букмекерских контор. Эти троянцы по команде управляющего сервера открывают веб-сайты букмекерских фирм, однако в любой момент могут загрузить любые веб-страницы, в том числе мошеннические. Кроме того, в каталог Google Play в очередной раз проникла вредоносная программа Android.Click.265.origin, которая распространялась под видом официального ПО от известных компаний. Android.Click.265.origin загружает сайты с премиум-услугами и автоматически нажимает на расположенную на них кнопку подтверждения подписки на дорогостоящий сервис.
Также среди выявленных в сентябре вредоносных программ, обнаруженных в официальном каталоге ПО для ОС Android, были банковские троянцы, такие как Android.Banker.2855, Android.Banker.2856 и Android.Banker.283.origin. Они скрывались в безобидных, на первый взгляд, программах.
Помимо этого, в первом осеннем месяце 2018 года киберпреступники распространяли опасного троянца Android.Spy.460.origin, который использовался для кибершпионажа. Среди прочих угроз, выявленных в сентябре, были новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Эти приложения следят за СМС-перепиской, историей телефонных звонков, определяют местоположение мобильных устройств, копируют список контактов из телефонной книги на удаленный сервер, могут красть историю посещения из веб-браузера и похищать другую персональную информацию пользователей.
Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:
Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2018 года |
28 сентября 2018 года
В сентябре 2018 года в официальном каталоге приложений для ОС Android вирусные аналитики выявили большое число троянцев. Помимо этого, в уходящем месяце пользователям мобильных устройств угрожали различные Android-банкеры. Также в сентябре злоумышленники распространяли опасного троянца, который использовался для кибершпионажа. В этом же месяце в вирусную базу Dr.Web были добавлены записи для детектирования новых версий известных коммерческих программ-шпионов.
В сентябре пользователям мобильных Android-устройств угрожал опасный троянец-шпион Android.Spy.460.origin, который известен вирусным аналитикам компании «Доктор Веб» с июня 2018 года. Эта вредоносная программа распространяется с использованием мошеннических веб-сайтов, с которых она загружается под видом системных приложений, например ПО с именем «Google Carrier Service».
Android.Spy.460.origin отслеживает СМС-переписку, местоположение зараженного смартфона или планшета, прослушивает телефонные звонки, записывает окружение при помощи встроенного в мобильное устройство микрофона, крадет данные из телефонной книги и календаря, а также передает киберпреступникам историю посещения из веб-браузера и сохраненные в нем закладки.
В уходящем месяце в каталоге Google Play было выявлено большое число вредоносных программ. Специалисты «Доктор Веб» вновь обнаружили в нем троянцев семейства Android.Click, которых киберпреступники распространяли под видом официальных приложений букмекерских контор. Помимо уже известных версий этих троянцев (о них наша компания сообщала в августе), вирусные аналитики зафиксировали 17 их новых модификаций. В общей сложности вредоносные приложения установили не менее 62 000 пользователей.
При запуске эти троянцы по команде управляющего сервера загружают в своем окне веб-сайты букмекерских фирм и демонстрируют их пользователям. Однако сервер в любой момент способен отдать указание на открытие другого интернет-адреса, что может представлять серьезную опасность.
Кроме того, среди троянцев-кликеров, проникших в сентябре в официальный каталог ПО для ОС Android, оказался Android.Click.265.origin, о котором мы также информировали пользователей в прошлом месяце. Android.Click.265.origin загружает сайты с премиум-контентом и подписывает пользователей на дорогостоящие услуги. Для этого он автоматически нажимает на расположенную на открываемых веб-страницах кнопку подтверждения доступа к платному сервису. В сентябре злоумышленники распространяли эту вредоносную программу под видом официальных приложений от известных компаний, таких как «Ситилинк», MODIS и O'STIN.
Еще один троянец с аналогичным Android.Click.265.origin функционалом получил имя Android.Click.223.origin. Вирусописатели также распространяли его под видом безобидных программ от имени компаний Gloria Jeans и «ТВОЕ».
В сентябре в каталоге Google Play были вновь обнаружены банковские троянцы. Среди них Android.Banker.2855 и Android.Banker.2856, распространявшиеся под видом сервисных утилит и программ-гороскопов. Эти вредоносные программы извлекают и запускают скрытого внутри них банкера, который похищает логины и пароли для доступа к учетным записям клиентов кредитных организаций.
Еще один Android-банкер, проникший в Google Play в сентябре, получил имя Android.Banker.283.origin. Вирусописатели выдавали его за официальное приложение одной их турецких кредитных организаций.
В сентябре были обнаружены новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Они предназначены для незаметного наблюдения за владельцами мобильных устройств под управлением ОС Android. Например, эти приложения позволяют злоумышленникам перехватывать СМС-переписку, отслеживать телефонные звонки и местоположение смартфонов и планшетов, получать доступ к истории посещений веб-браузера и сохраненным в нем закладкам, копировать контакты из телефонной книги, а также похищать другую конфиденциальную информацию.
Киберпреступники постоянно создают новые троянские и потенциально опасные программы и с их помощью пытаются заразить Android-смартфоны и планшеты пользователей. Многие из таких приложений продолжают появляться в каталоге Google Play. Для защиты мобильных устройств их владельцам следует установить антивирусные продукты Dr.Web для Android.
|
|
Банковский троянец угрожает клиентам бразильских кредитных организаций |
25 сентября 2018 года
Троянец, добавленный в вирусные базы Dr.Web под именем Trojan.PWS.Banker1.28321, распространяется под видом приложения Adobe Reader, предназначенного для просмотра документов в формате PDF. При запуске он демонстрирует окно с изображением названия этой программы.
Вредоносная программа пытается определить, не запущена ли она в виртуальной среде, при обнаружении виртуальной машины она завершает свою работу. Также банкер отслеживает локальные языковые настройки Windows — если язык системы отличается от португальского, троянец не выполняет никаких действий.
Модуль загрузчика Trojan.PWS.Banker1.28321 реализован в виде сценария на языке VBscript, в то время как сам троянец написан на .NET. Скрипт-загрузчик запускается на выполнение с помощью стандартного COM-объекта MSScriptControl.ScriptControl. Он соединяется с управляющим сервером и скачивает с него два ZIP-архива, в одном из которых хранится обфусцированная динамическая библиотека, созданная с использованием среды разработки Delphi. В этой библиотеке и сосредоточены основные функции вредоносной программы.
Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, Trojan.PWS.Banker1.28321 незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля, а в некоторых случаях — просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Эту информацию троянец передает злоумышленникам.
Подобную схему с подменой содержимого просматриваемых пользователем веб-страниц систем «банк-клиент» используют многие банковские троянцы. Зачастую они угрожают клиентам кредитных организаций не только в Бразилии, но и по всему миру. За последний месяц специалисты «Доктор Веб» выявили более 340 уникальных образцов Trojan.PWS.Banker1.28321, а также обнаружили 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы. Это свидетельствует о широком распространении банкера. Сведения обо всех известных на сегодняшний день образцах Trojan.PWS.Banker1.28321 добавлены в вирусные базы Dr.Web, а адреса используемых им серверов — в базы веб-антивируса SpIDer Gate, поэтому троянец не представляет угрозы для наших пользователей.
#банкер #банковский_троянец #троянец
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2018 года |
31 августа 2018 года
В августе 2018 года специалисты компании «Доктор Веб» обнаружили троянца для ОС Android, способного подменять номера электронных кошельков в буфере обмера. Кроме того, вирусные аналитики выявили в каталоге Google Play множество троянцев, которых злоумышленники использовали в различных мошеннических схемах незаконного заработка. Также в течение месяца в официальном каталоге программ для ОС Android было зафиксировано несколько новых Android-банкеров и троянцев-загрузчиков, скачивавших на мобильные устройства другое вредоносное ПО. Помимо этого, в августе специалисты по информационной безопасности обнаружили опасного троянца-шпиона, которого вирусописатели могли встраивать в безобидные программы и распространять таким образом под видом оригинальных приложений.
В начале уходящего месяца вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.Clipper.1.origin, который отслеживает буфер обмена и подменяет копируемые в него номера электронных кошельков популярных платежных систем и криптовалют. Вредоносную программу «интересуют» номера кошельков Qiwi, Webmoney, «Яндекс.Деньги», Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin. Когда пользователь копирует один из них в буфер обмена, троянец перехватывает его и передает на управляющий сервер. В ответ Android.Clipper.1.origin получает информацию о номере кошелька злоумышленников, на который заменяет номер жертвы. В результате владелец зараженного устройства рискует перевести деньги на счет вирусописателей. Подробнее об этом троянце рассказано в новостной публикации, размещенной на нашем сайте.
В августе в каталоге Google Play было выявлено множество вредоносных программ. На протяжении всего месяца вирусные аналитики компании «Доктор Веб» отслеживали распространение в нем троянцев семейства Android.Click. Наши специалисты обнаружили 127 таких вредоносных приложений, которые злоумышленники выдавали за официальные программы букмекерских контор.
При запуске эти троянцы показывают пользователю заданный управляющим сервером веб-сайт. На момент обнаружения все выявленные представители семейства Android.Click открывали интернет-порталы букмекерских фирм. Однако в любой момент они способны получить команду на загрузку произвольного сайта, который может распространять другое вредоносное ПО или использоваться в фишинг-атаках.
Еще одним троянцем-кликером, обнаруженным в августе в Google Play, стал Android.Click.265.origin. Злоумышленники использовали его для подписки пользователей на дорогостоящие мобильные услуги. Вирусописатели распространяли эту вредоносную программу под видом официального приложения для работы с интернет-магазином «Эльдорадо».
Троянец Android.Click.248.origin, известный вирусным аналитикам «Доктор Веб» с апреля, в августе вновь появился в каталоге Google Play. Как и ранее, он распространялся под видом известного ПО. Android.Click.248.origin загружает мошеннические сайты, на которых предлагается скачать различные программы или сообщается о некоем выигрыше. Для получения приза или скачивания приложения у потенциальной жертвы запрашивается номер мобильного телефона, на который приходит код подтверждения. После ввода этого кода владелец мобильного устройства подписывается на дорогостоящую услугу. При этом, если Android-смартфон или планшет подключен к Интернету через мобильное соединение, подписка на платный сервис выполняется автоматически сразу после того, как киберпреступники получают номер.
Более подробную информацию об этих троянцах-кликерах можно получить, прочитав соответствующую новостную публикацию на нашем сайте.
В конце августа вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца Android.FakeApp.110, которого сетевые жулики использовали для незаконного заработка. Эта вредоносная программа загружала мошеннический сайт, на котором потенциальной жертве предлагалось за вознаграждение пройти опрос. После ответа на все вопросы требовалось выполнить некий идентификационный платеж в размере 100-200 рублей. Однако после перевода денег мошенникам никакой оплаты пользователь не получал.
Среди вредоносных программ, обнаруженных в каталоге Google Play в августе, оказались очередные Android-банкеры. Один из них получил имя Android.Banker.2843. Он распространялся под видом официального приложения одной из турецких кредитных организаций. Android.Banker.2843 крал логины и пароли для доступа к банковской учетной записи пользователя и передавал их злоумышленникам.
Другой банковский троянец, добавленный в вирусную базу Dr.Web как Android.Banker.2855, вирусописатели распространяли под видом различных сервисных утилит. Эта вредоносная программа извлекала из своих файловых ресурсов и запускала троянца Android.Banker.279.origin, который похищал банковские аутентификационные данные пользователей.
Некоторые модификации Android.Banker.2855 пытались скрыть свое присутствие на мобильном устройстве, показывая после запуска поддельное сообщение об ошибке и удаляя свой значок из списка приложений на главном экране.
Другой Android-банкер, получивший имя Android.BankBot.325.origin, скачивался на зараженные смартфоны и планшеты троянцем Android.DownLoader.772.origin. Злоумышленники распространяли эту вредоносную программу-загрузчик через каталог Google Play под видом полезных приложений – например, оптимизатора работы аккумулятора.
Кроме того, вирусные аналитики «Доктор Веб» выявили в Google Play загрузчика Android.DownLoader.768.origin, распространявшегося под видом приложения от корпорации Shell. Android.DownLoader.768.origin скачивал на мобильные устройства различных банковских троянцев.
Также в августе в Google Play был найден троянец-загрузчик, добавленный в вирусную базу Dr.Web как Android.DownLoader.784.origin. Он был встроен в приложение под названием Zee Player, позволявшее скрывать хранящиеся в памяти мобильных устройств фотографии и видео.
Android.DownLoader.784.origin загружал троянца Android.Spy.409.origin, которого злоумышленники могли использовать для кибершпионажа.
В августе вирусная база Dr.Web пополнилась записью для детектирования троянца Android.Spy.490.origin, предназначенного для кибершпионажа. Злоумышленники могут встраивать его в любые безобидные приложения и распространять их модифицированные копии под видом оригинального ПО, не вызывая подозрений у пользователей. Android.Spy.490.origin способен отслеживать СМС-переписку и местоположение зараженного смартфона или планшета, перехватывать и записывать телефонные разговоры, передавать на удаленный сервер информацию обо всех совершенных звонках, а также снятые владельцем мобильного устройства фотографии и видео.
Каталог приложений Google Play является самым безопасным источником программ для устройств под управлением ОС Android. Однако злоумышленникам по-прежнему удается распространять через него различные вредоносные программы. Для защиты Android-смартфонов и планшетов пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|