«Доктор Веб»: обзор вирусной активности в ноябре 2019 года |
11 декабря 2019 года
В ноябре статистика серверов «Доктор Веб» зафиксировала повышение общего числа обнаруженных угроз на 3.66% по сравнению с октябрем. При этом количество уникальных угроз возросло на 9.59%. В почтовом трафике на первых позициях находится вредоносное ПО, использующее уязвимости документов Microsoft Office, а также троянцы-загрузчики и стилеры. Большинство обнаруженных угроз приходится на долю рекламных программ. В течения месяца в каталоге Google Play были найдены новые вредоносные приложения для Android-устройств. Среди них — опасный бэкдор, рекламные троянцы и троянцы, которые подписывали жертв на платные услуги.
Угрозы этого месяца:
В ноябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
В течение ноября 2019 года в базу нерекомендуемых и вредоносных сайтов был добавлен 162 581 интернет-адрес.
| Октябрь 2019 | Ноябрь 2019 | Динамика |
|---|---|---|
| + 254 849 | + 162 581 | - 36.2% |
В ноябре в каталоге Google Play были выявлены очередные вредоносные программы. Пользователям снова угрожали рекламные троянцы семейства Android.HiddenAds, которые показывают надоедливые баннеры и мешают нормальной работе с Android-устройствами. Кроме того, злоумышленники распространяли вредоносные приложения семейства Android.Joker. Эти троянцы шпионят за жертвами, подписывают их на платные услуги, а некоторые модификации могут выполнять произвольный код и запускать дополнительные вредоносные модули.
Также вирусные аналитики «Доктор Веб» обнаружили новую версию бэкдора Android.Backdoor.735.origin, который выполняет команды злоумышленников и предназначен для кибершпионажа.
Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:
Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.
|
|
«Наживка»: Это «ж-ж-ж» неспроста |
28 ноября 2019 года
Вот такое письмо как-то раз с самого утра пришло автору этого выпуска:
Явной опасности такое письмо вроде бы не представляет.
Адрес отправителя совпадает с тем, что указан в служебных заголовках. Ни аттача, ни вредоносной ссылки... Не исключено, что какой-то спамер или злоумышленник просто проверяет, «жив» ли этот почтовый ящик.
Но если вы не видите угрозы, это не значит, что ее нет.
Существуют однопиксельные прозрачные картинки (мы уже писали об этом), которые спамеры вставляют в письма и с их помощью определяют, было ли открыто письмо.
Если письмо содержит такую точку, вы ее, скорее всего, не заметите и просигнализируете спамерам, что ваш адрес жив.
Чтобы письма спамеров не попадали на ваш ПК или мобильное устройство,
используйте Dr.Web Security Space.
Как раз сегодня началась «чернопятничная» акция с грандиозными скидками на Dr.Web — так почему не дать отпор спамерам прямо сейчас, да еще и за смешные деньги?
|
|
Так себе шутки: «Джокер» на Android-гаджетах |
27 ноября 2019 года
«Наживка» о Джокере
По статистике каждая пятая программа для ОС Android — с уязвимостью (или, иными словами, — с «дырой»), что позволяет злоумышленникам успешно внедрять мобильных троянцев на устройства и выполнять вредоносные действия. В октябре вирусные аналитики «Доктор Веб» обнаружили прыткого и наглого, словно Джокер, троянца, которого киберпреступники распространяли через Google Play.
Android.Joker прятался под масками мобильных игр и различных программ – например, сборников изображений, фоторедакторов, утилит и т. д. И делал это вот зачем: чтобы, оказавшись на гаджете, выполнять произвольный код и запускать вспомогательные модули для кражи данных из телефонной книги или перехвата СМС-сообщения. Также эти «шутники» подключают пользователей к премиум-услугам, загружая веб-страницы соответствующих сервисов и автоматически выполняя подписку. В общем, «шутки» так себе.
Читайте в новом обзоре вирусной активности Dr.Web на
news.drweb.ru
Dr.Web с этим «Джокером», конечно же, знаком – вот почему пользователям наших продуктов (и подписчикам услуги «Антивирус Dr.Web») этот троянец никакой угрозы не несет
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
#фишинг #сообщество
|
|
Что почитать? Конечно же, «Наживку»! |
27 ноября 2019 года
«Наживка»: новая новостная рубрика от «Доктор Веб»
Новости в рубрике «Наживка» выходят раз или два в неделю – их можно почитать непосредственно на сайте (ссылка на ветку), либо же подписавшись на наши еженедельные дайджесты (для этого необходима регистрация на drweb.ru).
Если у вас есть поучительные истории о фишинге или социальной инженерии, делитесь ими с сообществом Dr.Web в комментариях к новостям «Наживки». Пусть на крючок никто не попадется!
«Наживка»: Так себе шутки: «Джокер» на Android-гаджетах
#фишинг #сообщество
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2019 года |
13 ноября 2019 года
Второй осенний месяц этого года оказался неспокойным для владельцев Android-устройств. Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных программ – в частности, троянцев-кликеров Android.Click, которые подписывали пользователей на платные услуги. Среди найденных угроз также были вредоносные приложения семейства Android.Joker. Они тоже подписывали жертв на дорогостоящие сервисы и могли выполнять произвольный код. Кроме того, наши специалисты выявили других троянцев.
В начале октября компания «Доктор Веб» проинформировала пользователей о нескольких троянцах-кликерах, добавленных в вирусную базу Dr.Web как Android.Click.322.origin, Android.Click.323.origin и Android.Click.324.origin. Эти вредоносные приложения незаметно загружали веб-сайты, где самостоятельно подписывали своих жертв на платные мобильные сервисы. Особенности троянцев:
В течение всего месяца наши вирусные аналитики выявляли и другие модификации этих кликеров — например, Android.Click.791, Android.Click.800, Android.Click.802, Android.Click.808, Android.Click.839, Android.Click.841. Позднее были найдены похожие на них вредоносные приложения, которые получили имена Android.Click.329.origin, Android.Click.328.origin и Android.Click.844. Они тоже подписывали жертв на платные услуги, но их разработчиками могли быть другие вирусописатели. Все эти троянцы скрывались в безобидных, на первый взгляд, программах — фотокамерах, фоторедакторах и сборниках обоев для рабочего стола.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:
Наряду с троянцами-кликерами вирусные аналитики компании «Доктор Веб» выявили в Google Play множество новых версий, а также модификаций уже известных вредоносных приложений семейства Android.Joker. Среди них — Android.Joker.6, Android.Joker.7, Android.Joker.8, Android.Joker.9, Android.Joker.12, Android.Joker.18 и Android.Joker.20.origin. Эти троянцы загружают и запускают дополнительные вредоносные модули, способны выполнять произвольный код и подписывают пользователей на дорогостоящие мобильные сервисы. Они распространяются под видом полезных и безобидных программ — сборников изображений для рабочего стола, фотокамер с художественными фильтрами, различных утилит, фоторедакторов, игр, интернет-мессенджеров и другого ПО.
Кроме того, наши специалисты обнаружили очередного рекламного троянца из семейства Android.HiddenAds, который получил имя Android.HiddenAds.477.origin. Злоумышленники распространяли его под видом видеоплеера и приложения, предоставляющего информацию о телефонных вызовах. После запуска троянец скрывал свой значок в списке приложений главного экрана ОС Android и начинал показывать надоедливую рекламу.
Также в вирусную базу Dr.Web были добавлены записи для детектирования троянцев Android.SmsSpy.10437 и Android.SmsSpy.10447. Они скрывались в сборнике изображений и приложении-фотокамере. Обе вредоносные программы перехватывали содержимое входящих СМС-сообщений, при этом Android.SmsSpy.10437 мог выполнять загружаемый с управляющего сервера произвольный код.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в октябре 2019 года |
13 ноября 2019 года
В октябре статистика серверов Dr.Web зафиксировала повышение роста общего числа обнаруженных угроз по сравнению с сентябрем. При этом количество уникальных угроз уменьшилось на 6.86%. В почтовом трафике на первых позициях находится вредоносное ПО, использующее уязвимости документов Microsoft Office, а также фишинговые рассылки. В статистике по вредоносному и нежелательному ПО лидирует троянец, предназначенный для кражи паролей, но большая часть обнаруженных угроз все еще приходится на долю рекламных программ.
Угрозы этого месяца:
В октябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
В течение октября 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 254 849 интернет-адресов.
| Сентябрь 2019 | Октябрь 2019 | Динамика |
|---|---|---|
| + 238 637 | + 254 849 | + 6.79% |
В прошедшем месяце вирусные аналитики компании «Доктор Веб» выявили большое число угроз в каталоге Google Play. Среди них были троянцы-кликеры из семейства Android.Click — они подписывали пользователей на платные услуги. Кроме того, злоумышленники распространяли рекламных троянцев Android.HiddenAds и вредоносные программы Android.SmsSpy, которые перехватывали входящие СМС-сообщения. В течение октября наши специалисты обнаружили новые модификации троянцев семейства Android.Joker. По команде злоумышленников они могли выполнять произвольный код, запускать дополнительные вредоносные модули и автоматически подписывали жертв на дорогостоящие мобильные сервисы.
Наиболее заметное событие, связанное с «мобильной» безопасностью в октябре:
Более подробно о вирусной обстановке для мобильных устройств в прошедшем месяце читайте в нашем обзоре.
|
|
Android-кликер подписывает пользователей на платные услуги |
17 октября 2019 года
Вирусные аналитики выявили несколько модификаций этой вредоносной программы, получившие имена Android.Click.322.origin, Android.Click.323.origin и Android.Click.324.origin. Чтобы скрыть их истинное предназначение, а также снизить вероятность обнаружения троянца, злоумышленники использовали несколько приемов. Во-первых, они встроили кликера в безобидные приложения — фотокамеры и сборники изображений, — которые выполняли заявленные функции. В результате у пользователей и специалистов по информационной безопасности не было явных причин рассматривать их как угрозу.
Во-вторых, все вредоносные программы были защищены коммерческим упаковщиком Jiagu, который усложняет детектирование антивирусами и затрудняет анализ кода. Таким образом у троянца было больше шансов избежать обнаружения встроенной защитой каталога Google Play.
В-третьих, вирусописатели пытались замаскировать троянца под известные рекламно-аналитические библиотеки. После добавления в программы-носители он встраивался в присутствовавшие в них SDK от Facebook и Adjust, скрываясь среди их компонентов.
Кроме того, кликер атаковал пользователей избирательно: он не выполнял никаких вредоносных действий, если потенциальная жертва не являлась жителем одной из интересующих злоумышленников стран.
Ниже приведены примеры приложений с внедренным в них троянцем:
После установки и запуска кликер (здесь и далее в качестве примера будет выступать его модификация Android.Click.322.origin) пытается получить доступ к уведомлениям операционной системы, показывая следующий запрос:
Если пользователь согласится предоставить ему необходимые разрешения, троянец сможет скрывать все уведомления о входящих СМС и перехватывать тексты сообщений.
Далее кликер передает на управляющий сервер технические данные о зараженном устройстве и проверяет серийный номер SIM-карты жертвы. Если та соответствует одной из целевых стран, Android.Click.322.origin отправляет на сервер информацию о привязанном к ней номере телефона. При этом пользователям из определенных государств кликер показывает фишинговое окно, где предлагает самостоятельно ввести номер или авторизоваться в учетной записи Google:
Если же SIM-карта жертвы не относится к интересующей злоумышленников стране, троянец не предпринимает никаких действий и прекращает вредоносную деятельность. Исследованные модификации кликера атакуют жителей следующих государств:
После передачи информации о номере Android.Click.322.origin ожидает команды от управляющего сервера. Тот отправляет троянцу задания, в которых содержатся адреса веб-сайтов для загрузки и код в формате JavaScript. Этот код используется для управления кликером через интерфейс JavascriptInterface, показа всплывающих сообщений на устройстве, выполнения нажатий на веб-страницах и других действий.
Получив адрес сайта, Android.Click.322.origin открывает его в невидимом WebView, куда также загружается принятый ранее JavaScript с параметрами для кликов. После открытия сайта с сервисом премиум-услуг троянец автоматически нажимает на необходимые ссылки и кнопки. Далее он получает проверочные коды из СМС и самостоятельно подтверждает подписку.
Несмотря на то, что у кликера нет функции работы с СМС и доступа к сообщениям, он обходит это ограничение. Это происходит следующим образом. Троянский сервис следит за уведомлениями от приложения, которое по умолчанию назначено на работу с СМС. При поступлении сообщения сервис скрывает соответствующее системное уведомление. Затем он извлекает из него информацию о полученном СМС и передает ее троянскому широковещательному приемнику. В результате пользователь не видит никаких уведомлений о входящих СМС и не знает о происходящем. О подписке на услугу он узнает только тогда, когда с его счета начнут пропадать деньги, либо когда он зайдет в меню сообщений и увидит СМС, связанные с премиум-сервисом.
После обращения специалистов «Доктор Веб» в корпорацию Google обнаруженные вредоносные приложения были удалены из Google Play. Все известные модификации этого кликера успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android и потому не представляют угрозу для наших пользователей.
Подробнее об Android.Click.322.origin
#Android, #Google_Play, #кликер, #платная_подписка
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2019 года |
9 октября 2019 года
В сентябре пользователям Android-устройств угрожали различные вредоносные программы, многие их которых злоумышленники распространяли через каталог Google Play. Это были загрузчики Android.DownLoader, банковские и рекламные троянцы Android.Banker и Android.HiddenAds, а также другие угрозы. Кроме того, специалисты «Доктор Веб» обнаружили несколько новых версий потенциально опасных приложений, предназначенных для слежки за пользователями. Среди них — Program.Panspy.1.origin, Program.RealtimeSpy.1.origin и Program.MonitorMinor.
Одной из выявленных в прошлом месяце вредоносных программ был банковский троянец Android.Banker.352.origin, который распространялся под видом официального приложения криптобиржи YoBit.
При запуске Android.Banker.352.origin показывал поддельное окно авторизации и похищал вводимые логины и пароли клиентов биржи. После этого он демонстрировал сообщение о временной недоступности сервиса.
Троянец перехватывал коды двухфакторной аутентификации из СМС, а также коды доступа из email-сообщений. Кроме того, он перехватывал и блокировал уведомления от различных мессенджеров и программ-клиентов электронной почты. Все украденные данные Android.Banker.352.origin сохранял в базу Firebase Database.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:
Потенциально опасная программа для незаметного запуска приложений без вмешательства пользователя:
Помимо банковского троянца Android.Banker.352.origin в сентябре специалисты «Доктор Веб» обнаружили в Google Play вредоносную программу Android.Banker.347.origin, нацеленную на бразильских клиентов кредитных организаций. Она является модификацией банкеров Android.BankBot.495.origin, Android.Banker.346.origin и других, о которых наша компания сообщала в более ранних публикациях.
Злоумышленники распространяли Android.Banker.347.origin через Google Play под видом программы для обнаружения местоположения членов семьи.
Банкер использовал специальные возможности ОС Android (Accessibility Service) для кражи информации из СМС-сообщений — например, одноразовых кодов и других секретных данных. Кроме того, как и предыдущие модификации, он мог по команде киберпреступников открывать фишинговые страницы.
В течение месяца вирусные аналитики выявили в Google Play несколько новых рекламных троянцев семейства Android.HiddenAds — например, Android.HiddenAds.444.origin. Эта вредоносная программа скрывалась в безобидных программах и играх. После запуска она скрывала значок приложения и начинала показывать надоедливые рекламные баннеры. Кроме того, по команде управляющего сервера она загружала и пыталась установить APK-файлы.
Среди обнаруженных вредоносных программ были и троянцы-загрузчики, такие как Android.DownLoader.920.origin и Android.DownLoader.921.origin. Они распространялись под видом игр. Троянцы по команде сервера скачивали и пытались установить различное ПО, а также другие вредоносные программы.
В течение сентября в Google Play было найдено несколько модификаций троянцев семейства Android.Joker. Эти вредоносные приложения скрывались в безобидных, на первый взгляд, программах — плагинах для фотокамер, фоторедакторах, сборниках изображений, различных системных утилитах и другом ПО.
Троянцы способны загружать и запускать вспомогательные dex-файлы, а также выполнять произвольный код. Помимо этого, они автоматически подписывают пользователей на дорогостоящие услуги, для чего загружают веб-сайты с премиум-контентом и самостоятельно переходят по необходимым ссылкам. А чтобы подтвердить подписку, они перехватывают проверочные коды из СМС. Кроме того, вредоносные программы Android.Joker передают на управляющий сервер данные из телефонных книг своих жертв.
Другие троянцы, которые подписывали пользователей на дорогостоящие услуги, получили имена Android.Click.781 и Android.Click.325.origin. Они также загружали сайты, где автоматически подключали жертвам премиум-сервисы. Кроме того, по команде сервера они могли перехватывать уведомления, поступающие от операционной системы и других программ. Злоумышленники распространяли этих троянцев под видом приложений-фотокамер.
В сентябре специалисты «Доктор Веб» обнаружили несколько новых версий потенциально опасных программ, предназначенных для слежки за владельцами Android-устройств. Среди них были приложения Program.Panspy.1.origin, Program.RealtimeSpy.1.origin и Program.MonitorMinor. Это шпионское ПО позволяет контролировать СМС-переписку и телефонные звонки, общение в популярных мессенджерах, отслеживать местоположение устройств, а также получать другую конфиденциальную информацию.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2019 года |
9 октября 2019 года
В сентябре пользователям Android-устройств угрожали различные вредоносные программы, многие их которых злоумышленники распространяли через каталог Google Play. Это были загрузчики Android.DownLoader, банковские и рекламные троянцы Android.Banker и Android.HiddenAds, а также другие угрозы. Кроме того, специалисты «Доктор Веб» обнаружили несколько новых версий потенциально опасных приложений, предназначенных для слежки за пользователями. Среди них — Program.Panspy.1.origin, Program.RealtimeSpy.1.origin и Program.MonitorMinor.
Одной из выявленных в прошлом месяце вредоносных программ был банковский троянец Android.Banker.352.origin, который распространялся под видом официального приложения криптобиржи YoBit.
При запуске Android.Banker.352.origin показывал поддельное окно авторизации и похищал вводимые логины и пароли клиентов биржи. После этого он демонстрировал сообщение о временной недоступности сервиса.
Троянец перехватывал коды двухфакторной аутентификации из СМС, а также коды доступа из email-сообщений. Кроме того, он перехватывал и блокировал уведомления от различных мессенджеров и программ-клиентов электронной почты. Все украденные данные Android.Banker.352.origin сохранял в базу Firebase Database.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:
Потенциально опасная программа для незаметного запуска приложений без вмешательства пользователя:
Помимо банковского троянца Android.Banker.352.origin в сентябре специалисты «Доктор Веб» обнаружили в Google Play вредоносную программу Android.Banker.347.origin, нацеленную на бразильских клиентов кредитных организаций. Она является модификацией банкеров Android.BankBot.495.origin, Android.Banker.346.origin и других, о которых наша компания сообщала в более ранних публикациях.
Злоумышленники распространяли Android.Banker.347.origin через Google Play под видом программы для обнаружения местоположения членов семьи.
Банкер использовал специальные возможности ОС Android (Accessibility Service) для кражи информации из СМС-сообщений — например, одноразовых кодов и других секретных данных. Кроме того, как и предыдущие модификации, он мог по команде киберпреступников открывать фишинговые страницы.
В течение месяца вирусные аналитики выявили в Google Play несколько новых рекламных троянцев семейства Android.HiddenAds — например, Android.HiddenAds.444.origin. Эта вредоносная программа скрывалась в безобидных программах и играх. После запуска она скрывала значок приложения и начинала показывать надоедливые рекламные баннеры. Кроме того, по команде управляющего сервера она загружала и пыталась установить APK-файлы.
Среди обнаруженных вредоносных программ были и троянцы-загрузчики, такие как Android.DownLoader.920.origin и Android.DownLoader.921.origin. Они распространялись под видом игр. Троянцы по команде сервера скачивали и пытались установить различное ПО, а также другие вредоносные программы.
В течение сентября в Google Play было найдено несколько модификаций троянцев семейства Android.Joker. Эти вредоносные приложения скрывались в безобидных, на первый взгляд, программах — плагинах для фотокамер, фоторедакторах, сборниках изображений, различных системных утилитах и другом ПО.
Троянцы способны загружать и запускать вспомогательные dex-файлы, а также выполнять произвольный код. Помимо этого, они автоматически подписывают пользователей на дорогостоящие услуги, для чего загружают веб-сайты с премиум-контентом и самостоятельно переходят по необходимым ссылкам. А чтобы подтвердить подписку, они перехватывают проверочные коды из СМС. Кроме того, вредоносные программы Android.Joker передают на управляющий сервер данные из телефонных книг своих жертв.
Другие троянцы, которые подписывали пользователей на дорогостоящие услуги, получили имена Android.Click.781 и Android.Click.325.origin. Они также загружали сайты, где автоматически подключали жертвам премиум-сервисы. Кроме того, по команде сервера они могли перехватывать уведомления, поступающие от операционной системы и других программ. Злоумышленники распространяли этих троянцев под видом приложений-фотокамер.
В сентябре специалисты «Доктор Веб» обнаружили несколько новых версий потенциально опасных программ, предназначенных для слежки за владельцами Android-устройств. Среди них были приложения Program.Panspy.1.origin, Program.RealtimeSpy.1.origin и Program.MonitorMinor. Это шпионское ПО позволяет контролировать СМС-переписку и телефонные звонки, общение в популярных мессенджерах, отслеживать местоположение устройств, а также получать другую конфиденциальную информацию.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в сентябре 2019 года |
9 октября 2019 года
По сравнению с прошлым месяцем в сентябре статистика серверов Dr.Web зафиксировала увеличение общего числа угроз на 19.96%. В то же время доля уникальных угроз снизилась на 50.45%. Чаще всего пользователей атаковали программы для показа рекламы, а также загрузчики и установщики ПО. В почтовом трафике вновь преобладали угрозы, которые для заражения устройств используют уязвимости документов Microsoft Office.
Выросло число обращений пользователей на расшифровку файлов, пострадавших от троянцев-шифровальщиков. При этом самым активным энкодером стал Trojan.Encoder.858 — на его долю пришлось 16.60% всех инцидентов. Кроме того, в базу нерекомендуемых и вредоносных сайтов было внесено почти вдвое больше интернет-адресов, чем в августе.
Наиболее распространенные угрозы сентября:
По сравнению с августом в сентябре в службу технической поддержки компании «Доктор Веб» поступило на 14.59% больше запросов на расшифровку файлов от пользователей, пострадавших от троянцев-шифровальщиков.
Чаще всего обращения были связаны со следующими энкодерами:
В течение сентября 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 238 637 интернет-адресов.
| Август 2019 | Сентябрь 2019 | Динамика |
|---|---|---|
| + 204 551 | + 238 637 | + 16.66% |
В течение сентября в каталоге Google Play было выявлено множество вредоносных программ. В начале месяца вирусные аналитики «Доктор Веб» обнаружили банковского троянца Android.Banker.347.origin, который атаковал пользователей из Бразилии. Он перехватывал СМС-сообщения с одноразовыми кодами и мог загружать мошеннические веб-сайты по команде злоумышленников. Другой банкер, найденный в конце месяца, получил имя Android.Banker.352.origin. Он крал данные авторизации пользователей криптовалютной биржи YoBit.
Среди распространявшихся через Google Play угроз были троянцы-загрузчики Android.DownLoader.920.origin и Android.DownLoader.921.origin, которые скачивали другие вредоносные приложения. Кроме того, вирусные аналитики зафиксировали рекламных троянцев Android.HiddenAds. Помимо них, наши специалисты обнаружили несколько модификаций троянцев семейства Android.Joker. Они подписывали пользователей на дорогостоящие услуги, могли перехватывать СМС и передавали злоумышленникам данные из телефонной книги зараженных устройств. Также эти троянцы скачивали, а потом запускали вспомогательные модули и были способны исполнять произвольный код.
Кроме того, вирусные аналитики выявили новые версии потенциально опасных программ, предназначенных для кибершпионажа.
Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:
Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности в сентябре 2019 года |
9 октября 2019 года
По сравнению с прошлым месяцем в сентябре статистика серверов Dr.Web зафиксировала увеличение общего числа угроз на 19.96%. В то же время доля уникальных угроз снизилась на 50.45%. Чаще всего пользователей атаковали программы для показа рекламы, а также загрузчики и установщики ПО. В почтовом трафике вновь преобладали угрозы, которые для заражения устройств используют уязвимости документов Microsoft Office.
Выросло число обращений пользователей на расшифровку файлов, пострадавших от троянцев-шифровальщиков. При этом самым активным энкодером стал Trojan.Encoder.858 — на его долю пришлось 16.60% всех инцидентов. Кроме того, в базу нерекомендуемых и вредоносных сайтов было внесено почти вдвое больше интернет-адресов, чем в августе.
Наиболее распространенные угрозы сентября:
По сравнению с августом в сентябре в службу технической поддержки компании «Доктор Веб» поступило на 14.59% больше запросов на расшифровку файлов от пользователей, пострадавших от троянцев-шифровальщиков.
Чаще всего обращения были связаны со следующими энкодерами:
В течение сентября 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 238 637 интернет-адресов.
| Август 2019 | Сентябрь 2019 | Динамика |
|---|---|---|
| + 204 551 | + 238 637 | + 16.66% |
В течение сентября в каталоге Google Play было выявлено множество вредоносных программ. В начале месяца вирусные аналитики «Доктор Веб» обнаружили банковского троянца Android.Banker.347.origin, который атаковал пользователей из Бразилии. Он перехватывал СМС-сообщения с одноразовыми кодами и мог загружать мошеннические веб-сайты по команде злоумышленников. Другой банкер, найденный в конце месяца, получил имя Android.Banker.352.origin. Он крал данные авторизации пользователей криптовалютной биржи YoBit.
Среди распространявшихся через Google Play угроз были троянцы-загрузчики Android.DownLoader.920.origin и Android.DownLoader.921.origin, которые скачивали другие вредоносные приложения. Кроме того, вирусные аналитики зафиксировали рекламных троянцев Android.HiddenAds. Помимо них, наши специалисты обнаружили несколько модификаций троянцев семейства Android.Joker. Они подписывали пользователей на дорогостоящие услуги, могли перехватывать СМС и передавали злоумышленникам данные из телефонной книги зараженных устройств. Также эти троянцы скачивали, а потом запускали вспомогательные модули и были способны исполнять произвольный код.
Кроме того, вирусные аналитики выявили новые версии потенциально опасных программ, предназначенных для кибершпионажа.
Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:
Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.
|
|
Опасный троянец распространяется через копию сайта Федеральной службы судебных приставов России |
4 октября 2019 года
Копия сайта ФССП России была обнаружена нашими специалистами по адресу 199.247.***.***. Внешне подделка почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются некоторые элементы.
При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.
Этот троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.
Запустившись на устройстве жертвы, троянец может:
Согласно нашим данным, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.
Все версии этого троянца успешно детектируются и удаляются антивирусом Dr.Web и не представляют опасности для наших пользователей.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2019 года |
9 сентября 2019 года
В последнем летнем месяце вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца-кликера Android.Click.312.origin, встроенного в безобидные приложения. Там же были выявлены и другие вредоносные программы. Среди них — троянец-загрузчик Android.DownLoader.915.origin, рекламные троянцы семейства Android.HiddenAds, которые распространялись под видом полезного ПО, а также банкер Android.Banker.346.origin.
В начале августа компания «Доктор Веб» сообщила о троянце Android.Click.312.origin, обнаруженном в 34 приложениях из Google Play. Он представлял собой вредоносный модуль, который разработчики встраивали в свои программы. В общей сложности ПО с этим троянцем загрузили свыше 101 700 000 пользователей.
Android.Click.312.origin по команде управляющего сервера открывал ссылки в невидимых WebView, мог загружать сайты в браузере и рекламировать приложения в Google Play. Особенности троянца:
Подробнее об Android.Click.312.origin рассказано в новости на нашем сайте.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:
Наряду с кликером Android.Click.312.origin cреди обнаруженных в Google Play вредоносных программ был троянец-загрузчик Android.DownLoader.915.origin, который распространялся под видом клиента для подключения к VPN-сетям. Он скачивал и пытался установить приложения, а также загружал заданные злоумышленниками веб-страницы Instagram, Telegram и Google Play и других сервисов.
Кроме того, вирусные аналитики выявили новых рекламных троянцев семейства Android.HiddenAds – например, Android.HiddenAds.1598 и Android.HiddenAds.467.origin. Как и другие представители этого семейства, они скрывали значки программ, в которые были встроены, и показывали надоедливую рекламу.
В конце августа специалисты «Доктор Веб» обнаружили очередного банковского троянца, атакующего бразильских владельцев Android-устройств. Эта вредоносная программа получила имя Android.Banker.346.origin. Как и другие аналогичные троянцы, о которых наша компания рассказывала ранее (например, в конце 2018 года), Android.Banker.346.origin использует специальные возможности ОС Android (Accessibility Service). С их помощью он крадет информацию из СМС-сообщений, в которых могут быть одноразовые коды и другие конфиденциальные данные. Кроме того, по команде злоумышленников банкер открывает фишинговые страницы.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в августе 2019 года |
9 сентября 2019 года
В августе статистика серверов Dr.Web зафиксировала снижение роста общего числа обнаруженных угроз на 21.28% по сравнению с июлем. При этом количество уникальных угроз уменьшилось незначительно – на 2.82%. В почтовом трафике на первых позициях находится вредоносное ПО, использующее уязвимости документов Microsoft Office, а также троянцы-загрузчики. Продолжает тенденцию прошлого месяца и статистика по вредоносному и нежелательному ПО: большинство обнаруженных угроз приходится на долю рекламных программ.
В августе специалисты вирусной лаборатории «Доктор Веб» обнаружили, что хакеры используют копии сайтов популярных сервисов для распространения опасного банковского троянца. Один из таких ресурсов копирует известный VPN-сервис, а другие замаскированы под сайты корпоративных офисных программ.
Угрозы этого месяца:
В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
В течение августа 2019 года в базу нерекомендуемых и вредоносных сайтов был добавлен 204 551 интернет-адрес.
| Июль 2019 | Август 2019 | Динамика |
|---|---|---|
| + 123 251 | + 204 551 | + 65.96% |
В августе специалисты «Доктор Веб» обнаружили в Google Play сразу несколько новых вредоносных программ. В начале месяца в вирусную базу Dr.Web была добавлена запись для детектирования троянца Android.Click.312.origin, который по команде сервера переходил по ссылкам и загружал различные веб-сайты. Кроме того, вирусные аналитики выявили новых рекламных троянцев Android.HiddenAds, а также загрузчика Android.DownLoader.915.origin — он мог скачивать другие вредоносные приложения.
В конце месяца специалисты «Доктор Веб» обнаружили очередного банковского троянца, который атаковал пользователей из Бразилии. Вредоносная программа, получившая имя Android.Banker.346.origin, использовала специальные возможности (Accessibility Service) ОС Android и могла перехватывать СМС-сообщения.
Наиболее заметные события, связанные с «мобильной» безопасностью в августе:
Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре
|
|
Банковский троянец Bolik распространяется под видом NordVPN |
19 августа 2019 года
Недавно копию сайта популярного VPN-сервиса NordVPN наши специалисты обнаружили по адресу nord-vpn[.]club. Как и на оригинальном ресурсе, пользователю предлагается скачать программу для использования VPN, но вместе с ней авторы подделки распространяют опасного банковского троянца – Win32.Bolik.2.
Внешне копия сайта почти не отличается от оригинала: у нее тот же дизайн, похожее доменное имя и действительный SSL-сертификат.
Согласно нашим данным, вирусная кампания, использующая сайт-подделку, ориентирована преимущественно на англоязычную аудиторию и была запущена 08.08.2019. Однако уже на момент публикации этой статьи вредоносный сайт насчитывал тысячи посещений.
Кроме того, в конце июня этого года та же группа хакеров создала копии сайтов офисных программ invoicesoftware360[.]xyz (оригинал - invoicesoftware360[.]com) и clipoffice[.]xyz (оригинал – crystaloffice[.]com), где тоже распространялся троянец Win32.Bolik.2, а также стилер Trojan.PWS.Stealer.26645.
Троянец Win32.Bolik.2 представляет собой улучшенную версию Win32.Bolik.1 и имеет свойства многокомпонентного полиморфного файлового вируса. С помощью него хакеры могут выполнять веб-инжекты, перехват трафика, кейлоггинг и похищать информацию из систем «банк-клиент».
Ранее эти же злоумышленники распространяли Win32.Bolik.2 через взломанный сайт программы для обработки видео, о чем мы сообщали в этой новости.
Все версии этого троянца успешно детектируются и удаляются антивирусом Dr.Web и не представляют опасности для наших пользователей.
#банкер #банковский_троянец #стилер
|
|
«Доктор Веб»: троянца-кликера из каталога Google Play установили почти 102 000 000 пользователей Android |
8 августа 2019 года
Троянец представляет собой вредоносный модуль, который по классификации Dr.Web получил имя Android.Click.312.origin. Он встроен в обычные приложения — словари, онлайн-карты, аудиоплееры, сканеры штрих-кодов и другое ПО. Все эти программы работоспособны, и для владельцев Android-устройств выглядят безобидными. Кроме того, при их запуске Android.Click.312.origin начинает вредоносную деятельность лишь через 8 часов, чтобы не вызвать подозрений у пользователей.
Начав работу, троянец передает на управляющий сервер следующую информацию о зараженном устройстве:
В ответ сервер отправляет ему необходимые настройки. Часть функций вредоносного приложения реализована с использованием рефлексии, и в этих настройках содержатся имена методов и классов вместе с параметрами для них. Эти параметры применяются, например, для регистрации приемника широковещательных сообщений и контент-наблюдателя, с помощью которых Android.Click.312.origin следит за установкой и обновлением программ.
При инсталляции нового приложения или скачивании apk-файла клиентом Play Маркет троянец передает на управляющий сервер информацию об этой программе вместе с некоторыми техническими данными об устройстве. В ответ Android.Click.312.origin получает адреса сайтов, которые затем открывает в невидимых WebView, а также ссылки, которые он загружает в браузере или каталоге Google Play.
Таким образом, в зависимости от настроек управляющего сервера и поступающих от него указаний троянец может не только рекламировать приложения в Google Play, но и незаметно загружать любые сайты, в том числе с рекламой (включая видео) или другим сомнительным содержимым. Например, после установки приложений, в которые был встроен этот троянец, пользователи жаловались на автоматические подписки на дорогостоящие услуги контент-провайдеров.
Специалистам «Доктор Веб» не удалось воссоздать условия для загрузки троянцем таких сайтов, однако потенциальная реализация этой мошеннической схемы в случае с Android.Click.312.origin достаточно проста. Поскольку троянец сообщает управляющему серверу информацию о типе текущего интернет-соединения, то при наличии подключения через сеть мобильного оператора сервер может передать команду на открытие веб-сайта одного из партнерских сервисов, поддерживающих технологию WAP-Сlick. Эта технология упрощает подключение различных премиальных сервисов, однако часто применяется для незаконной подписки пользователей на премиум-услуги. Указанную проблему наша компания освещала в 2017 и 2018 годах. В некоторых случаях для подключения ненужной услуги не требуется подтверждение пользователя — за него это сможет сделать скрипт, размещенный на той же странице, или же сам троянец. Он и «нажмет» на кнопку подтверждения. А поскольку Android.Click.312.origin откроет страницу такого сайта в невидимом WebView, вся процедура пройдет без ведома и участия жертвы.
Вирусные аналитики «Доктор Веб» выявили 34 приложения, в которые был встроен Android.Click.312.origin. Их установили свыше 51 700 000 пользователей. Кроме того, модификацию троянца, получившую имя Android.Click.313.origin, загрузили по меньшей мере 50 000 000 человек. Таким образом, общее число владельцев мобильных устройств, которым угрожает этот троянец, превысило 101 700 000. Ниже представлен список программ, в которых был найден этот кликер:
| GPS Fix |
| QR Code Reader |
| ai.type Free Emoji Keyboard |
| Cricket Mazza Live Line |
| English Urdu Dictionary Offline - Learn English |
| EMI Calculator - Loan & Finance Planner |
| Pedometer Step Counter - Fitness Tracker |
| Route Finder |
| PDF Viewer - EBook Reader |
| GPS Speedometer |
| GPS Speedometer PRO |
| Notepad - Text Editor |
| Notepad - Text Editor PRO |
| Who unfriended me? |
| Who deleted me? |
| GPS Route Finder & Transit: Maps Navigation Live |
| Muslim Prayer Times & Qibla Compass |
| Qibla Compass - Prayer Times, Quran, Kalma, Azan |
| Full Quran MP3 - 50+ Audio Translation & Languages |
| Al Quran Mp3 - 50 Reciters & Translation Audio |
| Prayer Times: Azan, Quran, Qibla Compass |
| Ramadan Times: Muslim Prayers, Duas, Azan & Qibla |
| OK Google Voice Commands (Guide) |
| Sikh World - Nitnem & Live Gurbani Radio |
| 1300 Math Formulas Mega Pack |
| Обществознание - школьный курс. ЕГЭ и ОГЭ. |
| Bombuj - Filmy a seri'aly zadarmo |
| Video to MP3 Converter, RINGTONE Maker, MP3 Cutter |
| Power VPN Free VPN |
| Earth Live Cam - Public Webcams Online |
| QR & Barcode Scanner |
| Remove Object from Photo - Unwanted Object Remover |
| Cover art IRCTC Train PNR Status, NTES Rail Running Status |
Компания «Доктор Веб» передала информацию об этом троянце в корпорацию Google, после чего некоторые из найденных программ были оперативно удалены из Google Play. Кроме того, для нескольких приложений были выпущены обновления, в которых троянский компонент уже отсутствует. Тем не менее, на момент публикации этой новости большинство приложений все еще содержали вредоносный модуль и оставались доступными для загрузки.
Вирусные аналитики рекомендуют разработчикам ответственно выбирать модули для монетизации приложений и не интегрировать сомнительные SDK в свое ПО. Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют программы, в которые встроены известные модификации троянца Android.Click.312.origin, поэтому для наших пользователей он опасности не представляет.
Подробнее об Android.Click.312.origin
#Android, #Google_Play, #кликер
|
|
«Доктор Веб»: обзор вирусной активности в июле 2019 года |
5 августа 2019 года
В июле статистика серверов Dr.Web зафиксировала снижение роста общего числа обнаруженных угроз на 54.21% по сравнению с июнем. При этом количество уникальных угроз выросло почти в два раза. В почтовом трафике на первых позициях находится вредоносное ПО, использующее уязвимости документов Microsoft Office. Рекламные программы и установщики по-прежнему лидируют по общему количеству обнаруженных угроз. Среди шифровальщиков в июле лидировал Trojan.Encoder.858, на которого пришлось 21.15% всех поступивших в поддержку «Доктор Веб» запросов на расшифровку данных.
Аналитики компании «Доктор Веб» подготовили обзорное исследование, в котором представлены распространенные угрозы для умных устройств и Интернета вещей (IoT) в целом. Обзор наших специалистов основывается на статистических данных, собираемых с 2016 года с зараженных устройств, и призван привлечь внимание к проблеме безопасности в сфере IoT.
Угрозы прошедшего месяца:
В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
В течение июля 2019 года в базу нерекомендуемых и вредоносных сайтов был добавлен 123 251 интернет-адрес.
| Июнь 2019 | Июль 2019 | Динамика |
|---|---|---|
| + 151 162 | + 123 251 | -18.46% |
В середине июля компания «Доктор Веб» сообщила о появлении в Google Play опасного троянца Android.Backdoor.736.origin, с помощью которого злоумышленники дистанционно управляли зараженными Android-устройствами. Этот бэкдор мог устанавливать приложения, крал конфиденциальные данные и выполнял другие вредоносные действия по команде вирусописателей.
Среди выявленных угроз были новые троянцы семейства Android.HiddenAds, которые скрывали свои значки с главного экрана и показывали рекламу. Кроме того, аналитики «Доктор Веб» обнаружили несколько программ со встроенным рекламным модулем Adware.HiddenAds.9.origin. Тот отображал баннеры даже если эти приложения были закрыты.
Также вирусная база Dr.Web пополнилась записями для детектирования нескольких троянцев семейства Android.Spy, которые использовались для кибершпионажа.
Наиболее заметные события, связанные с «мобильной» безопасностью в июле:
Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2019 года |
5 августа 2019 года
В прошлом месяце компания «Доктор Веб» сообщила об опасном троянце Android.Backdoor.736.origin, который выполнял команды злоумышленников, похищал конфиденциальные данные и мог показывать мошеннические окна и сообщения. В течение июля вирусные аналитики обнаружили множество новых рекламных троянцев семейства Android.HiddenAds, распространявшихся через каталог Google Play. Кроме того, в вирусную базу Dr.Web были добавлены записи для детектирования нежелательного рекламного модуля Adware.HiddenAds.9.origin, а также троянцев-шпионов Android.Spy.567.origin и Android.Spy.568.origin.
В середине июля вирусные аналитики «Доктор Веб» исследовали троянца Android.Backdoor.736.origin, распространявшегося под видом программы OpenGL Plugin. Она якобы проверяла версию графического интерфейса OpenGL ES и могла устанавливать его обновления.
На самом же деле этот бэкдор шпионил за пользователями, отправляя злоумышленникам информацию о контактах, телефонных звонках и местоположении смартфонов или планшетов. Кроме того, он мог загружать на удаленный сервер файлы с устройств, а также скачивать и устанавливать программы. Особенности Android.Backdoor.736.origin:
Подробнее об Android.Backdoor.736.origin рассказано в новостной публикации на нашем сайте.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:
Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки:
С начала июля вирусные аналитики «Доктор Веб» выявили в Google Play множество новых рекламных троянцев семейства Android.HiddenAds, которые установили свыше 8 200 000 пользователей. Эти вредоносные программы распространялись под видом безобидных игр и полезных приложений — фильтров для фотокамеры, системных утилит, будильников и т. д. После запуска троянцы скрывали свой значок из списка ПО на главном экране и начинали показывать баннеры, которые мешали работе с устройствами.
Кроме того, был выявлен новый нежелательный рекламный модуль Adware.HiddenAds.9.origin, встроенный в программу-компас и сборник обоев для рабочего стола. Он отображал рекламу даже тогда, когда эти приложения были закрыты.
Вместе с тем в прошедшем месяце в вирусную базу Dr.Web были добавлены записи для детектирования троянцев-шпионов Android.Spy.567.origin и Android.Spy.568.origin. Первый передавал на удаленный сервер СМС-сообщения, информацию о телефонных звонках, записи календаря и телефонной книги, а также сведения о хранящихся на устройстве файлах.
Второй показывал мошенническое сообщение, в котором потенциальной жертве сообщалось о необходимости установки обновления одного из компонентов Google Play. Если пользователь соглашался, троянец отображал фишинговое окно, которое имитировало страницу входа в учетную запись Google.
Вирусописатели допустили грамматическую ошибку во фразе «Sign in», что могло указать на подделку. Если же жертва этого не замечала и авторизовывалась в своем аккаунте, Android.Spy.568.origin крал данные текущей сессии, и злоумышленники получали доступ к конфиденциальной информации – записям календаря, проверочным кодам, телефонам и адресам электронной почты для восстановления доступа к учетной записи.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
Риски и угрозы в Интернете вещей (IoT) |
17 июля 2019 года
Сейчас во Всемирную сеть выходят не только компьютеры, смартфоны, планшеты и роутеры, но также смарт-телевизоры, камеры видеонаблюдения, «умные» часы, холодильники, автомобили, фитнес-трекеры, видеорегистраторы и даже детские игрушки. Количество устройств Интернета вещей уже превышает несколько миллиардов, и с каждым годом их число растет.
Многие из них плохо или совсем не защищены от атак. Например, для подключения к ним могут использоваться простые или общеизвестные пары «логин — пароль», которые по умолчанию устанавливаются на сотни тысяч моделей. Их владельцы либо не задумываются об изменении заданных на заводе настроек, либо не могут этого сделать из-за ограничений самих производителей. Злоумышленники относительно легко получают доступ к таким устройствам, используя подбор комбинаций по словарю (так называемый brute force — метод грубой силы). Кроме того, они могут эксплуатировать уязвимости установленных на них операционных систем.
С 2016 года компания «Доктор Веб» пристально следит за угрозами сегмента Интернета вещей. Для этого наши специалисты развернули сеть специализированных приманок — ханипотов (от слова honeypot — горшочек с медом). Такие ловушки имитируют различные типы «умных» электронных устройств и регистрируют попытки их заражения. Ханипоты охватывают сразу несколько аппаратных платформ, в числе которых ARM, MIPS, MIPSEL, PowerPC и Intel x86_64. Они позволяют отслеживать векторы атак, обнаруживать и исследовать новые образцы вредоносных программ, улучшать механизмы их обнаружения и более эффективно бороться с ними.
В этом материале представлены сведения о выявленных атаках на «умные» устройства, а также о наиболее распространенных угрозах для Интернета вещей.
В самом начале наблюдения вирусные аналитики фиксировали относительно низкую активность вредоносных программ, нацеленных на устройства Интернета вещей. За четыре месяца 2016 года специалисты «Доктор Веб» выявили 729 590 атак, однако всего через год — в 32 раза больше, 23 741 581. Еще через 12 месяцев их было уже 99 199 434. Что же касается текущего года, то лишь за первые шесть месяцев было совершено 73 513 303 атаки — почти столько же, сколько за весь 2018 год.
Динамика обнаружения ханипотами атак показана на графике:
Менее чем за три года количество попыток взлома и заражения устройств Интернета вещей возросло на 13 497%.
Атаки на «умные» устройства выполнялись с IP-адресов, расположенных в более чем 50 странах. Чаще всего это были США, Нидерланды, Россия, Германия, Италия, Великобритания, Франция, Канада, Сингапур, Индия, Испания, Румыния, Китай, Польша и Бразилия.
Географическое распределение источников атак и их процентное соотношение показано на следующем графике:
После успешной компрометации устройств злоумышленники могут загружать на них одного или нескольких троянцев. В общей сложности число уникальных вредоносных файлов, обнаруженных нашими ловушками за время наблюдения, составило 131 412. Динамика их выявления показана ниже.
«Умные» устройства работают на различных процессорных архитектурах, и у многих вредоносных программ есть версии сразу для нескольких аппаратных платформ. Среди тех из них, которые имитируют наши ханипоты, чаще всего атакам подвергаются устройства с процессорами ARM, MIPSEL и MIPS. Это хорошо видно на диаграмме:
Согласно полученной ханипотами статистике, самые активные вредоносные программы — представители семейства Linux.Mirai, на которых приходится более 34% атак. За ними следуют загрузчики Linux.DownLoader (3% атак) и троянцы Linux.ProxyM (1,5% атак). В первую десятку также входят вредоносные приложения Linux.Hajime, Linux.BackDoor.Fgt, Linux.PNScan, Linux.BackDoor.Tsunami и Linux.HideNSeek. Процентное соотношение наиболее активных троянцев представлено на следующей иллюстрации:
Вредоносные программы, которые атакуют «умные» устройства, условно можно разделить на несколько базовых категорий в соответствии с их основными функциями:
Однако большинство современных вредоносных программ представляют собой многофункциональные угрозы, поскольку многие из них могут сочетать в себе сразу несколько функций.
Ниже представлена информация о наиболее распространенных и примечательных троянцах для Интернета вещей.
Linux.Mirai — один из наиболее активных троянцев, атакующих устройства Интернета вещей. Первая версия этого вредоносного приложения появилась в мае 2016 года. Позднее его исходные коды были опубликованы в свободном доступе, поэтому у него быстро появилось большое число модификаций, созданных различными вирусописателями. Сейчас Linux.Mirai — самый распространенный троянец для ОС Linux, который работает на множестве процессорных архитектур, таких как х86, ARM, MIPS, SPARC, SH-4, M68K и др.
После заражения целевого устройства Linux.Mirai соединяется с управляющим сервером и ждет от него дальнейших команд. Основная функция этого троянца — проведение DDoS-атак.
На следующем графике показана динамика обнаружения ханипотами активных копий этого вредоносного приложения:
Различные модификации Linux.Mirai наиболее активны в Китае, Японии, США, Индии и Бразилии. Ниже представлены страны, где за время наблюдений было зафиксировано максимальное число ботов этого семейства.
Еще одним опасным вредоносным приложением, заражающим «умные» устройства, является Linux.Hajime. Этот троянец известен вирусным аналитикам с конца 2016 года. Он работает на архитектурах ARM, MIPS и MIPSEL и реализует функцию сетевого червя, распространяясь с использованием протокола Telnet. Инфицированные устройства включаются в децентрализованный P2P-ботнет и используются для дальнейшего заражения доступных объектов в Сети. Вредоносная программа блокирует доступ других вредоносных программ к успешно атакованным устройствам, закрывая на них порты 23, 7547, 5555 и 5358.
Пик активности Linux.Hajime пришелся на конец 2016 — начало 2017 года, когда максимальное число одновременно активных копий троянцев этого семейства превышало 43 000. После этого активность вредоносных программ упала и продолжает постепенно снижаться. Сейчас число действующих ботов Linux.Hajime не превышает нескольких сотен.
Наибольшее распространение эти троянцы получили в Бразилии, Турции, Вьетнаме, Мексике и Южной Корее. На карте показаны страны с максимальным числом активных троянцев Linux.Hajime, которые были зафиксированы за всё время наблюдений.
В пятерку троянцев, предназначенных для заражения устройств Интернета вещей, входит Linux.BackDoor.Fgt, который распространяется с осени 2015 года. Различные версии этого вредоносного приложения поддерживают работу на архитектурах MIPS, SPARC и др. и работают в среде ОС Linux. Исходный код Linux.BackDoor.Fgt находится в открытом доступе, поэтому он так популярен среди вирусописателей.
Эти бэкдоры распространяются с использованием протоколов Telnet и SSH, подбирая логины и пароли для доступа к атакуемым объектам. Основное предназначение этих троянцев — проведение DDoS-атак и дистанционный контроль зараженных устройств.
Троянец Linux.ProxyM — одна из вредоносных программ, которые злоумышленники используют для обеспечения собственной анонимности в Интернете. Она запускает на заражаемых Linux-устройствах SOCKS-прокси-сервер, через который киберпреступники пропускают сетевой трафик. Специалисты «Доктор Веб» обнаружили первые версии Linux.ProxyM в феврале 2017 года, и этот троянец по-прежнему активен.
Linux.Ellipsis.1 — еще один троянец, предназначенный для превращения устройств Интернета вещей и компьютеров под управлением ОС Linux в прокси-серверы. Он попался аналитикам «Доктор Веб» в 2015 году. После запуска он удаляет файлы журналов и блокирует их повторное создание, удаляет некоторые системные утилиты, а также запрещает устройству устанавливать связь с определенными IP-адресами. Если троянец обнаруживает подозрительный трафик с одного из адресов, он также вносит этот IP в черный список. Кроме того, по команде управляющего сервера Linux.Ellipsis.1 прекращает работу приложений, которые подключались к запрещенным адресам.
Компания «Доктор Веб» обнаружила первые версии троянцев семейства Linux.LuaBot в 2016 году. Эти вредоносные приложения написаны на скриптовом языке Lua и поддерживают устройства с архитектурой Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4 и M68k. Они состоят из нескольких десятков скриптов-модулей, каждый их которых выполняет определенную задачу. Троянцы способны получать с управляющего сервера обновления этих модулей, а также загружать новые. Linux.LuaBot — многофункциональные вредоносные приложения. В зависимости от модификации вредоносных приложений и комплекта скриптов, злоумышленники могут использовать их для дистанционного управления зараженными устройствами, а также создания прокси-серверов для анонимизации в Сети.
Для злоумышленников майнинг (добыча) криптовалют — одна из основных причин заражения устройств Интернета вещей. В этом им помогают троянцы семейства Linux.BtcMine, а также другие вредоносные приложения. Одного из них — Linux.BtcMine.174 — специалисты «Доктор Веб» нашли в конце 2018 года. Он предназначен для добычи Monero (XMR). Linux.BtcMine.174 представляет собой скрипт, написанный на языке командной оболочки sh. Если он не был запущен от имени суперпользователя (root), троянец пытается повысить свои привилегии несколькими эксплойтами.
Linux.BtcMine.174 ищет процессы антивирусных программ и пытается завершить их, а также удалить файлы этих программ с устройства. Затем он скачивает и запускает несколько дополнительных компонентов, среди которых бэкдор и руткит-модуль, после чего запускает в системе программу-майнер.
Троянец прописывается в автозагрузку, поэтому ему не страшна перезагрузка инфицированного устройства. Кроме того, он периодически проверяет, активен ли процесс майнера. При необходимости он инициирует его вновь, обеспечивая непрерывность добычи криптовалюты.
Троянцы семейства Linux.MulDrop используются для распространения и установки других вредоносных приложений. Они работают на многих аппаратных архитектурах и типах устройств, однако в 2017 году вирусные аналитики «Доктор Веб» обнаружили троянца Linux.MulDrop.14, который целенаправленно атаковал компьютеры Raspberry Pi. Этот дроппер представляет собой скрипт, в теле которого хранится зашифрованная программа — майнер криптовалют. После запуска троянец распаковывает и запускает майнер, после чего пытается заразить другие устройства, доступные в сетевом окружении. Чтобы не допустить «конкурентов» к ресурсам зараженного устройства, Linux.MulDrop.14 блокирует сетевой порт 22.
Вредоносная программа Linux.HideNSeek заражает «умные» устройства, компьютеры и серверы под управлением ОС Linux, объединяя их в децентрализованный ботнет. Для распространения этот троянец генерирует IP-адреса и пытается подключиться к ним, используя подбор логинов и паролей по словарю, а также список известных комбинаций аутентификационных данных. Кроме того, он способен эксплуатировать различные уязвимости оборудования. Linux.HideNSeek может использоваться для удаленного управления зараженными устройствами — выполнять команды злоумышленников, копировать файлы и т. д.
В отличие от большинства других вредоносных программ, троянцы Linux.BrickBot не предназначены для получения какой-либо выгоды. Это вандалы, которые созданы для вывода из строя компьютеров и «умных» устройств, они известны с 2017 года.
Троянцы Linux.BrickBot пытаются заразить устройства через протокол Telnet, подбирая к ним логины и пароли. Затем они пытаются стереть данные с их модулей постоянной памяти, сбрасывают сетевые настройки, блокируют все соединения и выполняют перезагрузку. В результате для восстановления работы поврежденных объектов потребуется их перепрошивка или даже замена компонентов. Такие троянцы встречаются нечасто, но они крайне опасны.
В конце июня 2019 года получил распространение троянец Linux.BrickBot.37, также известный как Silex. Он действовал аналогично другим представителям семейства Linux.BirckBot — стирал данные с накопителей устройств, удалял их сетевые настройки и выполнял перезагрузку, после чего те уже не могли корректно включиться и работать. Наши ловушки зафиксировали свыше 2600 атак этого троянца.
Миллионы высокотехнологичных устройств, которые всё больше используются в повседневной жизни, фактически являются маленькими компьютерами с присущими им недостатками. Они подвержены аналогичным атакам и уязвимостям, при этом из-за особенностей и ограничений конструкции защитить их может быть значительно сложнее или же вовсе невозможно. Кроме того, многие пользователи не до конца осознают потенциальные риски и всё еще воспринимают «умные» устройства как безопасные и удобные «игрушки».
Рынок Интернета вещей активно развивается и во многом повторяет ситуацию с началом массового распространения персональных компьютеров, когда механизмы борьбы с угрозами для них только обретали форму и совершенствовались. Пока производители оборудования и владельцы «умных» устройств адаптируются к новым реалиям, у злоумышленников есть огромные возможности для совершения атак. Поэтому в ближайшем будущем стоит ожидать появления новых вредоносных программ для Интернета вещей.
Компания «Доктор Веб» продолжает отслеживать ситуацию с распространением троянцев и других угроз для «умных» устройств и будет информировать наших пользователей обо всех интересных событиях в этой сфере. Антивирусные продукты Dr.Web успешно детектируют и удаляют названные в обзоре вредоносные программы.
|
|
«Доктор Веб»: опасный Android-бэкдор распространяется через Google Play |
12 июля 2019 года
Вредоносная программа получила имя Android.Backdoor.736.origin. Она распространяется под видом приложения OpenGL Plugin для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений.
При запуске Android.Backdoor.736.origin запрашивает доступ к нескольким важным системным разрешениям, которые позволят ему собирать конфиденциальную информацию и работать с файловой системой. Кроме того, он пытается получить допуск к показу экранных форм поверх интерфейса других программ.
В окне вредоносного приложения имеется кнопка для «проверки» обновлений графического программного интерфейса OpenGL ES. После ее нажатия троянец имитирует процесс поиска новых версий OpenGL ES, однако на самом деле никаких проверок он не выполняет и лишь вводит пользователя в заблуждение.
После того как жертва закрывает окно приложения, Android.Backdoor.736.origin убирает свой значок из списка программ меню главного экрана и создает ярлык для своего запуска. Это делается для того, чтобы в дальнейшем пользователю было сложнее удалить троянца, поскольку удаление ярлыка не затронет саму вредоносную программу.
Android.Backdoor.736.origin постоянно активен в фоновом режиме и может запускаться не только через значок или ярлык, но также автоматически при старте системы и по команде злоумышленников через Firebase Cloud Messaging. Основной вредоносный функционал троянца расположен во вспомогательном файле, который зашифрован и хранится в каталоге с ресурсами программы. Он расшифровывается и загружается в память при каждом старте Android.Backdoor.736.origin.
Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды злоумышленников и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging. Android.Backdoor.736.origin способен выполнять следующие действия:
Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.
Android.Backdoor.736.origin способен устанавливать приложения сразу несколькими способами:
Таким образом, этот бэкдор представляет серьезную опасность. Он не только занимается кибершпионажем, но также может использоваться для фишинга, т. к. способен показывать окна и уведомления с любым содержимым. Кроме того, он может загружать и устанавливать любые другие вредоносные приложения, а также выполнять произвольный код. Например, по команде злоумышленников Android.Backdoor.736.origin может скачать и запустить эксплойт для получения root-полномочий, после чего ему уже не потребуется участие пользователя для инсталляции других программ.
Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на момент публикации этого материала он уже был удален из Google Play.
Android.Backdoor.736.origin и его компоненты надежно детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей он опасности не представляет.
Подробнее об Android.Backdoor.736.origin
#Android, #backdoor, #Google_Play, #слежка
|
|
