«Доктор Веб»: обзор вирусной активности в сентябре 2021 года |
15 октября 2021 года
Число обращений пользователей за расшифровкой файлов уменьшилось на 11.8% по сравнению с августом. Самым распространенным энкодером месяца стал Trojan.Encoder.26996, на долю которого пришлось 43.79% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с августом, в сентябре число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 11.8%.
В сентябре 2021 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов с «выигрышами». Любому случайному посетителю предлагается выбрать 3 случайных подарочных коробки, в одной из которых обязательно будут деньги.
На скриншоте изображена страница, где пользователю предлагается забрать выигрыш. Однако для этого требуется ввести номер банковской карты и другие персональные данные. Далее со «счастливчиком» связываются операторы чата, главная цель которых – выманить у жертвы как можно больше средств. Отправить мошенникам деньги призывают под разными предлогами: комиссия, информационные услуги или даже «налог».
В сентябре пользователям Android-устройств чаще всего угрожали рекламные трояны, а также вредоносные программы, загружающие другие приложения и выполняющие произвольный код. При этом наши специалисты обнаружили в каталоге Google Play множество новых троянов семейства Android.FakeApp, которые использовались в различных мошеннических схемах.
Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:
Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2021 года |
8 сентября 2021 года
В течение месяца специалисты компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них — программы-подделки семейства Android.FakeApp, загружавшие мошеннические сайты. Кроме того, был обнаружен очередной троян, похищавший логины и пароли от учетных записей Facebook. Также злоумышленники распространяли троянов семейства Android.Joker, которые подписывают жертв на платные мобильные услуги.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В августе в каталоге Google Play было обнаружено множество вредоносных программ. Среди них — программы-подделки семейства Android.FakeApp, которые используются в различных мошеннических схемах. Так, часть этих троянов вновь распространялась под видом официальных приложений популярных российских лотерей «Русское лото» и «Гослото», а также их официального дистрибьютора «Столото». Подделки были добавлены в вирусную базу Dr.Web как Android.FakeApp.307, Android.FakeApp.308, Android.FakeApp.309, Android.FakeApp.310, Android.FakeApp.311, Android.FakeApp.312, Android.FakeApp.325, Android.FakeApp.328, Android.FakeApp.329, Android.FakeApp.330, Android.FakeApp.332, Android.FakeApp.333, Android.FakeApp.334, Android.FakeApp.335 и Android.FakeApp.341.
При запуске программы загружали мошеннические сайты, где потенциальным жертвам предлагалось получить бесплатные лотерейные билеты и принять участие в розыгрыше призов. Однако это был обман: игра лишь имитировалась, а для получения «выигрыша» от пользователей требовалось оплатить «комиссию» или «пошлину» — эти деньги оседали в карманах мошенников.
Пример работы одного из таких троянов показан ниже:
Примеры того, как такие подделки выглядят в Google Play:
Другими подделками были очередные приложения, с помощью которых российские пользователи якобы могли найти информацию о различных социальных выплатах от государства, а также непосредственно получить эти выплаты на свои банковские карты и счета. Как и в случае со схемой с лотерейными билетами, такие программы лишь загружали мошеннические сайты, на которых для получения «выплат» требовалось оплатить «комиссию».
Трояны были добавлены в вирусную базу Dr.Web как Android.FakeApp.306, Android.FakeApp.313 и Android.FakeApp.325.
Кроме того, были обнаружены новые мошеннические программы, якобы предназначенные для инвестирования и торговли на финансовом рынке. Некоторые из них злоумышленники распространяли от имени известных компаний.
Эти трояны, получившие имена Android.FakeApp.305, Android.FakeApp.314, Android.FakeApp.315 и Android.FakeApp.316, загружали различные «финансовые» сайты-приманки, где пользователям предлагалось пройти регистрацию, чтобы начать зарабатывать. В некоторых случаях у них запрашивались имя, фамилия, адрес электронной почты и номер мобильного телефона, в других — только телефонный номер. Затем жертвы обмана могли быть перенаправлены на другие мошеннические ресурсы, получить уведомление о том, что мест для новых клиентов якобы не осталось, либо увидеть просьбу дождаться звонка «оператора».
Примеры работы этих троянов:
При помощи таких инвестиционных программ-подделок злоумышленники не только собирают персональную информацию пользователей и могут украсть их деньги, но и способны в дальнейшем вовлечь их в другие мошеннические схемы, в том числе продав полученные данные третьим лицам.
Среди выявленных в Google Play угроз также оказались и новые представители семейства опасных троянов Android.Joker, добавленные в вирусную базу Dr.Web как Android.Joker.320.origin, Android.Joker.858 и Android.Joker.910. Первый распространялся под видом анимированных обоев 3D Live Wallpaper, второй маскировался под музыкальное приложение New Music Ringtones, а третий выдавал себя за приложение Free Text Scanner для сканирования текстов и создания PDF-документов. Все они подписывали владельцев Android-устройств на платные мобильные услуги, а также могли загружать и исполнять произвольный код.
Также наши вирусные аналитики обнаружили нового трояна, предназначенного для кражи логинов и паролей от учетных записей Facebook. Он распространялся под видом программы, позволяющей защитить установленные приложения от несанкционированного доступа. Троян был добавлен в вирусную базу Dr.Web как Android.PWS.Facebook.34.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в августе 2021 года |
8 сентября 2021 года
Число обращений пользователей за расшифровкой файлов увеличилось на 4.2% по сравнению с прошлым месяцем. Самым распространенным энкодером августа стал Trojan.Encoder.26996, на долю которого приходится 52.54% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с июлем, в августе число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 4.2%.
В августе 2021 года интернет-аналитики «Доктор Веб» заметили участившееся распространение ссылок на подозрительные сайты, предлагающие онлайн-услуги экстрасенсов. Консультации «экспертов» в гадании, астрологии и экстрасенсорике стоят немалых денег, а проверить качество оказанной помощи – невозможно.
На скриншоте показана главная страница ресурса, изобилующая клише «лучший сайт», «опытные эксперты» и «гарантия возврата денег», однако в реальности это очередная мошенническая схема с липовыми гадалками, набранными по объявлениям из социальных сетей. Подобные сайты не заблокированы Роскомнадзором, но Dr.Web отправляет их в категорию нерекомендуемых для посещения.
В августе специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых угроз. В их числе — вредоносные программы семейства Android.FakeApp, загружающие различные мошеннические сайты. Кроме того, были обнаружены очередные трояны опасного семейства Android.Joker, подписывающие жертв на платные услуги и выполняющие произвольный код. Среди найденных вредоносных программ также оказался троян, похищающий логины и пароли от учетных записей Facebook.
В течение августа антивирусные продукты Dr.Web для Android наиболее часто фиксировали на защищаемых устройствах рекламные вредоносные приложения, а также троянов, загружающих другое ПО.
Наиболее заметные события, связанные с «мобильной» безопасностью в августе:
Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2021 года |
11 августа 2021 года
Кроме того, наши специалисты обнаружили новое семейство банковских троянов Android.BankBot.Coper, атакующих владельцев Android-устройств.
Среди угроз, выявленных на Android-устройствах, наибольшую активность вновь проявили рекламные вредоносные приложения, а также трояны, способные выполнять произвольный код и загружать другие программы.
В прошлом месяце вирусные аналитики компании «Доктор Веб» обнаружили новое семейство банковских троянов Android.BankBot.Coper. Вначале эти вредоносные приложения атаковали колумбийских пользователей, однако позднее наши специалисты выявили модификации, нацеленные на владельцев Android-устройств ряда европейских стран.
Эти банковские трояны обладают модульной архитектурой, а также различными механизмами защиты, что позволяет им успешнее выполнять возложенные на них задачи. Например, по команде злоумышленников вредоносные программы перехватывают и отправляют СМС, контролируют push-уведомления, демонстрируют фишинговые окна и даже способны отслеживать вводимую на клавиатуре информацию.
Подробнее об этом семействе Android-троянов рассказано в новостной публикации на сайте компании «Доктор Веб».
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В июле вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные угрозы. Среди них были новые трояны семейства Android.Joker, добавленные в вирусную базу Dr.Web как Android.Joker.803, Android.Joker.837 и Android.Joker.846. Они скрывались в безобидных, на первый взгляд, приложениях - редакторе изображений Background Changer, мессенджере Sweet Emoji SMS и программе с функциями фонарика Flashlight LED Pro. Трояны действительно работали так, как того ожидали пользователи, однако незаметно для жертв они также подписывали их на платные мобильные сервисы и могли выполнять произвольный код.
Кроме того, была обнаружена новая модификация троянской программы-подделки Android.FakeApp.299, которая распространялась среди российских пользователей под видом приложений для поиска льгот и получения различных социальных выплат, например - пособий от государства. Настоящей ее функцией была загрузка мошеннических сайтов, при помощи которых злоумышленники похищали конфиденциальные данные и деньги владельцев Android-устройств.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в июле 2021 года |
11 августа 2021 года
Число обращений пользователей за расшифровкой файлов увеличилось на 35.2% по сравнению с прошлым месяцем. Самым распространенным энкодером июля стал Trojan.Encoder.26996, на долю которого приходится почти половина всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с июнем, в июле число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 35,2%.
В июле 2021 года интернет-аналитики «Доктор Веб» обратили внимание на участившиеся случаи распространения угрожающих SMS. В последних вирусных обзорах мы уже писали о предложениях злоумышленников купить фейковые сертификаты или QR-коды, но теперь преступники зашли дальше — за 50 000 рублей они предлагают «замести следы» после покупки подделки.
На скриншоте изображен пример угрожающей SMS с предложением отправить средства на указанную карту. Однако ничего не сказано о возможных последствиях для получателя этого «письма счастья», если он откажется идти на поводу у злоумышленников.
В июле вирусные аналитики компании «Доктор Веб» обнаружили новое семейство банковских троянов для ОС Android, получившее имя Coper. Эти вредоносные приложения обладают модульной архитектурой и рядом защитных механизмов. При этом они способны перехватывать и отправлять СМС, контролировать уведомления, демонстрировать фишинговые окна поверх запускаемых программ, отслеживать вводимую на клавиатуре информацию и выполнять другие вредоносные действия.
Также были выявлены очередные угрозы в каталоге Google Play. Среди них — трояны семейства Android.Joker, подписывающие жертв на платные услуги, и вредоносная программа семейства Android.FakeApp, загружавшая мошеннические сайты, на которых потенциальным жертвам предлагалось получить «выплаты» от государства.
Среди угроз, зафиксированных на защищаемых устройствах, наиболее активными вновь стали рекламные трояны, а также трояны, выполняющие произвольный код и загружающие другое ПО.
Наиболее заметные события, связанные с «мобильной» безопасностью в июле:
Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.
|
|
Новый банковский троян Coper нацелен на пользователей из Колумбии |
21 июля 2021
Все обнаруженные образцы Android.BankBot.Coper, исследованные нашими вирусными аналитиками, распространялись под видом официального ПО кредитной организации Bancolombia - приложения Bancolombia Personas. Для большей убедительности их значок был оформлен в том же стиле, что и у настоящих программ банка. Для сравнения, ниже приведен пример значка подделки (слева) и пример значков настоящих приложений Bancolombia (справа), доступных для загрузки в Google Play:
Сам процесс заражения происходит в несколько этапов. Первой ступенью является установка той самой программы-приманки, которую злоумышленники выдают за банковское приложение. Фактически, это дроппер, основная задача которого - доставить и установить на целевое устройство скрытый внутри него главный вредоносный модуль. Поскольку логика работы у исследованных модификаций троянов практически одинакова, дальнейшее описание механизма их функционирования будет основано на примере Android.BankBot.Coper.1.
При запуске дроппер расшифровывает и запускает исполняемый dex-файл (Android.BankBot.Coper.2.origin), который расположен в его ресурсах и замаскирован под веб-документ с именем o.htm. Этому троянскому компоненту отводится роль второй ступени заражения. Одной из его задач является получение доступа к специальным возможностям (Accessibility Services) ОС Android, с помощью которых троян сможет полностью контролировать зараженное устройство и имитировать действия пользователя (например, нажимать на кнопки меню и закрывать окна). Для этого он запрашивает у жертвы соответствующее разрешение. Успешно получив необходимые полномочия, все дальнейшие вредоносные действия троян выполняет уже самостоятельно. Так, он пытается отключить встроенную в операционную систему защиту Google Play Protect, разрешить установку приложений из неизвестных источников, установить и запустить основной вредоносный модуль и тоже предоставить ему доступ к специальным возможностям.
Троян расшифровывает и при помощи полученных привилегий устанавливает вредоносный apk-пакет (Android.BankBot.Coper.2), скрытый во втором зашифрованном файле и замаскированный под аудио-композицию с именем PViwFtl2r3.mp3. В нем находится троянский модуль Android.BankBot.Coper.1.origin, выполняющий основные вредоносные действия, необходимые злоумышленникам. Этот компонент устанавливается под видом системного приложения с именем Cache plugin, использующего стандартный для некоторых системных Android-программ значок шестеренки. Такие имя и значок увеличивают вероятность того, что пользователи не увидят в программе угрозу.
При запуске модуль получает доступ к ряду важных функций. Так, троян запрашивает разрешение на чтение и управление уведомлениями и добавление его в список исключений системной оптимизации аккумулятора, что позволит ему работать постоянно. Кроме того, троян становится администратором устройства, а также получает доступ к управлению телефонными звонками и СМС-сообщениями.
Далее этот модуль скрывает свой значок из списка приложений на главном экране, «прячась» от пользователя, после чего сообщает C&C-серверу об успешном заражении и ждет дальнейших указаний. Троян поддерживает постоянную связь с сервером, каждую минуту отправляя на него запросы. При необходимости этот интервал может быть изменен соответствующей командой. Кроме того, в зависимости от полученного от сервера ответа троян может изменять и другие свои настройки, среди которых:
При непосредственном получении команд Android.BankBot.Coper.1.origin может выполнять следующие действия:
Кроме того, троян перехватывает и отправляет на сервер содержимое всех Push-уведомлений, поступающих на устройство.
Для демонстрации фишингового окна Android.BankBot.Coper.1.origin использует уже ставший классическим для мобильных банковских троянов метод. Содержимое такого окна загружается с удаленного сервера и помещается в WebView, который имитирует внешний вид целевой программы для обмана жертвы.
Трояны Android.BankBot.Coper обладают целым рядом защитных механизмов. Один из них - контроль целостности основного вредоносного компонента. Если он будет удален, банкеры попытаются установить его вновь.
Второй прием - отслеживание потенциально опасных для троянов событий, таких как:
Если банкеры фиксируют какое-либо из этих событий, они через функции специальных возможностей Android имитируют нажатие кнопки «Домой», возвращая жертву на главный экран. Если же трояны обнаруживают, что пользователь пытается их удалить, они имитируют нажатие кнопки «Назад». Тем самым они не только препятствуют своему удалению, но и мешают владельцам полноценно использовать собственные устройства.
Кроме того, в дропперах троянов Android.BankBot.Coper предусмотрены и другие механизмы защиты. Например, они проверяют, не запущены ли в виртуальной среде, а также контролируют наличие активной SIM-карты и страну пребывания пользователя. Если проверка заканчивается неудачей, банкеры немедленно завершают свою работу. Можно предположить, что цель таких проверок - не допустить установку основного вредоносного модуля в неблагоприятных для троянов условиях (например, под контролем специалистов по информационной безопасности или на устройства пользователей из нецелевых стран) и тем самым избежать преждевременного обнаружения. В исследованных образцах такая проверка не задействуется, но она может быть использована в будущих модификациях вредоносных приложений.
Компания «Доктор Веб» рекомендует владельцам Android-устройств устанавливать банковские приложения только из официальных каталогов ПО или загружать их с официальных сайтов кредитных организаций, если по какой-либо причине использование официального магазина приложений невозможно.
Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют все известные модификации банковских троянов Android.BankBot.Coper, поэтому для наших пользователей они опасности не представляют.
|
|
О защите от проникновения через уязвимость Windows PrintNightmare |
15 июля 2021 года
Вероятность использования уязвимости CVE-2021-34527 затрагивает все популярные версии ОС Windows. Благодаря эксплойтам злоумышленники могут доставлять на компьютеры различную вредоносную нагрузку, включая троянов-шифровальщиков, требующих выкуп за расшифровку повреждённых ими файлов.
Антивирус Dr.Web остаётся в полной готовности воспрепятствовать известным ему эксплойтам. При обнаружении в «дикой природе» новых эксплойтов, которые могут воспользоваться CVE-2021-34527 и CVE-2021-1675, они оперативно добавляются в вирусную базу Dr.Web. Однако стоит помнить, что антивирус не является заменой системы безопасности ОС, и что уязвимость такого плана — лакомый кусок для множества хакеров. А значит — пользователям тоже следует проявить бдительность.
Чтобы максимально обезопасить компьютерную инфраструктуру, рекомендуется установить патчи от разработчика ОС, после чего удостовериться, что в реестре Windows нужные переключатели установлены в соответствии с рекомендациями Microsoft.
Напомним, что продукты комплекса Dr.Web Enterprise Security Suite 12.0 обладают широким арсеналом средств превентивной защиты. Кроме того, на данный момент уже разрабатываются дополнительные функции по защите от проникновения злоумышленников через уязвимость PrintNightmare.
Патч для закрытия уязвимости CVE-2021-1675
|
|
«Доктор Веб»: обзор вирусной активности в июне 2021 года |
9 июля 2021 года
В июне анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 8% по сравнению с маем. При этом количество уникальных угроз уменьшилось на 18.7%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике по частоте распространения лидирует разнообразное вредоносное ПО, в том числе веб-страницы, присылаемые в фишинговых рассылках.
Число обращений пользователей за расшифровкой файлов уменьшилось на 8% по сравнению с прошлым месяцем. Самым распространенным энкодером июня стал Trojan.Encoder.26996 на долю которого приходится 37.65% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с маем, в июне число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 8%.
В июне 2021 года интернет-аналитики «Доктор Веб» обнаружили активность в сфере продаж фейковых QR-кодов о вакцинации. Злоумышленники предлагают купить подделку для прохода в заведения общественного питания.
На скриншоте изображен пример схемы торговли QR-кодами. Всё происходит в приватных каналах, доступ к которым можно получить только после вступления в чат. Там публикуют восторженные отзывы покупателей и обещают 100% гарантию прохода в любое заведение общественного питания.
Согласно статистике детектирования, в июне антивирусные продукты Dr.Web для Android чаще всего фиксировали на защищаемых устройствах различные троянские программы, предназначенные для показа рекламы. Кроме того, среди наиболее распространенных угроз по-прежнему остаются вредоносные приложения, способные выполнять произвольный код и загружать другое ПО.
В течение минувшего месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество угроз. Среди них были различные троянские приложения-подделки из семейства Android.FakeApp, загружавшие мошеннические сайты. Также наши специалисты выявили очередных опасных троянов Android.Joker, подписывающих жертв на платные мобильные услуги и способные выполнять произвольный код. Кроме того, были обнаружены трояны, кравшие логины и пароли от учетных записей Facebook, о чем наша компания сообщила в одной из новостных публикаций.
Наиболее заметные события, связанные с «мобильной» безопасностью в июне:
Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июне 2021 года |
9 июля 2021 года
В июне антивирусные продукты Dr.Web для Android чаще всего обнаруживали на защищаемых устройствах вредоносные приложения, загружавшие другое ПО и выполнявшие произвольный код. Кроме того, активными вновь были трояны и программы, демонстрировавшие нежелательную рекламу.
В течение месяца вирусные аналитики компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них - троянские приложения, похищавшие логины и пароли от учетных записей Facebook, опасные вредоносные программы, подписывавшие пользователей на платные мобильные сервисы, а также трояны, загружавшие мошеннические веб-сайты.
В минувшем месяце специалисты компании «Доктор Веб» обнаружили в каталоге Google Play вредоносные приложения, предназначенные для кражи логинов и паролей от учетных записей Facebook. Трояны, получившие имена Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.17 и Android.PWS.Facebook.18, скрывались в безобидных, на первый взгляд, программах и были загружены свыше 5 850 000 раз.
Для похищения конфиденциальной информации они предлагали потенциальным жертвам войти в Facebook, для чего загружали настоящую страницу авторизации социальной сети. Затем при помощи специального JavaScript-скрипта трояны перехватывали вводимые логины и пароли и вместе с некоторыми другими данными передавали на удаленный сервер злоумышленников.
Подробнее об этом случае рассказано в одной из наших новостей.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Наряду с троянами, похищавшими логины и пароли от Facebook, специалисты «Доктор Веб» обнаружили в каталоге Google Play и другие вредоносные приложения. В их числе — трояны Android.Joker.758 и Android.Joker.766, подписывавшие жертв на платные мобильные сервисы и способные выполнять произвольный код. Первый распространялся под видом программы для редактирования видео, второй - под видом приложения с коллекцией изображений для изменения фона главного экрана Android-устройств.
Другие трояны являлись представителями семейства программ-подделок Android.FakeApp, распространявшихся под видом различного ПО. Например, троянов Android.FakeApp.278, Android.FakeApp.279, Android.FakeApp.294, Android.FakeApp.295, Android.FakeApp.296 и Android.FakeApp.298 злоумышленники выдавали за официальные приложения лотереи «Русское лото», при помощи которых пользователи якобы могли получить бесплатные лотерейные билеты и узнать итоги розыгрышей.
В то же время трояны Android.FakeApp.280, Android.FakeApp.281, Android.FakeApp.282, Android.FakeApp.283, Android.FakeApp.284, Android.FakeApp.285 и Android.FakeApp.286 распространялись под видом программ, якобы предназначенных для заработка на финансовом и товарном рынках, например - при помощи торговли валютой, нефтью, газом и криптовалютами.
По заверениям разработчиков, приложения «совершали автоматические успешные сделки». От пользователей лишь требовалось пройти регистрацию и связаться с «менеджером». Некоторые из этих программ якобы были созданы при поддержке правительства и президента Российской Федерации, при этом часть из них была ориентирована на пользователей как в России, так и в других странах — например, в Польше. В действительности эти программы-подделки не предоставляли никакой полезной функциональности и только заманивали жертв к мошенникам, загружая сомнительные и откровенно фишинговые сайты.
Еще одно «финансовое» приложение-подделка, добавленное в вирусную базу Dr.Web как Android.FakeApp.277, распространялось под видом своеобразной программы для инвестирования от Илона Маска. В ней жертвам предлагалось «удвоить» объем имеющейся у них криптовалюты, отправив ее якобы на кошельки компании Tesla. На самом деле никакого отношения ни к известной компании, ни к ее владельцу троянское приложение не имело, и попавшие на удочку злоумышленников пользователи переводили криптовалюту мошенникам.
Другого трояна, получившего имя Android.FakeApp.297, злоумышленники выдавали за программу-электронный кошелек. Как и в случае с другими аналогичными вредоносными приложениями-подделками, оно загружало мошеннические сайты.
Кроме того, были выявлены очередные программы-подделки, предлагавшие жертвам найти информацию о пособиях и льготах и получить выплаты от государства. Антивирусные продукты Dr.Web для Android детектируют их как Android.FakeApp.291, Android.FakeApp.292 и Android.FakeApp.293.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в мае 2021 года |
22 июня 2021 года
В мае анализ данных статистики Dr.Web показал уменьшение общего числа обнаруженных угроз на 32.46% по сравнению с апрелем. При этом количество уникальных угроз увеличилось на 31.4%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике по частоте распространения лидирует разнообразное вредоносное ПО, в том числе обфусцированные вредоносные программы, скрипты, а также приложения, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов увеличилось на 19.9% по сравнению с апрелем. Самым распространенным энкодером мая оказался Trojan.Encoder.26996, на долю которого приходится 25% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с апрелем, в мае число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 19.9%.
В мае 2021 года интернет-аналитики «Доктор Веб» обнаружили множество сайтов, продающих поддельные документы. Злоумышленники предлагают всего за несколько тысяч рублей купить водительские права или фейковый прививочный сертификат.
Потенциальная жертва попадает на сайт после соответствующего запроса в поисковой системе. Дальше остается выбрать нужную справку — и поддельный документ почти готов.
Примечательно, что мошенники пытаются замаскировать свою деятельность под легальную, вставляя маленькие скриншоты сертификатов на осуществление медицинской деятельности, которые едва можно разглядеть. На сайтах настоящих клиник и медцентров всегда можно рассмотреть и внимательно изучить все имеющиеся лицензии.
В мае специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередных троянов из семейства Android.FakeApp. Они распространялись под видом приложений с информацией о денежных выплатах от государства, а также программ, с помощью которых пользователи якобы могли получить бесплатные лотерейные билеты. Кроме того, были найдены новые модификации троянов Android.Joker, способных выполнять произвольный код и подписывать жертв на платные мобильные сервисы.
Наиболее заметные события, связанные с «мобильной» безопасностью в мае:
Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в мае 2021 года |
22 июня 2021 года
Согласно статистике детектирования, в мае антивирусные продукты Dr.Web для Android чаще всего обнаруживали на защищаемых устройствах рекламных троянов, а также вредоносные приложения, которые загружали другое ПО и выполняли произвольный код.
В течение прошлого месяца специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых угроз. Среди них были трояны, подписывающие жертв на платные услуги, а также вредоносные программы, загружавшие мошеннические сайты.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В мае специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых вредоносных приложений. Среди них — очередные трояны из семейства Android.FakeApp. Большинство распространялось под видом программ, с помощью которых пользователи якобы могли найти информацию о пособиях, льготах и денежных компенсациях от государства, а также подать заявку на их получение. Остальные распространялись под видом официальных приложений лотереи «Русское лото», в которых потенциальным жертвам предлагалось получить бесплатные лотерейные билеты, а также проверить наличие выигрышей.
Ни одна из этих программ-подделок не предоставляла обещанной функциональности. Трояны лишь загружали мошеннические веб-сайты, с помощью которых злоумышленники похищали деньги и конфиденциальную информацию владельцев Android-устройств. При этом некоторые из них дополнительно демонстрировали навязчивые уведомления, также ведущие на сайты мошенников. Вредоносные приложения были добавлены в вирусную базу Dr.Web как Android.FakeApp.262, Android.FakeApp.263, Android.FakeApp.264, Android.FakeApp.265, Android.FakeApp.266, Android.FakeApp.269, Android.FakeApp.270, Android.FakeApp.271, Android.FakeApp.272 и Android.FakeApp.273.
Вот как выглядят некоторые из этих троянов:
Пример уведомлений, которые они могут демонстрировать:
Кроме того, наши вирусные аналитики обнаружили новых троянов семейства Android.Joker, способных выполнять произвольный код и подписывать жертв на платные мобильные сервисы. Вредоносные приложения распространялись под видом программ для работы с СМС, переводчика, «живых» обоев для рабочего стола, а также фоторедактора. Они были добавлены в вирусную базу Dr.Web как Android.Joker.722, Android.Joker.723, Android.Joker.729, Android.Joker.730, Android.Joker.739, Android.Joker.742 и Android.Joker.744.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в апреле 2021 года |
13 мая 2021 года
В апреле компания «Доктор Веб» сообщила об обнаружении трояна Android.Triada.4912, встроенного в одну из версий клиентского приложения популярного стороннего каталога Android-программ APKPure. В то же время в официальном каталоге Google Play вновь были выявлены очередные трояны из семейства Android.FakeApp. Они распространялись под видом полезных программ и загружали различные мошеннические сайты. Кроме того, специалисты «Доктор Веб» выявили троянов Android.Joker в магазине ПО AppGallery компании Huawei. Эти вредоносные приложения подписывали пользователей на платные мобильные услуги.
В начале апреля компания «Доктор Веб» опубликовала новость о том, что наши вирусные аналитики обнаружили вредоносную функциональность в клиентском приложении стороннего каталога Android-программ и игр APKPure. Неустановленные злоумышленники встроили в него трояна Android.Triada.4912, затронутой оказалась версия 3.17.18 приложения. Android.Triada.4912 запускал скрытый в нем вспомогательный модуль, который выполнял основные вредоносные действия: скачивал другие троянские компоненты и различные программы, а также загружал всевозможные веб-сайты.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В апреле в каталоге Google Play были выявлены новые трояны, принадлежащие к семейству Android.FakeApp. Они распространялись под видом справочников с информацией о денежных выплатах и компенсациях от государства, а также приложений, с помощью которых пользователи якобы могли получить скидки на покупку товаров в известных торговых сетях и выиграть подарки от популярных блогеров. В действительности эти программы-подделки вводили жертв в заблуждение. Они не выполняли заявленных функций и лишь демонстрировали мошеннические сайты, через которые злоумышленники похищали конфиденциальные данные и деньги владельцев Android-устройств. Трояны были добавлены в вирусную базу Dr.Web как Android.FakeApp.255, Android.FakeApp.254, Android.FakeApp.256, Android.FakeApp.259, Android.FakeApp.260 и Android.FakeApp.261.
Пример внешнего вида этих мошеннических приложений:
В прошлом месяце вирусные аналитики «Доктор Веб» обнаружили первые вредоносные приложения в каталоге AppGallery компании Huawei. Это были трояны семейства Android.Joker, которые способны выполнять произвольный код и подписывать пользователей на платные мобильные услуги. Они распространялись под видом различных безобидных программ — виртуальных клавиатур, онлайн-мессенджера, программы-фотокамеры и других. В общей сложности их установили более 538 000 пользователей.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в апреле 2021 года |
13 мая 2021 года
В апреле анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 1.73% по сравнению с мартом. При этом количество уникальных угроз снизилось на 35.6%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике по частоте распространения лидирует разнообразное вредоносное ПО, в том числе обфусцированные вредоносные программы, скрипты, а также приложения, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов уменьшилось на 2.73% по сравнению с мартом. Самым распространенным энкодером апреля оказался Trojan.Encoder.567, на долю которого приходится 15.71% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в апреле в антивирусную лабораторию «Доктор Веб» поступило на 2.73% меньше, чем в прошлом месяце.
В апреле 2021 года интернет-аналитики «Доктор Веб» обнаружили множество фишинговых сайтов. В числе прочего злоумышленники подделывали веб-страницы магазинов бытовой техники. Например, мошеннические сайты были замаскированы под официальные ресурсы «М.Видео». После нажатия кнопки «Перейти на сайт» пользователи оказывались в фальшивом интернет-магазине.
Злоумышленники заманивали жертв на фишинговые сайты, используя методы социальной инженерии. Они рассчитывали, что в надежде получить товары дешевле покупатели будут активировать специальные промокоды. Если пользователь попадался на уловку, мошенник получал его персональные данные, которые использовал для собственного обогащения, — например, списывал деньги с банковского счета жертвы.
Помимо этого, в апреле были зафиксированы случаи перенаправления на фейковые сайты платежных систем. Там пользователи вводили данные банковской карты, подтверждали платёж, но товар не получали.
В прошлом месяце вирусные аналитики компании «Доктор Веб» выяснили, что одна из версий клиентского приложения популярного стороннего каталога Android-программ APKPure содержит вредоносную функциональность. Обнаруженный в ней троян Android.Triada.4912 с помощью вспомогательного компонента загружал другие программы, а также демонстрировал различные веб-сайты.
Помимо этого, наши специалисты выявили первые вредоносные приложения в каталоге ПО AppGallery. Ими стали трояны из семейства Android.Joker, способные выполнять произвольный код, а также подписывать пользователей на платные мобильные сервисы.
Кроме того, в официальном каталоге Android-программ Google Play были найдены очередные трояны из семейства Android.FakeApp, применявшиеся в мошеннических целях.
Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:
Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности в марте 2021 года |
13 апреля 2021 года
В марте анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 16.72% по сравнению с февралем. Количество уникальных угроз также выросло — на 19.49%. Рекламные программы и нежелательные приложения по-прежнему лидируют по общему количеству детектирований. В почтовом трафике на первых позициях находится разнообразное вредоносное ПО, в том числе обфусцированные троянские программы, вредоносные скрипты, а также приложения, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов увеличилось на 11.33% по сравнению с прошлым месяцем. Самым распространенным энкодером месяца оказался Trojan.Encoder.567, на долю которого приходится 23.76% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в марте в антивирусную лабораторию «Доктор Веб» поступило на 11.33% больше, чем в феврале.
В течение марта 2021 года интернет-аналитики «Доктор Веб» добавили в базу нерекомендуемых и вредоносных сайтов большое количество новых мошеннических и фишинговых ресурсов. В марте злоумышленники продолжали активно распространять сайты с фальшивыми розыгрышами. Как правило, для получения несуществующего выигрыша жертве под различными предлогами предлагалось оплатить комиссию.
Все эти сайты объединяли похожие визуальные элементы: разделы с отзывами, всплывающие окна с именами «победителей», имитация чата с технической поддержкой и т. п. Используя проверенные методы социальной инженерии, мошенники плавно подводили пользователей к раскрытию данных банковских карт и оплате комиссии.
Среди угроз, наиболее часто встречавшихся на Android-устройствах в марте, вновь были трояны, демонстрировавшие рекламу, а также вредоносные приложения, загружавшие и выполнявшие произвольный код. Кроме того, пользователи часто сталкивались с нежелательными рекламными программами.
В каталоге Google Play вновь распространялись опасные трояны из семейства Android.Joker. Их основная функция — подписка жертв на платные мобильные услуги. Вместе с тем, были выявлены и очередные мошеннические трояны Android.FakeApp.
Наиболее заметные события, связанные с «мобильной» безопасностью в марте:
Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в марте 2021 года |
13 апреля 2021 года
В марте в числе наиболее активных угроз вновь оказались трояны и нежелательные приложения, демонстрировавшие рекламу. Кроме того, на Android-устройствах часто обнаруживались вредоносные программы, загружающие другое ПО и выполняющие произвольный код.
Среди угроз, выявленных в каталоге Google Play, было множество новых модификаций троянов Android.Joker, подписывающих жертв на премиум-сервисы, а также очередные мошеннические приложения Android.FakeApp.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В прошедшем месяце специалисты компании «Доктор Веб» выявили в каталоге Google Play очередные мошеннические программы семейства Android.FakeApp. Среди них были новые модификации трояна Android.FakeApp.247, якобы предоставлявшего доступ к различным бонусам и скидкам от известных компаний и торговых сетей. В данном случае — бонусам при покупке топлива на популярных АЗС. Для получения «приза» потенциальным жертвам предлагалось оформить платную подписку стоимостью от 429 рублей в неделю. В итоге пользователи никаких скидок и бонусов не получали — троян лишь демонстрировал им бесполезный штрих-код.
Другие вредоносные программы-подделки распространялись под видом разнообразных безобидных приложений — всевозможных справочников и пособий, программ для проверки совместимости людей и т. п. На самом деле они не выполняли заявленных функций и после запуска загружали сомнительные веб-сайты. Эти трояны были добавлены в вирусную базу Dr.Web как Android.FakeApp.244, Android.FakeApp.249 и Android.FakeApp.250.
Кроме того, в течение марта вирусные аналитики «Доктор Веб» обнаружили множество новых троянов семейства Android.Joker, шпионящих за пользователями и подписывающих на дорогостоящие мобильные услуги, а также способных выполнять произвольный код. Эти многофункциональные трояны распространялись под видом программы-переводчика, приложения для записи голоса и создания различных звуковых эффектов, анимированных обоев, лончера (программы управления главным экраном), всевозможных редакторов изображений, а также утилиты для настройки и управления Android-устройствами. Они были добавлены в вирусную базу как Android.Joker.613, Android.Joker.614, Android.Joker.617, Android.Joker.618, Android.Joker.620, Android.Joker.622, Android.Joker.624, Android.Joker.630 и Android.Joker.632.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
В клиентском ПО каталога Android-программ APKPure обнаружен троян |
9 апреля 2021
APKPure — один из старейших и наиболее популярных сторонних каталогов игр и программ для платформы Android, который некоторые владельцы Android-устройств используют как альтернативу официальному магазину Google Play. Проведенный нашими специалистами анализ показал, что троян появился в клиенте APKPure версии 3.17.18, актуальной на момент выхода этой новости и распространяемой через официальный сайт площадки. Приложение подписано действительной цифровой подписью владельцев каталога. Это может говорить о том, что троян был встроен неустановленными инсайдерами намеренно, или же что произошел взлом, и злоумышленники получили доступ к внутренним ресурсам разработчиков магазина приложений. О вероятном взломе свидетельствует тот факт, что с аналогичным случаем столкнулся немецкий производитель телекоммуникационного оборудования Gigaset. По его словам, злоумышленники получили доступ к одному из серверов обновлений компании. После этого на некоторые модели Android-смартфонов Gigaset автоматически начали скачиваться и устанавливаться троянские программы, которые связаны со встроенным в приложение APKpure вредоносным кодом.
Первые данные о вредоносной версии клиента APKPure наша компания получила 25 марта. За прошедшее с того момента время код трояна претерпел некоторые изменения, но его основная функциональность осталась прежней. Текущая модификация вредоносной программы детектируется антивирусом Dr.Web как Android.Triada.4912.
Троян принадлежит к семейству Android.Triada — опасных вредоносных приложений, загружающих, устанавливающих и удаляющих ПО без разрешения пользователей. В данном случае он играет роль первой ступени заражения. В его коде в зашифрованном виде скрыт другой представитель этого семейства, Android.Triada.566.origin, который выполняет основные вредоносные функции. После его расшифровки и запуска, этот компонент начинает загружать различные веб-сайты в браузере, установленном по умолчанию. Это могут быть как сайты с рекламным контентом, так и фишингом. Кроме того, он скачивает и запускает другие модули и разнообразные приложения. Тем самым злоумышленники, стоящие за этими троянами, зарабатывают на накрутке числа установок и рекламе.
Компания «Доктор Веб» уведомила владельцев площадки APKPure о найденной угрозе. Владельцам Android-устройств, установившим приложение APKPure, рекомендуется временно удалить его, чтобы избавиться от трояна. Кроме того, следует с осторожностью использовать любые другие неофициальные каталоги Android-программ.
Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют известные версии указанных троянов, поэтому для наших пользователей они не представляют опасности.
Исследование троянов продолжается.
|
|
В каталоге приложений AppGallery впервые обнаружены вредоносные программы |
|
|
Исследование целевых атак на российские НИИ |
2 апреля 2021 года
В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» за помощью обратился один из российских научно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования вирусные аналитики установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Изучение деталей инцидента показало, что сеть предприятия была скомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, — не одной APT-группой.
Полученные в ходе расследования данные говорят о том, что первая APT-группа скомпрометировала внутреннюю сеть института осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 — модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети был установлен Trojan.Mirage.12, а в июне 2020 — BackDoor.Siggen2.3268.
Вторая хакерская группировка скомпрометировала сеть института не позднее апреля 2019, в этот раз заражение началось с установки бэкдора BackDoor.Skeye.1. В процессе работы мы также выяснили, что примерно в то же время — в мае 2019 года — Skeye был установлен в локальной сети другого российского НИИ.
Тем временем в июне 2019 года компания FireEye опубликовала отчет о целевой атаке на государственный сектор ряда стран центральной Азии с использованием этого бэкдора. Позднее, в период с августа по сентябрь 2020 года вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1, а также хорошо известный BackDoor.PlugX.
Более того, в декабре 2017 года на серверы обратившегося к нам НИИ был установлен BackDoor.RemShell.24. Представители этого семейства ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. При этом мы не располагаем такими данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.
Деятельность первой APT-группы не позволяет нам однозначно идентифицировать атаковавших как одну из ранее описанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры показал, что эта группа активна как минимум с 2015 года.
Второй APT-группой, атаковавшей НИИ, по нашему мнению является TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода говорят следующие факты:
Теперь подробнее рассмотрим выявленные связи. На графе приведена часть задействованной в атаке инфраструктуры с пересечениями бэкдоров Skeye и другим известным APT-бэкдором — PoisonIvy:
На этом графе изображены пересечения в инфраструктуре бэкдоров Skeye и Cotx:
Детальный анализ бэкдора DNSep и его последующее сравнение с кодом бэкдора Cotx выявили сходство как в общей логике обработки команд от управляющего сервера, так и в конкретных реализациях отдельных команд.
Другой интересной находкой этого исследования стал бэкдор Logtu, один из его образцов мы ранее описывали в рамках расследования инцидента в Киргизии. Адрес его управляющего сервера совпал с адресом сервера бэкдора Skeye — atob[.]kommesantor[.]com. В связи с этим мы также провели сравнительный анализ BackDoor.Skeye.1 с образцами BackDoor.Logtu.1 и BackDoor.Mikroceen.11.
Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.
Несмотря на то, что каналы связи с управляющим сервером у Cotx и DNSep кардинально различаются, нам удалось найти интересные совпадения в коде обоих бэкдоров.
Функция, отвечающая за обработку команд от управляющего сервера, принимает аргументом структуру:
struct st_arg
{
_BYTE cmd;
st_string arg;
};
При этом, если нужная функция принимает несколько аргументов, то они все записаны в поле arg с разделителем |.
Набор команд BackDoor.Cotx.1 обширнее, чем у BackDoor.DNSep.1, и включает все команды, которые есть у последнего.
В таблице ниже видно почти полное совпадение кода некоторых функций бэкдоров. При этом следует учитывать, в Cotx используется кодировка Unicode, а в DNSep — ANSI.
| BackDoor.DNSep.1 | BackDoor.Cotx.1 |
|---|---|
| Обработчик команды на отправку листинга каталога или информации о диске | |
 |
 |
| Функция получения информации о дисках | |
 |
 |
| Функция перечисления файлов в папке | |
 |
 |
| Функция сбора информации о файлах в папке | |
 |
 |
Полученные в результате анализа данные позволяют предположить, что при создании бэкдора DNSep его автор имел доступ к исходным кодам Cotx. Поскольку эти ресурсы не являются общедоступными, мы предполагаем, что автор или группа авторов DNSep имеет отношение к группировке TA428. В пользу этой версии говорит и тот факт, что образец DNSep был найден в скомпрометированной сети пострадавшей организации вместе с другими известными бэкдорами TA428.
В процессе исследования бэкдора Skeye мы обнаружили, что адрес его управляющего сервера также используется бэкдором семейства Logtu. Для сравнительного анализа мы использовали ранее описанные нами образцы BackDoor.Logtu.1 и BackDoor.Mikroceen.11.
Логирование во всех случаях так или иначе обфусцировано.
Общая логика последовательности записи сообщений в журнал также схожа у всех трех образцов:
Следует заметить, что настолько подробное и при этом обфусцированное логирование встречается крайне редко. Обфускация заключается в том, что в журнал записываются некоторые коды сообщений и в ряде случаев дополнительные данные. Кроме того, в данном случае прослеживается общая схема последовательности записи событий:
Последовательность соединения с управляющим сервером также выглядит похожей у всех 3 образцов. Первоначально каждый бэкдор пытается подключиться к серверу напрямую, а в случае неудачи может использовать прокси-серверы, адреса которых находятся из трех источников помимо встроенного.
Получение адресов прокси-серверов BackDoor.Mikroceen.11:
Поиск прокси в своем лог-файле:
Поиск в активных соединениях:
Получение адресов прокси-серверов BackDoor.Logtu.1:
Получение адресов прокси-серверов BackDoor.Skeye.1:
Некоторые образцы совместно использовали одну и ту же сетевую инфраструктуру. Фрагмент графа наглядно показывает взаимосвязь между семействами.
В образцах Logtu и Mikroceen присутствуют строки, которые используются в качестве идентификаторов сборок или версий. Формат некоторых из них совпадает.
| BackDoor.Mikroceen.11 | BackDoor.Logtu.1 | ||
|---|---|---|---|
| SHA1 | Id | SHA1 | id |
| ce21f798119dbcb7a63f8cdf070545abb09f25ba | intl0113 | 029735cb604ddcb9ce85de92a6096d366bd38a24 | intpz0220 |
| 0eb2136c5ff7a92706bc9207da32dd85691eeed5 | hisa5.si4 | 7b652e352a6d2a511f226e4d0cc22f093e052ad8 | retail2007 |
| 2f80f51188dc9aea697868864d88925d64c26abc | josa5w5n | 1c5e5fd53fc2ee778342a5cae3ac2eb0ac345ed7 | retail |
| 2e50c075343ab20228a8c0c094722bbff71c4a2a | enc0225 | 00ddcc200d1031b8639026532c0087bfcc4520c9 | 716demo |
| 3bd16f11b5b3965a124a6fc3286297e5cfe77715 | 520299 | b599797746ae8ccf7907cf88de232faa30ec95e6 | gas-zhi |
| 5eecdf63e85833e712a1ff88df1341bbf32f4ab8 | Strive | 2d672d7818a56029b337e8792935195d53576a9d | jjlk |
| bd308f4d1a32096a3b90cfdae45bbc5c13e5e801 | R0916 | ||
| b1be4b2f874c8309f553acce90287c8c6bb2b6b1 | frsl.1ply | ||
| 21ffd24b8074d7cffdf4cc339d1fa8fe892eba27 | Wdv | ||
| 8fbec09e646311a285aee06b3dd45ccf58928703 | intz726 | ||
| 19921cc47b3de003186e65fd12b82235030f060d | 122764 | ||
| 0f70251abc8c64cbc7b24995c3d32927514d0a4b | V20180224 | ||
| 149947544ca4f7baa5bc3d00b080d0e943d8036b | SOE | ||
| e7f5a33b33e023a82ac9eee6ed40e4a38ce95277 | int815 | ||
| b4790eec7daa9f931bed43a53f66168b477599a7 | UOE | ||
| ab660a3ac46d563c756463bd1b64cc45f347a1f7 | B.Z11NOV20D | ||
| d0181759a175fbcc60975983b351f88970f484f9 | 299520 | ||
| 7a63fc9db2bc1e9b1ef793723d5877e6b4c566b8 | WinVideo | ||
| 13779006d0dafbe4b27bd282230df299eef2b8dc | SSLSSL | ||
| f53c77695a162c78c68f693f57f65752d17f6030 | int007server | ||
| 924341cab6106ef993b506193e6786e459936069 | intl1211 | ||
| 8ebf78c84cd7f66ca8708467a28d83658bcf6710 | intl821 | ||
| f2856d7d138430e164f83662e251ee311950d83c | intl821 | ||
Кроме того, в значительном числе образцов данный идентификатор равен значению TEST или test.
Пример в BackDoor.Logtu.1 (9ea2488f07bf3edda23d9b7759c2d0c3c8501f92):
Пример в BackDoor.Mirkoceen.11 (81bb895a833594013bc74b429fb1f24f9ec9df26):
Таким образом, сравнительный анализ выявил у рассмотренных семейств сходства в:
В ходе расследования атак на российские НИИ наши вирусные аналитики нашли и описали несколько семейств целевых бэкдоров, включая ранее неизвестные образцы. Следует отдельно отметить длительное скрытое функционирование вредоносных программ в скомпрометированной сети пострадавшей организации — несанкционированное присутствие первой APT-группы оставалось незамеченным с 2017 года.
Характерной особенностью является наличие пересечений в коде и сетевой инфраструктуре проанализированных образцов. Мы допускаем, что выявленные связи указывают на принадлежность рассмотренных бэкдоров к одним и тем же хакерским группировкам.
Специалисты компании «Доктор Веб» рекомендуют производить регулярный контроль работоспособности важных сетевых ресурсов и своевременно обращать внимание на сбои, которые могут свидетельствовать о наличии в сети вредоносного ПО. Основная опасность целевых атак заключается не только в компрометации данных, но и в длительном присутствии злоумышленников в корпоративной сети. Такой сценарий позволяет годами контролировать работу организации и в нужный момент получать доступ к чувствительной информации. При подозрении на вредоносную активность в сети мы рекомендуем обращаться в вирусную лабораторию «Доктор Веб», которая оказывает услуги по расследованию вирусозависимых компьютерных инцидентов. Оперативное принятие адекватных мер позволит сократить ущерб и предотвратить тяжелые последствия целевых атак.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в феврале 2021 года |
16 марта 2021 года
В феврале антивирусные продукты Dr.Web для Android чаще всего обнаруживали на защищаемых устройствах вредоносные и нежелательные программы, демонстрирующие надоедливую рекламу, а также трояны, выполняющие произвольный код и загружающие различные приложения без ведома пользователей.
В течение прошлого месяца вирусные аналитики компании «Доктор Веб» вновь обнаружили в каталоге Google Play множество угроз. Среди них были многочисленные мошеннические приложения, принадлежащие к семейству Android.FakeApp, многофункциональные трояны Android.Joker, вредоносные приложения семейства Android.HiddenAds, демонстрирующие рекламу, а также другие опасные программы.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В течение февраля специалисты компании «Доктор Веб» фиксировали распространение большого числа вредоносных приложений семейства Android.FakeApp, многие их которых злоумышленники применяли в мошеннических схемах. Одна из групп таких троянов распространялась под видом программ, якобы предоставлявших доступ к скидкам, акционным и бонусным картам, а также подаркам от известных магазинов и компаний. Для большей убедительности в программах использовалась символика и названия соответствующих брендов — производителей электроники, АЗС и торговых сетей.
При запуске таких программ потенциальным жертвам предлагалось оформить платную подписку стоимостью от 449 до 1499 рублей в неделю — якобы чтобы воспользоваться всеми функциями приложений и получить обещанные бонусы. Однако в результате они получали лишь бесполезные штрих- или QR-коды, одинаковые для всех троянов, а также обещание новых кодов, которые будут поступать в виде уведомлений. При этом функциональность для работы с уведомлениями была лишь у нескольких модификаций этих программ, что само по себе ставило под сомнение честность их создателей.
При согласии на оплату услуг внутри этих приложений владельцам Android-устройств предоставлялся пробный период на 3 дня, в течение которого они могли отказаться от платежа или же подтвердить подписку. Расчет злоумышленников в этой схеме заключался в том, что пользователи забудут о тестовом периоде или даже о том, что установили эти программы, либо из-за неопытности не поймут, что подключили дорогостоящую услугу с периодической оплатой.
Различные модификации указанных троянов были добавлены в вирусную базу Dr.Web как Android.FakeApp.239, Android.FakeApp.240, Android.FakeApp.246 и Android.FakeApp.247. Пример работы нескольких из них показан на изображениях ниже:
Сообщения и примеры кодов, которые трояны демонстрировали после успешной подписки на дорогостоящую услугу:
Во вторую группу программ-подделок семейства Android.FakeApp вошли приложения, которые злоумышленники выдавали за безобидные программы разнообразной тематики. Среди них были справочники о моде, животных, природе, различные гороскопы. Их функциональность не соответствовала заявленной, и они лишь загружали всевозможные сайты знакомств, а также откровенно мошеннические сайты. Данные программы активно продвигались через рекламную сеть видеосервиса YouTube, при этом в роликах и баннерах агрессивно использовалась тематика категории «для взрослых», а также знакомств и свиданий. В общей сложности специалисты «Доктор Веб» выявили свыше 20 вариантов таких поддельных программ.
Примеры расположенных в каталоге Google Play троянских приложений Android.FakeApp и ведущей на них вредоносной рекламы представлены ниже:
Примеры сайтов, которые загружали эти программы:
Третью группу вредоносных программ семейства Android.FakeApp представляли очередные вариации мошеннических троянов, которые распространялись под видом ПО с информацией о различных денежных компенсациях, льготах и социальных выплатах. Ими оказались новые модификации известных вредоносных приложений Android.FakeApp.219 и Android.FakeApp.227.
Как и ряд других вредоносных программ-подделок этого семейства, они также рекламировались через YouTube:
При запуске трояны загружали мошеннические сайты, на которых потенциальные жертвы якобы могли найти сведения о доступных для них выплатах. Там пользователей вводили в заблуждение, предлагая указать конфиденциальную информацию и оплатить либо комиссию за «перевод» денег на их банковский счет, либо «госпошлину». Никаких компенсаций они на самом деле не получали и лишь передавали мошенникам свои деньги и персональные данные.
Также вирусные аналитики компании «Доктор Веб» выявили несколько новых многофункциональных троянов семейства Android.Joker. Как и другие вредоносные приложения этого семейства, они распространялись под видом полезных программ — редактора изображений, сканера штрих-кодов, программы для создания PDF-документов, сборника стикеров для мессенждеров, анимированных обоев для рабочего стола и других приложений. Трояны были добавлены в вирусную базу Dr.Web как Android.Joker.580, Android.Joker.585, Android.Joker.586, Android.Joker.592, Android.Joker.595, Android.Joker.598 и Android.Joker.604.
Их главные функции — загрузка и запуск произвольного кода, а также автоматическая подписка пользователей на дорогостоящие мобильные услуги.
Крое того, в Google Play были обнаружены очередные рекламные трояны из семейства Android.HiddenAds, получившие имена Android.HiddenAds.610.origin и Android.HiddenAds.2357. Первый распространялся под видом программы с коллекцией изображений, второй — программы для редактирования фотографий.
При запуске они скрывали свои значки из списка установленных программ в меню главного экрана Android-устройств и начинали демонстрировать рекламу. При этом Android.HiddenAds.610.origin получал команды через облачный сервис Firebase и мог показывать уведомления с объявлениями, а также загружать различные веб-сайты. Среди них были как сайты с рекламой, так и сомнительные и даже мошеннические веб-ресурсы.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в феврале 2021 года |
16 марта 2021 года
В феврале анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 25.07% по сравнению с январем. Количество уникальных угроз при этом снизилось — на 7.57%. Большинство самых распространенных угроз по-прежнему приходится на долю рекламных программ. В почтовом трафике активнее всего распространялись различные вредоносные скрипты, а также обфусцированные модификации бэкдора Bladabindi и стилера AgentTesla. Кроме того, пользователям продолжали угрожать программы, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов снизилось на 21.27% по сравнению с январем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 21.45% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в феврале в антивирусную лабораторию «Доктор Веб» поступило на 21.27% меньше, чем в январе.
В течение февраля 2021 года интернет-аналитики «Доктор Веб» добавили в базу нерекомендуемых и вредоносных сайтов множество новых мошеннических и фишинговых ресурсов. Кроме эксплуатирования тематики с выплатами и компенсациями злоумышленники вернулись и к другим известным схемам заработка. Так, в феврале было выявлено множество ресурсов, имитирующих сайты частных кинотеатров.
Чтобы заставить потенциальную жертву приобрести билеты на сеанс на одном из таких сайтов, злоумышленники активно использовали различные методы социальной инженерии. После оплаты билетов пользователи просто теряли деньги, а данные банковских карт передавались операторам сайта. В ряде случаев после этого с жертвой связывалась «техническая поддержка» и под предлогом оформления возврата средств высылала еще одну форму для оплаты.
Кроме того, в феврале аналитики обнаружили несколько веб-сайтов, предлагающих посетителям просматривать видео за вознаграждение.
В действительности мошенники использовали эти сайты для сбора пользовательских данных, фишинга, распространения специализированного нежелательного ПО, накруток просмотров и других подобных целей. Вдобавок положенное вознаграждение от партнерских сервисов за активность пользователей получали сами злоумышленники.
В феврале самыми распространенными Android-угрозами вновь стали троянские приложения, демонстрирующие рекламу, а также трояны, способные исполнять произвольный код и загружать различное ПО.
В течение прошедшего месяца специалисты компании «Доктор Веб» обнаружили множество угроз в каталоге Google Play. Среди них были многофункциональные трояны семейства Android.Joker, подписывающие пользователей на премиум-сервисы и выполняющие произвольный код, мошеннические трояны семейства Android.FakeApp, которые злоумышленники выдавали за полезное и безобидное ПО, рекламные трояны Android.HiddenAds, а также другие угрозы.
Наиболее заметные события, связанные с «мобильной» безопасностью в феврале:
Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.
|
|