26 октября 2023 года

В начале сентября Компания «Доктор Веб» опубликовала исследование Android.Pandora.2 — бэкдора, создающего ботнет из зараженных устройств и способного по команде злоумышленников проводить DDoS-атаки. А в середине месяца наши специалисты рассказали о вредоносных приложениях семейства Android.Spy.Lydia. Это многофункциональные трояны-шпионы, нацеленные на иранских пользователей. Представители семейства маскируются под финансовую платформу для онлайн-торговли и по команде атакующих способны выполнять различные вредоносные действия. Например, перехватывать и отправлять СМС, собирать сведения о контактах в телефонной книге, похищать содержимое буфера обмена, загружать фишинговые сайты и т. д. Трояны Android.Spy.Lydia могут применяться во всевозможных мошеннических схемах и использоваться для кражи персональных данных. Кроме того, с их помощью злоумышленники могут похищать деньги своих жертв.

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в сентябре 2023 года активность вредоносных приложений снизилась по сравнению с предыдущим месяцем. Например, рекламные троянские приложения семейств Android.HiddenAds и Android.MobiDash обнаруживались на защищаемых устройствах на 11,73% и 26,30% меньше соответственно. Количество атак шпионских троянских программ уменьшилось на 25,11%, программ-вымогателей Android.Locker — на 10,52%, а банковских троянов — на 4,51%. В то же время владельцы Android-устройств сталкивались с нежелательными рекламными программами на 14,32% чаще.

В течение сентября в каталоге Google Play было выявлено множество новых угроз. Среди них — троянские программы семейства Android.FakeApp, применяемые в различных мошеннических схемах, вредоносные программы семейства Android.Joker, которые подписывают жертв на платные услуги, а также рекламные троянские приложения Android.HiddenAds.

Мобильная угроза месяца

В сентябре компания «Доктор Веб» представила подробности анализа вредоносной программы Android.Pandora.2, которая нацелена преимущественно на испаноязычных пользователей. Первые случаи атак с ее участием были зафиксированы в марте 2023 года.

Это троянское приложение заражает смарт-телевизоры и приставки с Android TV, попадая на них через скомпрометированные версии прошивок, а также при установке троянских версий программ для нелегального просмотра видео онлайн.

Основная функция Android.Pandora.2 — проведение по команде злоумышленников DDoS-атак различных типов. Кроме того, эта вредоносная программа может выполнять ряд других действий, например — устанавливать собственные обновления и заменять системный файл hosts.

Исследование вирусных аналитиков «Доктор Веб» показало, что при создании этого трояна вирусописатели использовали наработки авторов Linux.Mirai, взяв за основу часть его кода. Последний с 2016 года широко применяется для заражения IoT-устройств (устройств «интернета вещей») и выполнения DDoS-атак на различные веб-сайты.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3697

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.Pandora.17

Детектирование вредоносных приложений, скачивающих и устанавливающих троянскую программу-бэкдор Android.Pandora.2. Такие загрузчики злоумышленники часто встраивают в приложения для Smart TV, ориентированные на испаноязычных пользователей.

Android.MobiDash.7804

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.FakeMoney.7

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.CloudInject.1

Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации у пользователя появляется возможность дистанционного управлять этими программами — блокировать их, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.wSpy.3.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Tool.Packer.3.origin

Детектирование Android-программ, код которых зашифрован и обфусцирован утилитой NP Manager.

Tool.ApkProtector.16.origin

Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Adware.ShareInstall.1.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.

Adware.MagicPush.1

Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы отображается реклама.

Adware.AdPush.39.origin

Adware.AdPush.36.origin

Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В сентябре 2023 года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество новых вредоносных приложений. Среди них — троянские программы, демонстрировавшие навязчивую рекламу. Злоумышленники распространяли их под видом игр Agent Shooter (Android.HiddenAds.3781), Rainbow Stretch (Android.HiddenAds.3785), Rubber Punch 3D (Android.HiddenAds.3786) и Super Skibydi Killer (Android.HiddenAds.3787). После установки на Android-устройства эти трояны пытались скрыться от пользователей. Для этого они подменяли свои значки, расположенные на домашнем экране, прозрачной версией и заменяли их названия на пустые. Кроме того, они могли притвориться браузером Google Chrome, заменяя значки соответствующей копией. Когда пользователи нажимают на такой значок, троянские программы запускают браузер и сами продолжают работать в фоновом режиме. Это позволяет троянам стать менее заметными и снижает вероятность их преждевременного удаления. Кроме того, если работа вредоносных программ будет остановлена, пользователи перезапустят их, думая, что запускают браузер.

Также наши специалисты выявили очередные программы-подделки из семейства Android.FakeApp. Некоторые из них (Android.FakeApp.1429, Android.FakeApp.1430, Android.FakeApp.1432, Android.FakeApp.1434, Android.FakeApp.1435 и другие) распространялись под видом финансовых программ. Например, приложений для биржевой торговли, справочников и обучающих пособий по инвестированию, домашних бухгалтерий и других. На самом деле их основной задачей была загрузка мошеннических сайтов, на которых потенциальным жертвам предлагалось стать «инвесторами».

Другие программы-подделки (например, Android.FakeApp.1433, Android.FakeApp.1436, Android.FakeApp.1437, Android.FakeApp.1438, Android.FakeApp.1439 и Android.FakeApp.1440) злоумышленники выдавали за всевозможные игровые приложения. В ряде случаев те действительно могли работать как игры, но их главной функцией являлась загрузка сайтов онлайн-казино.

Примеры работы этих вредоносных программ в режиме игры:

Примеры загружаемых ими сайтов онлайн-казино:

Вместе с тем в каталоге Google Play были обнаружены очередные троянские программы семейства Android.Joker, которые подписывали владельцев Android-устройств на платные услуги. Один из них скрывался в приложении с коллекцией изображений Beauty Wallpaper HD, по классификации компании «Доктор Веб» он получил имя Android.Joker.2216. Другой распространялся под видом онлайн-мессенджера Love Emoji Messenger и был добавлен в вирусную базу Dr.Web как Android.Joker.2217.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14767&lng=ru&c=9

26 октября 2023 года

Анализ статистики детектирований антивируса Dr.Web в сентябре 2023 года показал снижение общего числа обнаруженных угроз на 0,44% по сравнению с августом. Число уникальных угроз также снизилось — на 11,98%. По числу детектирований вновь лидировали рекламные троянские программы и рекламные приложения. В почтовом трафике наиболее часто выявлялись вредоносные скрипты, фишинговые документы, а также приложения, которые эксплуатируют уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов снизилось на 19,64% по сравнению с предыдущим месяцем. Самым распространенным энкодером сентября стал Trojan.Encoder.26996 — на его долю пришлось 24,64% зафиксированных инцидентов. Лидер августа, Trojan.Encoder.3953, расположился на втором месте; пользователи сталкивались с ним в 19,43% случаев. Третье место вновь заняла вредоносная программа Trojan.Encoder.35534 с долей 5,21%.

В течение сентября в каталоге Google Play были обнаружены новые угрозы. Среди них — рекламные трояны, вредоносные программы, подписывающие пользователей на платные услуги, а также троянские приложения, которые злоумышленники используют в мошеннических целях. Кроме того, в прошлом месяце компания «Доктор Веб» опубликовала аналитические материалы о вредоносных программах Android.Pandora.2 и Android.Spy.Lydia. Первая является бэкдором, который заражает смарт-телевизоры и телевизионные приставки на базе ОС Android и по команде злоумышленников выполняет DDoS-атаки. Вторая — троянская программа-шпион, нацеленная на иранских пользователей.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы сентября:

Adware.Downware.20091

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Adware.SweetLabs.7

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.Siggen.33194

Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.

Trojan.BPlug.3814

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.Phishing.33

W97M.Phishing.34

W97M.Phishing.35

Фишинговые документы Microsoft Word, которые нацелены на пользователей, желающих стать инвесторами. Они содержат ссылки, ведущие на мошеннические сайты.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Шифровальщики

В сентябре число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 19,64% по сравнению с августом.

Наиболее распространенные энкодеры сентября:

• Trojan.Encoder.26996 — 24.64%
• Trojan.Encoder.3953 — 19.43%
• Trojan.Encoder.35534 — 5.21%
• Trojan.Encoder.35067 — 3.32%
• Trojan.Encoder.24383 — 2.84%

Опасные сайты

В сентябре 2023 года интернет-аналитики компании «Доктор Веб» отмечали высокую активность сетевых мошенников. Например, были зафиксированы случаи распространения нежелательных писем, отправленных якобы от имени налоговых органов. Такие письма содержали ссылку на сайт, на котором посетителям предлагалось проверить организации и предприятия на соответствие требованиям закона о персональных данных (№ 152-ФЗ «О персональных данных»). Для этого вначале требовалось пройти небольшой опрос, после чего указать персональные данные «для получения результатов и бесплатной консультации эксперта».

Скриншот выше показывает, как на одном из таких сайтов посетителям предлагается «заполнить анкету за 1 минуту и получить отчет с рекомендациями эксперта по защите персональных данных - бесплатно».

После ответа на предварительные вопросы у пользователя запрашивается номер телефона и email:

Наши специалисты также отмечали случаи распространения ссылок на фишинговые сайты через блог-платформу Telegraph. Злоумышленники публикуют в ней записи, оформленные в стиле форм подтверждения регистрации учетных записей в тех или иных онлайн-сервисах. При нажатии на элемент с текстом «ПОДТВЕРДИТЬ» потенциальные жертвы перенаправляются на фишинговые веб-ресурсы. Среди них — мошеннические сайты инвестиционной тематики.

Кроме того, были выявлены очередные поддельные сайты сервисов оплаты коммунальных услуг. С их помощью киберпреступники пытаются похитить персональные данные пользователей. На скриншоте ниже — пример сайта, который имитирует внешний вид интернет-портала одной из электроснабжающих организаций. Через него пользователи якобы могут войти в личный кабинет для оплаты счетов.

Вредоносное и нежелательное ПО для мобильных устройств

В сентябре 2023 года компания «Доктор Веб» опубликовала исследование троянский программы-бэкдора Android.Pandora.2, которая заражает смарт-телевизоры и приставки с Android TV. С ее помощью злоумышленники создают ботнет из инфицированных Android-устройств и выполняют DDoS-атаки.

Кроме того, наши вирусные аналитики рассказали о троянских программах Android.Spy.Lydia, которые реализуют шпионскую функциональность и нацелены на иранских пользователей.

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в сентябре владельцы Android-устройств реже сталкивались с вредоносными приложениями. В то же время возросло число детектирований рекламного ПО. При этом в течение месяца в каталоге Google Play были выявлены новые угрозы. Среди них — рекламные троянские программы Android.HiddenAds, вредоносные приложения Android.Joker, которые подписывали пользователей на платные услуги, а также используемые мошенниками трояны Android.FakeApp.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

• cнижение активности вредоносных программ,
• обнаружение новых троянских приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14766&lng=ru&c=9

27 сентября 2023 года

Анализ статистики детектирований антивируса Dr.Web в августе 2023 года показал рост общего числа обнаруженных угроз на 4,05% по сравнению с июлем. Число уникальных угроз при этом увеличилось на 3,35%. Чаще всего пользователи сталкивались с рекламными программами. В почтовом трафике преобладали вредоносные скрипты, фишинговые документы и приложения, эксплуатирующие уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов возросло на 23,99% по сравнению с предыдущим месяцем. Самым распространенным энкодером стал Trojan.Encoder.3953 с долей 20,80% от общего числа зафиксированных инцидентов. Лидер июля, Trojan.Encoder.26996, опустился на второе место — он атаковал пользователей в 17,26% случаев. На третьем месте расположился Trojan.Encoder.35534 с долей 8,85%.

В августе в каталоге Google Play была выявлена троянская программа Android.HiddenAds.3766 — она демонстрировала нежелательную рекламу.

Главные тенденции августа

• Увеличение общего числа обнаруженных угроз
• Рост числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
• Появление новой вредоносной программы в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы августа:

Adware.Downware.20091

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Trojan.BPlug.3814

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Adware.SweetLabs.5

Adware.SweetLabs.7

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.Siggen.33194

Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры пользователей при попытке скачать торрент-файлы.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

PDF.Phisher.551

PDF-документы, используемые в фишинговых email-рассылках.

Шифровальщики

В августе число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 23,99% по сравнению с июлем.

Наиболее распространенные энкодеры августа:

• Trojan.Encoder.3953 — 20.80%
• Trojan.Encoder.26996 — 17.26%
• Trojan.Encoder.35534 — 8.85%
• Trojan.Encoder.29750 — 2.65%
• Trojan.Encoder.30356 — 2.65%

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В августе 2023 года интернет-аналитики компании «Доктор Веб» выявили очередные мошеннические сайты, на которых пользователи якобы могли восстановить или приобрести новые дипломы, паспорта и другие официальные документы. Попытки воспользоваться подобными «услугами» могут привести к утечке персональных данных, потере денег и проблемам с правоохранительными органами. Пример такого сайта представлен на скриншоте ниже:

Кроме того, злоумышленники продолжили заманивать пользователей на фишинговые сайты, якобы имеющие отношение к банкам и различным инвестиционным сервисам. На таких ресурсах посетителям предлагается получить доступ к «инвестиционным продуктам». Для этого от них требуется пройти короткий опрос и указать персональные данные для регистрации учетной записи. В случае согласия пользователи фактически передают информацию о себе в чужие руки и могут стать жертвами мошенников. Те, например, могут притвориться сотрудниками финансовых организаций и предложить «выгодно» вложить деньги. На следующих скриншотах показан пример одного из таких сайтов.

Предварительный опрос:

Форма для ввода персональных данных — имени и фамилии, электронной почты и номера телефона:

После того как пользователь подтверждает ввод персональной информации и нажимает кнопку «Начать зарабатывать», сайт сообщает об успешной регистрации:

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в августе 2023 года значительно возросла активность рекламных троянских программ семейства Android.MobiDash. В то же время пользователи реже сталкивались с рекламными троянскими программами семейства Android.HiddenAds.

По сравнению с июлем снизилась активность программ-вымогателей и шпионских троянских приложений. При этом возросло число атак банковских троянов.

Также в минувшем месяце в каталоге Google Play была выявлена новая вредоносная программа.

Наиболее заметные события, связанные с «мобильной» безопасностью в августе:

• значительный рост активности рекламных троянских программ семейства Android.MobiDash,
• снижение активности рекламных троянских программ семейства Android.HiddenAds,
• снижение активности программ-вымогателей и шпионских троянских приложений,
• рост числа атак Android-банкеров.

Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающие курсы

Просветительские проекты

Брошюры

https://news.drweb.ru/show/?i=14754&lng=ru&c=9

27 сентября 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в августе 2023 года среди наиболее распространенных вредоносных программ вновь оказались рекламные троянские приложения семейств Android.MobiDash и Android.HiddenAds. При этом по сравнению с предыдущим месяцем первые обнаруживались на 72,23% чаще, в то время как активность вторых снизилась на 8,87%.

Количество шпионских троянских программ и программ-вымогателей, выявленных на защищаемых устройствах, снизилось на 13,88% и 18,14% соответственно. Вместе с тем пользователи на 2,13% чаще, чем в июле, сталкивались с банковскими троянскими приложениями.

В августе в каталоге Google Play была обнаружена очередная вредоносная программа.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3697

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.MobiDash.7802

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.Pandora.7

Детектирование вредоносных приложений, скачивающих и устанавливающих троянскую программу-бэкдор Android.Pandora.2. Такие загрузчики злоумышленники часто встраивают в приложения для Smart TV, ориентированные на испаноязычных пользователей.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.ApkProtector.16.origin

Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Adware.AdPush.39.origin

Adware.AdPush.36.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.

Adware.ShareInstall.1.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.

Adware.MagicPush.1

Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы пользователь видит рекламу.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В августе 2023 года в каталоге Google Play была обнаружена троянская программа Android.HiddenAds.3766. Она распространялась под видом приложения — сборника изображений Exquisite Wallpaper Collection. Однако ее основная функция — демонстрация нежелательной рекламы. При этом Android.HiddenAds.3766 пытается скрыться от пользователя. Троян заменяет свой значок на домашнем экране прозрачной версией, а также меняет его название на пустое. В ряде случаев вместо этого вредоносная программа может заменить его копией значка браузера Google Chrome, при нажатии на который запустится не вредоносное приложение, а непосредственно браузер.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14751&lng=ru&c=9

25 сентября 2023 года

Компания «Доктор Веб» информирует пользователей о распространении вредоносных плагинов для сервера обмена сообщениями Openfire. По всему миру на момент публикации более 3000 серверов с установленным ПО Openfire подвержены уязвимости, позволяющей хакерам получать доступ к файловой системе и использовать зараженные серверы в составе ботнета.

В июне 2023 года в компанию «Доктор Веб» обратился один из клиентов с сообщением об инциденте, в ходе которого злоумышленники смогли зашифровать файлы на сервере. В процессе расследования выяснилось, что заражение было реализовано в ходе пост-эксплуатации уязвимости CVE-2023-32315 в ПО для обмена сообщениями Openfire. Этот эксплойт выполняет атаку типа «обход каталога» и позволяет получить доступ к административному интерфейсу ПО Openfire без авторизации, что используется злоумышленниками для создания нового пользователя с административными привилегиями. Затем взломщики входят в систему под новой учетной записью и устанавливают вредоносный плагин helloworld-openfire-plugin-assembly.jar (SHA1:41d2247842151825aa8001a35ee339a0fef2813f), обеспечивающий выполнение произвольного кода. Плагин позволяет выполнять команды интерпретатора командой строки на сервере с установленным ПО Openfire, а также запускать код, написанный на языке Java, который передается в POST-запросе к плагину. Именно таким образом и был запущен троян-шифровальщик на сервере нашего клиента.

Чтобы получить образец данного шифровальщика, мы создали сервер-приманку с установленным ПО Openfire и в течение нескольких недель наблюдали за атаками на него. За время работы этого сервера нам удалось получить образцы трех разных вредоносных плагинов. Помимо этого, мы получили представителей двух семейств троянов, которые устанавливались на наш сервер после взлома ПО Openfire.

Первым трояном был майнер, написанный на языке Go, который известен под именем kinsing (Linux.BtcMine.546). Атака с использованием этого трояна осуществляется в четыре этапа:

1. Эксплуатация уязвимости CVE-2023-32315 для создания административной учетной записи с именем OpenfireSupport.
2. Аутентификация под созданным пользователем.
3. Установка вредоносного плагина plugin.jar (SHA1:0c6249feee3fef50fc0a5a06299c3e81681cc838) на сервер.
4. Скачивание и запуск трояна с помощью установленного вредоносного плагина.

В рамках другого сценария атаки в систему устанавливался троян Linux.BackDoor.Tsunami.1395, написанный на языке С и запакованный пакером UPX. Процесс заражения во многом аналогичен описанному выше — с тем отличием, что административный пользователь создается со случайными именем и паролем.

Третий сценарий представляет наибольший интерес, так как злоумышленники не устанавливали троян в систему, а использовали вредоносный плагин для Openfire, через который получали информацию о скомпрометированном сервере. В частности, сведения о сетевых подключениях, IP-адресе, пользователях и версии ядра системы.

Устанавливаемые во всех случаях вредоносные плагины представляют собой бэкдоры JSP.BackDoor.8, написанные на языке Java. Эти плагины позволяют выполнять ряд команд в виде GET- и POST-запросов, отправляемых злоумышленниками.

Рассматриваемая уязвимость сервера отправки сообщений Openfire была устранена в обновлениях этого ПО до версий 4.6.8 и 4.7.5. Специалисты компании «Доктор Веб» рекомендуют использовать обновленные версии. В отсутствие такой возможности следует предпринять усилия по минимизации площади атаки: ограничение сетевого доступа к портам 9090 и 9091, изменение файла настроек Openfire, перенаправление адреса консоли администратора на loopback-интерфейс или использование плагина AuthFilterSanitizer.

Антивирус Dr.Web успешно обнаруживает и нейтрализует модификации бэкдора JSP.BackDoor.8, а также троянов семейств Linux.BtcMine и Linux.BackDoor.Tsunami поэтому для наших пользователей они никакой опасности не представляют.

• Индикаторы компрометации
• Подробнее о JSP.BackDoor.8
• Подробнее о Linux.BtcMine
• Подробнее о Linux.BackDoor.Tsunami.1395

https://news.drweb.ru/show/?i=14756&lng=ru&c=9

22 сентября 2023 года

Компания «Доктор Веб» информирует об участившихся случаях мошенничества с применением программ для удаленного доступа к рабочему столу. Наибольшей популярностью у злоумышленников пользуется программа RustDesk.

В связи с недавними утечками фрагментов баз данных целого ряда банков у мошенников появился доступ к персональным данным клиентов. Эти данные злоумышленники используют для того, чтобы войти в доверие к своим жертвам. Представляясь сотрудниками поддержки банка, преступники сообщают о том, что на счете жертвы замечена подозрительная активность, которая может привести к потере денег. И чтобы воспрепятствовать краже, якобы следует установить на устройство «защитную» программу. Злоумышленники предлагают перейти в магазин приложений и набрать в поисковой строке запросы типа «поддержка Сбербанка», «поддержка ВТБ» и т. п.

Источник: nakopi-deneg.ru

На самом деле до недавнего времени в топе выдачи Google Play по таким поисковым фразам находились программы типа AweSun Remote Desktop, RustDesk Remote Desktop, Удаленный рабочий стол AnyDesk. Такая ситуация обусловлена тем, что система ранжирования приложений в Google Play учитывает то, какое приложение выбирают пользователи, вводя тот или иной поисковый запрос. И чем больше людей, ищущих приложение по ключевым словам «поддержка имя_банка», совершит ошибку и перейдет по ссылке на приложение для удаленного администрирования, тем больше Google Play будет рекомендовать такую программу пользователям.

Следует отметить, что сами по себе программы для удаленного управления не являются вредоносными. Проблема возникает, когда их применяют для совершения противоправных действий.

После установки приложения мошенники просят жертву сообщить им уникальный идентификатор, а затем берут устройство под свой полный контроль. Доступ к устройству позволяет им совершать платежи и переводы со счета жертвы. При этом доказательство взлома и отзыв платежного поручения в такой ситуации будут невозможны, так как с точки зрения банка с системой платежей взаимодействует именно устройство клиента.

В настоящий момент компания Google сняла приложение RustDesk с публикации в магазине Google Play. Вследствие этого злоумышленники перевели свою деятельность за пределы площадки — теперь для реализации схемы мошенничества с удаленным управлением они используют сайты — например, hххps://помощникбанков[.]рф.

На таких сайтах потенциальным жертвам предлагается скачать уже знакомое нам приложение RustDesk. В некоторых случаях для большей убедительности в скачиваемых приложениях заменены названия и иконка на соответствующие тому или иному банку. Дополнительное психологическое воздействие оказывает и раздел с отзывами «довольных пользователей».

Антивирус Dr.Web детектирует приложение RustDesk как Tool.RustDesk.1.origin, а модифицированные приложения определяются как Android.FakeApp.1426. Для дополнительной безопасности компонент URL-фильтр блокирует доступ к сайтам злоумышленников, не позволяя пользователям стать жертвой обмана.

Компания «Доктор Веб» напоминает:

• Проявляйте бдительность, отвечая на звонки от банков и других организаций.
• Никогда не устанавливайте на свои устройства программы по чьей-то просьбе.
• Никому не сообщайте коды из СМС или push-уведомлений.
• Не разговаривайте с «сотрудниками банков». Если вам сообщают о несанкционированном списании средств с вашего счета — кладите трубку. Если хотите удостовериться, что все в порядке — перезвоните в банк самостоятельно по номеру, указанному на вашей карте.

Подробнее о Tool.RustDesk.1.origin

Подробнее о Android.FakeApp.1426

Индикаторы компрометации:

• помощникбанков[.]рф
• поддержкабанка[.]рф
• поддержка-банка[.]рф
• цбподдержка[.]рф
• поддержкацб[.]рф
• 24поддержка[.]рф

• sha1:2fcee98226ef238e5daa589fb338f387121880c6
• sha1:f28cb04a56d645067815d91d079b060089dbe9fe
• sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
• sha1:535ecea51c63d3184981db61b3c0f472cda10092
• sha1:ee406a21dcb4fe02feb514b9c17175ee95625213

https://news.drweb.ru/show/?i=14755&lng=ru&c=9

15 сентября 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в июле 2023 года пользователи сталкивались с рекламными троянскими программами семейства Android.HiddenAds на 33,48% чаще, чем в июне. При этом рекламные троянские программы семейства Android.MobiDash обнаруживались реже на 24,11%. По сравнению с предыдущим месяцем число атак шпионских троянских программ снизилось на 2,81%. В то же время активность банковских троянов увеличилась на 2,31%, а программам-вымогателей семейства Android.Locker — на 8,53%.

В каталоге Google Play были обнаружены новые угрозы. Среди них — троянская программа, с помощью которой злоумышленники пытались похитить у владельцев Android-устройств криптовалюту, а также очередные вредоносные приложения, подписывавшие жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3697

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.Pandora.7

Android.Pandora.5

Детектирование вредоносных приложений, скачивающих и устанавливающих троянскую программу-бэкдор Android.Pandora.2. Такие загрузчики злоумышленники часто встраивают в приложения для Smart TV, ориентированные на испаноязычных пользователей.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.SnoopPhone.1.origin

Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение и выполнять аудиозапись окружения.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут пытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Tool.ApkProtector.16.origin

Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Tool.Packer.3.origin

Детектирование Android-программ, код которых зашифрован и обфусцирован утилитой NP Manager.

Adware.Fictus.1.origin

Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Adware.ShareInstall.1.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.MagicPush.3

Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы пользователь видит рекламу.

Adware.AdPush.39.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.

Угрозы в Google Play

В июле 2023 года вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play троянскую программу Android.CoinSteal.105, предназначенную для кражи криптовалют. Злоумышленники пытались выдать ее за официальное приложение криптобиржи P2B, P2B official, распространяя под схожим именем — P2B Trade: Realize The P2Pb2b.

На следующем изображении слева представлен скриншот настоящей программы, справа — троянского приложения.

При этом подделку продвигали криптоблогеры, в результате чего число ее установок оказалось вдвое больше, чем у оригинала.

При запуске этот троян открывает в WebView заданный злоумышленниками сайт системы распределения трафика, с которого выполняется цепочка перенаправлений на другие ресурсы. На текущий момент троян загружает официальный сайт криптобиржи https://p2pb2b.com, однако целевыми потенциально могут быть и другие веб-сайты — мошеннические, содержащие рекламу и т. д.

После загрузки сайта криптобиржи Android.CoinSteal.105 внедряет в него JS-скрипты, с помощью которых подменяет адреса криптокошельков, вводимые пользователями для вывода криптовалют.

Кроме того, киберпреступники вновь распространяли через Google Play вредоносные программы, которые подписывали владельцев Android-устройств на платные услуги. Одной из них была троянская программа Android.Harly.80, скрывавшаяся в интерактивном приложении Desktop Pets – Lulu, которое предназначено для взаимодействия с виртуальным домашним питомцем.

Другие относились к семейству Android.Joker и были добавлены в вирусную базу Dr.Web как Android.Joker.2170, Android.Joker.2171 и Android.Joker.2176. Первый был встроен в программу Cool Charging Animation для отображения информации о зарядке батареи на экране блокировки. Второй скрывался в программе Smart Counter, предназначенной для записи действий и отслеживания хороших и плохих привычек. Третий распространялся под видом сборника изображений 4K HD Wallpaper для смены оформления фона домашнего экрана.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14746&lng=ru&c=9

15 сентября 2023 года

https://news.drweb.ru/show/?i=14749&lng=ru&c=9

13 сентября 2023 года

Компания «Доктор Веб» выявила новые версии троянов семейства Android.Spy.Lydia, которые выполняют ряд шпионских функций на зараженных устройствах с ОС Android, а также предоставляют злоумышленникам возможность удаленного управления с целью кражи персональной информации и денег. При этом трояны имеют защитный механизм, который проверяет, не запускаются ли они в эмуляторе или на тестовом устройстве. В таких случаях они прекращают работу.

Трояны распространяются через вредоносные сайты, маскирующиеся под финансовые организации — например, онлайн-биржи, основной аудиторией которых, по замыслу мошенников, призваны стать жители Ирана. Пример такого сайта — hxxp[:]//biuy.are-eg[.]com/dashbord.

Здесь потенциальной жертве предлагается ввести персональные данные: фамилию, имя, отчество, номер мобильного телефона, а также национальный идентификационный номер. После ввода запрашиваемой информации устройство открывает страницу hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php, на которой сообщается, что для доступа к торгам необходимо скачать и установить специальное программное обеспечение. Однако после нажатия на кнопку загрузки вместо ожидаемой благонадежной программы жертве отправляется одна из модификаций трояна Android.Spy.Lydia.1.

При запуске троян запрашивает с сайта hxxp[:]//teuoi[.]com ссылку на фишинговый сайт, который затем отображается на экране устройства посредством компонента WebView без запуска браузера. Полученная нами версия вредоносной программы открывала следующий URL: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php.

Фишинговая веб-страница, загруженная WebView, показана на скриншоте ниже:

Это форма для ввода национального идентификационного номера, на который впоследствии будет выполняться «выплата дивидендов». На этом шаге троян отправляет на управляющий сервер свой уникальный идентификатор и информацию об успешном заражении устройства.

После заражения троян подключается к удаленному хосту ws[:]//httpiamaloneqs[.]xyz:80 по протоколу WebSocket и ожидает поступления команд, которые отправляются всем зараженным устройствам одновременно. При этом каждая команда снабжена идентификатором того устройства, которому она адресована. На скриншоте ниже показаны команды, отправленные C&C-сервером ботнету.

Трояны семейства Android.Spy.Lydia способны выполнять следующие функции:

• собирать информацию об установленных приложениях,
• скрывать или показывать свой значок в списке приложений на домашнем экране,
• выключать звук на устройстве,
• передавать содержимое входящих СМС на сервер или на указанный номер,
• передавать на сервер содержимое буфера обмена,
• отправлять СМС произвольного содержания на заданные номера,
• передавать на сервер список контактов из телефонной книги,
• добавлять новые контакты в телефонную книгу,
• загружать заданные веб-сайты посредством компонента WebView.

Такие возможности позволяют злоумышленникам использовать это семейство троянов для перехвата СМС-сообщений, определения того, какими банковскими приложениями пользуется потенциальная жертва, и совершения мошеннических действий с банковскими счетами. Например, киберпреступники могут читать СМС от банков, чтобы узнать подробности о балансе счета и совершенных покупках, что позволяет им в дальнейшем с легкостью войти в доверие к пользователю. Также, используя технологию A2P (отправка СМС из приложений) и уязвимости протокола пересылки СМС, мошенники могут отправлять поддельные сообщения от имени банков, запрашивая выполнение каких-либо действий, что ставит безопасность банковских счетов под угрозу. Прочитав переписку жертвы, скамеры могут представиться кем-то из знакомых и попросить перевести деньги «в долг», помочь оплатить какой-то счет и т. п. Наконец, эти трояны позволяют обходить двухфакторную аутентификацию, предоставляя злоумышленникам полный доступ к банковскому счету после кражи соответствующих учетных данных.

К сожалению, такой тип атак резко набирает популярность: по данным Банка России число незаконных транзакций во втором квартале 2023 года выросло на 28,5%. За это время злоумышленникам удалось похитить 3,6 миллиарда рублей.

Компания «Доктор Веб» напоминает об опасности скачивания программного обеспечения из сомнительных источников, а также о необходимости проявлять осмотрительность при внезапных звонках или получении сообщений от банков и других организаций. Кроме того, мы настоятельно рекомендуем установить на устройство антивирус.

Антивирус Dr.Web Security Space для Android выявляет и обезвреживает троянов семейства Android.Spy.Lydia, защищая устройства наших пользователей, значительно затрудняя кражу личной информации и денег.

Индикаторы компрометации

Подробнее о Android.Spy.Lydia.1

https://news.drweb.ru/show/?i=14748&lng=ru&c=9

06 сентября 2023 года

Компания «Доктор Веб» выявила семейство троянских программ Android.Pandora, которое компрометирует устройства пользователей в процессе обновления прошивки или при установке приложений для нелегального просмотра видеоконтента. Обширные возможности по проведению DDoS-атак этот бэкдор унаследовал от своего предка — известного троянца Linux.Mirai.

Специалистам компании «Доктор Веб» поступили сообщения от нескольких пользователей о случаях изменения файлов в системной области. Монитор угроз отреагировал на наличие в файловой системе на устройствах следующих объектов:

• /system/bin/pandoraspearrk
• /system/bin/supervisord
• /system/bin/s.conf
• /system/xbin/busybox
• /system/bin/curl

Также было обнаружено изменение двух файлов:

• /system/bin/rootsudaemon.sh
• /system/bin/preinstall.sh

На разных устройствах изменялись разные файлы. Как выяснилось, скрипт, устанавливающий это вредоносное ПО, ищет системные сервисы, исполняемый код которых находится в .sh-файлах, и добавляет в них строчку, запускающую трояна:

• /system/bin/supervisord -c /system/bin/s.conf &

Это необходимо, чтобы троян закрепился в системе и запускался после перезагрузки устройства.

Особый интерес представляет обфусцированный файл с именем pandoraspearrk. После анализа он был добавлен в вирусную базу Dr.Web как бэкдор Android.Pandora.2. Основным его предназначением является использование зараженного устройства в составе ботнета для выполнения распределенных DDoS-атак. Файл supervisord — сервис, который контролирует статус исполняемого файла pandoraspearrk и в случае завершения его работы перезапускает бэкдор. Свои настройки supervisord получает из файла s.conf. Файлы busybox и curl являются обычными версиями одноименных утилит командной строки, которые присутствуют для обеспечения сетевых функций и работы с файловой системой. Файл rootsudaemon.sh запускает сервис daemonsu, обладающий root-привилегиями, и уже упомянутый supervisord с передачей ему параметров из s.conf. Программа preinstall.sh выполняет различные действия, заданные производителем устройства.

Данное вредоносное ПО направлено на пользователей устройств на базе Android TV, в первую очередь нижнего ценового сегмента. В частности, оно угрожает обладателям приставок Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 и ряда других.

Мы обнаружили, что этот троянец — модификация бэкдора Android.Pandora.10 (раньше назывался Android.BackDoor.334), содержавшегося во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3 от 3 декабря 2015 года. Вероятно, это обновление распространялось с различных сайтов, поскольку оно подписано публично доступными тестовыми ключами Android Open Source Project. Служба, которая запускает бэкдор, включена в загрузочный образ boot.img. На изображении ниже показан запуск вредоносного сервиса в файле init.amlogic.board.rc из boot.img.

Вторым вектором передачи бэкдоров семейства Android.Pandora является установка приложений с сайтов для нелегального стриминга фильмов и сериалов. Примерами таких ресурсов могут быть домены с именами типа youcine, magistv, latinatv и unitv, ориентированные на испаноязычных пользователей.

После установки и запуска приложения на устройстве незаметно для пользователя запускается сервис GoMediaService. После первого запуска приложения этот сервис автоматически стартует при загрузке устройства, вызывая программу gomediad.so. Рассматриваемая версия программы распаковывает ряд файлов, в том числе исполняемый classes.dex, который определяется антивирусом Dr.Web как объект Tool.AppProcessShell.1, представляющий собой командный интерпретатор с повышенными привилегиями. В дальнейшем программы на устройстве могут взаимодействовать с данной оболочкой командной строки через открытый порт 4521. На изображении ниже приведена структура файлов, созданных программой gomediad.so, которая детектируется как Android.Pandora.4, после ее запуска.

Среди распакованных файлов имеется .tmp.sh, который представляет собой установщик уже знакомого нам бэкдора Android.Pandora.2. После установки и запуска бэкдор получает адрес управляющего сервера из параметров командной строки или из файла, зашифрованного алгоритмом Blowfish. Обратившись к серверу, бэкдор скачивает файл hosts, заменяя им оригинальный системный файл, запускает процесс самообновления, после чего готов к приему команд.

Отправляя команды на зараженное устройство, злоумышленники могут запускать и останавливать DDoS-атаки по протоколам TCP и UDP, выполнять SYN, ICMP и DNS-flood, открывать reverse shell, монтировать системные разделы ОС Android TV на чтение и запись и т. д. Все эти возможности были реализованы за счёт использования кода троянца Linux.Mirai, который с 2016 года применялся для организации DDOS-атак на такие известные сайты как GitHub, Twitter, Reddit, Netflix, Airbnb и многие другие.

Компания «Доктор Веб» рекомендует обновлять операционную систему на ваших устройствах до самых последних доступных версий, которые закрывают имеющиеся уязвимости, а также скачивать программное обеспечение только из заслуживающих доверия источников: официальных сайтов или магазинов приложений.

Dr.Web Security Space для Android при наличии root-полномочий способен обезвредить Android.Pandora, а также приложения, в которые тот встроен. Если же на инфицированном устройстве root-привилегии недоступны, избавиться от вредоносной программы поможет установка чистого образа операционной системы, которую должен предоставить производитель оборудования.

Индикаторы компрометации

Подробнее о Android.Pandora.2 и Linux.Mirai

Подробнее о Android.Pandora.4

https://news.drweb.ru/show/?i=14743&lng=ru&c=9

27 июля 2023 года

Компания «Доктор Веб» выявила атаку на пользователей Windows с применением модульной троянской программы-загрузчика Trojan.Fruity.1. С ее помощью злоумышленники способны заражать компьютеры различными типами вредоносных приложений в зависимости от своих целей. Для сокрытия атаки и повышения шансов на ее успех используется ряд приемов. Среди них — многоступенчатый процесс заражения целевых систем, применение безобидных программ для запуска компонентов трояна, а также попытка обойти антивирусную защиту.

Уже примерно год компания «Доктор Веб» регистрирует обращения пользователей с жалобами на заражение Windows-компьютеров вредоносной программой-шпионом Remcos RAT (Trojan.Inject4.57973). В ходе расследования этих инцидентов наши специалисты вскрыли атаку, в которой главная роль отведена многокомпонентной троянской программе-загрузчику Trojan.Fruity.1. Для ее распространения злоумышленники создают вредоносные сайты, а также специально подготовленные установщики различных программ. Среди них — инструменты для тонкой настройки работы процессоров, видеокарт и BIOS, утилиты для проверки состояния компьютерного оборудования и ряд других. Такие установщики служат приманкой и содержат не только интересующее потенциальную жертву ПО, но и самого трояна вместе со всеми его компонентами.

При попытке скачать ту или иную программу с поддельного сайта посетитель перенаправляется на страницу файлообменного сервиса MEGA, где ему предлагается загрузить zip-архив с троянским пакетом.

Когда ничего не подозревающая жертва извлекает из архива исполняемый файл и запускает его, начинается стандартный процесс установки. Однако наряду с искомой безобидной программой, которая отвлекает внимание пользователя, на компьютер попадает и Trojan.Fruity.1. Вместе с другими компонентами он копируется в ту же папку, что и программа-приманка.

Одними из «модулей» трояна злоумышленники сделали легитимные программы. В рассматриваемом примере Trojan.Fruity.1 внедрен в одну из библиотек языка программирования Python, для запуска которой используется интерпретатор python.exe с действительной цифровой подписью. Кроме того, были выявлены случаи применения файлов медиаплеера VLC и среды виртуализации VMWare.

Ниже представлен список файлов, связанных с трояном:

• python39.dll — копия библиотеки из пакета Python с внедренным в нее вредоносным кодом;
• python.exe — оригинальный интерпретатор языка Python для запуска модифицированной библиотеки;
• idea.cfg — конфигурация с данными о расположении полезной нагрузки;
• idea.mp3 — зашифрованные модули трояна;
• fruit.png — зашифрованная полезная нагрузка.

После их извлечения из установщика начинается многоступенчатый процесс заражения системы. На следующем изображении представлена общая схема алгоритма работы Trojan.Fruity.1:

1 этап заражения

При запуске библиотеки python39.dll Trojan.Fruity.1 расшифровывает содержимое файла idea.mp3 и извлекает из него dll-библиотеку и шелл-код (код №1) для второй стадии. Он также считывает содержимое файла idea.cfg. Тот содержит строку с информацией о расположении полезной нагрузки, которую троян должен запустить. Полезная нагрузка может загружаться из интернета или располагаться на целевом компьютере локально. В данном случае используется локальный файл fruit.png, ранее извлеченный троянским установщиком.

2 этап заражения

Расшифрованный шелл-код (код №1) запускает командный интерпретатор cmd.exe в приостановленном состоянии. В память созданного процесса записывается информация о расположении полезной нагрузки (fruit.png), шелл-код для третьей стадии (код №2), а также контекст для его работы. Затем в образ расшифрованного на первом этапе dll-файла вносится патч, указывающий на адрес контекста в процессе. Далее происходит инжект этого dll-файла в процесс cmd.exe, после чего управление переходит библиотеке.

3 этап заражения

Инжектированная библиотека проверяет полученную строку с данными о расположении зашифрованной полезной нагрузки. Если строка начинается с аббревиатуры http, библиотека пытается скачать целевой файл из интернета. В противном случае она использует локальный файл. В данном случае библиотеке передается локальный путь до файла fruit.png. Это изображение перемещается во временный каталог, после чего запускается код №2 для его расшифровки. В файле fruit.png при помощи стеганографии скрыто два исполняемых файла (dll-библиотеки), а также шелл-код для инициализации следующей стадии (код №3).

4 этап заражения

После выполнения предыдущих шагов Trojan.Fruity.1 запускает код №3. С его помощью он пытается обойти детектирование антивирусами и помешать процессу своей отладки при анализе специалистами по информационной безопасности.

Троян пытается выполнить инжект в процесс msbuild.exe программы MSBuild. В случае неудачи попытка повторяется для процессов cmd.exe (командного интерпретатора Windows) и notepad.exe (программы «Блокнот»). В целевой процесс при помощи метода Process Hollowing внедряется одна из двух dll-бибилиотек, расшифрованных из изображения fruit.png, а также шелл-код для инициализации пятой стадии (код №4).

Затем во временном каталоге системы создается dll-файл со случайным названием, в который записывается содержимое расшифрованного исполняемого файла из того же изображения. Этот файл также инжектируется в целевой процесс. Однако при этом используется метод Process Doppelg"anging, с помощью которого оригинальный процесс приложения в памяти подменяется вредоносным. В рассматриваемом случае библиотека представляет собой троянскую программу-шпион Remcos RAT.

5 этап заражения

При помощи внедренных в библиотеку шелл-кода (код №4) и dll-библиотеки Trojan.Fruity.1 устанавливает приложение python.exe в автозагрузку операционной системы. Также он создает в системном планировщике задачу на его запуск. Кроме того, Trojan.Fruity.1 добавляет это приложение в список исключений на проверку встроенным антивирусом Windows. Далее шелл-код записывает в конец файла python39.dll случайные данные таким образом, чтобы у него изменилась хеш-сумма и тем самым тот отличался от оригинального файла из троянского установщика. Кроме того, он модифицирует метаданные библиотеки, изменяя дату и время ее создания.

Несмотря на то, что в настоящее время Trojan.Fruity.1 распространяет шпионскую программу Remcos RAT, с помощью него злоумышленники способны заражать компьютеры и другими вредоносными программами. При этом те могут как скачиваться из интернета, так и распространяться вместе с Trojan.Fruity.1 в составе троянских установщиков ПО. В результате у киберпреступников появляется больше возможностей для реализации различных сценариев атак.

Наши специалисты напоминают, что скачивать программное обеспечение необходимо только из заслуживающих доверия источников — с официальных сайтов разработчиков и из специализированных каталогов. Кроме того, для защиты компьютеров необходимо установить антивирус. Продукты Dr.Web успешно детектируют и удаляют троянскую программу Trojan.Fruity.1 и ее вредоносные компоненты, поэтому те не представляют опасности для наших пользователей.

Подробнее о Trojan.Fruity.1

Подробнее о Trojan.Inject4.57973

Индикаторы компрометации

https://news.drweb.ru/show/?i=14728&lng=ru&c=9

28 июня 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в мае 2023 года снизилась активность рекламных троянских программ семейств Android.HiddenAds и Android.MobiDash — на 9,04% и 6,3% соответственно. Вместе с тем число атак шпионских троянских приложений возросло на 120,53%. Чаще всего пользователи сталкивались с Android.Spy.5106 — шпионом, скрытым в некоторых неофициальных модификациях мессенджера WhatsApp. По сравнению с предыдущим месяцем число атак банковских троянских приложений снизилось на 55,33%, а программ-вымогателей — на 28,26%.

В мае специалисты компании «Доктор Веб» вновь обнаружили в каталоге Google Play вредоносные программы-подделки из семейства Android.FakeApp. Они распространялись под видом игр и могли загружать сайты онлайн-казино. Кроме того, были выявлены очередные троянские программы, подписывавшие пользователей на платные сервисы.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3697

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.7783

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.Spy.SpinOk.1

Детектирование приложений со встроенным маркетинговым SDK, которое предназначено для поддержания интереса пользователей к программам через систему заданий, мини-игр и якобы розыгрыши призов. Этот модуль обладает скрытыми шпионскими возможностями. Он собирает информацию о хранящихся на Android-устройствах файлах, способен передавать их злоумышленникам, а также может подменять и загружать содержимое буфера обмена на удаленный сервер.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.17.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут пытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.MagicPush.3

Adware.MagicPush.1

Рекламные модули, встраиваемые в Android-приложения. Они демонстрируют всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы пользователь видит рекламу.

Adware.AdPush.36.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.Inmobi.1

Детектирование некоторых версий рекламного SDK Inmobi, способных совершать телефонные звонки и добавлять события в календарь Android-устройств.

Угрозы в Google Play

В мае 2023 года вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play очередные вредоносные приложения семейства Android.FakeApp. Среди них — Android.FakeApp.1352, Android.FakeApp.1354, Android.FakeApp.1348, Android.FakeApp.1357, Android.FakeApp.1358, Android.FakeApp.1359 и Android.FakeApp.1360. Злоумышленники распространяли их под видом различных игр, однако вместо игровой функциональности эти программы-подделки могли загружать сайты онлайн-казино.

Пример работы одного из этих троянских приложений в игровом режиме и загрузки им сайта онлайн-казино:

Кроме того, в каталоге Google Play вновь были найдены троянские программы, подписывавшие жертв на платные услуги. Одной из них стала Android.Harly.66 — она скрывалась в приложении Screen Desktop Pet для интерактивной игры с анимированными персонажами. Другие распространялись под видом программы-металлоискателя Stud Finder, инструмента для поиска изображений Picture Search и коллекции стикеров для мессенджера WhatsApp под названием Relaxing Stickers. По классификации антивируса Dr.Web они получили имена Android.Joker.2117, Android.Joker.2118 и Android.Joker.2119 соответственно.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14718&lng=ru&c=9

28 июня 2023 года

Анализ статистики детектирований антивируса Dr.Web в мае 2023 года показал рост общего числа обнаруженных угроз на 1,24% по сравнению с апрелем. При этом число уникальных угроз снизилось на 8,25%. Наиболее часто пользователи вновь сталкивались с рекламными программами и троянскими приложениями различных семейств. В почтовом трафике массово распространялись применяемые в фишинг-атаках PDF-документы. Кроме того, через электронные письма киберпреступники рассылали вредоносные скрипты и программы, эксплуатирующие уязвимости в ПО Microsoft Office.

Число обращений пользователей за расшифровкой файлов снизилось на 0,27% по сравнению с предыдущим месяцем. Наиболее часто жертвы троянов-шифровальщиков сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35534.

В течение мая специалисты компании «Доктор Веб» вновь обнаружили в каталоге Google Play троянские программы семейства Android.FakeApp, которые злоумышленники применяют в различных мошеннических схемах. Кроме того, были выявлены очередные троянские программы, подписывающие пользователей на платные сервисы.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы мая:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Trojan.BPlug.4087

Trojan.BPlug.3814

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

PDF.Phisher.458

PDF.Phisher.455

PDF.Phisher.474

PDF.Phisher.467

PDF-документы, используемые в фишинговых email-рассылках.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Шифровальщики

В мае число запросов на расшифровку файлов, поврежденных троянскими программами-шифровальщиками, снизилось на 0,27% по сравнению с апрелем.

Наиболее распространенные энкодеры мая:

• Trojan.Encoder.26996 — 19.37%
• Trojan.Encoder.3953 — 15.71%
• Trojan.Encoder.35534 — 7.21%
• Trojan.Encoder.37400 — 3.60%
• Trojan.Encoder.34027 — 3.15%

Опасные сайты

В мае 2023 года злоумышленники продолжили рассылать нежелательные электронные письма со ссылками на различные мошеннические сайты — например, инвестиционной тематики. Так, интернет-аналитики компании «Доктор Веб» выявили очередные веб-ресурсы, предлагавшие пользователям заработать при помощи псевдоторговых автоматизированных систем Quantum System, Quantum UI, и т. п. Чтобы «получить доступ» к системе, потенциальные жертвы должны зарегистрировать учетную запись, указав персональные данные. Эта информация попадает в руки мошенников. Те могут перепродать ее на черном рынке, а также обманом вынудить пользователей доверить деньги якобы беспроигрышным алгоритмам торговли с высокой доходностью.

На скриншотах выше показаны примеры страниц одного из таких мошеннических сайтов. Посетителям предлагается регистрация, после чего запрашивается адрес электронной почты — якобы для получения дальнейших инструкций по использованию «продукции».

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в мае 2023 года по сравнению с апрелем пользователи реже сталкивались с рекламными троянскими программами. Кроме того, на защищаемых устройствах реже обнаруживались банковские трояны и вредоносные программы-вымогатели. В то же время значительно возросло число атак шпионских троянских приложений.

В течение месяца в каталоге Google Play были выявлены очередные угрозы. Среди них — мошеннические программы семейства Android.FakeApp, а также трояны семейств Android.Joker и Android.Harly, подписывающие пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в мае:

• снижение активности рекламных и банковских троянских программ, а также вредоносных приложений-вымогателей,
• рост активности шпионских троянских программ,
• появление очередных угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14719&lng=ru&c=9

14 июня 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в апреле 2023 года пользователи сталкивалась с рекламными троянскими программами семейства Android.HiddenAds на 16,13% реже, а с представителями семейства Android.MobiDash — на 40,42% чаще, чем в марте. При этом данный тип вредоносных приложений остается одним из наиболее распространенных для платформы Android.

На 27,89% сократилась активность шпионских троянских программ. Чаще всего на защищаемых устройствах вновь обнаруживались различные варианты трояна-шпиона (в том числе Android.Spy.5106 и Android.Spy.4498), скрытого в некоторых неофициальных модификациях мессенджера WhatsApp.

По сравнению с мартом количество атак банковских троянских программ возросло на 32,38%, а вредоносных приложений-вымогателей Android.Locker — на 14,83%.

В течение апреля вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные вредоносные приложения-подделки из семейства Android.FakeApp, которые злоумышленники использовали в различных мошеннических схемах. Кроме того, киберпреступники распространяли через Google Play троянскую программу из семейства Android.Joker — она подписывала жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.MobiDash.7783

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.HiddenAds.3597

Android.HiddenAds.3558

Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.17.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут пытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.MagicPush.1

Adware.MagicPush.3

Рекламные модули, встраиваемые в Android-приложения. Они демонстрируют всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы пользователь видит рекламу.

Adware.AdPush.36.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.Youmi.4

Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.

Угрозы в Google Play

В апреле 2023 года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play более 30 вредоносных программ семейства Android.FakeApp. Часть из них (Android.FakeApp.1320, Android.FakeApp.1329, Android.FakeApp.1331, Android.FakeApp.1336, Android.FakeApp.1340, Android.FakeApp.1347 и прочие) распространялась под видом приложений финансовой тематики. Например, различных справочников и пособий по инвестированию, инструментов для торговли, программ для участия в опросах и т. д. Однако их настоящей функцией была загрузка мошеннических сайтов, через которые злоумышленники пытались получить от потенциальных жертв персональные данные и похитить их деньги.

Другие программы этого типа распространялись под видом игр, например — Android.FakeApp.1322, Android.FakeApp.1326, Android.FakeApp.1330, Android.FakeApp.1334, Android.FakeApp.1337 и Android.FakeApp.26.origin. Вместо ожидаемой функциональности они могли загружать сайты онлайн-казино.

Примеры их двойственного поведения представлены ниже. В первом случае в них доступна игровая функциональность, во втором — происходит загрузка целевых сайтов.

Кроме того, наши специалисты выявили очередные мошеннические программы, которые злоумышленники выдавали за инструменты для поиска вакансий. Эти представители семейства Android.FakeApp, добавленные в вирусную базу Dr.Web как Android.FakeApp.1324 и Android.FakeApp.1307, предлагали пользователям указать персональные данные в специальной форме или связаться с «работодателями» через мессенджеры.

Вместе с тем злоумышленники распространяли через Google Play троянскую программу Android.Joker.2106, которая подписывала жертв на платные услуги. Она скрывалась в приложении для создания подписей и работы с ними.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14708&lng=ru&c=9

14 июня 2023 года

Анализ статистики детектирований антивируса Dr.Web в апреле 2023 года показал снижение общего числа обнаруженных угроз на 2,08% по сравнению с мартом. Число уникальных угроз при этом также снизилось — на 17,40%. Наиболее активными среди них вновь оказались рекламные программы и троянские приложения различных семейств. В почтовом трафике преобладали вредоносные скрипты и PDF-документы, применяемые в фишинг-атаках.

Число обращений пользователей за расшифровкой файлов снизилось на 13,75% по сравнению с предыдущим месяцем. Наиболее часто жертвы троянов-шифровальщиков вновь сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35534.

В течение апреля в каталоге Google Play было выявлено множество угроз. Среди них — троянские программы Android.FakeApp, используемые в мошеннических целях, а также вредоносное приложение из семейства Android.Joker, которое подписывало жертв на платные услуги.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы апреля:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Trojan.BPlug.4087

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

PDF.Phisher.455

PDF.Phisher.456

PDF.Phisher.458

PDF.Phisher.463

PDF-документы, используемые в фишинговых email-рассылках.

Шифровальщики

В апреле число запросов на расшифровку файлов, поврежденных троянскими программами-шифровальщиками, снизилось на 13,75% по сравнению с мартом.

Наиболее распространенные энкодеры апреля:

• Trojan.Encoder.26996 — 24.31%
• Trojan.Encoder.3953 — 19.92%
• Trojan.Encoder.35534 — 4.38%
• Trojan.Encoder.35209 — 3.59%
• Trojan.Encoder.11539 — 3.19%

Опасные сайты

В апреле 2023 года интернет-мошенники не оставляли попыток заманить пользователей на фишинговые сайты — например, на поддельные ресурсы интернет-магазинов. Так, для российских пользователей злоумышленники вновь организовывали спам-рассылки электронных писем с ненастоящими купонами на скидку якобы от имени магазина «М.Видео».

Для «покупки» понравившихся товаров посетители должны были указать персональные данные, а также данные банковской карты. На самом деле жертвы обмана лишь предоставляли злоумышленникам личную информацию и рисковали потерять деньги, «оплачивая» несуществующий товар.

Пример содержимого спам-письма с ложной информацией о промокоде на скидку и ссылкой на поддельный интернет-ресурс магазина:

Примеры страниц фишингового интернет-ресурса, имитирующего внешний вид настоящего сайта магазина, представлены ниже. Посетителям предлагается указать персональную информацию и «оплатить» заказ.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в апреле 2023 года рекламные троянские программы вновь стали одними из наиболее распространенных Android-угроз. По сравнению с мартом пользователи чаще сталкивались с программами-вымогателями, а также банковскими троянскими приложениями. Вместе с тем наблюдалось снижение активности шпионских троянских программ.

В течение апреля в каталоге Google Play были выявлены очередные угрозы. Среди них — программы-подделки из семейства Android.FakeApp, применяемые в различных мошеннических схемах, а также представитель опасного семейства Android.Joker, подписывавший жертв на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:

• рекламные троянские программы остаются одними из наиболее распространенных Android-угроз,
• рост активности банковских троянских программ и приложений-вымогателей,
• распространение угроз через каталог Google Play.

Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14709&lng=ru&c=9

13 июня 2023 года

Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На данный момент с его помощью злоумышленникам удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.

В конце мая 2023 года в компанию «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный нашими специалистами анализ подтвердил факт присутствия троянских программ в системе —стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» успешно локализовала все эти угрозы и справилась с их обезвреживанием.

В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально. Дальнейшее исследование позволило выявить несколько таких зараженных сборок Windows:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Все они были доступны для скачивания на одном из торрент-трекеров, однако нельзя исключать, что злоумышленники используют и другие сайты для распространения инфицированных образов системы.

Вредоносные программы в этих сборках расположены в системном каталоге:

• \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
• \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
• \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа Trojan.MulDrop22.7578:

%SystemDrive%\Windows\Installer\iscsicli.exe

Ее задача — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.

В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.

Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется ряд ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.

Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для специалистов по информационной безопасности.

По подсчетам наших вирусных аналитиков, на момент публикации этой новости с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме $18 976,29 или 1 568 233 рубля.

Компания «Доктор Веб» рекомендует пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей. Антивирус Dr.Web успешно обнаруживает и нейтрализует Trojan.Clipper.231 и связанные с ним вредоносные приложения, поэтому для наших пользователей эти троянские программы опасности не представляют.

Подробнее о Trojan.Clipper.231

Подробнее о Trojan.MulDrop22.7578

Подробнее о Trojan.Inject4.57873

Индикаторы компрометации

https://news.drweb.ru/show/?i=14712&lng=ru&c=9

https://news.drweb.ru/show/?i=14705&lng=ru&c=9

17 мая 2023 год

Анализ статистики детектирований антивируса Dr.Web в марте 2023 года показал рост общего числа обнаруженных угроз на 21,39% по сравнению с февралем. Число уникальных угроз при этом увеличилось на 46,64%. Чаще всего пользователи сталкивались с рекламными приложениями, а также со всевозможными троянскими программами. В почтовом трафике наиболее часто выявлялись вредоносные скрипты и программы, эксплуатирующие уязвимости в ПО Microsoft Office.

Число обращений пользователей за расшифровкой файлов возросло на 7,3% по сравнению с предыдущим месяцем. Наиболее часто жертвы троянов-шифровальщиков сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35534.

Вместе с тем специалисты компании «Доктор Веб» обнаружили в каталоге Google Play свыше 60 вредоносных приложений из семейства Android.FakeApp, которые злоумышленники использовали в различных мошеннических схемах.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы марта:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Trojan.BPlug.4087

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

Trojan.Inject4.30942

Детектирование программного упаковщика, применяемого для защиты вредоносного приложения-кейлоггера.

Шифровальщики

В марте число запросов на расшифровку файлов, поврежденных троянами-шифровальщиками, увеличилось на 7,3% по сравнению с февралем.

• Trojan.Encoder.26996 — 20.00%
• Trojan.Encoder.3953 — 15.82%
• Trojan.Encoder.35534 — 10.15%
• Trojan.Encoder.35209 — 2.99%
• Trojan.Encoder.34027 — 2.39%

Опасные сайты

В марте 2023 года интернет-аналитики компании «Доктор Веб» вновь зафиксировали активность мошенников, пытавшихся заманить пользователей на поддельные сайты инвестиционной тематики, например — якобы аффилированные с известными компаниями. На таких сайтах потенциальным жертвам предлагается получить доступ к неким инвестиционным платформам, которые якобы позволяют быстро и без рисков получить доход от вложений. На самом деле злоумышленники вводят пользователей в заблуждение: они собирают персональную информацию и вовлекают жертв в различные мошеннические схемы, участие в которых может привести к потере денег.

На скриншотах выше представлены примеры страниц одного из таких сайтов. Вначале посетителю предлагается получить «доступ» к платформе, для чего требуется пройти формальный опрос. Далее у него запрашивается персональная информация. В конце на сайте появляется сообщение о том, что пользователь успешно прошел регистрацию, и что с ним в дальнейшем свяжется «эксперт».

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в марте 2023 года наиболее распространенными угрозами по-прежнему оставались рекламные троянские приложения семейства Android.HiddenAds. Кроме того, пользователи чаще сталкивались с банковскими троянскими приложениями, а также с программами-вымогателями. Вместе с тем на защищаемых Android-устройствах реже встречалось шпионское вредоносное ПО.

В течение прошлого месяца наши вирусные аналитики выявили в каталоге Google Play десятки троянских программ-подделок из семейства Android.FakeApp. Они распространялись под видом безобидных игр и приложений, однако их основной задачей была загрузка тех или иных сайтов, в том числе мошеннических. Кроме того, наши специалисты выявили случаи заражения защищенного системного раздела одной из моделей ТВ-приставок на базе ОС Android опасным бэкдором Android.Pandora.2, который по команде атакующих способен выполнять различные вредоносные действия.

Наиболее заметные события, связанные с «мобильной» безопасностью в марте:

• рост активности рекламных троянских программ,
• рост числа атак банковских троянских приложений и программ-вымогателей,
• выявление случаев заражения системного раздела одной из моделей телевизионных Android-приставок опасным бэкдором,
• обнаружение очередных угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14694&lng=ru&c=9

17 мая 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в марте 2023 года одними из наиболее распространенных угроз вновь стали рекламные троянские приложения, представленные семействами Android.HiddenAds и Android.MobiDash. Активность первых осталась на уровне прошлого месяца и выросла на незначительные 0,16%, в то время как вторые активизировались более заметно — на 11,89%. Реже (на 5,01%) детектировались шпионские троянские программы, существенную долю которых в очередной раз составили различные варианты трояна, скрытого в некоторых неофициальных модификациях мессенджера WhatsApp.

Количество атак банковских троянских приложений увеличилось на 78,47%. Чаще всего пользователи сталкивались с представителями семейства Android.BankBot, на которые пришлось 73,06% детектирований угроз этого типа. В то же время на 0,47% выросла активность вредоносных программ-вымогателей Android.Locker.

Вместе с тем в течение марта вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных программ из семейства Android.FakeApp, которые злоумышленники использовали в различных мошеннических схемах. Кроме того, были выявлены случаи заражения защищенного системного раздела одной из моделей ТВ-приставок на базе ОС Android опасным бэкдором Android.Pandora.2, способным по команде выполнять различные вредоносные действия.

Мобильная угроза месяца

В марте вирусные аналитики компании «Доктор Веб» выявили случаи заражения системного раздела одной из моделей телевизионных Android-приставок троянским приложением-бэкдором Android.Pandora.2. Установленный на затронутых устройствах антивирус Dr.Web зафиксировал появление новых файлов в защищенной системной области. Среди них была и указанная вредоносная программа. По команде злоумышленников Android.Pandora.2 способен модифицировать или полностью подменять системный файл hosts, отвечающий за преобразование доменных имен в соответствующие им IP-адреса, осуществлять DDoS-атаки, загружать и устанавливать собственные обновления, а также выполнять другие действия.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3597

Android.HiddenAds.3558

Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Clipper.7

Детектирование некоторых версий официальных приложений онлайн-магазинов SHEIN и ROMWE - Ultimate Cyber Mall, имеющих потенциально опасную функцию копирования информации из буфера обмена, свойственную клиперам. Затронутые варианты программ отслеживают содержимое буфера и при появлении в нем заданной последовательности символов, характерной для определенных URL-адресов, передают соответствующие строки на удаленный сервер.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.17.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.Androlua.1.origin

Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.AdPush.36.origin

Adware.Adpush.19599

Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, данные модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Adware.SspSdk.1.origin

Adware.AdSpam.1

Специализированный рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует рекламу, когда содержащие его программы закрыты. В результате пользователям сложнее определить источник надоедливых объявлений.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В марте 2023 года специалисты компании «Доктор Веб» выявили в каталоге Google Play десятки новых троянских приложений из семейства Android.FakeApp. Они распространялись под видом различных полезных программ, но в действительности основной их задачей была загрузка всевозможных сайтов. Многие из них — например, Android.FakeApp.1251, Android.FakeApp.1254, Android.FakeApp.1257, Android.FakeApp.1258, Android.FakeApp.1260 и Android.FakeApp.1294 — злоумышленники вновь выдавали за программы финансовой тематики, такие как справочники и обучающие пособия, инструменты для доступа к инвестиционным платформам и торговли различными активами, программы для ведения домашней бухгалтерии, участия в опросах и т. д. Такие приложения-подделки могли загружать мошеннические сайты, где пользователям предлагалось указать персональную информацию и зарегистрировать учетную запись — якобы для доступа к инвестиционным сервисам.

Другие подобные приложения вновь распространялись под видом всевозможных игр. Например, Android.FakeApp.1252, Android.FakeApp.1255, Android.FakeApp.1268, Android.FakeApp.1272, Android.FakeApp.1278, Android.FakeApp.1280, Android.FakeApp.1297 и ряд других. Вместо ожидаемой функциональности они могли загружать сайты онлайн-казино.

Примеры запуска такими троянскими программами игрового режима:

Примеры загружаемых ими сайтов онлайн-казино:

Наши специалисты также обнаружили очередные программы-подделки, которые мошенники выдавали за приложения для поиска работы. Они загружали сайты со списками поддельных вакансий. При выборе понравившейся «вакансии» потенциальным жертвам предлагалось указать в специальной форме персональные данные или связаться с «работодателем» через мессенджеры — например, WhatsApp. Антивирус Dr.Web детектирует эти вредоносные приложения как Android.FakeApp.1133 и Android.FakeApp.23.origin.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14695&lng=ru&c=9

6 апреля 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в феврале 2023 года возросла активность рекламных троянских приложений семейства Android.HiddenAds — на 26,95% по сравнению с январем. В то же время на 7,27% снизилась активность рекламных вредоносных программ Android.MobiDash.

Реже на защищаемых Dr.Web устройствах выявлялись банковские троянские приложения и программы-вымогатели — на 70,57% и 14,63% соответственно. Кроме того, на 33,93% снизилась активность шпионских троянских приложений, наиболее распространенными среди которых стали различные варианты трояна, атакующего пользователей некоторых неофициальных модификаций мессенджера WhatsApp.

В течение февраля вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play свыше 70 вредоносных приложений. Большинство принадлежало к семейству мошеннических программ Android.FakeApp. Были среди них и троянские приложения, которые подписывали жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Android.Spy.4498

Детектирование различных вариантов трояна, который представляет собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Эта вредоносная программа может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3558

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.7422

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.17.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.13.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Adware.AdPush.36.origin

Adware.Adpush.19599

Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, данные модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Adware.SspSdk.1.origin

Специализированный рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует рекламу, когда содержащие его программы закрыты. В результате пользователям сложнее определить источник надоедливых объявлений.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.Fictus.1.origin

Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Угрозы в Google Play

В феврале 2023 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные вредоносные приложения, подписывавшие владельцев Android-устройств на платные услуги. Так, троянские программы семейства Android.Subscription — Android.Subscription.19 и Android.Subscription.20 — распространялись под видом сборника изображений WPHD - Wallpapers 4K и утилиты для восстановления удаленных файлов Back File.

Вредоносные приложения этого типа при запуске загружают сайты платных сервисов и пытаются оформить подписку либо автоматически, либо предлагая пользователям указать номер мобильного телефона. Ниже представлены примеры веб-сайтов, которые обнаруженные троянские программы загружали с целью оформления платной подписки:

А новые представители семейства Android.Joker, получившие имена Android.Joker.2038 и Android.Joker.2039, скрывались в приложении Photo Safe для защиты файлов от несанкционированного доступа и в программе Home Security Camera, которая позволяла управлять камерами наблюдения через смартфон или использовать само устройство в режиме видеонаблюдения. Эти вредоносные программы загружают сайты целевых сервисов незаметно, после чего самостоятельно подключают жертв к платным услугам.

Кроме того, наши специалисты обнаружили десятки программ-подделок семейства Android.FakeApp, которые распространялись под видом разнообразного ПО. Многие из них злоумышленники выдавали за всевозможные приложения финансовой тематики — справочники и обучающие пособия, программы для прохождения опросов, торговли и просмотра данных о котировках, инструменты для ведения домашней бухгалтерии и т. д. Среди них — Android.FakeApp.1219, Android.FakeApp.1220, Android.FakeApp.1221, Android.FakeApp.1226, Android.FakeApp.1228, Android.FakeApp.1229, Android.FakeApp.1231, Android.FakeApp.1232, Android.FakeApp.1241 и другие.

Если пользователи устанавливали их при переходе по специальной ссылке (например, из рекламного объявления), то при запуске программ загружались мошеннические сайты. На них потенциальным жертвам предлагалось пройти небольшой опрос и получить доступ к «инвестиционной платформе», зарегистрировав учетную запись с указанием персональных данных. Если же установка программ была органической (то есть пользователи находили и устанавливали такие подделки по собственной инициативе), некоторые из них вместо загрузки сайтов мошенников демонстрировали ожидаемую функциональность.

Примеры загружаемых ими мошеннических сайтов:

Ряд программ злоумышленники преподносили в качестве приложений спортивной тематики или официального ПО букмекерских контор.

Некоторые из них (Android.FakeApp.1192, Android.FakeApp.1193, Android.FakeApp.1194, Android.FakeApp.22.origin, Android.FakeApp.1195, Android.FakeApp.1196 и другие) выполняли проверку устройств, на которых работали. Если они обнаруживали, что эти устройства тестовые (например, с отсутствующей SIM-картой или модели линейки Nexus), то активировали безобидную функциональность — запускали игры, викторины (так называемые квизы), загружали спортивные таблицы, информацию о матчах и т. д. В противном случае они открывали в WebView или браузере сайты, адреса которых получали из базы данных Firebase. Другие такие программы-подделки (Android.FakeApp.1197, Android.FakeApp.1198, Android.FakeApp.1199, Android.FakeApp.1200, Android.FakeApp.1201, Android.FakeApp.1202, Android.FakeApp.1204, Android.FakeApp.1209, Android.FakeApp.1212 и другие) соединялись с удаленным сервером, который принимал решение о запуске скрытых безобидных функций или загрузке того или иного сайта. А троянская программа Android.FakeApp.1203 получала ссылки для загрузки сайтов из облачного сервиса Firebase Remote Config. Ниже представлены примеры работы этих программ.

Запуск игр и загрузка таблицы футбольных матчей:

Те же самые приложения загружают сайты букмекеров:

Распространявшиеся под видом игр программы-подделки Android.FakeApp.1222, Android.FakeApp.1224, Android.FakeApp.1225 и Android.FakeApp.1235 вместо игровой функциональности могли загружать в браузере Google Chrome сайты онлайн-казино.

Пример работы одной из них в режиме игры:

Примеры загружаемых ими веб-страниц:

Была среди выявленных подделок и очередная программа, которая распространялась под видом инструмента поиска работы и загружала мошеннические сайты со списком ненастоящих вакансий. Когда пользователи выбирали одно из объявлений, им предлагалось либо оставить свои контактные данные, заполнив специальную форму, либо связаться с «работодателем» напрямую через мессенджер. Эта подделка является одной из модификаций троянского приложения, известного с конца 2022 года, и детектируется Dr.Web как Android.FakeApp.1133.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14687&lng=ru&c=9