Android-троянцы научились внедряться в системные процессы |
5 февраля 2016 года
Этот набор состоит из трех действующих совместно троянцев, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 соответственно. Первый из них загружается с помощью библиотеки liblokih.so, детектируемой Антивирусом Dr.Web для Android под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов троянцем Android.Loki.3 — в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system. Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: например, троянец может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход. Среди других возможностей Android.Loki.1.origin стоит отметить следующие:
Вторая вредоносная программа из обнаруженного аналитиками «Доктор Веб» комплекта — Android.Loki.2.origin — предназначена для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Однако обладает этот троянец и шпионскими функциями — при запуске он собирает и отправляет злоумышленникам следующую информацию:
После отправки этой информации на управляющий сервер троянец получает в ответ конфигурационный файл, содержащий необходимые для его работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к управляющему серверу для получения заданий и во время каждого сеанса связи дополнительно передает злоумышленникам следующие данные:
В ответ Android.Loki.2.origin получает задание либо на установку того или иного приложения (они в том числе могут загружаться из каталога Google Play), либо на отображение рекламы. Нажатие на демонстрируемые троянцем уведомления может привести либо к переходу на определенный сайт, либо к установке приложения. Также по команде киберпреступников Android.Loki.2.origin отсылает на управляющий сервер следующие сведения:
Наконец, Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянцев семейства Android.Loki. Фактически, Android.Loki.3 играет роль сервера для выполнения шелл-скриптов: киберпреступники передают троянцу путь к сценарию, который следует выполнить, и Android.Loki.3 запускает этот скрипт.
Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа, при обнаружении на устройстве любой из таких вредоносных программ самый оптимальный способ ликвидировать последствия заражения – перепрошивка устройства с использованием оригинального образа ОС. Перед выполнением этой процедуры рекомендуется сделать резервную копию всей хранящейся на инфицированном смартфоне или планшете важной информации, а неопытным пользователям следует доверить эту манипуляцию специалисту.
http://feedproxy.google.com/~r/drweb/viruses/~3/JHsoqTEBJpY/
|
|
Десятки игр из Google Play содержат Android-троянца |
28 января 2016 года
Вирусописатели встроили данного троянца в более чем 60 игр, которые затем разместили в каталоге Google Play от имени более чем 30 разработчиков, в частности Conexagon Studio, Fun Color Games, BILLAPPS и многих других. Компания «Доктор Веб» уже оповестила корпорацию Google о данном инциденте, на момент публикации заражённые игры ещё оставались в Google Play - рекомендуется не скачивать игры из каталога в ближайшие часы на устройствах, не защищённых антивирусом.
На первый взгляд, выявленные программы мало чем отличаются от множества других подобных приложений – несмотря на то, что качество их весьма посредственное, после запуска они все же предоставляют владельцам Android-смартфонов и планшетов заявленный функционал. Однако если бы пользователи заранее знали о скрытом в них троянце, они вряд ли согласились бы на инсталляцию данного ПО.
Android.Xiny.19.origin передает на сервер информацию об IMEI-идентификаторе и MAC-адресе зараженного устройства, версии и текущем языке ОС, наименовании мобильного оператора, доступности карты памяти, имени приложения, в которое встроен троянец, а также находится ли соответствующая программа в системном каталоге.
Однако главная опасность Android.Xiny.19.origin заключается в том, что по команде злоумышленников он может скачивать и динамически запускать произвольные apk-файлы. При этом данная функция троянца реализована весьма интересным способом. В частности, для маскировки вредоносного объекта вирусописатели прячут его в специально созданных изображениях, фактически применяя метод стеганографии. В отличие от криптографии, когда исходная информация шифруется, а сам по себе факт шифрования может вызвать подозрение, стеганография позволяет скрывать те или иные данные незаметно. Судя по всему, находчивые вирусописатели подобным образом решили усложнить жизнь вирусным аналитикам с расчетом на то, что они не обратят внимания на внешне безобидные картинки.
Получив от управляющего сервера нужное изображение, Android.Xiny.19.origin при помощи специального алгоритма извлекает из него спрятанный apk-файл, который в дальнейшем запускает на исполнение.
Android.Xiny.19.origin обладает и другими вредоносными функциями. В частности, троянец может загружать и предлагать владельцу зараженного устройства установить различное ПО, а при наличии в системе root-доступа и вовсе инсталлировать и удалять приложения без ведома пользователя. Помимо этого, вредоносная программа способна показывать всевозможную навязчивую рекламу.
В настоящее время Android.Xiny.19.origin не имеет функционала для получения root-полномочий. Однако, учитывая то, что одним из основных предназначений троянца является установка ПО, ничто не мешает киберпреступникам отдать ему команду на загрузку набора эксплойтов с тем, чтобы вредоносная программа получила необходимые права и начала незаметно инсталлировать и даже удалять программы.
Специалисты компании «Доктор Веб» призывают владельцев мобильных Android-устройств не устанавливать сомнительное ПО, даже если оно находится в официальном каталоге Google Play. Все приложения, которые содержат троянца Android.Xiny.19.origin, успешно детектируются и обезвреживаются антивирусными продуктами Dr.Web для Android, поэтому наши пользователи надежно защищены от этой угрозы.
Подробнее о вредоносной программе
http://feedproxy.google.com/~r/drweb/viruses/~3/I5_acsCd0n0/
|
|
Обнаружен многофункциональный бэкдор для Linux |
22 января 2016 года
Данная вредоносная программа, добавленная в вирусные базы Dr.Web под именем Linux.BackDoor.Xunpes.1, состоит из дроппера и собственно бэкдора, выполняющего на зараженном устройстве основные шпионские функции.
Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free Pascal и при запуске демонстрирует следующее диалоговое окно, в котором содержится упоминание устройств, предназначенных для выполнения операций с криптовалютой Bitcoin:
В теле данного дроппера в незашифрованном виде хранится второй компонент троянца — бэкдор, который при запуске дроппера сохраняется в папку /tmp/.ltmp/. Именно он выполняет основные вредоносные функции на зараженном устройстве.
Бэкдор, написанный на языке С, при запуске расшифровывает конфигурационный файл с помощью зашитого в его тело ключа. Среди параметров конфигурации этого компонента вредоносной программы — список управляющих серверов и прокси-серверов, используемых в процессе соединения, а также иные данные, необходимые для работы программы. После этого троянец соединяется с управляющим сервером и ожидает поступления команд от злоумышленников.
Всего Linux.BackDoor.Xunpes.1 способен выполнять более 40 команд, среди которых — директива включения функции сохранения нажатий пользователем клавиш (кейлоггинг), загрузки и запуска файла, путь и аргументы которого приходят с удаленного сервера (при этом сам бэкдор завершается), передачи злоумышленникам имен файлов в заданной директории, загрузки на управляющий сервер выбранных файлов, создания, удаления, переименования файлов и папок, создания снимков экрана (скриншотов), выполнения команд bash, а также многие другие.
Сигнатура троянца Linux.BackDoor.Xunpes.1 добавлена в вирусные базы Dr.Web, и потому пользователи Антивируса Dr.Web для Linux надежно защищены от этой угрозы.
Подробнее о вредоносной программе
http://feedproxy.google.com/~r/drweb/viruses/~3/F95xXNAPrfM/
|
|
Опасный троянец обнаружен в прошивке Android-смартфона Philips s307 |
20 января 2016 года
Первая информация об Android.Cooee.1 появилась еще в октябре 2015 года, когда эта вредоносная программа была выявлена на нескольких бюджетных Android-смартфонах от, мягко говоря, не самых именитых брендов. Новый случай обнаружения данного троянца показал, что аппетит неизвестных злоумышленников постепенно растет: опасное приложение было обнаружено на мобильном устройстве Philips s307. Специалисты компании «Доктор Веб» оповестили об этом инциденте производителя, который в настоящее время рассматривает возможные пути решения возникшей проблемы.
Android.Cooee.1 представляет собой созданную вирусописателями программу-лаунчер (графическую оболочку ОС Android), которая помимо основных функций, обычно выполняемых подобными приложениями, показывает обильную навязчивую рекламу, а также загружает и устанавливает всевозможное ПО. В частности, Android.Cooee.1 умеет показывать рекламу в панели уведомлений, отображать ее на весь экран или в виде отдельных баннеров поверх работающих приложений, демонстрировать рекламные видеоролики и анимацию на главном экране ОС. Стоит отметить, что троянец начинает вредоносную деятельность не сразу после первого включения инфицированной системы, а лишь по прошествии определенного периода, заданного злоумышленниками. В результате владельцы зараженного устройства могут подумать, что причиной появления рекламы стали программы, которые они успели установить за время использования смартфона, и настоящий источник навязчивых уведомлений останется необнаруженным.
В то же время, т. к. Android.Cooee.1 фактически является системной программой, инсталляция скачиваемого им ПО проходит скрытно от пользователей. При этом ассортимент загружаемых приложений может быть чрезвычайно широким: от безобидных игр и браузеров до всевозможных троянцев, таких как СМС-сендеры, загрузчики и даже банкеры, которые могут незаметно похитить деньги со счетов пользователей.
Поскольку предустановленный на Philips s307 троянец находится непосредственно в прошивке смартфона, сброс к заводским параметрам не поможет избавиться от Android.Cooee.1. Одним из возможных способов очистки зараженной системы от вредоносного приложения является предварительное получение в ней root-доступа. Однако даже если пользователю удастся это сделать, простое удаление Android.Cooee.1 с устройства приведет к неработоспособности последнего, т. к. программа-лаунчер, в которой находится троянец, отвечает за нормальную загрузку ОС. По этой причине перед удалением вредоносного приложения необходимо установить альтернативный лаунчер и настроить его запускающимся по умолчанию. Тем не менее, получение root-доступа означает потерю официальной гарантии производителя, а любые неумелые манипуляции с Android-прошивкой и системными файлами сопровождаются серьезным риском получить полностью нерабочее мобильное устройство. Таким образом, для большинства пострадавших от Android.Cooee.1 пользователей наиболее безопасным решением будет обращение напрямую к производителю инфицированного смартфона с просьбой исправить ситуацию и выпустить обновление прошивки, в которой троянец уже будет отсутствовать.
Данный случай наглядно показывает, что соблюдение базовых правил безопасности, таких как установка приложений из надежных источников, постепенно становится недостаточным, т. к. злоумышленники все чаще внедряют вредоносные программы непосредственно на Android-устройства, которые можно купить не только в Интернете, но и в обычном магазине. В этой связи специалисты компании «Доктор Веб» советуют владельцам Android-смартфонов и планшетов использовать надежный антивирус, который сможет не только предотвратить проникновение различных вредоносных и нежелательных программ в систему, но и обнаружить предустановленное в ОС Android вредоносное ПО.
http://feedproxy.google.com/~r/drweb/viruses/~3/66DkobPDHOQ/
|
|
Троянец для Linux делает скриншоты |
19 января 2016 года
После своего запуска Linux.Ekoms.1 проверяет наличие в одной из подпапок домашней директории пользователя файлов с заранее заданными именами и при их отсутствии сохраняет собственную копию в одной из них (выбор осуществляется случайным образом), а затем запускается из новой локации. После успешного запуска троянец соединяется с одним из управляющих серверов, адреса которых «зашиты» в его теле. Все данные, которыми Linux.Ekoms.1 обменивается с управляющим центром, шифруются.
С периодичностью в 30 секунд троянец делает на зараженном компьютере снимок экрана (скриншот) и сохраняет его во временную папку в формате JPEG. Если поместить файл на диск по каким-либо причинам не удалось, Linux.Ekoms.1 пытается выполнить сохранение в формате BMP. Содержимое временной папки загружается на управляющий сервер по таймеру с определенными временными интервалами.
Один из создаваемых троянцем потоков в ОС Linux генерирует на инфицированном компьютере список фильтров для имен файлов вида "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst", поиск по которым осуществляется во временной папке, и загружает подходящие под эти критерии файлы на управляющий сервер. Если в ответ поступает строка uninstall, Linux.Ekoms.1 загружает с сервера злоумышленников исполняемый файл, сохраняет его во временную папку и запускает оттуда. Также троянец обладает возможностью загрузки с управляющего сервера других произвольных файлов и их сохранения на диске компьютера.
Помимо функции создания снимков экрана в коде троянца присутствует специальный механизм, позволяющий записывать звук и сохранять полученную запись в файл с расширением .aat в формате WAV, но практически эта возможность нигде не используется. Сигнатура Linux.Ekoms.1 добавлена в вирусные базы, и потому этот троянец не представляет опасности для пользователей Антивируса Dr.Web для Linux.
Подробнее о вредоносной программе
http://feedproxy.google.com/~r/drweb/viruses/~3/d8hYtN_AAD8/
|
|
В новом году — новый шифровальщик для Linux |
12 января 2016 года
Судя по всему, вирусописатели вняли советам одной западной антивирусной компании, подробно указавшей в своих публикациях на допущенные авторами в коде Linux.Encoder.1 ошибки, и оперативно устранили их. Как и предыдущие версии Linux.Encoder, этот троянец проникает в домашнюю папку веб-сайтов с использованием шелл-скрипта, который злоумышленники внедряют в различные системы управления контентом с использованием неустановленных уязвимостей. Linux.Encoder.3 не требует для своей работы привилегий суперпользователя Linux — троянец запускается с правами веб-сервера, которых ему вполне достаточно для того, чтобы зашифровать все файлы в домашней директории сайта. На сегодняшний день в компанию «Доктор Веб» уже обратилось несколько пострадавших от действия Linux.Encoder.3 владельцев интернет-ресурсов.
Вирусописатели изменили используемый троянцем алгоритм шифрования (с учетом советов и рекомендаций, озвученных упоминавшейся ранее антивирусной компанией), однако расширение зашифрованных файлов осталось прежним — .encrypted. Существенным отличием от предыдущих версий шифровальщика является то обстоятельство, что Linux.Encoder.3 способен запоминать дату создания и изменения исходного файла и подменять ее для измененных им файлов значениями, которые были установлены до шифрования. Каждый экземпляр вредоносной программы использует собственный уникальный ключ шифрования, создаваемый на основе характеристик шифруемых файлов и значений, сгенерированных случайным образом.
Ряд архитектурных особенностей Linux.Encoder.3 позволяет успешно расшифровывать файлы, поврежденные в результате действия этой вредоносной программы. Однако в связи с тем, что упоминавшаяся ранее антивирусная компания вновь опубликовала исследование троянца, содержащее подробную информацию о его «слабых местах», этими сведениями могут воспользоваться злоумышленники с целью модернизации шифровальщика. В ближайшее время с большой долей вероятности можно ожидать появления очередной версии Linux.Encoder, модифицированной с целью затруднить расшифровку поврежденных данной вредоносной программой файлов.
Если ваши файлы стали недоступны в результате проникновения Linux.Encoder.3, выполните следующие действия:
Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.
http://feedproxy.google.com/~r/drweb/viruses/~3/a0vArC3TgVw/
|
|
Обзор вирусной активности для мобильных устройств за 2015 год |
30 декабря 2015 года
Последние 12 месяцев стали очередным непростым периодом для владельцев смартфонов и планшетов. Как и прежде, киберпреступники уделили пристальное внимание пользователям устройств под управлением ОС Android, поэтому большая часть обнаруженных в 2015 году «мобильных» вредоносных и нежелательных программ предназначалась именно для этой платформы. В частности, заметную активность проявили всевозможные банкеры, возросло число Android-вымогателей, рекламных модулей и СМС-троянцев. Кроме того, участились случаи обнаружения предустановленного вредоносного ПО в прошивках ОС Android. Серьезной угрозой стало появление большого количества троянцев, которые пытались получить на мобильных Android-устройствах root-доступ и заразить системный каталог разнообразными руткитами. Вместе с тем злоумышленники не обошли стороной и приверженцев продукции компании Apple – для смартфонов и планшетов на базе iOS в течение 2015 года также было выявлено немало опасного ПО.
В 2015 году злоумышленники продолжили атаковать мобильные устройства, работающие под управлением ОС Android, при этом главной целью киберпреступников по-прежнему оставалось получение прибыли за счет пользователей. Однако за последние 12 месяцев тактика вирусописателей претерпела значительные изменения. Если раньше для обогащения они массово использовали вредоносные программы, отправляющие дорогостоящие СМС-сообщения на премиум-номера, то теперь все чаще ориентируются на другие схемы заработка. Так, согласно статистическим данным, собранным с использованием антивирусных продуктов Dr.Web для Android, в 2015 году чаще всего на Android-смартфонах и планшетах обнаруживались следующие типы вредоносных и нежелательных программ:
Данная статистика говорит о том, что самыми распространенными «мобильными» угрозами стали всевозможные рекламные модули, показывающие навязчивые коммерческие предложения. Также широкую популярность получили различные бэкдоры и троянцы-загрузчики, которые устанавливали на зараженные смартфоны и планшеты ненужное пользователям ПО. При этом часто такие вредоносные программы стремились получить root-доступ в инфицированной системе, чтобы выполнить инсталляцию незаметно. В целом можно с уверенностью сказать, что в 2015 году наблюдалась устойчивая тенденция к росту случаев использования злоумышленниками подобных троянцев. Подтверждением этому служит статистика детектирований антивирусными продуктами Dr.Web для Android: в десятку наиболее распространенных вредоносных приложений в минувшем году попали Android.BackDoor.240.origin и Android.DownLoader.155.origin, пытавшиеся получить root-привилегии на атакуемых устройствах, чтобы затем скрытно от пользователей устанавливать различное ПО.
Динамика выявлений Android-бэкдоров и троянцев-загрузчиков, многие из которых в 2015 году пытались получить root-доступ на мобильных устройствах, показана на следующих графиках:
Как уже отмечалось ранее, одной из главных тенденций в сфере информационной безопасности для мобильных устройств в 2015 году стало появление большого числа вредоносных программ, которые пытались получить root-доступ на заражаемых Android-смартфонах и планшетах. В случае успеха такие троянцы обретали неограниченные права и могли, в частности, незаметно устанавливать всевозможное ПО, в том числе и внедрять его в системный каталог, фактически заражая мобильные устройства руткитами.
Один из первых случаев с участием таких троянцев в 2015 году был зафиксирован в марте, когда специалисты компании «Доктор Веб» обнаружили вредоносные приложения семейства Android.Toorch. Они распространялись вирусописателями через популярные в Китае онлайн-сборники ПО, а также при помощи агрессивных рекламных модулей, интегрированных в различные программы. При запуске на Android-устройствах эти троянцы пытались повысить свои системные привилегии до уровня root, после чего незаметно устанавливали в системный каталог один из своих компонентов. После этого по команде злоумышленников вредоносные приложения Android.Toorch могли без ведома пользователя загружать, устанавливать и удалять разнообразное ПО.
Другой троянец, добавленный в вирусную базу как Android.Backdoor.176.origin, пытался получить root-доступ на заражаемых смартфонах и планшетах при помощи загружаемой из Интернета модифицированной версии утилиты Root Master. В случае успеха он копировал в системный каталог несколько вспомогательных вредоносных модулей, после чего мог скрытно устанавливать и удалять приложения по команде с управляющего сервера. Кроме того, Android.Backdoor.176.origin передавал злоумышленникам подробные сведения о зараженном мобильном устройстве, отслеживал количество входящих и исходящих вызовов, а также отправленных и принятых СМС-сообщений. Этот троянец интересен тем, что присваивал себе специальные системные атрибуты, благодаря чему его было невозможно удалить из зараженной системы.
Чуть позднее была обнаружена новая версия Android.Backdoor.176.origin, добавленная в вирусную базу как Android.Backdoor.196.origin. Этот троянец аналогичным образом пытался получить root-доступ и, в случае успеха, запускал свой второй компонент, который загружался с сервера злоумышленников или копировался и расшифровывался из ресурсов самой вредоносной программы. Данный модуль, детектируемый как Adware.Xinyin.1.origin, выполнял все необходимые злоумышленникам действия. В частности, он мог незаметно загружать и устанавливать различные программы, отправлять СМС-сообщения, отслеживать количество совершенных и принятых звонков, а также полученных и отправленных СМС.
Еще один троянец, пытавшийся получить root-доступ в ОС Android, распространялся вирусописателями в каталоге Google Play под видом безобидного приложения с именем Brain Test. Эта вредоносная программа, известная как Android.Backdoor.273.origin, загружала с управляющего сервера и поочередно пыталась выполнить несколько эксплойтов, предназначенных для повышения системных полномочий в ОС Android. В случае успеха троянец скачивал с управляющего сервера вспомогательный вредоносный компонент, который незаметно устанавливался в системный каталог и в дальнейшем использовался злоумышленниками для загрузки и скрытной инсталляции других опасных приложений. Чтобы обезопасить себя от удаления, Android.Backdoor.273.origin помещал в системную директорию несколько дополнительных модулей, которые отслеживали целостность всех вредоносных компонентов троянца и переустанавливали их в случае удаления пользователем.
Не меньшую опасность для владельцев Android-устройств представлял и троянец Android.DownLoader.244.origin, который распространялся через популярные сайты – сборники ПО в модифицированных киберпреступниками изначально безопасных программах и играх. Эта вредоносная программа пыталась получить на зараженном устройстве root-доступ, после чего по команде с управляющего сервера могла загружать и незаметно устанавливать в системный каталог различные приложения. Примечательно, что при первом запуске троянец запрашивал у пользователя доступ к специальным возможностям ОС (Accessibility Service). Если потенциальная жертва соглашалась предоставить ему необходимые права, Android.DownLoader.244.origin получал возможность контролировать все события, происходящие на устройстве, а также мог незаметно инсталлировать приложения, имитируя действия пользователя и самостоятельно нажимая на кнопки в диалоговых окнах при установке программ. В результате троянец имел «запасной вариант» для выполнения своей вредоносной деятельности на случай если получить root-полномочия ему не удавалось.
Также в прошедшем году вновь актуальной стала проблема предустановленных на мобильные устройства троянцев. Подобный способ распространения вредоносных приложений представляет серьезную угрозу, т. к. приобретающие смартфоны и планшеты пользователи зачастую вовсе не догадываются о наличии такого «подарка», справедливо полагая, что их устройства не должны представлять какой-либо опасности. И даже если в дальнейшем скрытое вредоносное приложение будет обнаружено, его удаление может стать настоящей проблемой, потому что потребует либо получения root-доступа, либо обновления образа операционной системы на заведомо чистую версию. Однако и с установкой сторонних прошивок могут возникнуть проблемы, поскольку все чаще злоумышленники встраивают троянское ПО и туда.
Одна из таких вредоносных программ была выявлена в январе 2015 года. Троянец, получивший имя Android.CaPson.1, внедрялся киберпреступниками в различные образы ОС Android и мог незаметно отправлять и перехватывать СМС-сообщения, открывать интернет-страницы, передавать на удаленный сервер информацию о зараженном мобильном устройстве, а также загружать другие приложения.
Позже, в сентябре, специалисты компании «Доктор Веб» обнаружили, что известный еще с 2014 года троянец Android.Backdoor.114.origin был предустановлен злоумышленниками на планшете Oysters T104 HVi 3G. Эта вредоносная программа может незаметно загружать, устанавливать и удалять приложения по команде с управляющего сервера, при этом троянец также способен самостоятельно активировать отключенную опцию установки ПО из непроверенных источников. Кроме того, Android.Backdoor.114.origin собирает и отправляет на удаленный сервер очень подробную информацию о зараженном устройстве. Детали данного инцидента изложены в опубликованном на сайте компании «Доктор Веб» материале.
Уже в октябре 2015 года на нескольких мобильных Android-устройствах был обнаружен предустановленный троянец Android.Cooee.1. Эта опасная программа находилась в приложении-лаунчере (графической оболочке Android) и содержала в себе ряд специализированных модулей, предназначенных для показа рекламы. Также данный троянец мог незаметно загружать и запускать на исполнение как дополнительные рекламные пакеты, так и другие приложения, включая вредоносное ПО.
Разнообразные рекламные платформы, встраиваемые разработчиками в Android-приложения, приносят им прибыль и одновременно сохраняют распространяемое ПО бесплатным. Это устраивает большинство пользователей, т. к. позволяет им экономить деньги. Однако недобросовестные создатели программ и даже вирусописатели все чаще применяют агрессивные типы рекламных модулей, которые показывают навязчивые коммерческие предложения, крадут конфиденциальную информацию и выполняют другие нежелательные действия. В 2015 году эта тенденция сохранилась. Количество обнаруженных в течение года нежелательных рекламных приложений на Android-устройствах показано на следующем графике:
В январе был обнаружен рекламный плагин Adware.HideIcon.1.origin, который был встроен в несколько распространяемых через каталог Google Play программ. После установки этих приложений пользователи сталкивались с целым шквалом навязчивых сообщений. В частности, в панели уведомлений мобильных устройств с определенной периодичностью возникали сообщения о доступности неких обновлений, там же мог имитироваться процесс загрузки важных файлов, при попытке открыть которые владелец смартфона или планшета перенаправлялся на различные веб-сайты. Кроме того, при запуске различных программ на весь экран показывалась реклама.
Чуть позже, в феврале, было выявлено сразу несколько новых нежелательных рекламных модулей. Один из них получил имя Adware.MobiDash.1.origin. Злоумышленники встроили его в распространяемые через каталог Google Play программы, которые в общей сложности были загружены десятки миллионов раз. При каждом выходе Android-устройства из режима ожидания Adware.MobiDash.1.origin загружал в веб-браузере интернет-страницы с разнообразной рекламой, а также сомнительными сообщениями, такими как предупреждения о якобы имеющих место неполадках, предложения установить обновления или всевозможное ПО и т. п. Кроме того, Adware.MobiDash.1.origin мог отображать рекламу поверх интерфейса операционной системы и пользовательских приложений, а также демонстрировать рекламные и иные сообщения в панели уведомлений. Примечательно, что этот модуль начинал свою деятельность не сразу, а лишь по прошествии достаточно длительного времени с момента установки содержащей его программы, поэтому к моменту активизации Adware.MobiDash.1.origin пользователям было труднее определить истинный источник нежелательной активности на устройствах.
В апреле была выявлена новая версия этого модуля, которая обладала аналогичным функционалом и получила имя Adware.MobiDash.2.origin. Как и его предшественник, Adware.MobiDash.2.origin распространялся в размещенных в Google Play программах, общее число загрузок которых превысило 2 500 000. Подробнее об Adware.MobiDash.2.origin рассказано в данном материале.
Также в феврале было обнаружено еще несколько агрессивных рекламных модулей для ОС Android. Один из них – Adware.HiddenAds.1 – устанавливался на устройства при помощи различных вредоносных программ. Он не имел ярлыка и графического интерфейса, работал в скрытом режиме и отображал в панели уведомлений различные рекламные сообщения. Другой модуль, получивший имя Adware.Adstoken.1.origin, распространялся в составе разнообразных приложений и показывал на экране рекламные баннеры, демонстрировал сообщения в панели уведомлений и мог открывать в веб-браузере сайты с рекламой. Уже в конце года вирусные аналитики компании «Доктор Веб» обнаружили очередной нежелательный рекламный плагин для ОС Android, который устанавливался при помощи троянца Android.Spy.510 и был добавлен в вирусную базу как Android.Spy.510. Это нежелательное ПО показывало рекламу поверх большинства запускаемых программ, в результате чего владельцы зараженных Android-устройств могли подумать, что источник навязчивых уведомлений – именно те приложения, которые они запускали в данный момент.
Серьезную опасность для финансового благополучия владельцев Android-смартфонов и планшетов представляют троянцы, которые похищают логины и пароли от учетных записей мобильного банкинга и незаметно крадут деньги со счетов. В 2015 году интерес злоумышленников к атакам с применением этих вредоносных программ сохранился. Так, в течение последних 12 месяцев антивирусные продукты Dr.Web для Android выявили более 1 400 000 случаев проникновения Android-банкеров на смартфоны и планшеты, при этом среди обнаруженных троянцев были представители хорошо известных семейств Android.BankBot, Android.Banker, а также ряда других.
Однако в прошедшем году вирусные аналитики компании «Доктор Веб» выявили множество банковских троянцев нового семейства Android.ZBot. Данные вредоносные программы опасны тем, что помимо уже привычной возможности незаметно переводить деньги со счетов пользователей на счета злоумышленников способны показывать поверх запускаемых приложений поддельные диалоговые окна и формы ввода конфиденциальных данных (чаще всего – пары «логин-пароль» для доступа к услугам мобильного банкинга).
Жертвы таких троянцев могут ошибочно подумать, что подобные экранные формы принадлежат запущенным программам, в результате чего рискуют предоставить важную информацию злоумышленникам. Получив нужные данные, банкеры Android.ZBot отправляют их на сервер вирусописателей, после чего последние могут управлять счетами пользователей и незаметно красть с них деньги. В 2015 году эти опасные вредоносные приложения успели отметиться на более чем 600 000 мобильных Android-устройствах.
Одним из популярных способов распространения банковских троянцев является рассылка нежелательных СМС, в которых потенциальным жертвам под тем или иным предлогом рекомендуется перейти по указанной в тексте сообщения ссылке. Если пользователь Android-смартфона или планшета поддается на уловку злоумышленников, то он либо попадает на принадлежащий киберпреступникам мошеннический веб-сайт, с которого под видом полезного приложения вредоносная программа загружается самим владельцем мобильного устройства, либо перенаправляется непосредственно на файл троянца, скачиваемый автоматически с одного из интернет-ресурсов. Например, в России злоумышленники распространяли СМС, в которых потенциальным жертвам предлагалось ознакомиться с якобы поступившим ММС-сообщением. При этом после перехода по указанной в полученном тексте ссылке пользователи чаще всего попадали на мошеннические сайты, в оформлении которых для большей достоверности применялись логотипы популярных мобильных операторов. Среди распространявшихся таким образом Android-банкеров были замечены троянцы семейства Android.SmsBot – в частности, Android.SmsBot.269.origin и Android.SmsBot.291.origin.
Кроме того, злоумышленники рассылали мошеннические сообщения и от имени якобы заинтересованных покупателей, откликнувшихся на размещенные ранее объявления о продаже чего-либо:
Помимо рассылки нежелательных СМС, в которых содержатся ведущие на загрузку того или иного троянца ссылки, киберпреступники применяют и другие методы распространения банкеров. Например, обнаруженная в июне вредоносная программа Android.BankBot.65.origin была внедрена злоумышленниками в официальное приложение для доступа к мобильному банкингу и распространялась под видом его обновленной версии через популярный сайт, посвященный мобильным устройствам. Модифицированная вирусописателями программа сохраняла все свои оригинальные функции, поэтому у потенциальных жертв троянца не было причин ожидать какого-либо подвоха. По указанию злоумышленников Android.BankBot.65.origin может незаметно отправлять и перехватывать СМС-сообщения, благодаря чему способен управлять счетами пользователей через сервис мобильного банкинга. Кроме того, вирусописатели могут применять данного троянца для организации мошеннических схем, внедряя в список входящих сообщений различные СМС с заданным текстом.
В 2015 году троянцы-вымогатели представляли серьезную угрозу для пользователей ОС Android. В течение последних 12 месяцев эти вредоносные приложения были зафиксированы на устройствах пользователей свыше 1 300 000 раз.
Данные троянцы опасны тем, что блокируют смартфоны и планшеты и требуют у их владельцев денежный выкуп за разблокировку. Большинство Android-вымогателей работает именно по такой схеме, однако среди них встречаются и чрезвычайно опасные экземпляры. В частности, в феврале была обнаружена новая версия троянца-блокировщика Android.Locker.71.origin, который шифровал все доступные файлы и блокировал зараженные мобильные устройства, требуя у пострадавших пользователей выкуп в размере $200. Шифрование файлов на каждом смартфоне или планшете происходило с использованием уникального криптографического ключа, поэтому восстановить поврежденные троянцем данные было практически невозможно.
В сентябре 2015 года был обнаружен очередной Android-вымогатель, который блокировал зараженные смартфоны и планшеты благодаря установке собственного пароля на разблокировку экрана. Подобная методика не нова и ранее уже применялась злоумышленниками в других троянцах, однако блокировщики для ОС Android с таким функционалом встречаются все еще достаточно редко. После запуска эта вредоносная программа, добавленная в вирусную базу Dr.Web как Android.Locker.148.origin, пытается получить доступ к функциям администратора мобильного устройства, однако в отличие от большинства других аналогичных вредоносных приложений делает это весьма оригинальным способом. В частности, поверх стандартного системного запроса она показывает собственное диалоговое окно, предлагая установить некое обновление. Соглашаясь на установку этого «обновления», пользователь на самом деле предоставляет троянцу доступ к расширенным системным функциям, после чего Android.Locker.148.origin уже беспрепятственно блокирует атакованный смартфон или планшет, устанавливая пароль на разблокировку экрана, и требует выкуп у своей жертвы.
СМС-троянцы, отправляющие премиум-сообщения на короткие номера и подписывающие абонентов мобильных операторов на платные контент-услуги, по-прежнему остаются для злоумышленников весьма популярным инструментом заработка, хоть и начинают постепенно уступать место другим вредоносным приложениям. Несмотря на то, что в 2015 году эти троянцы были обнаружены на Android-смартфонах и планшетах пользователей более 6 000 000 раз, ближе к концу года наблюдалась тенденция к снижению интенсивности их распространения.
Несмотря на то, что каталог приложений Google Play является официальным и наиболее надежным источником ПО для ОС Android, время от времени в него все же проникают различные троянцы. В этом плане не стал исключением и 2015 год. Так, в июле в нем были обнаружены троянцы Android.Spy.134 и Android.Spy.135, которые скрывались в безобидных на первый взгляд играх. Эти вредоносные программы были способны демонстрировать на экране зараженных смартфонов и планшетов поддельное окно аутентификации приложения-клиента Facebook, запрашивая у владельцев мобильных устройств логин и пароль от их учетных записей, и передавали введенные данные на удаленный сервер. Вскоре после этого многие пользователи социальной сети, находящиеся в списке контактов жертв, могли получить сообщение от «друга», в котором рекомендовалось установить игру, перейдя по указанной ссылке. Благодаря такому приему создатели троянцев добились значительных успехов в их распространении: на момент удаления Android.Spy.134 и Android.Spy.135 из каталога Google Play в общей сложности они были загружены более 500 000 раз.
В этом же месяце вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play другого троянца, получившего имя Android.DownLoader.171.origin. Основное предназначение этой вредоносной программы – загрузка и установка различных приложений. Кроме того, по команде вирусописателей троянец мог удалять уже установленное ПО. Еще одной вредоносной функцией Android.DownLoader.171.origin являлась демонстрация рекламы в панели уведомлений операционной системы. На момент обнаружения этого троянца в каталоге Google Play его успели скачать более 100 000 пользователей. Однако злоумышленники распространяли данное приложение и на других популярных онлайн-площадках, ориентированных преимущественно на китайскую аудиторию. В результате общее число установивших Android.DownLoader.171.origin владельцев Android-устройств превысило 1 500 000. Подробнее о троянце рассказано в опубликованном материале на сайте компании «Доктор Веб».
В сентябре 2015 года в каталоге Google Play специалисты по информационной безопасности нашли троянца Android.MKcap.1.origin, который был встроен в различные игры и автоматически подписывал пользователей на платные сервисы. Для этого вредоносная программа распознавала проверочные изображения CAPTCHA, а также перехватывала и обрабатывала СМС-сообщения с кодами подтверждений.
Чуть позднее в этом же месяце в Google Play был обнаружен еще один опасный троянец, который получил имя Android.MulDrop.67. После запуска вредоносная программа извлекала скрытого внутри нее троянца-загрузчика и пыталась установить его на устройство. Основное предназначение этих троянцев – загрузка и инсталляция другого вредоносного ПО, а также показ рекламы.
Уже в октябре в каталоге Google Play был обнаружен троянец Android.PWS.3, скрывавшийся во внешне безобидном аудиоплеере. Эта вредоносная программа позволяла прослушивать музыку, размещенную в социальной сети «ВКонтакте», однако для своей работы требовала логин и пароль от пользовательской учетной записи, которые незаметно передавала на удаленный сервер злоумышленников. После этого троянец мог автоматически добавлять пострадавших владельцев мобильных устройств в различные группы, «накручивая» популярность последних.
В отличие от мобильных Android-устройств, смартфоны под управлением iOS долгое время практически не интересовали вирусописателей. Однако начиная с 2014 года специалисты по информационной безопасности с завидным постоянством обнаруживают все новые вредоносные и нежелательные программы для мобильной платформы от корпорации Apple. Эта тенденция продолжилась и в 2015 году.
Так, в августе в вирусные базы Dr.Web была добавлена запись для троянца IPhoneOS.BackDoor.KeyRaider. Это вредоносное приложение распространялось в модифицированных злоумышленниками изначально безопасных программах и заражало устройства, подвергнутые процедуре «jailbreak». IPhoneOS.BackDoor.KeyRaider собирал различную конфиденциальную информацию с зараженных мобильных устройств и передавал ее на сервер злоумышленников.
Уже в сентябре в официальном магазине iOS-приложений App Store был выявлен опасный троянец IPhoneOS.Trojan.XcodeGhost. Вредоносная программа смогла проникнуть туда благодаря тому, что киберпреступники модифицировали одну из официальных версий среды разработки приложений Xcode, которая незаметно для использующих ее программистов встраивала троянца в создаваемые приложения на этапе их сборки. В результате «зараженные» таким образом изначально безобидные игры и приложения успешно прошли предварительную проверку компании Apple и беспрепятственно попали в каталог App Store. Основное предназначение IPhoneOS.Trojan.XcodeGhost – показ поддельных диалоговых окон с целью проведения фишинг-атак, а также открытие заданных злоумышленниками ссылок. Кроме того, вредоносная программа собирала подробную информацию о зараженном мобильном устройстве и отправляла ее на сервер вирусописателей. А в ноябре специалисты компании «Доктор Веб» обнаружили другую модификацию данного троянца, которая обладала аналогичным функционалом.
В октябре был обнаружен очередной iOS-троянец, который получил имя IPhoneOS.Trojan.YiSpecter.2. Эта вредоносная программа распространялась злоумышленниками преимущественно среди жителей Китая и могла загружаться на их мобильные устройства под видом безобидных приложений. Поскольку для дистрибуции троянца вирусописатели использовали метод, который позволяет инсталлировать iOS-программы, минуя каталог App Store, IPhoneOS.Trojan.YiSpecter.2 мог устанавливаться как на смартфоны и планшеты с наличием «jailbreak», так и на устройства c немодифицированной версией ОС. Данный троянец устанавливал дополнительные вредоносные модули, мог показывать различную рекламу, а также по команде киберпреступников удалять программы и заменять их поддельными версиями.
В конце года стало известно о появлении троянца IPhoneOS.Trojan.TinyV, распространявшегося в модифицированных вирусописателями изначально безобидных программах, которые загружалась на iOS-устройства при посещении веб-сайтов, посвященных мобильным приложениям. IPhoneOS.Trojan.TinyV инсталлировался в систему iOS, в которой был выполнен «jailbreak», и по команде с управляющего сервера мог незаметно скачивать и устанавливать различное ПО, а также модифицировать файл hosts, в результате чего злоумышленники могли перенаправлять пользователей на нежелательные веб-сайты.
Помимо троянцев, в 2015 году было обнаружено и нежелательное приложение Adware.Muda.1, заражающее iOS-устройства, на которых присутствовал «jailbreak». Эта программа могла показывать рекламу поверх пользовательских приложений и в панели уведомлений, а также предназначалась для продвижения и загрузки различного ПО.
События минувшего года показали, что киберпреступники по-прежнему заинтересованы в атаках на владельцев мобильных устройств под управлением ОС Android, поэтому в 2016 году пользователям таких смартфонов и планшетов будут вновь угрожать многочисленные вредоносные приложения.
В течение последних 12 месяцев наблюдалось активное распространение троянских программ, пытавшихся получить root-доступ на Android-устройствах, – эта тенденция, вероятно, сохранится. Кроме того, возможны новые случаи внедрения вредоносного ПО непосредственно в прошивку смартфонов и планшетов.
Весьма вероятно, что вирусописатели предпримут новые попытки украсть деньги с банковских счетов пользователей при помощи специализированных троянцев-банкеров.
Также стоит ожидать появления большого числа новых агрессивных рекламных платформ, которые недобросовестные разработчики и даже вирусописатели будут внедрять в распространяемые ими программы.
В то же время возрастающий интерес злоумышленников к устройствам под управлением iOS может означать, что их владельцам также стоит подготовиться к увеличению числа атак со стороны вирусописателей – вполне возможно, что в 2016 году киберпреступники предпримут новые попытки заразить смартфоны и планшеты производства компании Apple. При этом троянцы IPhoneOS.Trojan.XcodeGhost и IPhoneOS.Trojan.YiSpecter.2 показали, что опасность заражения iOS-устройств, на которых не выполнена процедура «jailbreak», вполне реальна, поэтому пользователям смартфонов и планшетов с немодифицированной версией мобильной ОС от компании Apple также необходимо оставаться начеку.
http://feedproxy.google.com/~r/drweb/viruses/~3/27qixzluC6U/
|
|
Банковский троянец Android.ZBot использует «веб-инжекты» для кражи конфиденциальных данных |
15 декабря 2015 года
Первая модификация банковского троянца Android.ZBot была обнаружена еще в феврале этого года и получила по классификации Dr.Web имя Android.ZBot.1.origin. Начиная с этого момента вирусные аналитики компании «Доктор Веб» стали пристально следить за активностью данного вредоносного приложения.
Как и многие другие Android-троянцы, Android.ZBot.1.origin распространяется злоумышленниками под видом безобидной программы (в данном случае – приложения Google Play), которая скачивается на мобильные устройства при посещении мошеннических или взломанных веб-сайтов, либо загружается другим вредоносным ПО. После того как жертва установит и запустит банкер, тот запрашивает у нее доступ к функциям администратора зараженного смартфона или планшета и в случае успеха выводит на экран сообщение об ошибке, предлагая перезагрузить устройство.
Если же пользователь отказывается предоставить троянцу необходимые полномочия, Android.ZBot.1.origin тут же пытается украсть у него подробные сведения о его банковской карте, включая ее номер и срок действия, трехзначный код безопасности CVV, а также имя владельца. Для этого банкер показывает жертве поддельное окно, имитирующее оригинальную форму ввода соответствующей информации настоящего приложения Google Play. Примечательно, что аналогичное окно троянец отображает и после получения требуемых функций администратора, однако лишь через некоторое время после установки на целевом устройстве.
Далее Android.ZBot.1.origin удаляет свой значок с экрана приложений, «прячась» от пользователя, и начинает контролировать системные события, связанные с загрузкой ОС. Тем самым троянец обеспечивает себе автоматический запуск при каждом включении инфицированного устройства. Как только вредоносная программа получает управление, она связывается с удаленным узлом, регистрирует на нем зараженный смартфон или планшет и ожидает дальнейших указаний злоумышленников. В зависимости от полученной директивы сервера банкер выполняет следующие действия:
Например, сразу после того как на управляющем сервере регистрируется новое зараженное устройство, троянец получает команду на проверку состояния банковского баланса пользователя. Если вредоносная программа обнаруживает наличие денег, она автоматически переводит заданную злоумышленниками сумму на подконтрольные им счета. Таким образом, Android.ZBot.1.origin может получить доступ к управлению банковскими счетами владельцев мобильных Android-устройств и незаметно для пользователей похитить деньги при помощи специальных СМС-команд, предусмотренных тем или иным сервисом мобильного банкинга. При этом жертва не будет подозревать о краже, т. к. вредоносная программа перехватывает поступающие от банков сообщения с проверочными кодами транзакций.
Примечательно, что часть вредоносного функционала Android.ZBot.1.origin (например, отправка СМС-сообщений) реализована вирусописателями в виде отдельной Linux-библиотеки c именем libandroid-v7-support.so, которая хранится внутри программного пакета троянца. Это обеспечивает банкеру защиту от детектирования антивирусами и позволяет ему дольше находиться на зараженных устройствах необнаруженным.
Однако одна из главных особенностей Android.ZBot.1.origin заключается в его способности похищать логины и пароли для доступа к сервисам мобильного банкинга при помощи поддельных форм ввода, генерируемых по указанию управляющего сервера и предназначенных для создания видимости их принадлежности к тем или иным программам. Данная атака представляет собой классический фишинг, но механизм ее любопытен. Вначале троянец получает от злоумышленников команду, содержащую название целевого приложения, после чего с определенной периодичностью начинает проверять, запущена ли пользователем соответствующая программа. В настоящий момент троянец контролирует запуск следующих приложений:
Как только необходимая программа начинает работу, банкер при помощи функции WebView формирует специальную веб-форму, содержимое которой загружает с удаленного узла.
В частности, киберпреступники могут задать размер демонстрируемого окна, его внешний вид, включая заголовок и сопроводительный текст, количество полей для ввода данных, сопутствующие изображения и т. п. При этом выводимая на экран форма «привязывается» к атакуемому приложению: если потенциальная жертва фишинга попытается избавиться от показанного сообщения и вернуться к окну оригинальной программы при помощи аппаратной кнопки «Назад», Android.ZBot.1.origin перенаправит пользователя на главный экран операционной системы, закрыв само приложение. В результате у владельца зараженного мобильного устройства может сложиться впечатление, что увиденный им ранее запрос в действительности принадлежит соответствующей программе, и ему все-таки необходимо ввести требуемую информацию. Как только троянец получает от жертвы ее логин и пароль, эти данные загружаются на удаленный узел, после чего злоумышленники обретают полный контроль над учетными записями мобильного банкинга пользователей и могут управлять их счетами.
Примечательно, что сами вирусописатели часто позиционируют такие вредоносные функции в качестве веб-инжектов, однако они таковыми не являются, т. к. из-за ограничений ОС Android троянцы не могут встроить посторонний HTML-код в экранные формы атакуемых программ.
На данный момент вирусным аналитикам компании «Доктор Веб» известно о нескольких модификациях вредоносного приложения Android.ZBot.1.origin, которое киберпреступники применяют преимущественно против российских пользователей. В частности, обнаруженная в феврале первая версия троянца до сих пор весьма активна: только в прошедшем ноябре антивирусные продукты Dr.Web для Android зафиксировали банкера на более чем 1100 устройствах. А за весь период наблюдений на Android-смартфонах и планшетах троянец был найден в общей сложности 25 218 раз.
Другую модификацию вредоносной программы, получившую имя Android.ZBot.2.origin, вирусные аналитики «Доктор Веб» выявили в июне. Эта версия троянца обладает аналогичным Android.ZBot.1.origin функционалом и отличается от своего предшественника лишь тем, что ее код зашифрован, чтобы усложнить обнаружение антивирусами. В ноябре банкер Android.ZBot.2.origin был найден на 6238 смартфонах и планшетах, а с момента внесения его в вирусную базу антивирусное ПО Dr.Web для Android зафиксировало 27 033 случая проникновения троянца на Android-устройства.
Динамика детектирования вредоносной программы Android.ZBot на Android-смартфонах и планшетах за прошедшие десять месяцев наглядно проиллюстрирована на следующем графике:
При изучении банкера вирусные аналитики «Доктор Веб» выяснили, что все его известные варианты контролируются киберпреступниками через различные управляющие серверы, адрес каждого из которых хранится в специальной базе данных конкретной версии вредоносного приложения. В результате зараженные различными модификациями Android.ZBot.1.origin мобильные устройства «общаются» только со своими удаленными узлами и образуют самостоятельные бот-сети. В общей сложности специалисты «Доктор Веб» зафиксировали более 20 управляющих серверов троянца, при этом как минимум 15 из них по-прежнему продолжают свою работу. В настоящий момент нашим вирусным аналитикам удалось получить доступ к трем подсетям ботнета Android.ZBot.1.origin. Каждая из них состоит из десятков и даже тысяч инфицированных устройств и насчитывает от 140 до более чем 2300 зараженных смартфонов и планшетов.
Наличие большого числа активных подсетей Android.ZBot.1.origin может говорить о том, что этот банковский троянец представляет собой коммерческий продукт и реализуется вирусописателями через подпольные хакерские площадки, где его приобретают злоумышленники-одиночки или организованные группы киберпреступников. В пользу этого говорит и тот факт, что панель администрирования для бот-сетей, построенных на основе зараженных Android.ZBot.1.origin мобильных устройств, имеет ограниченную лицензию и фактически используется как услуга по подписке. Нельзя исключать и того, что сетевые мошенники не ограничатся атаками на российских пользователей и в скором времени расширят географию применения вредоносного приложения на другие страны, включая Европу и США.
Компания «Доктор Веб» рекомендует владельцам смартфонов и планшетов под управлением ОС Android использовать для загрузки приложений только проверенные источники ПО и не устанавливать подозрительные программы. Все известные модификации троянца Android.ZBot.1.origin успешно детектируются антивирусными средствами Dr.Web для Android, поэтому для наших пользователей опасности не представляют.
http://feedproxy.google.com/~r/drweb/viruses/~3/Qp2SSX2h5mA/
|
|
Вредоносная программа устанавливает нежелательные приложения в OS X |
8 декабря 2015 года
Как и другие представители данного типа программ, Adware.Mac.Tuguu.1 позволяет скрытно устанавливать на «мак» потенциальной жертвы различные дополнительные приложения, обычно — бесполезные, а иногда и вредоносные. За каждую успешную инсталляцию таких «дополнений» распространители Adware.Mac.Tuguu.1 получают определенное вознаграждение – в этом и заключается их коммерческий интерес.
Adware.Mac.Tuguu.1 распространяется под видом различных бесплатных программ для OS X. При запуске данное опасное приложение считывает содержимое конфигурационного файла ".payload", расположенного в той же папке, откуда была запущена программа, определяет адрес управляющего сервера и определенным образом модифицирует его. Затем с помощью зашифрованного запроса Adware.Mac.Tuguu.1 обращается к командному центру за списком дополнительного ПО, установка которого будет предложена пользователю. Ответ сервера также приходит в зашифрованном виде и содержит несколько полей, определяющих, какие именно дополнительные программы могут быть инсталлированы на пользовательский «мак». Судя по используемой установщиком внутренней нумерации, всего существует 736 различных вариантов. Каждая из предлагаемых к установке программ имеет для Adware.Mac.Tuguu.1 определенный условный «вес»: поскольку максимальное число одновременно инсталлируемых приложений ограничено, установщик по определенному алгоритму пытается создать оптимальный список из неконфликтующего ПО с максимально допустимым «весом».
Перед началом установки Adware.Mac.Tuguu.1 проверяет, совместимы ли предлагаемые им программы друг с другом — так, например, он не станет инсталлировать вместе приложения MacKeeper и MacKeeper Grouped. Также Adware.Mac.Tuguu.1 пытается удостовериться, что такое ПО не было ранее установлено в системе, а перед завершением своей работы проверяет успешность установки.
Поскольку в диалоговом окне Adware.Mac.Tuguu.1 предусмотрен режим Custom Installation, в случае выбора которого на экране будут продемонстрированы флажки, позволяющие полностью отказаться от всех дополнительных приложений, эту программу формально нельзя отнести к категории троянцев. Однако Adware.Mac.Tuguu.1 является типичным рекламным установщиком, который вполне способен «засорить» операционную систему ненужным программным «мусором», пользуясь невнимательностью владельца компьютера. Антивирус Dr.Web для OS X умеет распознавать и удалять эту программу, поэтому она не опасна для пользователей продуктов компании «Доктор Веб».
http://feedproxy.google.com/~r/drweb/viruses/~3/eWdsGKqKf9I/
|
|
Троянец Rekoobe угрожает пользователям Linux |
3 декабря 2015 года
Примечательно, что первые версии Linux.Rekoobe.1 были ориентированы на заражение работающих под управлением Linux устройств с архитектурой SPARC, однако позже вирусописатели по всей видимости решили модифицировать троянца с целью добиться его совместимости с платформой Intel. При этом специалистам компании «Доктор Веб» известны образцы Linux.Rekoobe.1 как для 32-, так и для 64-разрядных Intel-совместимых версий ОС Linux.
Для своей работы Linux.Rekoobe.1 использует зашифрованный конфигурационный файл, прочитав содержимое которого троянец с определенной периодичностью обращается к управляющему серверу для получения команд. При определенных условиях связь с командным центром осуществляется через прокси-сервер, данные для авторизации на котором вредоносная программа извлекает из собственного конфигурационного файла. При этом вся отправляемая и принимаемая троянцем информация разбивается на отдельные блоки, каждый из которых шифруется и снабжается собственной подписью.
Linux.Rekoobe.1 также обладает весьма хитроумной системой проверки подлинности получаемых от управляющего сервера «посылок» с зашифрованной информацией. Однако несмотря на столь сложный механизм своей работы Linux.Rekoobe.1 способен выполнять всего лишь три команды злоумышленников, а именно: скачивать с управляющего сервера или загружать на него файлы, передавать принимаемые директивы командному интерпретатору Linux и транслировать полученный вывод на удаленный сервер, благодаря чему киберпреступники получают возможность удаленно взаимодействовать с инфицированным устройством.
Сигнатуры для всех известных на сегодняшний день образцов Linux.Rekoobe.1 добавлены в вирусные базы Dr.Web, поэтому пользователи Антивируса Dr.Web для Linux надежно защищены от опасности проникновения на их устройства данной вредоносной программы.
http://feedproxy.google.com/~r/drweb/viruses/~3/DEx8bc6THGk/
|
|
Рекламное Android-приложение «подставляет» другие программы |
26 ноября 2015 года
Android.Spy.510 распространяется в модифицированном вирусописателями изначально безобидном мультимедийном проигрывателе, который злоумышленники назвали «AnonyPlayer». Троянская версия плеера обладает всеми функциями оригинала и полностью работоспособна, поэтому у потенциальных жертв не должно возникнуть никаких подозрений относительно его возможной опасности.
После установки и запуска Android.Spy.510 собирает и передает на управляющий сервер ряд конфиденциальных данных, включая логин пользователя от учетной записи Google Play, информацию о модели зараженного смартфона или планшета, версии SDK операционной системы, а также о наличии в ней root-доступа. Затем троянец пытается инсталлировать скрытый в его ресурсах дополнительный программный пакет, который содержит основной вредоносный функционал, необходимый злоумышленникам. Для этого Android.Spy.510 демонстрирует специальное сообщение, в котором говорится о необходимости установить приложение AnonyService, якобы обеспечивающее анонимность пользователей и предотвращающее получение конфиденциальной информации третьими лицами. В действительности же данная программа не предоставляет подобного функционала и является рекламным модулем, внесенным в вирусную базу Dr.Web как Adware.AnonyPlayer.1.origin.
Сразу после запуска Adware.AnonyPlayer.1.origin запрашивает у владельца мобильного устройства доступ к специальным возможностям операционной системы (Accessibility Service), после чего переходит в режим ожидания и начинает нежелательную деятельность лишь спустя несколько суток с момента своей инсталляции. Это сделано с целью уменьшения вероятности обнаружения пользователем источника нежелательной активности на зараженном устройстве.
По прошествии заданного времени Adware.AnonyPlayer.1.origin благодаря имеющимся в его распоряжении функциям Accessibility Service начинает отслеживать все происходящие в системе события и ожидает момента, когда жертва запустит какое-либо приложение. Как только это происходит, модуль немедленно приступает к выполнению своей главной задачи – показу рекламы. Вначале Adware.AnonyPlayer.1.origin проверяет, находится ли соответствующая программа в «белом» списке, куда злоумышленники поместили ряд приложений, которые, по их мнению, не содержат функционал для демонстрации коммерческих предложений:
Если Adware.AnonyPlayer.1.origin находит в этом списке соответствие, то он не предпринимает дальнейших действий, т. к. показ рекламы после старта «чистых» программ, среди которых немало системного и популярного прикладного ПО, может насторожить пользователя и привести к обнаружению ее истинного источника.
Если же запускаемое приложение в данном списке отсутствует, Adware.AnonyPlayer.1.origin при помощи элемента WebView формирует специальное уведомление, которое отображается поверх окна начавшей работу программы и содержит указанную управляющим сервером рекламу. В результате владелец зараженного Android-смартфона или планшета может подумать, что источник навязчивых уведомлений – именно то приложение, которое он только что запустил. При этом, чтобы отвести все подозрения от своих «творений», вирусописатели позаботились о том, что при запуске как самого Adware.AnonyPlayer.1.origin, так и установившего его троянца Android.Spy.510 никакой рекламы не отображалось.
Специалисты компании «Доктор Веб» настоятельно рекомендуют владельцам Android-устройств устанавливать приложения, полученные только из надежных источников. Кроме того, пользователям следует с особой осторожностью относиться к программам, требующим предоставить им доступ к специальным возможностям операционной системы (Accessibility Service). Если вредоносное приложение его получит, оно сможет взаимодействовать с графическим интерфейсом (например, самостоятельно обрабатывать диалоговые окна) и даже перехватывать вводимую потенциальной жертвой информацию, работая как кейлоггер. В результате оно получит возможность похитить конфиденциальные данные, такие как переписка, поисковые запросы и даже пароли.
Записи для детектирования троянца Android.Spy.510 и устанавливаемого им рекламного приложения Adware.AnonyPlayer.1.origin внесены в вирусную базу Dr.Web, поэтому для наших пользователей они не представляют опасности.
http://feedproxy.google.com/~r/drweb/viruses/~3/2Sn04wK3E08/
|
|
Бесплатная помощь в расшифровке файлов – только при наличии установленного на ПК Dr.Web на момент заражения |
25 ноября 2015 года
В нашу антивирусную лабораторию поступает огромное множество заявок на расшифровку – в том числе и от тех пользователей, которые приобрели лицензию на Dr.Web уже после того, как заражение произошло. Тем временем, начиная с 9-й версии Dr.Web для Windows в продукты включен функционал Превентивной защиты и Защиты от потери данных, использование которых позволяет предотвратить шифрование ценной информации на компьютере. Напомним, что в большинстве случаев расшифровка файлов невозможна – даже при обращении в компанию «Доктор Веб».
В соответствии с новыми условиями необходимо наличие у пользователя установленного продукта Dr.Web Security Space или Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite (версии 6+).
Как и прежде, бесплатные услуги по расшифровке доступны только владельцам действующих коммерческих лицензий Dr.Web – с той поправкой, что лицензия должна быть приобретена до, а не после заражения троянцем-шифровальщиком.
Напомним, что платить выкуп злоумышленникам за расшифровку категорически не рекомендуется. Более подробную информацию о троянцах-вымогателях и необходимых мерах в случае заражения читайте в нашем материале «Троянцы-шифровальщики – угроза №1».
Отправить заявку на расшифровку файлов можно на этой странице.
http://feedproxy.google.com/~r/drweb/viruses/~3/gE2N26nskFA/
|
|
«Доктор Веб»: обнаружен Linux.Encoder.2 |
19 ноября 2015 года
Несмотря на то, что данная вредоносная программа была добавлена в вирусные базы Dr.Web под вторым номером, исторически она появилась раньше, однако в течение длительного времени не попадала в поле зрения аналитиков антивирусных компаний. Более того: недавно одна из компаний – разработчиков антивирусного ПО опубликовала исследование другого троянца, названного ею Linux.Encoder.0, — предположительно, он является самым первым в этой группе шифровальщиков, Linux.Encoder.2 начал распространяться чуть позже, в сентябре-октябре 2015 года, а уже затем появился Linux.Encoder.1.
Среди основных отличий этой модификации шифровальщика от Linux.Encoder.1 необходимо отметить то, что она использует другой генератор псевдослучайных чисел, для шифрования применяет библиотеку OpenSSL (а не PolarSSL, как в Linux.Encoder.1), шифрование осуществляет в режиме AES-OFB-128, при этом происходит повторная инициализация контекста каждые 128 байт, то есть через 8 блоков AES. Также в Linux.Encoder.2 имеется ряд других существенных отличий от альтернативной реализации этого энкодера.
Следует также отметить, что все известные на сегодняшний день утилиты, предназначенные для расшифровки файлов, не удаляют внедренный злоумышленниками на инфицированный сервер шелл-скрипт, которым впоследствии могут воспользоваться киберпреступники для повторного заражения системы. Поэтому специалисты службы технической поддержки компании «Доктор Веб» помогают всем обратившимся за помощью в расшифровке файлов пользователям очистить систему от посторонних вредоносных объектов и обезопасить ее от возможных атак с использованием этого скрипта в будущем.
Сигнатура Linux.Encoder.2 добавлена в вирусные базы Антивируса Dr.Web для Linux. Специалисты компании «Доктор Веб» разработали методику расшифровки файлов, поврежденных в результате действия этой вредоносной программы. Если ваши файлы стали недоступны в результате проникновения Linux.Encoder.2, выполните следующие действия:
Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.
http://feedproxy.google.com/~r/drweb/viruses/~3/iZ3ZVNMvyrE/
|
|
В Dr.Web Security Space для Android появилась возможность удаления руткитов |
18 ноября 2015 года
Один из базовых принципов обеспечения безопасности в ОС Android заключается в особенностях установки прикладного ПО на мобильные устройства. В частности, инсталляция происходит только после того, как пользователь ознакомится с информацией о той или иной программе (включая функции, к которым она будет иметь доступ) и даст окончательное согласие на ее установку. В этой связи вовсе не удивительно, что для обхода данного ограничения некоторые вирусописатели стали снабжать своих троянцев различными root-эксплойтами, дающими неограниченные полномочия на атакуемых смартфонах и планшетах. В результате уже в 2011 году появились вредоносные Android-приложения, которые при помощи различных программных уязвимостей пытались получить системные привилегии, после чего могли устанавливать и удалять ПО без участия пользователя. В частности, к таким троянцам относятся Android.DreamExploid и Android.Gongfu, распространявшиеся в модифицированных вирусописателями программах.
Тем не менее, атаки с применением подобных вредоносных приложений на протяжении длительного времени были достаточно редкими, т. к. подавляющее большинство вирусописателей все же предпочитало использовать вредоносное ПО «попроще». Однако в 2015 году вирусные аналитики компании «Доктор Веб» наблюдают новый всплеск интереса к root-троянцам. При этом если раньше злоумышленники стремились с их помощью лишь незаметно установить как можно больше приложений, чтобы получить от партнерских программ прибыль за каждую успешную инсталляцию, то теперь все чаще они пытаются внедрить вредоносное или нежелательное ПО непосредственно в системный каталог Android. Фактически, киберпреступники хотят заразить мобильные устройства руткитами, которые остаются скрытыми в системе и продолжают свою работу даже если установившую их вредоносную программу позднее найдут и удалят.
Попадая в системную область ОС, подобные троянцы получают расширенные функциональные полномочия и предоставляют злоумышленникам полный контроль над зараженными устройствами, а также неограниченный доступ к хранящейся на них информации. При этом обнаружение таких приложений, еще не известных специалистам по информационной безопасности, значительно усложняется и может потребовать гораздо больше времени по сравнению с идентификацией «обычного» вредоносного ПО для Android.
Но даже после успешного обнаружения Android-руткитов в системном каталоге попытка их удаления сопряжена с определенным риском. Так, в некоторых случаях подобные вредоносные приложения значительно модифицируют программное окружение ОС (например, могут заменить собой оригинальное приложение, необходимое для нормальной работы устройства), в результате чего их деинсталляция способна привести к неработоспособности зараженного смартфона или планшета. Однако даже в таких случаях зараженное мобильное устройство относительно легко вернуть к жизни: для этого достаточно переустановить заводскую прошивку. Тем не менее, некоторые антивирусные компании заявляют, что удаление троянцев, попавших в системную область Android в результате получения root-полномочий, практически невозможно, и пользователям стоит задуматься о замене мобильного устройства.
В действительности же успешная борьба с Android-руткитами вполне осуществима. Так, специалисты компании «Доктор Веб» тщательно анализируют каждое подобное вредоносное приложение и внимательно изучают все случаи их обнаружения в системном каталоге различных мобильных устройств. После того как вирусные аналитики убедятся, что удаление того или иного троянца не приведет к поломке Android-устройства, соответствующий алгоритм лечения вносится в вирусную базу Dr.Web Security Space для Android. Несмотря на то, что это весьма трудоемкий и длительный процесс, с каждым днем число успешно удаляемых из системной области ОС Android троянцев увеличивается. Т. к. обновление программы с соответствующем функционалом было выпущено 19 октября, наши пользователи уже почти месяц могут успешно бороться с сотнями различных модификаций Android-руткитов, которые скрываются в системном каталоге. Для этого антивирусу достаточно предоставить root-полномочия, после чего он сможет уничтожить обнаруженные вредоносные приложения.
Среди обнаруженных в 2015 году вредоносных приложений, пытающихся получить root-полномочия на Android-устройствах и незаметно установить вредоносное ПО в системную директорию, прежде всего стоит отметить троянцев семейства Android.Toorch, о которых стало известно в апреле. Один из них был замаскирован под программу-фонарик и распространялся вирусописателями через популярные в Китае сайты – сборники ПО, а также при помощи агрессивных рекламных модулей, интегрированных в различные приложения. После запуска на целевых мобильных устройствах он пытался повысить свои системные привилегии до уровня root, незаметно устанавливал в системный каталог /system/app один их своих компонентов, а также запускал на исполнение еще один вредоносный модуль. После этого по команде злоумышленников вредоносное приложение могло загружать, устанавливать и удалять указанные ими программы без ведома пользователя.
Другая вредоносная программа, пытавшаяся получить root-доступ на заражаемых устройствах, была внесена в вирусную базу Dr.Web как Android.Backdoor.176.origin. Этот троянец распространялся вирусописателями в модифицированных ими изначально безобидных играх и приложениях. При первом запуске Android.Backdoor.176.origin передает на управляющий сервер подробную информацию о зараженном устройстве, после чего регистрирует несколько перехватчиков системных событий, контролируя, в частности, загрузку ОС, взаимодействие пользователя с экраном, запуск приложений и т. п. При следующем включении инфицированного смартфона или планшета вредоносная программа загружает из Интернета модифицированную версию утилиты Root Master и с ее помощью пытается получить root-доступ в системе. В случае успеха троянец копирует в системный каталог /system/xbin два исполняетмых elf-файла с именами .rt_bridge (Android.Rootkit.1) и .rt_daemon (Android.Rootkit.2), которые представляют собой аналог утилиты su, позволяющей пользователям работать от имени root (администратора) в UNIX-подобных операционных системах.
После запуска Android.Rootkit.1 проверяет, был ли он активизирован одним из процессов троянца Android.Backdoor.176.origin, и, если это так, запускает root-терминал. Затем Android.Backdoor.176.origin загружает из Интернета утилиту chattr и с ее помощью через запущенный ранее терминал устанавливает на собственный apk-файл атрибуты «неизменяемый» и «только добавление к файлу». В результате, даже если пользователь деинсталлирует троянца, после перезагрузки ОС Android.Backdoor.176.origin будет автоматически установлен вновь, и мобильное устройство останется зараженным.
Основное предназначение данной вредоносной программы – незаметная установка и удаление приложений по команде с управляющего сервера. Однако помимо этого троянец передает злоумышленникам подробные сведения о зараженном смартфоне или планшете, отслеживает количество входящих и исходящих вызовов, а также отправленных и принятых СМС-сообщений.
Чуть позднее была обнаружена новая модификация данной вредоносной программы, которая получила имя Android.Backdoor.196.origin. Как и первая версия троянца, она распространяется в модифицированных вирусописателями безобидных играх и приложениях и после запуска аналогичным образом пытается получить root-привилегии, а также защитить себя от деинсталляции. После этого Android.Backdoor.196.origin при помощи метода DexClassLoader запускает свой второй компонент, который, в зависимости от модификации троянца, предварительно загружается с сервера злоумышленников, либо копируется и расшифровывается из ресурсов самой вредоносной программы. В дальнейшем данный модуль, детектируемый Антивирусом Dr.Web для Android как Adware.Xinyin.1.origin, выполняет все вредоносные функции, необходимые злоумышленникам. В частности, он может незаметно загружать и устанавливать различные программы, отправлять СМС-сообщения, отслеживать количество совершенных и принятых звонков, а также полученных и отправленных СМС.
Позже специалисты по информационной безопасности обнаружили еще несколько вредоносных программ, которые пытались получить root-доступ и представляли серьезную опасность для пользователей. Одна из них – Android.Backdoor.273.origin. Этот троянец распространялся в каталоге Google Play под видом безобидного приложения с именем Brain Test и имел ряд интересных особенностей. В частности, перед тем как начать вредоносную деятельность, он проверял IP-адрес домена, через который в данный момент осуществлялось сетевое подключение на целевом мобильном устройстве, и в случае обнаружения соответствия адресам компании Google завершал свою работу. Таким образом злоумышленники пытались обойти антивирусный фильтр каталога Google Play, чтобы успешно разместить в нем троянца. Если вредоносная программа определяла, что ее работе ничто не мешает, она подключалась к управляющему серверу, откуда поочередно скачивала и пыталась выполнить несколько эксплойтов, предназначенных для получения root-доступа на Android-устройствах. Затем в случае успешного повышения системных полномочий троянец загружал с сервера второй вредоносный компонент, который незаметно устанавливался в системный каталог и в дальнейшем по команде злоумышленников мог загружать и скрытно инсталлировать другие программы. А чтобы Android.Backdoor.273.origin как можно дольше оставался на зараженном мобильном устройстве, он устанавливал в системную директорию еще два дополнительных вредоносных приложения, которые следили за тем, чтобы сам троянец, а также его модули не были удалены пользователем. Если какие-либо компоненты Android.Backdoor.273.origin все же деинсталлировалась, данные модули повторно загружали их и устанавливали вновь.
Не меньшую опасность для владельцев Android-смартфонов и планшетов представляет и троянец Android.DownLoader.244.origin. Как и многие вредоносные Android-приложения, он распространялся через популярные сайты – сборники ПО в модифицированных киберпреступниками изначально безопасных программах и играх. После запуска содержащей троянца программы Android.DownLoader.244.origin запрашивает у пользователя доступ к специальным возможностям ОС (Accessibility Service). Если потенциальная жертва согласится предоставить ей необходимые права, вредоносная программа сможет контролировать все события, происходящие на устройстве, а также получит возможность незаметно устанавливать приложения, имитируя действия пользователя и самостоятельно нажимая на кнопки в соответствующих диалоговых окнах, которые будут возникать при попытке инсталляции заданного злоумышленниками ПО. Затем троянец пытается получить на зараженном устройстве root-доступ, после чего по команде с управляющего сервера может загружать и незаметно устанавливать в системный каталог различные программы.
Однако Android-троянцы, получающие root-доступ на заражаемых мобильных устройствах и устанавливающие вредоносное ПО в системный каталог, – не единственная угроза для пользователей. Не меньшую опасность представляют и вредоносные приложения, которые не получают права root самостоятельно, но активно используют их своих целях, если они уже присутствуют в системе. Например, троянец Android.DownLoader.171.origin, который скрывался в приложении с именем KKBrowser и распространялся злоумышленниками через каталог приложений Google Play и другие ресурсы, был установлен не менее чем 1 500 000 пользователями. По команде своих «хозяев» троянец мог загружать, устанавливать и удалять различные программы. В случае если целевые устройства имели root-доступ, Android.DownLoader.171.origin выполнял эти действия незаметно для пользователей, в противном же случае жертвам демонстрировался стандартный системный запрос.
Чтобы обезопасить мобильные Android-устройства от троянцев, которые пытаются получить root-доступ и установить вредоносное ПО в системный каталог, владельцам смартфонов и планшетов необходимо использовать для загрузки приложений только проверенные источники. Также не следует устанавливать ПО, вызывающее хотя бы малейшие подозрения. Кроме того, для защиты от вредоносных, нежелательных и потенциально опасных программ для ОС Android рекомендуется использовать надежный антивирус, способный не только предупредить, но и устранить заражение.
http://feedproxy.google.com/~r/drweb/viruses/~3/noqTZu48vZg/
|
|
Шифровальщик Linux.Encoder.1 заразил порядка 2000 сайтов |
12 ноября 2015 года
Основной целью злоумышленников, распространяющих троянца-шифровальщика Linux.Encoder.1, стали размещенные на серверах с установленной ОС Linux веб-сайты, работающие с использованием различных систем управления контентом (Content Management Systems, CMS) — в частности, WordPress, а также популярного программного комплекса для организации интернет-магазинов Magento CMS. Для атаки используется неустановленная пока уязвимость.
Получив несанкционированный доступ к сайту, киберпреступники размещали на нем файл error.php (в Magento CMS он помещался в служебную папку для хранения шаблонов оформления — /skin/). Этот файл играет роль шелл-скрипта и позволяет злоумышленникам выполнять иные несанкционированные действия — в частности, атакующие могут отдавать ему различные команды. С использованием данного шелл-скрипта они размещали на сервере в той же папке другой файл с именем 404.php, представляющий собой дроппер троянца-энкодера Linux.Encoder.1. Активизировавшись по команде злоумышленников (для этого им достаточно обратиться к PHP-файлу, набрав соответствующий адрес в адресной строке браузера), дроппер предположительно определяет архитектуру работающей на сервере операционной системы (32- или 64-разрядная версия Linux), извлекает из собственного тела соответствующий экземпляр шифровальщика и запускает его, после чего удаляется.
Поскольку энкодер Linux.Encoder.1 запускается с правами встроенного пользователя www-data (то есть с правами приложения, работающего от имени веб-сервера Apache), этих привилегий вполне достаточно, чтобы зашифровать файлы в папках, для которых у данного встроенного пользователя имеются права на запись, — иными словами, там, где хранятся файлы и компоненты «движка» веб-сайта. Если по каким-либо причинам у шифровальщика окажутся более высокие привилегии, он не ограничится одной лишь папкой веб-сервера. После этого троянец сохраняет на диске сервера файл с именем README_FOR_DECRYPT.txt, содержащий инструкции по расшифровке файлов и требования злоумышленников. Судя по сведениям, которые можно получить с использованием соответствующего запроса в поисковой системе Google, на 12 ноября 2015 года в Интернете насчитывается порядка 2000 веб-сайтов, предположительно атакованных шифровальщиком Linux.Encoder.1.
Проанализировав данную схему атаки, можно прийти к выводу, что, во-первых, вопреки расхожему мнению, злоумышленникам не требуется получать права root для успешной компрометации веб-серверов под управлением Linux и шифрования файлов, а во-вторых, троянец представляет серьезную опасность для владельцев интернет-ресурсов, особенно с учетом того, что многие популярные CMS до сих пор имеют незакрытые уязвимости, а некоторые администраторы сайтов либо игнорируют необходимость своевременного обновления работающего на сервере ПО, либо используют устаревшие версии систем управления контентом.
В силу того, что создатели Linux.Encoder.1 допустили в коде шифровальщика ряд существенных ошибок, данные, поврежденные этим энкодером, поддаются расшифровке. Если ваши файлы стали недоступны в результате проникновения на сайт Linux.Encoder.1, выполните следующие действия:
Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.
Несмотря на то, что Linux.Encoder.1 в силу своих архитектурных особенностей не в состоянии необратимо повредить или уничтожить всю размещенную на сервере информацию, сохраняется вероятность того, что злоумышленники со временем могут модифицировать используемые ими алгоритмы шифрования, устранив все «слабые места». Поэтому серьезная опасность потерять важные файлы сохраняется даже для пользователей такой относительно безопасной ОС, как Linux, и в первую очередь — для администраторов веб-сайтов, работающих под управлением популярных систем управления контентом. Напоминаем, что сигнатура Linux.Encoder.1 добавлена в базы Антивируса Dr.Web для Linux. Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации.
http://feedproxy.google.com/~r/drweb/viruses/~3/LVoVGkh7wm0/
|
|
Набор троянцев открывает доступ к зараженному компьютеру |
11 ноября 2015 года
Целый пакет вредоносных программ, получивших общее наименование BackDoor.RatPack, киберпреступники распространяли при помощи эксплойта Exploit.CVE2012-0158.121 в виде документа в формате RTF, при попытке открыть который на компьютере жертвы расшифровывался и сохранялся вредоносный файл. Примечательно, что этот файл, представляющий собой программу-установщик, имеет действительную цифровую подпись (как, впрочем, почти все файлы из комплекта BackDoor.RatPack).
При запуске инсталлятор пытается выявить присутствие на атакуемом компьютере виртуальных машин, программ-мониторов и отладчиков, после чего проверяет наличие в системе программ «банк-клиент» нескольких российских кредитных организаций. Если все проверки прошли успешно, установщик скачивает с сервера злоумышленников и запускает на атакуемом компьютере другой установщик в формате NSIS (Nullsoft Scriptable Install System), содержащий еще один набор исполняемых файлов и несколько защищенных паролями архивов. Этот установщик распаковывает архивы и запускает исполняемые файлы.
Полезной нагрузкой установщика является несколько вариантов вполне легальной условно-бесплатной утилиты Remote Office Manager — специалисты компании «Доктор Веб» зафиксировали как минимум три таких варианта с разными конфигурационными настройками. С помощью перехвата ряда системных функций вредоносная программа скрывает значки этой утилиты в области уведомлений и панели задач Windows, чтобы пользователь не мог вовремя ее обнаружить. Можно предположить, что с применением BackDoor.RatPack злоумышленники пытаются получить доступ к банковским счетам и хранящейся на атакованной машине конфиденциальной информации методом удаленного управления зараженным компьютером.
Сигнатуры всех входящих в состав BackDoor.RatPack вредоносных файлов добавлены в вирусные базы Dr.Web, и потому они не представляют опасности для пользователей наших антивирусных продуктов.
http://feedproxy.google.com/~r/drweb/viruses/~3/2Yh-CK5Xv7M/
|
|
Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault» |
9 ноября 2015 года
Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843, активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.
Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.
Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение .vault.
Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843, воспользуйтесь следующими рекомендациями:
Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.
Чтобы троянец не испортил файлы, используйте защиту от потери данных
| Только в Dr.Web Security Space версий 10 и выше |
| Подробнее о шифровальщиках |
 |
Что делать, если.. | |
Видео о настройке | |
Бесплатная расшифровка |
http://feedproxy.google.com/~r/drweb/viruses/~3/7y5s9wR6yao/
|
|
Троянец-шифровальщик угрожает пользователям Linux |
6 ноября 2015 года
Обнаруженная угроза внесена в вирусную базу компании «Доктор Веб» как Linux.Encoder.1. После запуска с правами администратора троянец загружает файлы с требованиями вирусописателей и файл, содержащий путь до публичного RSA-ключа, после чего запускает себя как демон и удаляет исходные файлы. Данный RSA-ключ в дальнейшем используется для хранения AES-ключей, с помощью которых троянец шифрует файлы на зараженном компьютере.
В первую очередь Linux.Encoder.1 шифрует все файлы в домашних каталогах пользователей и каталогах, относящихся к администрированию веб-сайтов. После этого шифровальщик рекурсивно обходит всю файловую систему: сперва начиная с каталога, из которого он был запущен, а следующим шагом — с корневого каталога «/». При этом шифруются файлы с расширениями из заданного списка и только при условии, что имя каталога начинается с одной из заданных вирусописателями строк.
Пострадавшие файлы получают расширение .encrypted. В каждом каталоге, содержащем зашифрованные файлы, троянец размещает файл с требованиями вирусописателей: жертве предлагают оплатить расшифровку файлов с помощью криптовалюты Bitcoin.
Компания «Доктор Веб» рекомендует пользователям, файлы которых оказались зашифрованы, обратиться в службу технической поддержки, подробно описав ситуацию и приложив несколько образцов зашифрованных файлов. Для корректной расшифровки файлов важно, чтобы пользователь не удалял и не изменял никакие из зашифрованных файлов, т. к. при этом может быть утеряна информация, необходимая для их восстановления.
http://feedproxy.google.com/~r/drweb/viruses/~3/SUVhKQpC3_M/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2015 года |
30 октября 2015 года
| Сентябрь 2015 | Октябрь 2015 | Динамика |
|---|---|---|
| 14 033 | 15 135 | +7,85% |
В начале октября специалисты по информационной безопасности обнаружили очередного троянца, предназначенного для работы на мобильных устройствах под управлением iOS. Новая вредоносная программа, получившая по классификации Dr.Web имя IPhoneOS.Trojan.YiSpecter.2, распространялась злоумышленниками преимущественно среди жителей Китая и могла загружаться на их мобильные устройства под видом безобидных приложений. В частности, при посещении различных веб-ресурсов эротической тематики пользователям для просмотра видеороликов категории для взрослых предлагалось установить специальный видеоплеер, который обладал заявленным функционалом, однако в действительности скрывал в себе троянца. При этом благодаря применению вирусописателями корпоративного метода дистрибуции ПО, позволяющего пользователям iOS получать программы в обход каталога App Store, в случае согласия на установку IPhoneOS.Trojan.YiSpecter.2 мог инсталлироваться как на смартфоны и планшеты с наличием «jailbreak», так и на аппараты c немодифицированной версией ОС.
IPhoneOS.Trojan.YiSpecter.2 обладает следующим вредоносным функционалом:
В прошедшем месяце был зафиксирован очередной случай размещения Android-троянца в официальном каталоге приложений Google Play. Вредоносная программа, добавленная в вирусную базу Dr.Web как Android.PWS.3, скрывалась во внешне безобидном аудиоплеере, позволявшем прослушивать размещенные в социальной сети «ВКонтакте» музыкальные композиции. После запуска этот троянец запрашивал у ничего не подозревающего пользователя логин и пароль от его учетной записи, выполнял аутентификацию в соцсети и действительно предоставлял доступ к музыке, однако в то же время незаметно для своих жертв передавал злоумышленникам введенные ими конфиденциальные данные. Затем Android.PWS.3 подключался к удаленному узлу вирусописателей, откуда получал список различных групп из сети «ВКонтакте», в которые автоматически добавлял пострадавших пользователей, «накручивая» тем самым рейтинг и популярность соответствующих онлайн-сообществ.
Практически каждый месяц вирусные аналитики «Доктор Веб» фиксируют новые случаи размещения различных вредоносных приложений в Android-прошивках. В этом плане не стал исключением и минувший октябрь, когда на нескольких мобильных устройствах был обнаружен предустановленный троянец Android.Cooee.1. Эта опасная программа находится в приложении-лаунчере (графической оболочке Android) и содержит в себе ряд специализированных модулей, предназначенных для показа рекламы. Также троянец способен незаметно загружать и запускать на исполнение как дополнительные рекламные пакеты, так и другие приложения, включая вредоносное ПО. В частности, среди скачанных им файлов был обнаружен троянец Android.DownLoader.225, предназначенный для скрытой загрузки различных программ.
Примечательно, что если пострадавшие от троянца пользователи удалят содержащий Android.Cooee.1 лаунчер, работоспособность их зараженного мобильного устройства будет нарушена, т. к. при следующем его включении операционная система не сможет нормально загрузиться. Поэтому перед попыткой деинсталляции вредоносной программы необходимо заблаговременно установить любую из альтернативных версий соответствующего ПО и в настройках системы выставить ее как работающую по умолчанию оболочку.
Среди выявленных в октябре вредоносных Android-приложений в очередной раз оказалось немало банковских троянцев, созданных для кражи денег. Одним из них стал обнаруженный в конце месяца банкер Android.BankBot.80.origin, который распространялся вирусописателями под видом легального ПО одной из крупных российских кредитных организаций. После запуска на целевых смартфонах и планшетах Android.BankBot.80.origin вынуждает пользователя предоставить ему права администратора мобильного устройства, после чего рассылает по всем найденным в его телефонной книге номерам СМС-сообщение вида «Привет, проголосуй за меня http://******konkurs.ru/». При посещении данного веб-сайта, посвященного якобы проводимому конкурсу фотографии, на устройства потенциальных жертв автоматически загружается одна из версий банкера, детектируемая Антивирусом Dr.Web для Android как Android.SmsBot.472.origin. Кроме того, на этом портале владельцам мобильных устройств для участия в голосовании предлагается установить специальную программу, которая на самом деле является еще одной версией Android.BankBot.80.origin.
Особенности данного троянца:
Подробнее об Android.BankBot.80.origin читайте в материале, опубликованном на нашем сайте.
Число записей для банковских троянцев Android.BankBot в вирусной базе Dr.Web:
| Сентябрь 2015 | Октябрь 2015 | Динамика |
|---|---|---|
| 142 | 148 | +4,2% |
Число записей для многофункциональных троянцев Android.SmsBot в вирусной базе Dr.Web:
| Сентябрь 2015 | Октябрь 2015 | Динамика |
|---|---|---|
| 520 | 550 | +5,8% |
http://feedproxy.google.com/~r/drweb/viruses/~3/ydJly2Auhl0/
|
|
«Доктор Веб»: обзор вирусной активности в октябре 2015 года |
30 октября 2015 года
С точки зрения появления новых угроз информационной безопасности октябрь можно назвать относительно спокойным периодом. Тем не менее, в течение месяца был зафиксирован факт взлома нескольких популярных интернет-ресурсов: с их помощью злоумышленники распространяли опасную вредоносную программу, маскирующуюся под антивирусную утилиту известного производителя. Кроме того, в октябре появились и новые троянцы, угрожающие пользователям мобильной платформы Google Android, — в частности, к таковым относится Android.BankBot.80.origin, маскировавшийся под банковское приложение крупной российской финансовой организации, а также для платформы iOS — здесь «отличился» троянец IPhoneOS.Trojan.YiSpecter.2, предназначенный для показа рекламы и незаметной загрузки других программ.
В середине октября специалисты компании «Доктор Веб» зафиксировали несколько случаев взлома популярных веб-сайтов, среди которых оказалась страничка известного российского телесериала, принадлежащая одной из телекомпаний. В процессе перехода из результатов поиска Google на взломанную злоумышленниками веб-страницу при соблюдении ряда условий в окне браузера открывалась новая вкладка, которую было невозможно закрыть, — сделать это не позволял встроенный злоумышленниками в страницу сценарий. По щелчку мыши или при нажатии клавиш на клавиатуре компьютера потенциальной жертве демонстрировалось назойливое окно, предлагающее установить некое расширение для браузера, которое киберпреступники выдавали за утилиту, якобы созданную одним из производителей антивирусного ПО.
Данный плагин, детектируемый Антивирусом Dr.Web как Trojan.BPLug.1041, предназначен для встраивания постороннего содержимого в просматриваемые пользователем веб-страницы. Также вредоносная программа блокирует на всех сайтах демонстрацию сторонней рекламы с любых доменов, кроме тех, список которых предусмотрен в ее конфигурации. Помимо этого, Trojan.BPLug.1041 в случае авторизации жертвы в социальной сети «Одноклассники» пытается предоставить определенному приложению доступ к API этого портала от имени пользователя: его личные данные могут быть использованы для продвижения групп, рассылки спама или каких-либо голосований. Подробнее об этой вредоносной программе рассказано в опубликованном на нашем сайте обзорном материале.
Специалисты компании «Доктор Веб» продолжают следить за деятельностью бот-сетей, созданных киберпреступниками с использованием файлового вируса Win32.Rmnet.12. Активность этих ботнетов в октябре 2015 года демонстрируют следующие графики:
Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.
По-прежнему проявляет активность и ботнет, состоящий из компьютеров, инфицированных файловым вирусом Win32.Sector. График среднесуточной активности данной сети показан на следующей иллюстрации:
Данная вредоносная программа обладает следующими деструктивными функциями:
В октябре 2015 года несколько снизилась активность злоумышленников, организующих массированные DDoS-атаки с использованием Linux-троянца Linux.BackDoor.Gates.5. В течение минувшего месяца число атакованных узлов сократилось на 33.29% и составило 5051. Лидером среди целей киберпреступников по-прежнему остается Китай, а США переместились на 3-е место, уступив вторую позицию Франции:
Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»
| Сентябрь 2015 | Октябрь 2015 | Динамика |
|---|---|---|
| 1310 | 1471 | + 12.29 % |
Наиболее распространенным шифровальщиком в октябре 2015 года является Trojan.Encoder.567.
Этого функционала нет в лицензии Антивирус Dr.Web для Windows
| Защита данных от потери | |
|---|---|
 |  |
В течение октября 2015 года в базу нерекомендуемых и вредоносных сайтов было добавлено 264 970 интернет-адресов.
| Сентябрь 2015 | Октябрь 2015 | Динамика |
|---|---|---|
| + 399 227 | + 264 970 | - 33.6 % |
Среди сайтов, добавляемых аналитиками «Доктор Веб» в список нерекомендуемых для посещения интернет-ресурсов, определенную часть составляют интернет-магазины, предлагающие весьма сомнительные, а порой — даже очень странные товары. О некоторых из них мы уже рассказывали ранее в наших новостях, однако сетевые торговцы продолжают удивлять специалистов все новыми и новыми примерами невероятно интересных товаров, пополняющих ассортимент подобных площадок. О магических нитках против сглаза, помпах для губ и других «волшебных» интернет-товарах читайте в опубликованной на сайте нашей компании статье.
В прошедшем месяце пользователи мобильных устройств вновь оказались под прицелом киберпреступников. Так, в начале октября был обнаружен новый троянец, предназначенный для заражения смартфонов и планшетов производства корпорации Apple. При этом потенциальными жертвами киберпреступников могли стать владельцы устройств как со взломанной, так и с «чистой» версией ОС. Кроме этого, в официальном каталоге Android-приложений Google Play была выявлена очередная вредоносная программа, «сумевшая» обойти защиту корпорации Google. В середине месяца специалисты «Доктор Веб» зафиксировали новый случай внедрения троянца в Android-прошивку мобильных устройств, а чуть позднее обнаружили очередного банковского троянца, предназначенного для кражи денег у пользователей.
Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:
Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.
Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live
http://feedproxy.google.com/~r/drweb/viruses/~3/nC1ciEcBFRI/
|
|
