«Доктор Веб»: обзор вирусной активности в августе 2019 года |
9 сентября 2019 года
В августе статистика серверов Dr.Web зафиксировала снижение роста общего числа обнаруженных угроз на 21.28% по сравнению с июлем. При этом количество уникальных угроз уменьшилось незначительно – на 2.82%. В почтовом трафике на первых позициях находится вредоносное ПО, использующее уязвимости документов Microsoft Office, а также троянцы-загрузчики. Продолжает тенденцию прошлого месяца и статистика по вредоносному и нежелательному ПО: большинство обнаруженных угроз приходится на долю рекламных программ.
В августе специалисты вирусной лаборатории «Доктор Веб» обнаружили, что хакеры используют копии сайтов популярных сервисов для распространения опасного банковского троянца. Один из таких ресурсов копирует известный VPN-сервис, а другие замаскированы под сайты корпоративных офисных программ.
Угрозы этого месяца:
В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
В течение августа 2019 года в базу нерекомендуемых и вредоносных сайтов был добавлен 204 551 интернет-адрес.
| Июль 2019 | Август 2019 | Динамика |
|---|---|---|
| + 123 251 | + 204 551 | + 65.96% |
В августе специалисты «Доктор Веб» обнаружили в Google Play сразу несколько новых вредоносных программ. В начале месяца в вирусную базу Dr.Web была добавлена запись для детектирования троянца Android.Click.312.origin, который по команде сервера переходил по ссылкам и загружал различные веб-сайты. Кроме того, вирусные аналитики выявили новых рекламных троянцев Android.HiddenAds, а также загрузчика Android.DownLoader.915.origin — он мог скачивать другие вредоносные приложения.
В конце месяца специалисты «Доктор Веб» обнаружили очередного банковского троянца, который атаковал пользователей из Бразилии. Вредоносная программа, получившая имя Android.Banker.346.origin, использовала специальные возможности (Accessibility Service) ОС Android и могла перехватывать СМС-сообщения.
Наиболее заметные события, связанные с «мобильной» безопасностью в августе:
Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре
http://feedproxy.google.com/~r/drweb/viruses/~3/YPVkDMhPOBM/
|
|
Банковский троянец Bolik распространяется под видом NordVPN |
19 августа 2019 года
Недавно копию сайта популярного VPN-сервиса NordVPN наши специалисты обнаружили по адресу nord-vpn[.]club. Как и на оригинальном ресурсе, пользователю предлагается скачать программу для использования VPN, но вместе с ней авторы подделки распространяют опасного банковского троянца – Win32.Bolik.2.
Внешне копия сайта почти не отличается от оригинала: у нее тот же дизайн, похожее доменное имя и действительный SSL-сертификат.
Согласно нашим данным, вирусная кампания, использующая сайт-подделку, ориентирована преимущественно на англоязычную аудиторию и была запущена 08.08.2019. Однако уже на момент публикации этой статьи вредоносный сайт насчитывал тысячи посещений.
Кроме того, в конце июня этого года та же группа хакеров создала копии сайтов офисных программ invoicesoftware360[.]xyz (оригинал - invoicesoftware360[.]com) и clipoffice[.]xyz (оригинал – crystaloffice[.]com), где тоже распространялся троянец Win32.Bolik.2, а также стилер Trojan.PWS.Stealer.26645.
Троянец Win32.Bolik.2 представляет собой улучшенную версию Win32.Bolik.1 и имеет свойства многокомпонентного полиморфного файлового вируса. С помощью него хакеры могут выполнять веб-инжекты, перехват трафика, кейлоггинг и похищать информацию из систем «банк-клиент».
Ранее эти же злоумышленники распространяли Win32.Bolik.2 через взломанный сайт программы для обработки видео, о чем мы сообщали в этой новости.
Все версии этого троянца успешно детектируются и удаляются антивирусом Dr.Web и не представляют опасности для наших пользователей.
#банкер #банковский_троянец #стилер
http://feedproxy.google.com/~r/drweb/viruses/~3/2z0zrjFRWtg/
|
|
«Доктор Веб»: троянца-кликера из каталога Google Play установили почти 102 000 000 пользователей Android |
8 августа 2019 года
Троянец представляет собой вредоносный модуль, который по классификации Dr.Web получил имя Android.Click.312.origin. Он встроен в обычные приложения — словари, онлайн-карты, аудиоплееры, сканеры штрих-кодов и другое ПО. Все эти программы работоспособны, и для владельцев Android-устройств выглядят безобидными. Кроме того, при их запуске Android.Click.312.origin начинает вредоносную деятельность лишь через 8 часов, чтобы не вызвать подозрений у пользователей.
Начав работу, троянец передает на управляющий сервер следующую информацию о зараженном устройстве:
В ответ сервер отправляет ему необходимые настройки. Часть функций вредоносного приложения реализована с использованием рефлексии, и в этих настройках содержатся имена методов и классов вместе с параметрами для них. Эти параметры применяются, например, для регистрации приемника широковещательных сообщений и контент-наблюдателя, с помощью которых Android.Click.312.origin следит за установкой и обновлением программ.
При инсталляции нового приложения или скачивании apk-файла клиентом Play Маркет троянец передает на управляющий сервер информацию об этой программе вместе с некоторыми техническими данными об устройстве. В ответ Android.Click.312.origin получает адреса сайтов, которые затем открывает в невидимых WebView, а также ссылки, которые он загружает в браузере или каталоге Google Play.
Таким образом, в зависимости от настроек управляющего сервера и поступающих от него указаний троянец может не только рекламировать приложения в Google Play, но и незаметно загружать любые сайты, в том числе с рекламой (включая видео) или другим сомнительным содержимым. Например, после установки приложений, в которые был встроен этот троянец, пользователи жаловались на автоматические подписки на дорогостоящие услуги контент-провайдеров.
Специалистам «Доктор Веб» не удалось воссоздать условия для загрузки троянцем таких сайтов, однако потенциальная реализация этой мошеннической схемы в случае с Android.Click.312.origin достаточно проста. Поскольку троянец сообщает управляющему серверу информацию о типе текущего интернет-соединения, то при наличии подключения через сеть мобильного оператора сервер может передать команду на открытие веб-сайта одного из партнерских сервисов, поддерживающих технологию WAP-Сlick. Эта технология упрощает подключение различных премиальных сервисов, однако часто применяется для незаконной подписки пользователей на премиум-услуги. Указанную проблему наша компания освещала в 2017 и 2018 годах. В некоторых случаях для подключения ненужной услуги не требуется подтверждение пользователя — за него это сможет сделать скрипт, размещенный на той же странице, или же сам троянец. Он и «нажмет» на кнопку подтверждения. А поскольку Android.Click.312.origin откроет страницу такого сайта в невидимом WebView, вся процедура пройдет без ведома и участия жертвы.
Вирусные аналитики «Доктор Веб» выявили 34 приложения, в которые был встроен Android.Click.312.origin. Их установили свыше 51 700 000 пользователей. Кроме того, модификацию троянца, получившую имя Android.Click.313.origin, загрузили по меньшей мере 50 000 000 человек. Таким образом, общее число владельцев мобильных устройств, которым угрожает этот троянец, превысило 101 700 000. Ниже представлен список программ, в которых был найден этот кликер:
| GPS Fix |
| QR Code Reader |
| ai.type Free Emoji Keyboard |
| Cricket Mazza Live Line |
| English Urdu Dictionary Offline - Learn English |
| EMI Calculator - Loan & Finance Planner |
| Pedometer Step Counter - Fitness Tracker |
| Route Finder |
| PDF Viewer - EBook Reader |
| GPS Speedometer |
| GPS Speedometer PRO |
| Notepad - Text Editor |
| Notepad - Text Editor PRO |
| Who unfriended me? |
| Who deleted me? |
| GPS Route Finder & Transit: Maps Navigation Live |
| Muslim Prayer Times & Qibla Compass |
| Qibla Compass - Prayer Times, Quran, Kalma, Azan |
| Full Quran MP3 - 50+ Audio Translation & Languages |
| Al Quran Mp3 - 50 Reciters & Translation Audio |
| Prayer Times: Azan, Quran, Qibla Compass |
| Ramadan Times: Muslim Prayers, Duas, Azan & Qibla |
| OK Google Voice Commands (Guide) |
| Sikh World - Nitnem & Live Gurbani Radio |
| 1300 Math Formulas Mega Pack |
| Обществознание - школьный курс. ЕГЭ и ОГЭ. |
| Bombuj - Filmy a seri'aly zadarmo |
| Video to MP3 Converter, RINGTONE Maker, MP3 Cutter |
| Power VPN Free VPN |
| Earth Live Cam - Public Webcams Online |
| QR & Barcode Scanner |
| Remove Object from Photo - Unwanted Object Remover |
| Cover art IRCTC Train PNR Status, NTES Rail Running Status |
Компания «Доктор Веб» передала информацию об этом троянце в корпорацию Google, после чего некоторые из найденных программ были оперативно удалены из Google Play. Кроме того, для нескольких приложений были выпущены обновления, в которых троянский компонент уже отсутствует. Тем не менее, на момент публикации этой новости большинство приложений все еще содержали вредоносный модуль и оставались доступными для загрузки.
Вирусные аналитики рекомендуют разработчикам ответственно выбирать модули для монетизации приложений и не интегрировать сомнительные SDK в свое ПО. Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют программы, в которые встроены известные модификации троянца Android.Click.312.origin, поэтому для наших пользователей он опасности не представляет.
Подробнее об Android.Click.312.origin
#Android, #Google_Play, #кликер
http://feedproxy.google.com/~r/drweb/viruses/~3/ouSfC493emE/
|
|
«Доктор Веб»: обзор вирусной активности в июле 2019 года |
5 августа 2019 года
В июле статистика серверов Dr.Web зафиксировала снижение роста общего числа обнаруженных угроз на 54.21% по сравнению с июнем. При этом количество уникальных угроз выросло почти в два раза. В почтовом трафике на первых позициях находится вредоносное ПО, использующее уязвимости документов Microsoft Office. Рекламные программы и установщики по-прежнему лидируют по общему количеству обнаруженных угроз. Среди шифровальщиков в июле лидировал Trojan.Encoder.858, на которого пришлось 21.15% всех поступивших в поддержку «Доктор Веб» запросов на расшифровку данных.
Аналитики компании «Доктор Веб» подготовили обзорное исследование, в котором представлены распространенные угрозы для умных устройств и Интернета вещей (IoT) в целом. Обзор наших специалистов основывается на статистических данных, собираемых с 2016 года с зараженных устройств, и призван привлечь внимание к проблеме безопасности в сфере IoT.
Угрозы прошедшего месяца:
В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
В течение июля 2019 года в базу нерекомендуемых и вредоносных сайтов был добавлен 123 251 интернет-адрес.
| Июнь 2019 | Июль 2019 | Динамика |
|---|---|---|
| + 151 162 | + 123 251 | -18.46% |
В середине июля компания «Доктор Веб» сообщила о появлении в Google Play опасного троянца Android.Backdoor.736.origin, с помощью которого злоумышленники дистанционно управляли зараженными Android-устройствами. Этот бэкдор мог устанавливать приложения, крал конфиденциальные данные и выполнял другие вредоносные действия по команде вирусописателей.
Среди выявленных угроз были новые троянцы семейства Android.HiddenAds, которые скрывали свои значки с главного экрана и показывали рекламу. Кроме того, аналитики «Доктор Веб» обнаружили несколько программ со встроенным рекламным модулем Adware.HiddenAds.9.origin. Тот отображал баннеры даже если эти приложения были закрыты.
Также вирусная база Dr.Web пополнилась записями для детектирования нескольких троянцев семейства Android.Spy, которые использовались для кибершпионажа.
Наиболее заметные события, связанные с «мобильной» безопасностью в июле:
Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/KfCsZSS9GHU/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2019 года |
5 августа 2019 года
В прошлом месяце компания «Доктор Веб» сообщила об опасном троянце Android.Backdoor.736.origin, который выполнял команды злоумышленников, похищал конфиденциальные данные и мог показывать мошеннические окна и сообщения. В течение июля вирусные аналитики обнаружили множество новых рекламных троянцев семейства Android.HiddenAds, распространявшихся через каталог Google Play. Кроме того, в вирусную базу Dr.Web были добавлены записи для детектирования нежелательного рекламного модуля Adware.HiddenAds.9.origin, а также троянцев-шпионов Android.Spy.567.origin и Android.Spy.568.origin.
В середине июля вирусные аналитики «Доктор Веб» исследовали троянца Android.Backdoor.736.origin, распространявшегося под видом программы OpenGL Plugin. Она якобы проверяла версию графического интерфейса OpenGL ES и могла устанавливать его обновления.
На самом же деле этот бэкдор шпионил за пользователями, отправляя злоумышленникам информацию о контактах, телефонных звонках и местоположении смартфонов или планшетов. Кроме того, он мог загружать на удаленный сервер файлы с устройств, а также скачивать и устанавливать программы. Особенности Android.Backdoor.736.origin:
Подробнее об Android.Backdoor.736.origin рассказано в новостной публикации на нашем сайте.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:
Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки:
С начала июля вирусные аналитики «Доктор Веб» выявили в Google Play множество новых рекламных троянцев семейства Android.HiddenAds, которые установили свыше 8 200 000 пользователей. Эти вредоносные программы распространялись под видом безобидных игр и полезных приложений — фильтров для фотокамеры, системных утилит, будильников и т. д. После запуска троянцы скрывали свой значок из списка ПО на главном экране и начинали показывать баннеры, которые мешали работе с устройствами.
Кроме того, был выявлен новый нежелательный рекламный модуль Adware.HiddenAds.9.origin, встроенный в программу-компас и сборник обоев для рабочего стола. Он отображал рекламу даже тогда, когда эти приложения были закрыты.
Вместе с тем в прошедшем месяце в вирусную базу Dr.Web были добавлены записи для детектирования троянцев-шпионов Android.Spy.567.origin и Android.Spy.568.origin. Первый передавал на удаленный сервер СМС-сообщения, информацию о телефонных звонках, записи календаря и телефонной книги, а также сведения о хранящихся на устройстве файлах.
Второй показывал мошенническое сообщение, в котором потенциальной жертве сообщалось о необходимости установки обновления одного из компонентов Google Play. Если пользователь соглашался, троянец отображал фишинговое окно, которое имитировало страницу входа в учетную запись Google.
Вирусописатели допустили грамматическую ошибку во фразе «Sign in», что могло указать на подделку. Если же жертва этого не замечала и авторизовывалась в своем аккаунте, Android.Spy.568.origin крал данные текущей сессии, и злоумышленники получали доступ к конфиденциальной информации – записям календаря, проверочным кодам, телефонам и адресам электронной почты для восстановления доступа к учетной записи.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/oRo1gbmvweI/
|
|
Риски и угрозы в Интернете вещей (IoT) |
17 июля 2019 года
Сейчас во Всемирную сеть выходят не только компьютеры, смартфоны, планшеты и роутеры, но также смарт-телевизоры, камеры видеонаблюдения, «умные» часы, холодильники, автомобили, фитнес-трекеры, видеорегистраторы и даже детские игрушки. Количество устройств Интернета вещей уже превышает несколько миллиардов, и с каждым годом их число растет.
Многие из них плохо или совсем не защищены от атак. Например, для подключения к ним могут использоваться простые или общеизвестные пары «логин — пароль», которые по умолчанию устанавливаются на сотни тысяч моделей. Их владельцы либо не задумываются об изменении заданных на заводе настроек, либо не могут этого сделать из-за ограничений самих производителей. Злоумышленники относительно легко получают доступ к таким устройствам, используя подбор комбинаций по словарю (так называемый brute force — метод грубой силы). Кроме того, они могут эксплуатировать уязвимости установленных на них операционных систем.
С 2016 года компания «Доктор Веб» пристально следит за угрозами сегмента Интернета вещей. Для этого наши специалисты развернули сеть специализированных приманок — ханипотов (от слова honeypot — горшочек с медом). Такие ловушки имитируют различные типы «умных» электронных устройств и регистрируют попытки их заражения. Ханипоты охватывают сразу несколько аппаратных платформ, в числе которых ARM, MIPS, MIPSEL, PowerPC и Intel x86_64. Они позволяют отслеживать векторы атак, обнаруживать и исследовать новые образцы вредоносных программ, улучшать механизмы их обнаружения и более эффективно бороться с ними.
В этом материале представлены сведения о выявленных атаках на «умные» устройства, а также о наиболее распространенных угрозах для Интернета вещей.
В самом начале наблюдения вирусные аналитики фиксировали относительно низкую активность вредоносных программ, нацеленных на устройства Интернета вещей. За четыре месяца 2016 года специалисты «Доктор Веб» выявили 729 590 атак, однако всего через год — в 32 раза больше, 23 741 581. Еще через 12 месяцев их было уже 99 199 434. Что же касается текущего года, то лишь за первые шесть месяцев было совершено 73 513 303 атаки — почти столько же, сколько за весь 2018 год.
Динамика обнаружения ханипотами атак показана на графике:
Менее чем за три года количество попыток взлома и заражения устройств Интернета вещей возросло на 13 497%.
Атаки на «умные» устройства выполнялись с IP-адресов, расположенных в более чем 50 странах. Чаще всего это были США, Нидерланды, Россия, Германия, Италия, Великобритания, Франция, Канада, Сингапур, Индия, Испания, Румыния, Китай, Польша и Бразилия.
Географическое распределение источников атак и их процентное соотношение показано на следующем графике:
После успешной компрометации устройств злоумышленники могут загружать на них одного или нескольких троянцев. В общей сложности число уникальных вредоносных файлов, обнаруженных нашими ловушками за время наблюдения, составило 131 412. Динамика их выявления показана ниже.
«Умные» устройства работают на различных процессорных архитектурах, и у многих вредоносных программ есть версии сразу для нескольких аппаратных платформ. Среди тех из них, которые имитируют наши ханипоты, чаще всего атакам подвергаются устройства с процессорами ARM, MIPSEL и MIPS. Это хорошо видно на диаграмме:
Согласно полученной ханипотами статистике, самые активные вредоносные программы — представители семейства Linux.Mirai, на которых приходится более 34% атак. За ними следуют загрузчики Linux.DownLoader (3% атак) и троянцы Linux.ProxyM (1,5% атак). В первую десятку также входят вредоносные приложения Linux.Hajime, Linux.BackDoor.Fgt, Linux.PNScan, Linux.BackDoor.Tsunami и Linux.HideNSeek. Процентное соотношение наиболее активных троянцев представлено на следующей иллюстрации:
Вредоносные программы, которые атакуют «умные» устройства, условно можно разделить на несколько базовых категорий в соответствии с их основными функциями:
Однако большинство современных вредоносных программ представляют собой многофункциональные угрозы, поскольку многие из них могут сочетать в себе сразу несколько функций.
Ниже представлена информация о наиболее распространенных и примечательных троянцах для Интернета вещей.
Linux.Mirai — один из наиболее активных троянцев, атакующих устройства Интернета вещей. Первая версия этого вредоносного приложения появилась в мае 2016 года. Позднее его исходные коды были опубликованы в свободном доступе, поэтому у него быстро появилось большое число модификаций, созданных различными вирусописателями. Сейчас Linux.Mirai — самый распространенный троянец для ОС Linux, который работает на множестве процессорных архитектур, таких как х86, ARM, MIPS, SPARC, SH-4, M68K и др.
После заражения целевого устройства Linux.Mirai соединяется с управляющим сервером и ждет от него дальнейших команд. Основная функция этого троянца — проведение DDoS-атак.
На следующем графике показана динамика обнаружения ханипотами активных копий этого вредоносного приложения:
Различные модификации Linux.Mirai наиболее активны в Китае, Японии, США, Индии и Бразилии. Ниже представлены страны, где за время наблюдений было зафиксировано максимальное число ботов этого семейства.
Еще одним опасным вредоносным приложением, заражающим «умные» устройства, является Linux.Hajime. Этот троянец известен вирусным аналитикам с конца 2016 года. Он работает на архитектурах ARM, MIPS и MIPSEL и реализует функцию сетевого червя, распространяясь с использованием протокола Telnet. Инфицированные устройства включаются в децентрализованный P2P-ботнет и используются для дальнейшего заражения доступных объектов в Сети. Вредоносная программа блокирует доступ других вредоносных программ к успешно атакованным устройствам, закрывая на них порты 23, 7547, 5555 и 5358.
Пик активности Linux.Hajime пришелся на конец 2016 — начало 2017 года, когда максимальное число одновременно активных копий троянцев этого семейства превышало 43 000. После этого активность вредоносных программ упала и продолжает постепенно снижаться. Сейчас число действующих ботов Linux.Hajime не превышает нескольких сотен.
Наибольшее распространение эти троянцы получили в Бразилии, Турции, Вьетнаме, Мексике и Южной Корее. На карте показаны страны с максимальным числом активных троянцев Linux.Hajime, которые были зафиксированы за всё время наблюдений.
В пятерку троянцев, предназначенных для заражения устройств Интернета вещей, входит Linux.BackDoor.Fgt, который распространяется с осени 2015 года. Различные версии этого вредоносного приложения поддерживают работу на архитектурах MIPS, SPARC и др. и работают в среде ОС Linux. Исходный код Linux.BackDoor.Fgt находится в открытом доступе, поэтому он так популярен среди вирусописателей.
Эти бэкдоры распространяются с использованием протоколов Telnet и SSH, подбирая логины и пароли для доступа к атакуемым объектам. Основное предназначение этих троянцев — проведение DDoS-атак и дистанционный контроль зараженных устройств.
Троянец Linux.ProxyM — одна из вредоносных программ, которые злоумышленники используют для обеспечения собственной анонимности в Интернете. Она запускает на заражаемых Linux-устройствах SOCKS-прокси-сервер, через который киберпреступники пропускают сетевой трафик. Специалисты «Доктор Веб» обнаружили первые версии Linux.ProxyM в феврале 2017 года, и этот троянец по-прежнему активен.
Linux.Ellipsis.1 — еще один троянец, предназначенный для превращения устройств Интернета вещей и компьютеров под управлением ОС Linux в прокси-серверы. Он попался аналитикам «Доктор Веб» в 2015 году. После запуска он удаляет файлы журналов и блокирует их повторное создание, удаляет некоторые системные утилиты, а также запрещает устройству устанавливать связь с определенными IP-адресами. Если троянец обнаруживает подозрительный трафик с одного из адресов, он также вносит этот IP в черный список. Кроме того, по команде управляющего сервера Linux.Ellipsis.1 прекращает работу приложений, которые подключались к запрещенным адресам.
Компания «Доктор Веб» обнаружила первые версии троянцев семейства Linux.LuaBot в 2016 году. Эти вредоносные приложения написаны на скриптовом языке Lua и поддерживают устройства с архитектурой Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4 и M68k. Они состоят из нескольких десятков скриптов-модулей, каждый их которых выполняет определенную задачу. Троянцы способны получать с управляющего сервера обновления этих модулей, а также загружать новые. Linux.LuaBot — многофункциональные вредоносные приложения. В зависимости от модификации вредоносных приложений и комплекта скриптов, злоумышленники могут использовать их для дистанционного управления зараженными устройствами, а также создания прокси-серверов для анонимизации в Сети.
Для злоумышленников майнинг (добыча) криптовалют — одна из основных причин заражения устройств Интернета вещей. В этом им помогают троянцы семейства Linux.BtcMine, а также другие вредоносные приложения. Одного из них — Linux.BtcMine.174 — специалисты «Доктор Веб» нашли в конце 2018 года. Он предназначен для добычи Monero (XMR). Linux.BtcMine.174 представляет собой скрипт, написанный на языке командной оболочки sh. Если он не был запущен от имени суперпользователя (root), троянец пытается повысить свои привилегии несколькими эксплойтами.
Linux.BtcMine.174 ищет процессы антивирусных программ и пытается завершить их, а также удалить файлы этих программ с устройства. Затем он скачивает и запускает несколько дополнительных компонентов, среди которых бэкдор и руткит-модуль, после чего запускает в системе программу-майнер.
Троянец прописывается в автозагрузку, поэтому ему не страшна перезагрузка инфицированного устройства. Кроме того, он периодически проверяет, активен ли процесс майнера. При необходимости он инициирует его вновь, обеспечивая непрерывность добычи криптовалюты.
Троянцы семейства Linux.MulDrop используются для распространения и установки других вредоносных приложений. Они работают на многих аппаратных архитектурах и типах устройств, однако в 2017 году вирусные аналитики «Доктор Веб» обнаружили троянца Linux.MulDrop.14, который целенаправленно атаковал компьютеры Raspberry Pi. Этот дроппер представляет собой скрипт, в теле которого хранится зашифрованная программа — майнер криптовалют. После запуска троянец распаковывает и запускает майнер, после чего пытается заразить другие устройства, доступные в сетевом окружении. Чтобы не допустить «конкурентов» к ресурсам зараженного устройства, Linux.MulDrop.14 блокирует сетевой порт 22.
Вредоносная программа Linux.HideNSeek заражает «умные» устройства, компьютеры и серверы под управлением ОС Linux, объединяя их в децентрализованный ботнет. Для распространения этот троянец генерирует IP-адреса и пытается подключиться к ним, используя подбор логинов и паролей по словарю, а также список известных комбинаций аутентификационных данных. Кроме того, он способен эксплуатировать различные уязвимости оборудования. Linux.HideNSeek может использоваться для удаленного управления зараженными устройствами — выполнять команды злоумышленников, копировать файлы и т. д.
В отличие от большинства других вредоносных программ, троянцы Linux.BrickBot не предназначены для получения какой-либо выгоды. Это вандалы, которые созданы для вывода из строя компьютеров и «умных» устройств, они известны с 2017 года.
Троянцы Linux.BrickBot пытаются заразить устройства через протокол Telnet, подбирая к ним логины и пароли. Затем они пытаются стереть данные с их модулей постоянной памяти, сбрасывают сетевые настройки, блокируют все соединения и выполняют перезагрузку. В результате для восстановления работы поврежденных объектов потребуется их перепрошивка или даже замена компонентов. Такие троянцы встречаются нечасто, но они крайне опасны.
В конце июня 2019 года получил распространение троянец Linux.BrickBot.37, также известный как Silex. Он действовал аналогично другим представителям семейства Linux.BirckBot — стирал данные с накопителей устройств, удалял их сетевые настройки и выполнял перезагрузку, после чего те уже не могли корректно включиться и работать. Наши ловушки зафиксировали свыше 2600 атак этого троянца.
Миллионы высокотехнологичных устройств, которые всё больше используются в повседневной жизни, фактически являются маленькими компьютерами с присущими им недостатками. Они подвержены аналогичным атакам и уязвимостям, при этом из-за особенностей и ограничений конструкции защитить их может быть значительно сложнее или же вовсе невозможно. Кроме того, многие пользователи не до конца осознают потенциальные риски и всё еще воспринимают «умные» устройства как безопасные и удобные «игрушки».
Рынок Интернета вещей активно развивается и во многом повторяет ситуацию с началом массового распространения персональных компьютеров, когда механизмы борьбы с угрозами для них только обретали форму и совершенствовались. Пока производители оборудования и владельцы «умных» устройств адаптируются к новым реалиям, у злоумышленников есть огромные возможности для совершения атак. Поэтому в ближайшем будущем стоит ожидать появления новых вредоносных программ для Интернета вещей.
Компания «Доктор Веб» продолжает отслеживать ситуацию с распространением троянцев и других угроз для «умных» устройств и будет информировать наших пользователей обо всех интересных событиях в этой сфере. Антивирусные продукты Dr.Web успешно детектируют и удаляют названные в обзоре вредоносные программы.
http://feedproxy.google.com/~r/drweb/viruses/~3/_nLJlRk5Q4M/
|
|
«Доктор Веб»: опасный Android-бэкдор распространяется через Google Play |
12 июля 2019 года
Вредоносная программа получила имя Android.Backdoor.736.origin. Она распространяется под видом приложения OpenGL Plugin для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений.
При запуске Android.Backdoor.736.origin запрашивает доступ к нескольким важным системным разрешениям, которые позволят ему собирать конфиденциальную информацию и работать с файловой системой. Кроме того, он пытается получить допуск к показу экранных форм поверх интерфейса других программ.
В окне вредоносного приложения имеется кнопка для «проверки» обновлений графического программного интерфейса OpenGL ES. После ее нажатия троянец имитирует процесс поиска новых версий OpenGL ES, однако на самом деле никаких проверок он не выполняет и лишь вводит пользователя в заблуждение.
После того как жертва закрывает окно приложения, Android.Backdoor.736.origin убирает свой значок из списка программ меню главного экрана и создает ярлык для своего запуска. Это делается для того, чтобы в дальнейшем пользователю было сложнее удалить троянца, поскольку удаление ярлыка не затронет саму вредоносную программу.
Android.Backdoor.736.origin постоянно активен в фоновом режиме и может запускаться не только через значок или ярлык, но также автоматически при старте системы и по команде злоумышленников через Firebase Cloud Messaging. Основной вредоносный функционал троянца расположен во вспомогательном файле, который зашифрован и хранится в каталоге с ресурсами программы. Он расшифровывается и загружается в память при каждом старте Android.Backdoor.736.origin.
Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды злоумышленников и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging. Android.Backdoor.736.origin способен выполнять следующие действия:
Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.
Android.Backdoor.736.origin способен устанавливать приложения сразу несколькими способами:
Таким образом, этот бэкдор представляет серьезную опасность. Он не только занимается кибершпионажем, но также может использоваться для фишинга, т. к. способен показывать окна и уведомления с любым содержимым. Кроме того, он может загружать и устанавливать любые другие вредоносные приложения, а также выполнять произвольный код. Например, по команде злоумышленников Android.Backdoor.736.origin может скачать и запустить эксплойт для получения root-полномочий, поле чего ему уже не потребуется участие пользователя для инсталляции других программ.
Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на момент публикации этого материала он уже был удален из Google Play.
Android.Backdoor.736.origin и его компоненты надежно детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей он опасности не представляет.
Подробнее об Android.Backdoor.736.origin
#Android, #backdoor, #Google_Play, #слежка
http://feedproxy.google.com/~r/drweb/viruses/~3/sT7CzcQUhxg/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июне 2019 года |
3 июля 2019 года
В середине июня вирусные аналитики «Доктор Веб» обнаружили в Google Play вредоносную программу Android.FakeApp.174, которая загружала веб-сайты, где пользователей Android-устройств подписывали на спам-уведомления. Кроме того, в течение месяца были найдены новые троянцы семейства Android.HiddenAds, предназначенные для показа рекламы, и троянцы-загрузчики Android.DownLoader, скачивавшие другие вредоносные приложения. Также были выявлены прочие Android-угрозы.
14 июня компания «Доктор Веб» рассказала о троянце Android.FakeApp.174, загружавшем сомнительные веб-сайты. На них пользователям Android-устройств обманом предлагалось подписаться на получение уведомлений. В случае согласия жертвам начинали приходить десятки спам-сообщений, которые те могли принять за уведомления от установленных программ или операционной системы.
При нажатии на такое сообщение в браузере открывался один из рекламируемых сайтов. Многие из них были мошенническими.
Особенности Android.FakeApp.174:
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:
Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки:
Новая угроза:
Вместе с Android.FakeApp.174 в каталоге Google Play были найдены другие вредоносные и нежелательные программы. Среди них — троянцы того же семейства, получившие имена Android.FakeApp.151 и Android.FakeApp.173. Они распространялись под видом программ для заработка на онлайн-опросах. При запуске вредоносные приложения загружали мошеннические веб-сайты, где потенциальным жертвам предлагалось ответить на несколько вопросов. Для получения «вознаграждения» от них требовалось заплатить некий налог или комиссию, однако никаких денег после этого они не получали.
Также вирусные аналитики обнаружили множество новых троянцев Android.HiddenAds. Злоумышленники выдавали их за полезные приложения — различные игры и утилиты. В общей сложности их установили свыше 3 380 000 пользователей.
После установки и запуска эти вредоносные программы скрывали свои значки и начинали показывать рекламу.
Другой троянец, обнаруженный в Google Play, получил имя Android.DownLoader.3200. Он был встроен в программу управления фитнес-браслетами LETSCOM Smart Bracelet, которую установили свыше 50 000 пользователей.
Первые версии этого приложения были безопасными, однако позднее, в версиях 1.1.0 и 1.1.4, у него появился троянский функционал. Android.DownLoader.3200 скачивал на мобильные устройства других троянцев.
Еще один загрузчик получил имя Android.DownLoader.681.origin. Как и Android.DownLoader.3200, он распространялся под видом безопасной программы, в данном случае — аудиоплеера. Android.DownLoader.681.origin скачивал вредоносные приложения и пытался установить их.
В конце июня в вирусную базу Dr.Web была добавлена запись для детектирования нежелательного программного модуля Adware.OneOceans.2.origin, предназначенного для показа рекламы. Он был встроен в игру Toy Blast: Cube Smash, которую загрузили более 100 000 пользователей.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/Wrtd8Pf_Rc8/
|
|
«Доктор Веб»: обзор вирусной активности в июне 2019 года |
3 июля 2019 года
В июне статистика серверов Dr.Web зарегистрировала значительное повышение числа общих и уникальных угроз по сравнению с маем. Рекламные программы и установщики все еще лидируют по общему количеству обнаруженных угроз, а наибольшая активность вредоносного ПО замечена в почтовом трафике. Возобновил активность опасный стилер — Trojan.PWS.Maria.3 (Ave Maria), использованный ранее в атаке на нефтегазовую компанию, а также через рассылки распространяется Trojan.Nanocore.23 — троянец с удаленным доступом, позволяющий контролировать зараженный компьютер. Кроме того, в июне прошла вирусная кампания с использованием шифровальщика Trojan.Encoder.858.
В июне в вирусной лаборатории «Доктор Веб» был изучен образец редкого Node.js-троянца — Trojan.MonsterInstall. Запустившись на устройстве жертвы, он загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа от сервера он устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin. Разработчики этого вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах.
Угрозы этого месяца:
Растущие угрозы месяца:
В июне в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
В течение июня 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 151 162 интернет-адреса.
| Май 2019 | Июнь 2019 | Динамика |
|---|---|---|
| + 223 952 | + 151 162 | – 32.5% |
В июне вирусные аналитики «Доктор Веб» вновь обнаружили в Google Play множество вредоносных и нежелательных программ. Среди них были рекламные троянцы Android.HiddenAds, которые показывали баннеры поверх окон других приложений и интерфейса операционной системы, а также мошеннические программы Android.FakeApp. Последние загружали веб-сайты, где потенциальным жертвам за вознаграждение предлагалось принять участие в онлайн-опросах. Для получения денег пользователи якобы должны были оплатить некую комиссию или проверочный сбор. Однако если они соглашались, то никакого вознаграждения не получали. Другой представитель этого семейства, получивший имя Android.FakeApp.174, загружал веб-сайты, на которых пользователей подписывали на надоедливые и мошеннические уведомления.
В течение месяца были найдены новые троянцы-загрузчики, такие как Android.DownLoader.3200 и Android.DownLoader.681.origin. Они скачивали на Android-устройства другие вредоносные приложения. Кроме того, специалисты «Доктор Веб» проанализировали новый рекламный модуль Adware.OneOceans.2.origin, который разработчики ПО встраивают в программы и игры.
Наиболее заметные события, связанные с «мобильной» безопасностью в июне:
Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/9xx_n5ViX3k/
|
|
Обнаружен уникальный троянец на Node.js |
19 июня 2019 года
Компания «Яндекс» передала на исследование в вирусную лабораторию «Доктор Веб» образец редкого Node.js-троянца. Эта вредоносная программа, которая распространяется через сайты с читами для видеоигр, имеет несколько версий и компонентов.
При попытке скачать чит пользователь загружает на свой компьютер архив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.
Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.
Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.
Ресурсы, принадлежащие разработчику троянца:
Кроме того, троянцем заражены некоторые файлы на сайте proplaying[.]ru.
Специалисты «Доктор Веб» рекомендуют пользователям вовремя обновлять антивирус и не загружать сомнительное ПО.
Компания «Доктор Веб» также благодарит специалистов компании «Яндекс» за предоставленный образец и дополнительную информацию об источниках распространения вредоносной программы.
#JavaScript #игры #майнинг
http://feedproxy.google.com/~r/drweb/viruses/~3/9wkk3kU2gfw/
|
|
«Доктор Веб»: пользователям Android-устройств угрожают мошеннические веб-уведомления |
14 июня 2019 года
Технология Web Push позволяет сайтам с согласия пользователя отправлять ему уведомления даже когда соответствующие веб-страницы не открыты в браузере. При работе с безобидными ресурсами эта функция полезна и удобна. Например, социальные сети таким образом могут информировать о новых сообщениях, а новостные агентства - о свежих публикациях. Однако злоумышленники и недобросовестные рекламодатели злоупотребляют ей, распространяя с ее помощью рекламу и мошеннические уведомления, которые поступают со взломанных или вредоносных сайтов.
Эти уведомления поддерживаются в браузерах как ПК и ноутбуков, так и мобильных устройств. Обычно жертва попадает на сомнительный ресурс-спамер, перейдя по специально сформированной ссылке или рекламному баннеру. Android.FakeApp.174 — один из первых троянцев, которые «помогают» злоумышленникам увеличить число посетителей этих сайтов и подписать на такие уведомления именно пользователей смартфонов и планшетов.
Android.FakeApp.174 распространяется под видом полезных программ – например, официального ПО известных брендов. Две такие модификации троянца вирусные аналитики «Доктор Веб» обнаружили в начале июня в каталоге Google Play. После обращения в корпорацию Google вредоносные программы были удалены, но их успели загрузить свыше 1100 пользователей.
При запуске троянец загружает в браузере Google Chrome веб-сайт, адрес которого указан в настройках вредоносного приложения. С этого сайта в соответствии с его параметрами поочередно выполняется несколько перенаправлений на страницы различных партнерских программ. На каждой из них пользователю предлагается разрешить получение уведомлений. Для убедительности жертве сообщается, что выполняется некая проверка (например, что пользователь — не робот), либо просто дается подсказка, какую кнопку диалогового окна необходимо нажать. Это делается для увеличения числа успешных подписок. Примеры таких запросов показаны на изображениях ниже:
После активации подписки сайты начинают отправлять пользователю многочисленные уведомления сомнительного содержания. Они приходят даже если браузер закрыт, а сам троянец уже был удален, и отображаются в панели состояния операционной системы. Их содержимое может быть любым. Например, ложные уведомления о поступлении неких денежных бонусов или переводов, о новых сообщениях в соцсетях, реклама гороскопов, казино, товаров и услуг и даже различные «новости».
Многие из них выглядят как настоящие уведомления реальных онлайн-сервисов и приложений, которые могут быть установлены на устройстве. Например, в них отображается логотип того или иного банка, сайта знакомств, новостного агентства или социальной сети, а также привлекательный баннер. Владельцы Android-устройств могут получать десятки таких спам-сообщений в день.
Несмотря на то, что в этих уведомлениях указан и адрес сайта, с которого оно пришло, неподготовленный пользователь может просто его не заметить, либо не придать этому особого значения. Примеры мошеннических уведомлений:
При нажатии на такое уведомление пользователь перенаправляется на сайт с сомнительным контентом. Это может быть реклама казино, букмекерских контор и различных приложений в Google Play, предложение скидок и купонов, поддельные онлайн-опросы и фиктивные розыгрыши призов, сайт-агрегатор партнерских ссылок и другие онлайн-ресурсы, которые разнятся в зависимости от страны пребывания пользователя. Примеры таких сайтов представлены ниже:
Многие из этих ресурсов замешаны в известных мошеннических схемах кражи денег, однако злоумышленники способны в любое время организовать атаку для похищения конфиденциальных данных. Например, отправив через браузер «важное» уведомление от имени банка или социальной сети. Потенциальная жертва может принять поддельное уведомление за настоящее, нажмет на него и перейдет на фишинговый сайт, где у нее попросят указать имя, логин, пароль, адрес электронной почты, номер банковской карты и другие конфиденциальные сведения.
Специалисты «Доктор Веб» полагают, что злоумышленники будут активнее использовать этот метод продвижения сомнительных услуг, поэтому пользователям мобильных устройств при посещении веб-сайтов следует внимательно ознакомиться с их содержимым и не подписываться на уведомления, если ресурс незнаком или выглядит подозрительным. Если же подписка на нежелательные спам-уведомления уже произошла, нужно выполнить следующие действия:
Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации Android.FakeApp.174, поэтому для наших пользователей этот троянец опасности не представляет.
Подробнее об Android.FakeApp.174
http://feedproxy.google.com/~r/drweb/viruses/~3/uvkvBRYH26U/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в мае 2019 года |
3 июня 2019 года
В уходящем месяце пользователям Android-устройств вновь угрожали вредоносные программы, которые злоумышленники распространяли через каталог Google Play. Среди них – рекламные троянцы Android.HiddenAds и троянцы-шпионы Android.SmsSpy, которые перехватывали СМС.
Среди обнаруженных в мае вредоносных программ были троянцы-шпионы семейства Android.SmsSpy — Android.SmsSpy.10206 и Android.SmsSpy.10263. Они распространялись через Google Play под видом банковского ПО.
После установки и запуска эти вредоносные программы пытались назначить себя СМС-менеджером по умолчанию, запрашивая соответствующее разрешение у пользователя. Если тот соглашался, Android.SmsSpy.10206 и Android.SmsSpy.10263 начинали перехватывать все входящие СМС-сообщения и передавали их на сервер злоумышленников.
Особенности вредоносных приложений:
В начале мая вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца Android.HiddenAds.1396, который распространялся под видом аудиоплеера.
Вредоносная программа действительно позволяла прослушивать музыку, однако после первого запуска скрывала свой значок, и в дальнейшем пользователь больше не мог ее запустить. Android.HiddenAds.1396 показывал надоедливые рекламные баннеры, которые мешали работе с зараженным смартфоном или планшетом.
В каталоге Google Play продолжают появляться новые вредоносные и нежелательные приложения. Для защиты Android-устройств от этих угроз следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/ILsH5IwzRUM/
|
|
«Доктор Веб»: обзор вирусной активности в мае 2019 года |
3 июня 2019 года
В мае статистика серверов Dr.Web зарегистрировала повышение числа уникальных угроз на 1.49% по сравнению с прошлым месяцем, а общее количество обнаруженных угроз повысилось на 14.51%. Статистика по вредоносному и нежелательному ПО показывает преобладание рекламных программ и установщиков. В почтовом трафике по-прежнему доминирует вредоносное ПО, использующее уязвимости документов Microsoft Office, но в мае также усилилось распространение опасного троянца Trojan.Fbng.8 (FormBook).
В мае специалисты «Доктор Веб» сообщили о новой угрозе для операционной системы macOS – Mac.BackDoor.Siggen.20. Это ПО позволяет загружать и исполнять на устройстве пользователя любой код на языке Python. Сайты, распространяющие это вредоносное ПО, также заражают компьютеры под управлением ОС Windows шпионским троянцем BackDoor.Wirenet.517 (NetWire). Последний является давно известным RAT-троянцем, с помощью которого хакеры могут удаленно управлять компьютером жертвы, включая использование камеры и микрофона на устройстве. Кроме того, распространяемый RAT-троянец имеет действительную цифровую подпись.
Угрозы этого месяца:
Угрозы этого месяца:
Возросла активность:
В мае в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
В течение мая 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 223 952 интернет-адреса.
| Апрель 2019 | Май 2019 | Динамика |
|---|---|---|
| + 345 999 | + 223 952 | - 35.27% |
В последнем весеннем месяце этого года злоумышленники вновь распространяли различные вредоносные программы через каталог Google Play. В начале мая специалисты компании «Доктор Веб» выявили троянца Android.HiddenAds.1396, который постоянно показывал рекламные баннеры и перекрывал ими интерфейс других приложений и операционной системы. Позднее были обнаружены троянцы-шпионы Android.SmsSpy.10206 и Android.SmsSpy.10263 — они крали входящие СМС и передавали их злоумышленникам.
Наиболее заметное событие, связанное с «мобильной» безопасностью в мае:
Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/epjirqg9XSc/
|
|
Новая угроза для macOS распространяется под видом WhatsApp |
8 мая 2019 года
Специалисты «Доктор Веб» обнаружили угрозу для операционной системы macOS, позволяющую загружать и исполнять на устройстве пользователя любой код на языке Python. Кроме того, сайты, распространяющие это вредоносное ПО, также заражают опасным шпионским троянцем пользователей ОС Windows.
Новая угроза для устройств под управлением macOS была обнаружена нашими специалистами 29 апреля. Это вредоносное ПО получило название Mac.BackDoor.Siggen.20 и представляет собой бэкдор, позволяющий загружать с удаленного сервера вредоносный код и исполнять его.
Mac.BackDoor.Siggen.20 попадает на устройства через сайты, принадлежащие его разработчикам. Один такой ресурс оформлен как сайт-визитка с портфолио несуществующего человека, а второй замаскирован под страницу с приложением WhatsApp.
При посещении этих ресурсов встроенный код определяет операционную систему пользователя и в зависимости от нее загружает бэкдор или троянца. Если посетитель использует macOS, его устройство заражается Mac.BackDoor.Siggen.20, а на устройства с ОС Windows загружается BackDoor.Wirenet.517 (NetWire). Последнее является давно известным RAT-троянцем, с помощью которого хакеры могут удаленно управлять компьютером жертвы, включая использование камеры и микрофона на устройстве. Кроме того, распространяемый RAT-троянец имеет действительную цифровую подпись.
По нашим данным, сайт, распространяющий Mac.BackDoor.Siggen.20 под видом приложения WhatsApp, открывали около 300 посетителей с уникальными IP адресами. Вредоносный ресурс работает с 24.03.2019 и пока не использовался хакерами в масштабных кампаниях. Тем не менее специалисты «Доктор Веб» рекомендуют проявлять осторожность и вовремя обновлять антивирус. На данный момент все компоненты Mac.BackDoor.Siggen.20 успешно детектируются только продуктами Dr.Web.
http://feedproxy.google.com/~r/drweb/viruses/~3/YKRo9ZWAnH8/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в апреле 2019 года |
|
|
«Доктор Веб»: обзор вирусной активности в апреле 2019 года |
30 апреля 2019 года
В апреле статистика серверов Dr.Web зарегистрировала снижение числа уникальных угроз на 39.44% по сравнению с прошлым месяцем, а общее количество обнаруженных угроз снизилось на 14.96%. В почтовом трафике по-прежнему преобладает вредоносное ПО, использующее уязвимости программ Microsoft Office. Продолжает тенденцию прошлого месяца и статистика по вредоносному и нежелательному ПО: большая часть обнаруженных угроз приходится на долю вредоносных расширений для браузеров, нежелательных и рекламных программ.
Количество вредоносных и нерекомендуемых сайтов увеличилось на 28.04%. Один из таких ресурсов распространял банковского троянца и стилера вместе с программами для обработки видео и звука, о чем мы сообщили в начале месяца. Кроме того, специалисты «Доктор Веб» предупредили о фишинговой рассылке, отправленной с адресов известных иностранных компаний.
Специалисты компании «Доктор Веб» предупредили пользователей о компрометации официального сайта популярного ПО для обработки видео и звука. Хакеры заменили ссылку на скачивание, и вместе с редактором пользователи загружали опасного банковского троянца Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer). Такие троянцы предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций. Кроме того, позднее хакеры заменили Win32.Bolik.2 на другое вредоносное ПО – один из вариантов Trojan.PWS.Stealer (KPOT Stealer).
Этот троянец крадет информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ.
Угрозы этого месяца:
В апреле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
В течение апреле 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 345 999 интернет-адресов.
| Март 2019 | Апрель 2019 | Динамика |
|---|---|---|
| + 270 227 | + 345 999 | + 28.04% |
В апреле компания «Доктор Веб» рассказала об опасном троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей ОС Android. Благодаря им он мог заражать apk-файлы, а также самостоятельно устанавливать и удалять программы.
В течение месяца в каталоге Google Play были выявлены новые вредоносные программы, такие как троянцы-загрузчики и кликеры, а также похитители логинов и паролей от учетных записей Instagram, получившие имена Android.PWS.Instagram.4 и Android.PWS.Instagram.5.
Кроме того, пользователям Android-смартфонов и планшетов угрожали банковские троянцы – например, новые версии Android.Banker.180.origin, а также другие вредоносные приложения.
Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:
Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/6YB5n0mnFh0/
|
|
Официальный сайт известной программы для редактирования видео инфицирован банковским троянцем |
11 апреля 2019
VSDC – популярное бесплатное ПО для обработки видео и звука. Согласно данным SimilarWeb, ежемесячная посещаемость официального сайта, с которого можно загрузить этот редактор, составляет около 1.3 миллиона пользователей. Однако меры безопасности, предпринимаемые владельцами ресурса, часто оказываются недостаточными для сайта с такой посещаемостью, что подвергает риску множество пользователей.
В прошлом году неизвестные хакеры получили доступ к административной части сайта VSDC и заменили ссылки на скачивание файлов. Вместо редактора видео пользователи скачивали JavaScript-файл, который затем загружал AZORult Stealer, X-Key Keylogger и DarkVNC backdoor. Компания VSDC сообщила о закрытии уязвимости, но не так давно нам стало известно о других случаях заражения.
По данным наших специалистов, с момента последнего заражения компьютер разработчика VSDC был скомпрометирован еще несколько раз. Один из взломов привел к компрометации сайта в период с 21.02.2019 по 23.03.2019. На этот раз хакеры использовали другой метод распространения вредоносного ПО: на сайт VSDC они встроили вредоносный JavaScript-код. Его задача заключалась в определении геолокации посетителей сайта и замене ссылки на скачивание для пользователей из Великобритании, США, Канады и Австралии. Вместо стандартных ссылок VSDC использовались ссылки на другой скомпрометированный ресурс:
Пользователи, загрузившие программу с этого ресурса, также скачали опасного банковского троянца – Win32.Bolik.2. Как и его аналог Win32.Bolik.1, это вредоносное ПО имеет свойства многокомпонентного полиморфного файлового вируса. Такие троянцы предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций. В настоящий момент нам известно по меньшей мере о 565 случаях заражения этим троянцем через сайт videosoftdev.com. Стоит отметить, что все файлы троянца успешно определяются пока что только продуктами Dr.Web.
Кроме того, 22.03.2019 хакеры заменили Win32.Bolik.2 на другое вредоносное ПО – один из вариантов Trojan.PWS.Stealer (KPOT Stealer). Этот троянец крадет информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ. За один день его загрузили на свои устройства 83 пользователя.
Разработчики VSDC уведомлены о компрометации сайта, и на данный момент ссылки на скачивание файлов восстановлены. Тем не менее, специалисты «Доктор Веб» рекомендуют всем пользователям продуктов VSDC проверить свои устройства с помощью нашего антивируса.
#банкер #банковский_троянец #вирус
http://feedproxy.google.com/~r/drweb/viruses/~3/nxWDCxP3DyE/
|
|
«Доктор Веб»: обзор вирусной активности в марте 2019 года |
3 апреля 2019 года
В марте вирусные аналитики компании «Доктор Веб» завершили исследование троянца, угрожавшего игрокам Counter-Strike 1.6. Среди главных угроз марта наблюдается динамика по сравнению с цифрами прошлого месяца. К примеру, активность Trojan.MulDrop8.60634 снизилась почти в три раза, а число таких угроз, как Trojan.Packed.24060 и Adware.OpenCandy.243, резко возросло за последний месяц. Также в базу нерекомендуемых и вредоносных сайтов было добавлено меньше доменных имен, чем в прошлом месяце, а в техническую поддержку «Доктор Веб» поступило больше запросов на расшифровку данных.
В марте аналитики «Доктор Веб» опубликовали подробное исследование троянца Belonard, использующего уязвимости нулевого дня в Steam-клиенте игры Counter-Strike 1.6. Попав на компьютер жертвы, троянец менял файлы клиента и создавал игровые прокси-серверы для заражения других пользователей. Количество вредоносных серверов CS 1.6, созданных троянцем Belonard, достигло 39% от числа всех официальных серверов, зарегистрированных в Steam. Теперь все модули троянца Belonard успешно определяются антивирусом Dr.Web и не угрожают нашим пользователям.
Угрозы этого месяца:
Снизилось количество угроз от:
В марте в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:
В течение марта 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 270 227 интернет-адресов.
| Февраль 2019 | Март 2019 | Динамика |
|---|---|---|
| + 288 159 | + 270 227 | - 6,63% |
В уходящем месяце в каталоге Google Play были выявлены новые вредоносные программы. Среди них — очередные троянцы семейства Android.FakeApp, которые распространяются под видом программ для онлайн-заработка. Они загружают веб-сайты, где владельцам мобильных устройств предлагается ответить на вопросы «компаний-спонсоров». За участие в опросах злоумышленники обещают потенциальным жертвам вознаграждение. Чтобы получить его, пользователям якобы необходимо оплатить комиссию за денежный перевод или же для подтверждения своей личности. На самом деле никакого вознаграждения нет, и пользователи отправляют деньги мошенникам.
Также были обнаружены новые троянцы Android.HiddenAds. Они постоянно показывают рекламные баннеры поверх окон других программ и системного интерфейса и мешают работе с Android-устройствами.
Кроме того, злоумышленники продолжили распространять банковских троянцев. Об одном из них наша компания сообщила во второй половине марта. Вредоносная программа, известная под именем Flexnet, похищает деньги с банковских счетов и баланса мобильных телефонов пользователей.
В конце месяца вирусные аналитики раскрыли детали уязвимости популярного Android-браузера UC Browser, который способен скачивать плагины в обход серверов Google Play. Злоумышленники могли использовать эту функцию для распространения троянцев.
Наиболее заметные события, связанные с «мобильной» безопасностью в марте:
Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/LaMz3dKSbhI/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в марте 2019 года |
3 апреля 2019 года
В марте компания «Доктор Веб» рассказала об уязвимости в мобильном браузере UC Browser, который способен скачивать новые модули со стороннего сервера. Злоумышленники могли использовать эту функцию для заражения Android-смартфонов и планшетов. Кроме того, вирусные аналитики поделились сведениями о троянце Flexnet, который крал деньги с банковских карт и счетов мобильных телефонов. В течение месяца в каталоге Google Play были выявлены очередные вредоносные приложения.
В конце марта компания «Доктор Веб» рассказала об уязвимости в Android-браузере UC Browser, которую обнаружили наши вирусные аналитики. Эта программа загружала дополнительные плагины в обход серверов Google Play, нарушая правила каталога этого ПО. Злоумышленники могли вмешаться в процесс скачивания плагинов и сделать так, чтобы вместо них браузер загружал и запускал вредоносные файлы. Опасности подверглись свыше 500 000 000 пользователей мобильных устройств. Детали этой уязвимости описаны в нашей вирусной библиотеке.
Злоумышленники продолжают распространять банковских троянцев, созданных на основе исходного кода вредоносного приложения Android.ZBot. Один из них — троянец Flexnet. Он крадет деньги с банковских карт, а также может оплачивать различные сервисы, используя счета мобильных телефонов жертв. Например, с помощью этого троянца киберпреступники способны пополнять баланс игр, оплачивать услуги хостинг-провайдеров и переводить средства на собственные мобильные телефоны. Подробнее о банкере Flexnet рассказано в новостной публикации на нашем сайте.
В марте в каталоге Google Play вновь были обнаружены различные вредоносные программы. Среди них — троянцы Android.FakeApp.152 и Android.FakeApp.162, которые загружают мошеннические сайты. На них пользователям за вознаграждение предлагается пройти опросы. Для получения денег потенциальным жертвам якобы необходимо выполнить некий проверочный платеж. На самом деле никакой проверки нет — пользователи лишь переводят средства мошенникам и не получают обещанную награду.
Кроме того, вирусные аналитики выявили очередных троянцев семейства Android.HiddenAds, например Android.HiddenAds.1133, Android.HiddenAds.1134, Android.HiddenAds.1052 и Android.HiddenAds.379.origin. Об аналогичных вредоносных программах наша компания сообщала в феврале. Эти троянцы распространяются под видом полезных приложений — фото- и видеоредакторов, фильтров для камеры, фонариков, спортивного ПО и т. п.
После установки и запуска они скрывают свои значки и начинают постоянно показывать рекламу поверх других программ и интерфейса операционной системы, мешая нормальной работе с Android-устройствами.
Пользователям Android-устройств угрожают троянцы, которые распространяются не только через вредоносные сайты, но и через официальный каталог ПО Google Play. Для защиты смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/s9SvpOHhpiw/
|
|
«Доктор Веб»: Android-банкер Flexnet выводит деньги пользователей через компьютерные игры |
21 марта 2019 года
Flexnet создан на основе троянца GM Bot, которого вирусные аналитики «Доктор Веб» исследовали еще в феврале 2015 года. Исходный код этого вредоносного приложения был опубликован в открытом доступе в 2016 году. Вскоре появились и первые версии Flexnet, в которых использовались наработки авторов GM Bot. Атаки на владельцев Android-смартфонов и планшетов с помощью этого троянца продолжаются до сих пор.
Злоумышленники распространяют банкера Flexnet при помощи СМС-спама. В сообщениях потенциальным жертвам предлагается перейти по ссылке и загрузить ту или иную программу или игру. Троянец маскируется под приложения «Друг вокруг», GTA V, инструменты для раскрутки аккаунтов в Instagram и «ВКонтакте», а также другое ПО.
При запуске банкер запрашивает доступ к функциям администратора устройства, показывая стандартное диалоговое окно. Если жертва предоставляет ему нужные полномочия, троянец сообщает о якобы возникшей ошибке и убирает свой значок с экрана приложений. Так он скрывается от пользователя и пытается затруднить свое удаление.
По сравнению с современными Android-банкерами возможности Flexnet весьма ограничены. Троянец способен перехватывать и отправлять СМС-сообщения, а также выполнять USSD-запросы. Однако и этих функций достаточно для кражи денег с использованием различных мошеннических приемов.
Один из них — пополнение внутриигровых счетов популярных компьютерных игр с использованием СМС. Эта схема работает следующим образом. Троянец проверяет баланс банковской карты пользователя, отправляя СМС-запрос в систему обслуживания мобильного банкинга. Затем он перехватывает ответное сообщение с информацией об остатке на счете и передает эти сведения киберпреступникам. Далее злоумышленники формируют запрос на пополнение баланса интересующей их игры. В запросе указывается номер телефона жертвы и сумма для перевода. После этого пользователю приходит СМС с проверочным кодом. Троянец перехватывает это сообщение, передает его содержимое мошенникам, и те отдают банкеру команду на отправку СМС с полученным кодом для подтверждения операции.
Вот примеры того, как происходит кража денег с использованием этого метода:
Аналогичным образом реализуются и другие мошеннические схемы. Например, злоумышленники могут оплачивать услуги хостинг-провайдеров, используя деньги с баланса мобильных номеров своих жертв. Для этого троянец отправляет СМС с необходимыми параметрами на специализированные номера:
Даже если на счету потенциальных жертв недостаточно средств, злоумышленники все равно могут украсть у них деньги. Мошенники используют тарифную опцию сотовых операторов «Обещанный платеж», которая позволяет оплачивать услуги в долг. Как и в других случаях, киберпреступники дают команду троянцу отправить СМС с нужными параметрами. При этом до определенного времени владельцы зараженных устройств не подозревают о пропаже денег, поскольку банкер скрывает все подозрительные сообщения.
Кроме того, троянец может переводить деньги с банковских карт жертв на счета злоумышленников. Однако кредитные организации при помощи специальных алгоритмов отслеживают подозрительные операции, поэтому вероятность блокировки такого перевода очень высока – в то время как описанные выше схемы позволяют мошенникам в течение длительного времени красть относительно небольшие суммы и оставаться незамеченными.
Другая функция Flexnet — похищение конфиденциальных данных. Киберпреступники могут получать доступ к аккаунтам пользователей социальных сетей, интернет-магазинов, личным кабинетам на сайтах операторов связи и другим онлайн-сервисам. Зная номер мобильного телефона жертвы, злоумышленники пытаются выполнить вход в ее учетную запись. На этот номер поступает одноразовый проверочный код, который троянец перехватывает и отправляет мошенникам.
Если же номер владельца зараженного устройства не привязан к одному из целевых сервисов, киберпреступники могут использовать такой номер для регистрации новой учетной записи. В дальнейшем скомпрометированные и вновь созданные аккаунты могут попасть на черный рынок, применяться для рассылки спама и организации фишинг-атак.
При содействии регистратора REG.ru несколько управляющих серверов Flexnet были заблокированы, и часть зараженных устройств злоумышленники больше не контролируют.
Компания «Доктор Веб» напоминает владельцам Android-смартфонов и планшетов, что устанавливать программы и игры следует лишь из надежных источников, таких как Google Play. Необходимо обращать внимание на отзывы других пользователей и применять ПО от проверенных разработчиков.
Антивирусные программы Dr.Web для Android детектируют все известные модификации троянца Flexnet как представителей семейства Android.ZBot и успешно удаляют их с зараженных устройств. Для наших пользователей эти вредоносные программы опасности не представляют.
#Android, #банковский_троянец, #двухфакторная_аутентификацияhttp://feedproxy.google.com/~r/drweb/viruses/~3/SeAMZj3hT_s/
|
|
