«Доктор Веб»: обзор вирусной активности для мобильных устройств в апреле 2021 года |
13 мая 2021 года
В апреле компания «Доктор Веб» сообщила об обнаружении трояна Android.Triada.4912, встроенного в одну из версий клиентского приложения популярного стороннего каталога Android-программ APKPure. В то же время в официальном каталоге Google Play вновь были выявлены очередные трояны из семейства Android.FakeApp. Они распространялись под видом полезных программ и загружали различные мошеннические сайты. Кроме того, специалисты «Доктор Веб» выявили троянов Android.Joker в магазине ПО AppGallery компании Huawei. Эти вредоносные приложения подписывали пользователей на платные мобильные услуги.
В начале апреля компания «Доктор Веб» опубликовала новость о том, что наши вирусные аналитики обнаружили вредоносную функциональность в клиентском приложении стороннего каталога Android-программ и игр APKPure. Неустановленные злоумышленники встроили в него трояна Android.Triada.4912, затронутой оказалась версия 3.17.18 приложения. Android.Triada.4912 запускал скрытый в нем вспомогательный модуль, который выполнял основные вредоносные действия: скачивал другие троянские компоненты и различные программы, а также загружал всевозможные веб-сайты.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В апреле в каталоге Google Play были выявлены новые трояны, принадлежащие к семейству Android.FakeApp. Они распространялись под видом справочников с информацией о денежных выплатах и компенсациях от государства, а также приложений, с помощью которых пользователи якобы могли получить скидки на покупку товаров в известных торговых сетях и выиграть подарки от популярных блогеров. В действительности эти программы-подделки вводили жертв в заблуждение. Они не выполняли заявленных функций и лишь демонстрировали мошеннические сайты, через которые злоумышленники похищали конфиденциальные данные и деньги владельцев Android-устройств. Трояны были добавлены в вирусную базу Dr.Web как Android.FakeApp.255, Android.FakeApp.254, Android.FakeApp.256, Android.FakeApp.259, Android.FakeApp.260 и Android.FakeApp.261.
Пример внешнего вида этих мошеннических приложений:
В прошлом месяце вирусные аналитики «Доктор Веб» обнаружили первые вредоносные приложения в каталоге AppGallery компании Huawei. Это были трояны семейства Android.Joker, которые способны выполнять произвольный код и подписывать пользователей на платные мобильные услуги. Они распространялись под видом различных безобидных программ — виртуальных клавиатур, онлайн-мессенджера, программы-фотокамеры и других. В общей сложности их установили более 538 000 пользователей.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в апреле 2021 года |
13 мая 2021 года
В апреле компания «Доктор Веб» сообщила об обнаружении трояна Android.Triada.4912, встроенного в одну из версий клиентского приложения популярного стороннего каталога Android-программ APKPure. В то же время в официальном каталоге Google Play вновь были выявлены очередные трояны из семейства Android.FakeApp. Они распространялись под видом полезных программ и загружали различные мошеннические сайты. Кроме того, специалисты «Доктор Веб» выявили троянов Android.Joker в магазине ПО AppGallery компании Huawei. Эти вредоносные приложения подписывали пользователей на платные мобильные услуги.
В начале апреля компания «Доктор Веб» опубликовала новость о том, что наши вирусные аналитики обнаружили вредоносную функциональность в клиентском приложении стороннего каталога Android-программ и игр APKPure. Неустановленные злоумышленники встроили в него трояна Android.Triada.4912, затронутой оказалась версия 3.17.18 приложения. Android.Triada.4912 запускал скрытый в нем вспомогательный модуль, который выполнял основные вредоносные действия: скачивал другие троянские компоненты и различные программы, а также загружал всевозможные веб-сайты.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В апреле в каталоге Google Play были выявлены новые трояны, принадлежащие к семейству Android.FakeApp. Они распространялись под видом справочников с информацией о денежных выплатах и компенсациях от государства, а также приложений, с помощью которых пользователи якобы могли получить скидки на покупку товаров в известных торговых сетях и выиграть подарки от популярных блогеров. В действительности эти программы-подделки вводили жертв в заблуждение. Они не выполняли заявленных функций и лишь демонстрировали мошеннические сайты, через которые злоумышленники похищали конфиденциальные данные и деньги владельцев Android-устройств. Трояны были добавлены в вирусную базу Dr.Web как Android.FakeApp.255, Android.FakeApp.254, Android.FakeApp.256, Android.FakeApp.259, Android.FakeApp.260 и Android.FakeApp.261.
Пример внешнего вида этих мошеннических приложений:
В прошлом месяце вирусные аналитики «Доктор Веб» обнаружили первые вредоносные приложения в каталоге AppGallery компании Huawei. Это были трояны семейства Android.Joker, которые способны выполнять произвольный код и подписывать пользователей на платные мобильные услуги. Они распространялись под видом различных безобидных программ — виртуальных клавиатур, онлайн-мессенджера, программы-фотокамеры и других. В общей сложности их установили более 538 000 пользователей.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/aROcPMPKTYg/
|
|
«Доктор Веб»: обзор вирусной активности в апреле 2021 года |
13 мая 2021 года
В апреле анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 1.73% по сравнению с мартом. При этом количество уникальных угроз снизилось на 35.6%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике по частоте распространения лидирует разнообразное вредоносное ПО, в том числе обфусцированные вредоносные программы, скрипты, а также приложения, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов уменьшилось на 2.73% по сравнению с мартом. Самым распространенным энкодером апреля оказался Trojan.Encoder.567, на долю которого приходится 15.71% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в апреле в антивирусную лабораторию «Доктор Веб» поступило на 2.73% меньше, чем в прошлом месяце.
В апреле 2021 года интернет-аналитики «Доктор Веб» обнаружили множество фишинговых сайтов. В числе прочего злоумышленники подделывали веб-страницы магазинов бытовой техники. Например, мошеннические сайты были замаскированы под официальные ресурсы «М.Видео». После нажатия кнопки «Перейти на сайт» пользователи оказывались в фальшивом интернет-магазине.
Злоумышленники заманивали жертв на фишинговые сайты, используя методы социальной инженерии. Они рассчитывали, что в надежде получить товары дешевле покупатели будут активировать специальные промокоды. Если пользователь попадался на уловку, мошенник получал его персональные данные, которые использовал для собственного обогащения, — например, списывал деньги с банковского счета жертвы.
Помимо этого, в апреле были зафиксированы случаи перенаправления на фейковые сайты платежных систем. Там пользователи вводили данные банковской карты, подтверждали платёж, но товар не получали.
В прошлом месяце вирусные аналитики компании «Доктор Веб» выяснили, что одна из версий клиентского приложения популярного стороннего каталога Android-программ APKPure содержит вредоносную функциональность. Обнаруженный в ней троян Android.Triada.4912 с помощью вспомогательного компонента загружал другие программы, а также демонстрировал различные веб-сайты.
Помимо этого, наши специалисты выявили первые вредоносные приложения в каталоге ПО AppGallery. Ими стали трояны из семейства Android.Joker, способные выполнять произвольный код, а также подписывать пользователей на платные мобильные сервисы.
Кроме того, в официальном каталоге Android-программ Google Play были найдены очередные трояны из семейства Android.FakeApp, применявшиеся в мошеннических целях.
Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:
Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности в апреле 2021 года |
13 мая 2021 года
В апреле анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 1.73% по сравнению с мартом. При этом количество уникальных угроз снизилось на 35.6%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике по частоте распространения лидирует разнообразное вредоносное ПО, в том числе обфусцированные вредоносные программы, скрипты, а также приложения, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов уменьшилось на 2.73% по сравнению с мартом. Самым распространенным энкодером апреля оказался Trojan.Encoder.567, на долю которого приходится 15.71% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в апреле в антивирусную лабораторию «Доктор Веб» поступило на 2.73% меньше, чем в прошлом месяце.
В апреле 2021 года интернет-аналитики «Доктор Веб» обнаружили множество фишинговых сайтов. В числе прочего злоумышленники подделывали веб-страницы магазинов бытовой техники. Например, мошеннические сайты были замаскированы под официальные ресурсы «М.Видео». После нажатия кнопки «Перейти на сайт» пользователи оказывались в фальшивом интернет-магазине.
Злоумышленники заманивали жертв на фишинговые сайты, используя методы социальной инженерии. Они рассчитывали, что в надежде получить товары дешевле покупатели будут активировать специальные промокоды. Если пользователь попадался на уловку, мошенник получал его персональные данные, которые использовал для собственного обогащения, — например, списывал деньги с банковского счета жертвы.
Помимо этого, в апреле были зафиксированы случаи перенаправления на фейковые сайты платежных систем. Там пользователи вводили данные банковской карты, подтверждали платёж, но товар не получали.
В прошлом месяце вирусные аналитики компании «Доктор Веб» выяснили, что одна из версий клиентского приложения популярного стороннего каталога Android-программ APKPure содержит вредоносную функциональность. Обнаруженный в ней троян Android.Triada.4912 с помощью вспомогательного компонента загружал другие программы, а также демонстрировал различные веб-сайты.
Помимо этого, наши специалисты выявили первые вредоносные приложения в каталоге ПО AppGallery. Ими стали трояны из семейства Android.Joker, способные выполнять произвольный код, а также подписывать пользователей на платные мобильные сервисы.
Кроме того, в официальном каталоге Android-программ Google Play были найдены очередные трояны из семейства Android.FakeApp, применявшиеся в мошеннических целях.
Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:
Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/34TUdebav8k/
|
|
«Доктор Веб»: обзор вирусной активности в марте 2021 года |
13 апреля 2021 года
В марте анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 16.72% по сравнению с февралем. Количество уникальных угроз также выросло — на 19.49%. Рекламные программы и нежелательные приложения по-прежнему лидируют по общему количеству детектирований. В почтовом трафике на первых позициях находится разнообразное вредоносное ПО, в том числе обфусцированные троянские программы, вредоносные скрипты, а также приложения, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов увеличилось на 11.33% по сравнению с прошлым месяцем. Самым распространенным энкодером месяца оказался Trojan.Encoder.567, на долю которого приходится 23.76% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в марте в антивирусную лабораторию «Доктор Веб» поступило на 11.33% больше, чем в феврале.
В течение марта 2021 года интернет-аналитики «Доктор Веб» добавили в базу нерекомендуемых и вредоносных сайтов большое количество новых мошеннических и фишинговых ресурсов. В марте злоумышленники продолжали активно распространять сайты с фальшивыми розыгрышами. Как правило, для получения несуществующего выигрыша жертве под различными предлогами предлагалось оплатить комиссию.
Все эти сайты объединяли похожие визуальные элементы: разделы с отзывами, всплывающие окна с именами «победителей», имитация чата с технической поддержкой и т. п. Используя проверенные методы социальной инженерии, мошенники плавно подводили пользователей к раскрытию данных банковских карт и оплате комиссии.
Среди угроз, наиболее часто встречавшихся на Android-устройствах в марте, вновь были трояны, демонстрировавшие рекламу, а также вредоносные приложения, загружавшие и выполнявшие произвольный код. Кроме того, пользователи часто сталкивались с нежелательными рекламными программами.
В каталоге Google Play вновь распространялись опасные трояны из семейства Android.Joker. Их основная функция — подписка жертв на платные мобильные услуги. Вместе с тем, были выявлены и очередные мошеннические трояны Android.FakeApp.
Наиболее заметные события, связанные с «мобильной» безопасностью в марте:
Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности в марте 2021 года |
13 апреля 2021 года
В марте анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 16.72% по сравнению с февралем. Количество уникальных угроз также выросло — на 19.49%. Рекламные программы и нежелательные приложения по-прежнему лидируют по общему количеству детектирований. В почтовом трафике на первых позициях находится разнообразное вредоносное ПО, в том числе обфусцированные троянские программы, вредоносные скрипты, а также приложения, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов увеличилось на 11.33% по сравнению с прошлым месяцем. Самым распространенным энкодером месяца оказался Trojan.Encoder.567, на долю которого приходится 23.76% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в марте в антивирусную лабораторию «Доктор Веб» поступило на 11.33% больше, чем в феврале.
В течение марта 2021 года интернет-аналитики «Доктор Веб» добавили в базу нерекомендуемых и вредоносных сайтов большое количество новых мошеннических и фишинговых ресурсов. В марте злоумышленники продолжали активно распространять сайты с фальшивыми розыгрышами. Как правило, для получения несуществующего выигрыша жертве под различными предлогами предлагалось оплатить комиссию.
Все эти сайты объединяли похожие визуальные элементы: разделы с отзывами, всплывающие окна с именами «победителей», имитация чата с технической поддержкой и т. п. Используя проверенные методы социальной инженерии, мошенники плавно подводили пользователей к раскрытию данных банковских карт и оплате комиссии.
Среди угроз, наиболее часто встречавшихся на Android-устройствах в марте, вновь были трояны, демонстрировавшие рекламу, а также вредоносные приложения, загружавшие и выполнявшие произвольный код. Кроме того, пользователи часто сталкивались с нежелательными рекламными программами.
В каталоге Google Play вновь распространялись опасные трояны из семейства Android.Joker. Их основная функция — подписка жертв на платные мобильные услуги. Вместе с тем, были выявлены и очередные мошеннические трояны Android.FakeApp.
Наиболее заметные события, связанные с «мобильной» безопасностью в марте:
Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/ZT0YyPNQi3w/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в марте 2021 года |
13 апреля 2021 года
В марте в числе наиболее активных угроз вновь оказались трояны и нежелательные приложения, демонстрировавшие рекламу. Кроме того, на Android-устройствах часто обнаруживались вредоносные программы, загружающие другое ПО и выполняющие произвольный код.
Среди угроз, выявленных в каталоге Google Play, было множество новых модификаций троянов Android.Joker, подписывающих жертв на премиум-сервисы, а также очередные мошеннические приложения Android.FakeApp.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В прошедшем месяце специалисты компании «Доктор Веб» выявили в каталоге Google Play очередные мошеннические программы семейства Android.FakeApp. Среди них были новые модификации трояна Android.FakeApp.247, якобы предоставлявшего доступ к различным бонусам и скидкам от известных компаний и торговых сетей. В данном случае — бонусам при покупке топлива на популярных АЗС. Для получения «приза» потенциальным жертвам предлагалось оформить платную подписку стоимостью от 429 рублей в неделю. В итоге пользователи никаких скидок и бонусов не получали — троян лишь демонстрировал им бесполезный штрих-код.
Другие вредоносные программы-подделки распространялись под видом разнообразных безобидных приложений — всевозможных справочников и пособий, программ для проверки совместимости людей и т. п. На самом деле они не выполняли заявленных функций и после запуска загружали сомнительные веб-сайты. Эти трояны были добавлены в вирусную базу Dr.Web как Android.FakeApp.244, Android.FakeApp.249 и Android.FakeApp.250.
Кроме того, в течение марта вирусные аналитики «Доктор Веб» обнаружили множество новых троянов семейства Android.Joker, шпионящих за пользователями и подписывающих на дорогостоящие мобильные услуги, а также способных выполнять произвольный код. Эти многофункциональные трояны распространялись под видом программы-переводчика, приложения для записи голоса и создания различных звуковых эффектов, анимированных обоев, лончера (программы управления главным экраном), всевозможных редакторов изображений, а также утилиты для настройки и управления Android-устройствами. Они были добавлены в вирусную базу как Android.Joker.613, Android.Joker.614, Android.Joker.617, Android.Joker.618, Android.Joker.620, Android.Joker.622, Android.Joker.624, Android.Joker.630 и Android.Joker.632.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в марте 2021 года |
13 апреля 2021 года
В марте в числе наиболее активных угроз вновь оказались трояны и нежелательные приложения, демонстрировавшие рекламу. Кроме того, на Android-устройствах часто обнаруживались вредоносные программы, загружающие другое ПО и выполняющие произвольный код.
Среди угроз, выявленных в каталоге Google Play, было множество новых модификаций троянов Android.Joker, подписывающих жертв на премиум-сервисы, а также очередные мошеннические приложения Android.FakeApp.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В прошедшем месяце специалисты компании «Доктор Веб» выявили в каталоге Google Play очередные мошеннические программы семейства Android.FakeApp. Среди них были новые модификации трояна Android.FakeApp.247, якобы предоставлявшего доступ к различным бонусам и скидкам от известных компаний и торговых сетей. В данном случае — бонусам при покупке топлива на популярных АЗС. Для получения «приза» потенциальным жертвам предлагалось оформить платную подписку стоимостью от 429 рублей в неделю. В итоге пользователи никаких скидок и бонусов не получали — троян лишь демонстрировал им бесполезный штрих-код.
Другие вредоносные программы-подделки распространялись под видом разнообразных безобидных приложений — всевозможных справочников и пособий, программ для проверки совместимости людей и т. п. На самом деле они не выполняли заявленных функций и после запуска загружали сомнительные веб-сайты. Эти трояны были добавлены в вирусную базу Dr.Web как Android.FakeApp.244, Android.FakeApp.249 и Android.FakeApp.250.
Кроме того, в течение марта вирусные аналитики «Доктор Веб» обнаружили множество новых троянов семейства Android.Joker, шпионящих за пользователями и подписывающих на дорогостоящие мобильные услуги, а также способных выполнять произвольный код. Эти многофункциональные трояны распространялись под видом программы-переводчика, приложения для записи голоса и создания различных звуковых эффектов, анимированных обоев, лончера (программы управления главным экраном), всевозможных редакторов изображений, а также утилиты для настройки и управления Android-устройствами. Они были добавлены в вирусную базу как Android.Joker.613, Android.Joker.614, Android.Joker.617, Android.Joker.618, Android.Joker.620, Android.Joker.622, Android.Joker.624, Android.Joker.630 и Android.Joker.632.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/h248fCThj0M/
|
|
В клиентском ПО каталога Android-программ APKPure обнаружен троян |
9 апреля 2021
APKPure — один из старейших и наиболее популярных сторонних каталогов игр и программ для платформы Android, который некоторые владельцы Android-устройств используют как альтернативу официальному магазину Google Play. Проведенный нашими специалистами анализ показал, что троян появился в клиенте APKPure версии 3.17.18, актуальной на момент выхода этой новости и распространяемой через официальный сайт площадки. Приложение подписано действительной цифровой подписью владельцев каталога. Это может говорить о том, что троян был встроен неустановленными инсайдерами намеренно, или же что произошел взлом, и злоумышленники получили доступ к внутренним ресурсам разработчиков магазина приложений. О вероятном взломе свидетельствует тот факт, что с аналогичным случаем столкнулся немецкий производитель телекоммуникационного оборудования Gigaset. По его словам, злоумышленники получили доступ к одному из серверов обновлений компании. После этого на некоторые модели Android-смартфонов Gigaset автоматически начали скачиваться и устанавливаться троянские программы, которые связаны со встроенным в приложение APKpure вредоносным кодом.
Первые данные о вредоносной версии клиента APKPure наша компания получила 25 марта. За прошедшее с того момента время код трояна претерпел некоторые изменения, но его основная функциональность осталась прежней. Текущая модификация вредоносной программы детектируется антивирусом Dr.Web как Android.Triada.4912.
Троян принадлежит к семейству Android.Triada — опасных вредоносных приложений, загружающих, устанавливающих и удаляющих ПО без разрешения пользователей. В данном случае он играет роль первой ступени заражения. В его коде в зашифрованном виде скрыт другой представитель этого семейства, Android.Triada.566.origin, который выполняет основные вредоносные функции. После его расшифровки и запуска, этот компонент начинает загружать различные веб-сайты в браузере, установленном по умолчанию. Это могут быть как сайты с рекламным контентом, так и фишингом. Кроме того, он скачивает и запускает другие модули и разнообразные приложения. Тем самым злоумышленники, стоящие за этими троянами, зарабатывают на накрутке числа установок и рекламе.
Компания «Доктор Веб» уведомила владельцев площадки APKPure о найденной угрозе. Владельцам Android-устройств, установившим приложение APKPure, рекомендуется временно удалить его, чтобы избавиться от трояна. Кроме того, следует с осторожностью использовать любые другие неофициальные каталоги Android-программ.
Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют известные версии указанных троянов, поэтому для наших пользователей они не представляют опасности.
Исследование троянов продолжается.
|
|
В клиентском ПО каталога Android-программ APKPure обнаружен троян |
9 апреля 2021
APKPure — один из старейших и наиболее популярных сторонних каталогов игр и программ для платформы Android, который некоторые владельцы Android-устройств используют как альтернативу официальному магазину Google Play. Проведенный нашими специалистами анализ показал, что троян появился в клиенте APKPure версии 3.17.18, актуальной на момент выхода этой новости и распространяемой через официальный сайт площадки. Приложение подписано действительной цифровой подписью владельцев каталога. Это может говорить о том, что троян был встроен неустановленными инсайдерами намеренно, или же что произошел взлом, и злоумышленники получили доступ к внутренним ресурсам разработчиков магазина приложений. О вероятном взломе свидетельствует тот факт, что с аналогичным случаем столкнулся немецкий производитель телекоммуникационного оборудования Gigaset. По его словам, злоумышленники получили доступ к одному из серверов обновлений компании. После этого на некоторые модели Android-смартфонов Gigaset автоматически начали скачиваться и устанавливаться троянские программы, которые связаны со встроенным в приложение APKpure вредоносным кодом.
Первые данные о вредоносной версии клиента APKPure наша компания получила 25 марта. За прошедшее с того момента время код трояна претерпел некоторые изменения, но его основная функциональность осталась прежней. Текущая модификация вредоносной программы детектируется антивирусом Dr.Web как Android.Triada.4912.
Троян принадлежит к семейству Android.Triada — опасных вредоносных приложений, загружающих, устанавливающих и удаляющих ПО без разрешения пользователей. В данном случае он играет роль первой ступени заражения. В его коде в зашифрованном виде скрыт другой представитель этого семейства, Android.Triada.566.origin, который выполняет основные вредоносные функции. После его расшифровки и запуска, этот компонент начинает загружать различные веб-сайты в браузере, установленном по умолчанию. Это могут быть как сайты с рекламным контентом, так и фишингом. Кроме того, он скачивает и запускает другие модули и разнообразные приложения. Тем самым злоумышленники, стоящие за этими троянами, зарабатывают на накрутке числа установок и рекламе.
Компания «Доктор Веб» уведомила владельцев площадки APKPure о найденной угрозе. Владельцам Android-устройств, установившим приложение APKPure, рекомендуется временно удалить его, чтобы избавиться от трояна. Кроме того, следует с осторожностью использовать любые другие неофициальные каталоги Android-программ.
Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют известные версии указанных троянов, поэтому для наших пользователей они не представляют опасности.
Исследование троянов продолжается.
http://feedproxy.google.com/~r/drweb/viruses/~3/7exD-4Ycy_E/
|
|
В каталоге приложений AppGallery впервые обнаружены вредоносные программы |
|
|
В каталоге приложений AppGallery впервые обнаружены вредоносные программы |
|
|
Исследование целевых атак на российские НИИ |
2 апреля 2021 года
В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» за помощью обратился один из российских научно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования вирусные аналитики установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Изучение деталей инцидента показало, что сеть предприятия была скомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, — не одной APT-группой.
Полученные в ходе расследования данные говорят о том, что первая APT-группа скомпрометировала внутреннюю сеть института осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 — модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети был установлен Trojan.Mirage.12, а в июне 2020 — BackDoor.Siggen2.3268.
Вторая хакерская группировка скомпрометировала сеть института не позднее апреля 2019, в этот раз заражение началось с установки бэкдора BackDoor.Skeye.1. В процессе работы мы также выяснили, что примерно в то же время — в мае 2019 года — Skeye был установлен в локальной сети другого российского НИИ.
Тем временем в июне 2019 года компания FireEye опубликовала отчет о целевой атаке на государственный сектор ряда стран центральной Азии с использованием этого бэкдора. Позднее, в период с августа по сентябрь 2020 года вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1, а также хорошо известный BackDoor.PlugX.
Более того, в декабре 2017 года на серверы обратившегося к нам НИИ был установлен BackDoor.RemShell.24. Представители этого семейства ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. При этом мы не располагаем такими данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.
Деятельность первой APT-группы не позволяет нам однозначно идентифицировать атаковавших как одну из ранее описанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры показал, что эта группа активна как минимум с 2015 года.
Второй APT-группой, атаковавшей НИИ, по нашему мнению является TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода говорят следующие факты:
Теперь подробнее рассмотрим выявленные связи. На графе приведена часть задействованной в атаке инфраструктуры с пересечениями бэкдоров Skeye и другим известным APT-бэкдором — PoisonIvy:
На этом графе изображены пересечения в инфраструктуре бэкдоров Skeye и Cotx:
Детальный анализ бэкдора DNSep и его последующее сравнение с кодом бэкдора Cotx выявили сходство как в общей логике обработки команд от управляющего сервера, так и в конкретных реализациях отдельных команд.
Другой интересной находкой этого исследования стал бэкдор Logtu, один из его образцов мы ранее описывали в рамках расследования инцидента в Киргизии. Адрес его управляющего сервера совпал с адресом сервера бэкдора Skeye — atob[.]kommesantor[.]com. В связи с этим мы также провели сравнительный анализ BackDoor.Skeye.1 с образцами BackDoor.Logtu.1 и BackDoor.Mikroceen.11.
Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.
Несмотря на то, что каналы связи с управляющим сервером у Cotx и DNSep кардинально различаются, нам удалось найти интересные совпадения в коде обоих бэкдоров.
Функция, отвечающая за обработку команд от управляющего сервера, принимает аргументом структуру:
struct st_arg
{
_BYTE cmd;
st_string arg;
};
При этом, если нужная функция принимает несколько аргументов, то они все записаны в поле arg с разделителем |.
Набор команд BackDoor.Cotx.1 обширнее, чем у BackDoor.DNSep.1, и включает все команды, которые есть у последнего.
В таблице ниже видно почти полное совпадение кода некоторых функций бэкдоров. При этом следует учитывать, в Cotx используется кодировка Unicode, а в DNSep — ANSI.
| BackDoor.DNSep.1 | BackDoor.Cotx.1 |
|---|---|
| Обработчик команды на отправку листинга каталога или информации о диске | |
 |
 |
| Функция получения информации о дисках | |
 |
 |
| Функция перечисления файлов в папке | |
 |
 |
| Функция сбора информации о файлах в папке | |
 |
 |
Полученные в результате анализа данные позволяют предположить, что при создании бэкдора DNSep его автор имел доступ к исходным кодам Cotx. Поскольку эти ресурсы не являются общедоступными, мы предполагаем, что автор или группа авторов DNSep имеет отношение к группировке TA428. В пользу этой версии говорит и тот факт, что образец DNSep был найден в скомпрометированной сети пострадавшей организации вместе с другими известными бэкдорами TA428.
В процессе исследования бэкдора Skeye мы обнаружили, что адрес его управляющего сервера также используется бэкдором семейства Logtu. Для сравнительного анализа мы использовали ранее описанные нами образцы BackDoor.Logtu.1 и BackDoor.Mikroceen.11.
Логирование во всех случаях так или иначе обфусцировано.
Общая логика последовательности записи сообщений в журнал также схожа у всех трех образцов:
Следует заметить, что настолько подробное и при этом обфусцированное логирование встречается крайне редко. Обфускация заключается в том, что в журнал записываются некоторые коды сообщений и в ряде случаев дополнительные данные. Кроме того, в данном случае прослеживается общая схема последовательности записи событий:
Последовательность соединения с управляющим сервером также выглядит похожей у всех 3 образцов. Первоначально каждый бэкдор пытается подключиться к серверу напрямую, а в случае неудачи может использовать прокси-серверы, адреса которых находятся из трех источников помимо встроенного.
Получение адресов прокси-серверов BackDoor.Mikroceen.11:
Поиск прокси в своем лог-файле:
Поиск в активных соединениях:
Получение адресов прокси-серверов BackDoor.Logtu.1:
Получение адресов прокси-серверов BackDoor.Skeye.1:
Некоторые образцы совместно использовали одну и ту же сетевую инфраструктуру. Фрагмент графа наглядно показывает взаимосвязь между семействами.
В образцах Logtu и Mikroceen присутствуют строки, которые используются в качестве идентификаторов сборок или версий. Формат некоторых из них совпадает.
| BackDoor.Mikroceen.11 | BackDoor.Logtu.1 | ||
|---|---|---|---|
| SHA1 | Id | SHA1 | id |
| ce21f798119dbcb7a63f8cdf070545abb09f25ba | intl0113 | 029735cb604ddcb9ce85de92a6096d366bd38a24 | intpz0220 |
| 0eb2136c5ff7a92706bc9207da32dd85691eeed5 | hisa5.si4 | 7b652e352a6d2a511f226e4d0cc22f093e052ad8 | retail2007 |
| 2f80f51188dc9aea697868864d88925d64c26abc | josa5w5n | 1c5e5fd53fc2ee778342a5cae3ac2eb0ac345ed7 | retail |
| 2e50c075343ab20228a8c0c094722bbff71c4a2a | enc0225 | 00ddcc200d1031b8639026532c0087bfcc4520c9 | 716demo |
| 3bd16f11b5b3965a124a6fc3286297e5cfe77715 | 520299 | b599797746ae8ccf7907cf88de232faa30ec95e6 | gas-zhi |
| 5eecdf63e85833e712a1ff88df1341bbf32f4ab8 | Strive | 2d672d7818a56029b337e8792935195d53576a9d | jjlk |
| bd308f4d1a32096a3b90cfdae45bbc5c13e5e801 | R0916 | ||
| b1be4b2f874c8309f553acce90287c8c6bb2b6b1 | frsl.1ply | ||
| 21ffd24b8074d7cffdf4cc339d1fa8fe892eba27 | Wdv | ||
| 8fbec09e646311a285aee06b3dd45ccf58928703 | intz726 | ||
| 19921cc47b3de003186e65fd12b82235030f060d | 122764 | ||
| 0f70251abc8c64cbc7b24995c3d32927514d0a4b | V20180224 | ||
| 149947544ca4f7baa5bc3d00b080d0e943d8036b | SOE | ||
| e7f5a33b33e023a82ac9eee6ed40e4a38ce95277 | int815 | ||
| b4790eec7daa9f931bed43a53f66168b477599a7 | UOE | ||
| ab660a3ac46d563c756463bd1b64cc45f347a1f7 | B.Z11NOV20D | ||
| d0181759a175fbcc60975983b351f88970f484f9 | 299520 | ||
| 7a63fc9db2bc1e9b1ef793723d5877e6b4c566b8 | WinVideo | ||
| 13779006d0dafbe4b27bd282230df299eef2b8dc | SSLSSL | ||
| f53c77695a162c78c68f693f57f65752d17f6030 | int007server | ||
| 924341cab6106ef993b506193e6786e459936069 | intl1211 | ||
| 8ebf78c84cd7f66ca8708467a28d83658bcf6710 | intl821 | ||
| f2856d7d138430e164f83662e251ee311950d83c | intl821 | ||
Кроме того, в значительном числе образцов данный идентификатор равен значению TEST или test.
Пример в BackDoor.Logtu.1 (9ea2488f07bf3edda23d9b7759c2d0c3c8501f92):
Пример в BackDoor.Mirkoceen.11 (81bb895a833594013bc74b429fb1f24f9ec9df26):
Таким образом, сравнительный анализ выявил у рассмотренных семейств сходства в:
В ходе расследования атак на российские НИИ наши вирусные аналитики нашли и описали несколько семейств целевых бэкдоров, включая ранее неизвестные образцы. Следует отдельно отметить длительное скрытое функционирование вредоносных программ в скомпрометированной сети пострадавшей организации — несанкционированное присутствие первой APT-группы оставалось незамеченным с 2017 года.
Характерной особенностью является наличие пересечений в коде и сетевой инфраструктуре проанализированных образцов. Мы допускаем, что выявленные связи указывают на принадлежность рассмотренных бэкдоров к одним и тем же хакерским группировкам.
Специалисты компании «Доктор Веб» рекомендуют производить регулярный контроль работоспособности важных сетевых ресурсов и своевременно обращать внимание на сбои, которые могут свидетельствовать о наличии в сети вредоносного ПО. Основная опасность целевых атак заключается не только в компрометации данных, но и в длительном присутствии злоумышленников в корпоративной сети. Такой сценарий позволяет годами контролировать работу организации и в нужный момент получать доступ к чувствительной информации. При подозрении на вредоносную активность в сети мы рекомендуем обращаться в вирусную лабораторию «Доктор Веб», которая оказывает услуги по расследованию вирусозависимых компьютерных инцидентов. Оперативное принятие адекватных мер позволит сократить ущерб и предотвратить тяжелые последствия целевых атак.
|
|
Исследование целевых атак на российские НИИ |
2 апреля 2021 года
В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» за помощью обратился один из российских научно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования вирусные аналитики установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Изучение деталей инцидента показало, что сеть предприятия была скомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, — не одной APT-группой.
Полученные в ходе расследования данные говорят о том, что первая APT-группа скомпрометировала внутреннюю сеть института осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 — модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети был установлен Trojan.Mirage.12, а в июне 2020 — BackDoor.Siggen2.3268.
Вторая хакерская группировка скомпрометировала сеть института не позднее апреля 2019, в этот раз заражение началось с установки бэкдора BackDoor.Skeye.1. В процессе работы мы также выяснили, что примерно в то же время — в мае 2019 года — Skeye был установлен в локальной сети другого российского НИИ.
Тем временем в июне 2019 года компания FireEye опубликовала отчет о целевой атаке на государственный сектор ряда стран центральной Азии с использованием этого бэкдора. Позднее, в период с августа по сентябрь 2020 года вирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия, включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1, а также хорошо известный BackDoor.PlugX.
Более того, в декабре 2017 года на серверы обратившегося к нам НИИ был установлен BackDoor.RemShell.24. Представители этого семейства ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. При этом мы не располагаем такими данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.
Деятельность первой APT-группы не позволяет нам однозначно идентифицировать атаковавших как одну из ранее описанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры показал, что эта группа активна как минимум с 2015 года.
Второй APT-группой, атаковавшей НИИ, по нашему мнению является TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода говорят следующие факты:
Теперь подробнее рассмотрим выявленные связи. На графе приведена часть задействованной в атаке инфраструктуры с пересечениями бэкдоров Skeye и другим известным APT-бэкдором — PoisonIvy:
На этом графе изображены пересечения в инфраструктуре бэкдоров Skeye и Cotx:
Детальный анализ бэкдора DNSep и его последующее сравнение с кодом бэкдора Cotx выявили сходство как в общей логике обработки команд от управляющего сервера, так и в конкретных реализациях отдельных команд.
Другой интересной находкой этого исследования стал бэкдор Logtu, один из его образцов мы ранее описывали в рамках расследования инцидента в Киргизии. Адрес его управляющего сервера совпал с адресом сервера бэкдора Skeye — atob[.]kommesantor[.]com. В связи с этим мы также провели сравнительный анализ BackDoor.Skeye.1 с образцами BackDoor.Logtu.1 и BackDoor.Mikroceen.11.
Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.
Несмотря на то, что каналы связи с управляющим сервером у Cotx и DNSep кардинально различаются, нам удалось найти интересные совпадения в коде обоих бэкдоров.
Функция, отвечающая за обработку команд от управляющего сервера, принимает аргументом структуру:
struct st_arg
{
_BYTE cmd;
st_string arg;
};
При этом, если нужная функция принимает несколько аргументов, то они все записаны в поле arg с разделителем |.
Набор команд BackDoor.Cotx.1 обширнее, чем у BackDoor.DNSep.1, и включает все команды, которые есть у последнего.
В таблице ниже видно почти полное совпадение кода некоторых функций бэкдоров. При этом следует учитывать, в Cotx используется кодировка Unicode, а в DNSep — ANSI.
| BackDoor.DNSep.1 | BackDoor.Cotx.1 |
|---|---|
| Обработчик команды на отправку листинга каталога или информации о диске | |
|
|
| Функция получения информации о дисках | |
|
|
| Функция перечисления файлов в папке | |
|
|
| Функция сбора информации о файлах в папке | |
|
|
Полученные в результате анализа данные позволяют предположить, что при создании бэкдора DNSep его автор имел доступ к исходным кодам Cotx. Поскольку эти ресурсы не являются общедоступными, мы предполагаем, что автор или группа авторов DNSep имеет отношение к группировке TA428. В пользу этой версии говорит и тот факт, что образец DNSep был найден в скомпрометированной сети пострадавшей организации вместе с другими известными бэкдорами TA428.
В процессе исследования бэкдора Skeye мы обнаружили, что адрес его управляющего сервера также используется бэкдором семейства Logtu. Для сравнительного анализа мы использовали ранее описанные нами образцы BackDoor.Logtu.1 и BackDoor.Mikroceen.11.
Логирование во всех случаях так или иначе обфусцировано.
Общая логика последовательности записи сообщений в журнал также схожа у всех трех образцов:
Следует заметить, что настолько подробное и при этом обфусцированное логирование встречается крайне редко. Обфускация заключается в том, что в журнал записываются некоторые коды сообщений и в ряде случаев дополнительные данные. Кроме того, в данном случае прослеживается общая схема последовательности записи событий:
Последовательность соединения с управляющим сервером также выглядит похожей у всех 3 образцов. Первоначально каждый бэкдор пытается подключиться к серверу напрямую, а в случае неудачи может использовать прокси-серверы, адреса которых находятся из трех источников помимо встроенного.
Получение адресов прокси-серверов BackDoor.Mikroceen.11:
Поиск прокси в своем лог-файле:
Поиск в активных соединениях:
Получение адресов прокси-серверов BackDoor.Logtu.1:
Получение адресов прокси-серверов BackDoor.Skeye.1:
Некоторые образцы совместно использовали одну и ту же сетевую инфраструктуру. Фрагмент графа наглядно показывает взаимосвязь между семействами.
В образцах Logtu и Mikroceen присутствуют строки, которые используются в качестве идентификаторов сборок или версий. Формат некоторых из них совпадает.
| BackDoor.Mikroceen.11 | BackDoor.Logtu.1 | ||
|---|---|---|---|
| SHA1 | Id | SHA1 | id |
| ce21f798119dbcb7a63f8cdf070545abb09f25ba | intl0113 | 029735cb604ddcb9ce85de92a6096d366bd38a24 | intpz0220 |
| 0eb2136c5ff7a92706bc9207da32dd85691eeed5 | hisa5.si4 | 7b652e352a6d2a511f226e4d0cc22f093e052ad8 | retail2007 |
| 2f80f51188dc9aea697868864d88925d64c26abc | josa5w5n | 1c5e5fd53fc2ee778342a5cae3ac2eb0ac345ed7 | retail |
| 2e50c075343ab20228a8c0c094722bbff71c4a2a | enc0225 | 00ddcc200d1031b8639026532c0087bfcc4520c9 | 716demo |
| 3bd16f11b5b3965a124a6fc3286297e5cfe77715 | 520299 | b599797746ae8ccf7907cf88de232faa30ec95e6 | gas-zhi |
| 5eecdf63e85833e712a1ff88df1341bbf32f4ab8 | Strive | 2d672d7818a56029b337e8792935195d53576a9d | jjlk |
| bd308f4d1a32096a3b90cfdae45bbc5c13e5e801 | R0916 | ||
| b1be4b2f874c8309f553acce90287c8c6bb2b6b1 | frsl.1ply | ||
| 21ffd24b8074d7cffdf4cc339d1fa8fe892eba27 | Wdv | ||
| 8fbec09e646311a285aee06b3dd45ccf58928703 | intz726 | ||
| 19921cc47b3de003186e65fd12b82235030f060d | 122764 | ||
| 0f70251abc8c64cbc7b24995c3d32927514d0a4b | V20180224 | ||
| 149947544ca4f7baa5bc3d00b080d0e943d8036b | SOE | ||
| e7f5a33b33e023a82ac9eee6ed40e4a38ce95277 | int815 | ||
| b4790eec7daa9f931bed43a53f66168b477599a7 | UOE | ||
| ab660a3ac46d563c756463bd1b64cc45f347a1f7 | B.Z11NOV20D | ||
| d0181759a175fbcc60975983b351f88970f484f9 | 299520 | ||
| 7a63fc9db2bc1e9b1ef793723d5877e6b4c566b8 | WinVideo | ||
| 13779006d0dafbe4b27bd282230df299eef2b8dc | SSLSSL | ||
| f53c77695a162c78c68f693f57f65752d17f6030 | int007server | ||
| 924341cab6106ef993b506193e6786e459936069 | intl1211 | ||
| 8ebf78c84cd7f66ca8708467a28d83658bcf6710 | intl821 | ||
| f2856d7d138430e164f83662e251ee311950d83c | intl821 | ||
Кроме того, в значительном числе образцов данный идентификатор равен значению TEST или test.
Пример в BackDoor.Logtu.1 (9ea2488f07bf3edda23d9b7759c2d0c3c8501f92):
Пример в BackDoor.Mirkoceen.11 (81bb895a833594013bc74b429fb1f24f9ec9df26):
Таким образом, сравнительный анализ выявил у рассмотренных семейств сходства в:
В ходе расследования атак на российские НИИ наши вирусные аналитики нашли и описали несколько семейств целевых бэкдоров, включая ранее неизвестные образцы. Следует отдельно отметить длительное скрытое функционирование вредоносных программ в скомпрометированной сети пострадавшей организации — несанкционированное присутствие первой APT-группы оставалось незамеченным с 2017 года.
Характерной особенностью является наличие пересечений в коде и сетевой инфраструктуре проанализированных образцов. Мы допускаем, что выявленные связи указывают на принадлежность рассмотренных бэкдоров к одним и тем же хакерским группировкам.
Специалисты компании «Доктор Веб» рекомендуют производить регулярный контроль работоспособности важных сетевых ресурсов и своевременно обращать внимание на сбои, которые могут свидетельствовать о наличии в сети вредоносного ПО. Основная опасность целевых атак заключается не только в компрометации данных, но и в длительном присутствии злоумышленников в корпоративной сети. Такой сценарий позволяет годами контролировать работу организации и в нужный момент получать доступ к чувствительной информации. При подозрении на вредоносную активность в сети мы рекомендуем обращаться в вирусную лабораторию «Доктор Веб», которая оказывает услуги по расследованию вирусозависимых компьютерных инцидентов. Оперативное принятие адекватных мер позволит сократить ущерб и предотвратить тяжелые последствия целевых атак.
http://feedproxy.google.com/~r/drweb/viruses/~3/IYUfcdnNHag/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в феврале 2021 года |
16 марта 2021 года
В феврале антивирусные продукты Dr.Web для Android чаще всего обнаруживали на защищаемых устройствах вредоносные и нежелательные программы, демонстрирующие надоедливую рекламу, а также трояны, выполняющие произвольный код и загружающие различные приложения без ведома пользователей.
В течение прошлого месяца вирусные аналитики компании «Доктор Веб» вновь обнаружили в каталоге Google Play множество угроз. Среди них были многочисленные мошеннические приложения, принадлежащие к семейству Android.FakeApp, многофункциональные трояны Android.Joker, вредоносные приложения семейства Android.HiddenAds, демонстрирующие рекламу, а также другие опасные программы.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В течение февраля специалисты компании «Доктор Веб» фиксировали распространение большого числа вредоносных приложений семейства Android.FakeApp, многие их которых злоумышленники применяли в мошеннических схемах. Одна из групп таких троянов распространялась под видом программ, якобы предоставлявших доступ к скидкам, акционным и бонусным картам, а также подаркам от известных магазинов и компаний. Для большей убедительности в программах использовалась символика и названия соответствующих брендов — производителей электроники, АЗС и торговых сетей.
При запуске таких программ потенциальным жертвам предлагалось оформить платную подписку стоимостью от 449 до 1499 рублей в неделю — якобы чтобы воспользоваться всеми функциями приложений и получить обещанные бонусы. Однако в результате они получали лишь бесполезные штрих- или QR-коды, одинаковые для всех троянов, а также обещание новых кодов, которые будут поступать в виде уведомлений. При этом функциональность для работы с уведомлениями была лишь у нескольких модификаций этих программ, что само по себе ставило под сомнение честность их создателей.
При согласии на оплату услуг внутри этих приложений владельцам Android-устройств предоставлялся пробный период на 3 дня, в течение которого они могли отказаться от платежа или же подтвердить подписку. Расчет злоумышленников в этой схеме заключался в том, что пользователи забудут о тестовом периоде или даже о том, что установили эти программы, либо из-за неопытности не поймут, что подключили дорогостоящую услугу с периодической оплатой.
Различные модификации указанных троянов были добавлены в вирусную базу Dr.Web как Android.FakeApp.239, Android.FakeApp.240, Android.FakeApp.246 и Android.FakeApp.247. Пример работы нескольких из них показан на изображениях ниже:
Сообщения и примеры кодов, которые трояны демонстрировали после успешной подписки на дорогостоящую услугу:
Во вторую группу программ-подделок семейства Android.FakeApp вошли приложения, которые злоумышленники выдавали за безобидные программы разнообразной тематики. Среди них были справочники о моде, животных, природе, различные гороскопы. Их функциональность не соответствовала заявленной, и они лишь загружали всевозможные сайты знакомств, а также откровенно мошеннические сайты. Данные программы активно продвигались через рекламную сеть видеосервиса YouTube, при этом в роликах и баннерах агрессивно использовалась тематика категории «для взрослых», а также знакомств и свиданий. В общей сложности специалисты «Доктор Веб» выявили свыше 20 вариантов таких поддельных программ.
Примеры расположенных в каталоге Google Play троянских приложений Android.FakeApp и ведущей на них вредоносной рекламы представлены ниже:
Примеры сайтов, которые загружали эти программы:
Третью группу вредоносных программ семейства Android.FakeApp представляли очередные вариации мошеннических троянов, которые распространялись под видом ПО с информацией о различных денежных компенсациях, льготах и социальных выплатах. Ими оказались новые модификации известных вредоносных приложений Android.FakeApp.219 и Android.FakeApp.227.
Как и ряд других вредоносных программ-подделок этого семейства, они также рекламировались через YouTube:
При запуске трояны загружали мошеннические сайты, на которых потенциальные жертвы якобы могли найти сведения о доступных для них выплатах. Там пользователей вводили в заблуждение, предлагая указать конфиденциальную информацию и оплатить либо комиссию за «перевод» денег на их банковский счет, либо «госпошлину». Никаких компенсаций они на самом деле не получали и лишь передавали мошенникам свои деньги и персональные данные.
Также вирусные аналитики компании «Доктор Веб» выявили несколько новых многофункциональных троянов семейства Android.Joker. Как и другие вредоносные приложения этого семейства, они распространялись под видом полезных программ — редактора изображений, сканера штрих-кодов, программы для создания PDF-документов, сборника стикеров для мессенждеров, анимированных обоев для рабочего стола и других приложений. Трояны были добавлены в вирусную базу Dr.Web как Android.Joker.580, Android.Joker.585, Android.Joker.586, Android.Joker.592, Android.Joker.595, Android.Joker.598 и Android.Joker.604.
Их главные функции — загрузка и запуск произвольного кода, а также автоматическая подписка пользователей на дорогостоящие мобильные услуги.
Крое того, в Google Play были обнаружены очередные рекламные трояны из семейства Android.HiddenAds, получившие имена Android.HiddenAds.610.origin и Android.HiddenAds.2357. Первый распространялся под видом программы с коллекцией изображений, второй — программы для редактирования фотографий.
При запуске они скрывали свои значки из списка установленных программ в меню главного экрана Android-устройств и начинали демонстрировать рекламу. При этом Android.HiddenAds.610.origin получал команды через облачный сервис Firebase и мог показывать уведомления с объявлениями, а также загружать различные веб-сайты. Среди них были как сайты с рекламой, так и сомнительные и даже мошеннические веб-ресурсы.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в феврале 2021 года |
16 марта 2021 года
В феврале антивирусные продукты Dr.Web для Android чаще всего обнаруживали на защищаемых устройствах вредоносные и нежелательные программы, демонстрирующие надоедливую рекламу, а также трояны, выполняющие произвольный код и загружающие различные приложения без ведома пользователей.
В течение прошлого месяца вирусные аналитики компании «Доктор Веб» вновь обнаружили в каталоге Google Play множество угроз. Среди них были многочисленные мошеннические приложения, принадлежащие к семейству Android.FakeApp, многофункциональные трояны Android.Joker, вредоносные приложения семейства Android.HiddenAds, демонстрирующие рекламу, а также другие опасные программы.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В течение февраля специалисты компании «Доктор Веб» фиксировали распространение большого числа вредоносных приложений семейства Android.FakeApp, многие их которых злоумышленники применяли в мошеннических схемах. Одна из групп таких троянов распространялась под видом программ, якобы предоставлявших доступ к скидкам, акционным и бонусным картам, а также подаркам от известных магазинов и компаний. Для большей убедительности в программах использовалась символика и названия соответствующих брендов — производителей электроники, АЗС и торговых сетей.
При запуске таких программ потенциальным жертвам предлагалось оформить платную подписку стоимостью от 449 до 1499 рублей в неделю — якобы чтобы воспользоваться всеми функциями приложений и получить обещанные бонусы. Однако в результате они получали лишь бесполезные штрих- или QR-коды, одинаковые для всех троянов, а также обещание новых кодов, которые будут поступать в виде уведомлений. При этом функциональность для работы с уведомлениями была лишь у нескольких модификаций этих программ, что само по себе ставило под сомнение честность их создателей.
При согласии на оплату услуг внутри этих приложений владельцам Android-устройств предоставлялся пробный период на 3 дня, в течение которого они могли отказаться от платежа или же подтвердить подписку. Расчет злоумышленников в этой схеме заключался в том, что пользователи забудут о тестовом периоде или даже о том, что установили эти программы, либо из-за неопытности не поймут, что подключили дорогостоящую услугу с периодической оплатой.
Различные модификации указанных троянов были добавлены в вирусную базу Dr.Web как Android.FakeApp.239, Android.FakeApp.240, Android.FakeApp.246 и Android.FakeApp.247. Пример работы нескольких из них показан на изображениях ниже:
Сообщения и примеры кодов, которые трояны демонстрировали после успешной подписки на дорогостоящую услугу:
Во вторую группу программ-подделок семейства Android.FakeApp вошли приложения, которые злоумышленники выдавали за безобидные программы разнообразной тематики. Среди них были справочники о моде, животных, природе, различные гороскопы. Их функциональность не соответствовала заявленной, и они лишь загружали всевозможные сайты знакомств, а также откровенно мошеннические сайты. Данные программы активно продвигались через рекламную сеть видеосервиса YouTube, при этом в роликах и баннерах агрессивно использовалась тематика категории «для взрослых», а также знакомств и свиданий. В общей сложности специалисты «Доктор Веб» выявили свыше 20 вариантов таких поддельных программ.
Примеры расположенных в каталоге Google Play троянских приложений Android.FakeApp и ведущей на них вредоносной рекламы представлены ниже:
Примеры сайтов, которые загружали эти программы:
Третью группу вредоносных программ семейства Android.FakeApp представляли очередные вариации мошеннических троянов, которые распространялись под видом ПО с информацией о различных денежных компенсациях, льготах и социальных выплатах. Ими оказались новые модификации известных вредоносных приложений Android.FakeApp.219 и Android.FakeApp.227.
Как и ряд других вредоносных программ-подделок этого семейства, они также рекламировались через YouTube:
При запуске трояны загружали мошеннические сайты, на которых потенциальные жертвы якобы могли найти сведения о доступных для них выплатах. Там пользователей вводили в заблуждение, предлагая указать конфиденциальную информацию и оплатить либо комиссию за «перевод» денег на их банковский счет, либо «госпошлину». Никаких компенсаций они на самом деле не получали и лишь передавали мошенникам свои деньги и персональные данные.
Также вирусные аналитики компании «Доктор Веб» выявили несколько новых многофункциональных троянов семейства Android.Joker. Как и другие вредоносные приложения этого семейства, они распространялись под видом полезных программ — редактора изображений, сканера штрих-кодов, программы для создания PDF-документов, сборника стикеров для мессенждеров, анимированных обоев для рабочего стола и других приложений. Трояны были добавлены в вирусную базу Dr.Web как Android.Joker.580, Android.Joker.585, Android.Joker.586, Android.Joker.592, Android.Joker.595, Android.Joker.598 и Android.Joker.604.
Их главные функции — загрузка и запуск произвольного кода, а также автоматическая подписка пользователей на дорогостоящие мобильные услуги.
Крое того, в Google Play были обнаружены очередные рекламные трояны из семейства Android.HiddenAds, получившие имена Android.HiddenAds.610.origin и Android.HiddenAds.2357. Первый распространялся под видом программы с коллекцией изображений, второй — программы для редактирования фотографий.
При запуске они скрывали свои значки из списка установленных программ в меню главного экрана Android-устройств и начинали демонстрировать рекламу. При этом Android.HiddenAds.610.origin получал команды через облачный сервис Firebase и мог показывать уведомления с объявлениями, а также загружать различные веб-сайты. Среди них были как сайты с рекламой, так и сомнительные и даже мошеннические веб-ресурсы.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/Z6hQKVMTE7o/
|
|
«Доктор Веб»: обзор вирусной активности в феврале 2021 года |
16 марта 2021 года
В феврале анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 25.07% по сравнению с январем. Количество уникальных угроз при этом снизилось — на 7.57%. Большинство самых распространенных угроз по-прежнему приходится на долю рекламных программ. В почтовом трафике активнее всего распространялись различные вредоносные скрипты, а также обфусцированные модификации бэкдора Bladabindi и стилера AgentTesla. Кроме того, пользователям продолжали угрожать программы, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов снизилось на 21.27% по сравнению с январем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 21.45% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в феврале в антивирусную лабораторию «Доктор Веб» поступило на 21.27% меньше, чем в январе.
В течение февраля 2021 года интернет-аналитики «Доктор Веб» добавили в базу нерекомендуемых и вредоносных сайтов множество новых мошеннических и фишинговых ресурсов. Кроме эксплуатирования тематики с выплатами и компенсациями злоумышленники вернулись и к другим известным схемам заработка. Так, в феврале было выявлено множество ресурсов, имитирующих сайты частных кинотеатров.
Чтобы заставить потенциальную жертву приобрести билеты на сеанс на одном из таких сайтов, злоумышленники активно использовали различные методы социальной инженерии. После оплаты билетов пользователи просто теряли деньги, а данные банковских карт передавались операторам сайта. В ряде случаев после этого с жертвой связывалась «техническая поддержка» и под предлогом оформления возврата средств высылала еще одну форму для оплаты.
Кроме того, в феврале аналитики обнаружили несколько веб-сайтов, предлагающих посетителям просматривать видео за вознаграждение.
В действительности мошенники использовали эти сайты для сбора пользовательских данных, фишинга, распространения специализированного нежелательного ПО, накруток просмотров и других подобных целей. Вдобавок положенное вознаграждение от партнерских сервисов за активность пользователей получали сами злоумышленники.
В феврале самыми распространенными Android-угрозами вновь стали троянские приложения, демонстрирующие рекламу, а также трояны, способные исполнять произвольный код и загружать различное ПО.
В течение прошедшего месяца специалисты компании «Доктор Веб» обнаружили множество угроз в каталоге Google Play. Среди них были многофункциональные трояны семейства Android.Joker, подписывающие пользователей на премиум-сервисы и выполняющие произвольный код, мошеннические трояны семейства Android.FakeApp, которые злоумышленники выдавали за полезное и безобидное ПО, рекламные трояны Android.HiddenAds, а также другие угрозы.
Наиболее заметные события, связанные с «мобильной» безопасностью в феврале:
Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/MfBg8xmadXw/
|
|
Исследование Spyder — модульного бэкдора для целевых атак |
4 марта 2021 года
Мы уже касались деятельности Winnti, когда исследовали образцы бэкдора ShadowPad, найденные нами в скомпрометированной сети государственного учреждения Киргизии. Кроме того, ранее в этой же сети мы обнаружили другой специализированный бэкдор — PlugX, имеющий с ShadowPad множество пересечений в коде и сетевой инфраструктуре. Сравнительному анализу обоих семейств был посвящен отдельный материал.
В этом исследовании мы проведем анализ найденного вредоносного модуля, рассмотрим алгоритмы и особенности его работы и выявим его связь с другими известными инструментами APT-группы Winnti.
На зараженном устройстве вредоносный модуль располагался в системной директории C:\Windows\System32 под именем oci.dll. Таким образом, модуль был подготовлен для запуска системной службой MSDTC (Microsoft Distributed Transaction Coordinator) при помощи метода DLL Hijacking. По нашим данным, файл попал на компьютеры в мае 2020 года, однако способ первичного заражения остался неизвестным. В журналах событий обнаружились записи о создании служб, предназначенных для старта и остановки MSDTC, а также для исполнения бэкдора.
Log Name: System
Source: Service Control Manager
Date: 23.11.2020 5:45:17
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User:
Computer:
Description:
A service was installed in the system.
Service Name: IIJVXRUMDIKZTTLAMONQ
Service File Name: net start msdtc
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem
Log Name: System
Source: Service Control Manager
Date: 23.11.2020 5:42:20
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User:
Computer:
Description:
A service was installed in the system.
Service Name: AVNUXWSHUNXUGGAUXBRE
Service File Name: net stop msdtc
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem
Также были найдены следы запуска других служб со случайными именами, их файлы располагались в директориях вида C:\Windows\Temp\
Интересной находкой стала служба, свидетельствующая об использовании утилиты для удаленного исполнения кода smbexec.py из состава набора Impacket. С её помощью злоумышленники организовали удаленный доступ к командной оболочке в полуинтерактивном режиме.
Исследуемый вредоносный модуль oci.dll был добавлен в вирусную базу Dr.Web как BackDoor.Spyder.1. В одном из найденных нами образцов этого семейства остались функции ведения отладочного журнала и сами сообщения, при этом те из них, которые использовались при коммуникации с управляющим сервером, содержали строку «Spyder».
Бэкдор примечателен рядом интересных особенностей. Во-первых, oci.dll содержит основной PE-модуль, но с отсутствующими файловыми сигнатурами. Заполнение сигнатур заголовка нулями, предположительно, было сделано с целью затруднения детектирования бэкдора в памяти устройства. Во-вторых, полезная нагрузка сама по себе не несет вредоносной функциональности, но служит загрузчиком и координатором дополнительных плагинов, получаемых от управляющего сервера. С помощью этих подключаемых плагинов бэкдор выполняет основные задачи. Таким образом, это семейство имеет модульную структуру, так же как и другие семейства бэкдоров, используемые Winnti, — упомянутые ранее ShadowPad и PlugX.
Анализ сетевой инфраструктуры Spyder выявил связь с другими атаками Winnti. В частности инфраструктура, используемая бэкдорами Crosswalk и ShadowPad, описанными в исследовании Positive Technologies, перекликается с некоторыми образцами Spyder. График ниже наглядно показывает выявленные пересечения.
Подробное техническое описание BackDoor.Spyder.1 находится в PDF-версии исследования и в вирусной библиотеке Dr.Web.
Рассмотренный образец бэкдора для целевых атак BackDoor.Spyder.1 примечателен в первую очередь тем, что его код не исполняет прямых вредоносных функций. Его основные задачи — скрытое функционирование в зараженной системе и установление связи с управляющим сервером с последующим ожиданием команд операторов. При этом он имеет модульную структуру, что позволяет масштабировать его возможности, обеспечивая любую функциональность в зависимости от нужд атакующих. Наличие подключаемых плагинов роднит рассмотренный образец с ShadowPad и PlugX, что, вкупе с пересечениями сетевых инфраструктур, позволяет нам сделать вывод о его принадлежности к деятельности Winnti.
http://feedproxy.google.com/~r/drweb/viruses/~3/OtMI-7HjSY4/
|
|
«Доктор Веб»: обзор вирусной активности в январе 2021 года |
24 февраля 2021 года
В январе анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 4.92% по сравнению с декабрем. Количество уникальных угроз также выросло — на 13.11%. По общему количеству детектирований продолжают лидировать рекламные программы и вредоносные расширения для браузеров. В почтовом трафике на первых позициях находятся различные модификации стилеров семейства AgentTesla, бэкдор, написанный на VB.NET, а также программы, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов увеличилось на 29.27% по сравнению с декабрем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 24.11% всех инцидентов.
Угрозы прошедшего месяца:
Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в январе в антивирусную лабораторию «Доктор Веб» поступило на 29.27% больше, чем в декабре.
В течение января 2021 года интернет-аналитики «Доктор Веб» выявили множество мошеннических и фишинговых сайтов, при помощи которых злоумышленники похищали деньги и персональные данные пользователей. Чаще всего посетителям предлагалось получить несуществующую выплату от государства или перевод от частного лица. Во всех случаях для получения обещанных выплат требовалось оплатить комиссию.
Кроме того, в январе аналитики обнаружили несколько веб-сайтов несуществующих банков. Злоумышленники регистрировали сайты в домене .рф и использовали один и тот же шаблон для создания однотипных страниц, отличающихся лишь вымышленными названиями банков. Эти мошеннические ресурсы предназначались для кражи средств со счетов доверчивых пользователей.
Также в январе было выявлено множество поддельных служб переводов, маскирующихся под онлайн-кассы. Эти сайты часто использовались в связке с мошенническими торговыми площадками и позволяли похищать не только деньги, но и данные банковских карт пользователей.
По сравнению с декабрем в январе на Android-устройствах было выявлено на 11.32% меньше угроз. При этом в числе наиболее распространенных оказались вредоносные приложения, способные загружать другое ПО и выполнять произвольный код, а также трояны, демонстрировавшие рекламу.
В течение прошлого месяца специалисты компании «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных приложений семейства Android.FakeApp, загружавших мошеннические сайты. Кроме того, были выявлены очередные многофункциональные трояны, принадлежащие семейству Android.Joker. Одна из их функций — подписка пользователей на дорогостоящие мобильные услуги. Кроме того, злоумышленники распространяли приложения со встроенными в них нежелательными рекламными модулями, получившими имя Adware.NewDich.
Эти модули загружали в веб-браузере различные сайты, среди которых могли оказаться как безобидные, так и вредоносные и мошеннические веб-ресурсы, а также сайты с рекламой.
Активность проявили и различные банковские трояны. Одного из них вирусные аналитики «Доктор Веб» обнаружили в Google Play, других вирусописатели распространяли через вредоносные сайты.
Наиболее заметные события, связанные с «мобильной» безопасностью в январе:
Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/8UA_Bi1nvd0/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в январе 2021 года |
24 февраля 2021 года
В январе антивирусные продукты Dr.Web для Android зафиксировали на защищаемых устройствах на 11,32% меньше угроз по сравнению с декабрем прошлого года. Число обнаруженных вредоносных приложений снизилось на 11,5%, а рекламных - на 15,93%. При этом количество выявленных нежелательных и потенциально опасных программ возросло на 11,66% и 7,26% соответственно. Согласно полученной статистике, наиболее часто пользователи сталкивались с троянами, демонстрировавшими рекламу, а также с вредоносными приложениями, которые загружали другое ПО и выполняли произвольный код.
В течение предыдущего месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество угроз. Среди них - многочисленные модификации рекламных модулей семейства Adware.NewDich, которые распространялись в составе программ для ОС Android. Кроме того, были выявлены новые трояны семейства Android.FakeApp, загружавшие мошеннические сайты, а также вредоносные приложения семейства Android.Joker, подписывавшие пользователей на дорогостоящие мобильные услуги и выполнявшие произвольный код.
Вместе с тем наши специалисты зафиксировали очередные атаки с применением банковских троянов. Один из них был найден в поддельном банковском приложении, размещенном в Google Play, другие распространялись через вредоносные сайты, созданные злоумышленниками.
В начале января вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play приложения со встроенными в них рекламными модулями семейства Adware.NewDich, которые по команде управляющего сервера загружают в браузере различные веб-сайты. Это могут быть как безобидные интернет-ресурсы, так и сайты с рекламой или мошеннические сайты, используемые для фишинга. Их загрузка происходит, когда пользователи не работают с приложениями, содержащими Adware.NewDich. Из-за этого становится сложнее определить причину странного поведения Android-устройств.
Примеры приложений, в которых были найдены такие рекламные модули:
Примеры загружаемых ими сайтов:
Среди разнообразия веб-ресурсов, загружаемых модулями Adware.NewDich, часто встречаются страницы партнерских и рекламных сервисов, которые перенаправляют пользователей на разделы размещенных в Google Play программ. Одной из них было приложение под названием YBT Exchange, якобы предназначенное для работы с одной из криптобирж. Однако вирусные аналитики компании «Доктор Веб» выяснили, что это не что иное как банковский троян - он получил имя Android.Banker.3684. В его функции входил перехват вводимых логинов, паролей, одноразовых проверочных кодов, а также содержимого поступающих уведомлений, для чего троян запрашивал соответствующее системное разрешение. После нашего обращения в корпорацию Google банкер был удален из каталога.
Вирусные аналитики «Доктор Веб» выяснили, что различные модификации этих модулей присутствовали как минимум в 21 программе. Исследование показало, что с большой долей вероятности их владельцы непосредственно связаны и с разработкой Adware.NewDich. После того как рекламная платформа привлекла внимание специалистов по информационной безопасности, ее администраторы запаниковали и начали выпускать обновления приложений, в которых старались «сбить» детектирование антивирусов или полностью исключали из них рекламный модуль. Одна из затронутых программ в дальнейшем была удалена из каталога. Вместе с тем ничто не мешает злоумышленникам выпускать новые версии ПО, в которых Adware.NewDich будет присутствовать вновь, что уже несколько раз наблюдали наши специалисты.
Список программ с обнаруженными в них модулями Adware.NewDich:
| Имя пакета | Наличие модуля Adware.NewDich | Приложение удалено из Google Play |
|---|---|---|
| com.qrcodescanner.barcodescanner | Присутствовал в последней актуальной версии 1.75 | Да |
| com.speak.better.correctspelling | Присутствует в актуальной версии 679.0 | Нет |
| com.correct.spelling.learn.english | Присутствует в актуальной версии 50.0 | Нет |
| com.bluetooth.autoconnect.anybtdevices | Присутствует в актуальной версии 2.5 | Нет |
| com.bluetooth.share.app | Присутствует в актуальной версии 1.8 | Нет |
| org.strong.booster.cleaner.fixer | Отсутствует в актуальной версии 5.9 | Нет |
| com.smartwatch.bluetooth.sync.notifications | Отсутствует в актуальной версии 85.0 | Нет |
| com.blogspot.bidatop.nigeriacurrentaffairs2018 | Присутствует в актуальной версии 3.2 | Нет |
| com.theantivirus.cleanerandbooster | Отсутствует в актуальной версии 9.3 | Нет |
| com.clean.booster.optimizer | Отсутствует в актуальной версии 9.1 | Нет |
| flashlight.free.light.bright.torch | Отсутствует в актуальной версии 66.0 | Нет |
| com.meow.animal.translator | Отсутствует в актуальной версии 1.9 | Нет |
| com.gogamegone.superfileexplorer | Отсутствует в актуальной версии 2.0 | Нет |
| com.super.battery.full.alarm | Отсутствует в актуальной версии 2.2 | Нет |
| com.apps.best.notepad.writing | Отсутствует в актуальной версии 7.7 | Нет |
| ksmart.watch.connecting | Отсутствует в актуальной версии 32.0 | Нет |
| com.average.heart.rate | Отсутствует в актуальной версии 7.0 | Нет |
| com.apps.best.alam.clocks | Отсутствует в актуальной версии 4.7 | Нет |
| com.booster.game.accelerator.top | Отсутствует в актуальной версии 2.1 | Нет |
| org.booster.accelerator.optimizer.colorful | Отсутствует в актуальной версии 61.0 | Нет |
| com.color.game.booster | Отсутствует в актуальной версии 2.1 | Нет |
Особенности модулей Adware.NewDich:
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Помимо приложений с рекламными модулями Adware.NewDich в январе специалисты «Доктор Веб» выявили в каталоге Google Play множество новых троянов семейства Android.FakeApp, которые распространялись под видом ПО с информацией о социальных выплатах, льготах, возврате НДС и других денежных компенсациях. При этом среди них встречались и другие модификации — например, выдаваемые за программы для поиска информации о лотереях и получения подарков от популярных блогеров.
Как и другие аналогичные трояны, обнаруженные ранее, последние версии загружали мошеннические сайты, где потенциальным жертвам сообщалось о якобы доступных для них выплатах от государства. Для «получения» денег им предлагалось указать персональную информацию, а также оплатить работу юристов, оформление документов, госпошлину или комиссию за перевод на банковский счет. На самом деле никаких средств пользователи не получали, и злоумышленники похищали у них конфиденциальные данные и деньги.
Некоторые модификации этих вредоносных приложений периодически демонстрировали уведомления, в которых также сообщалось о доступных выплатах и компенсациях. Таким образом киберпреступники пытались привлечь дополнительное внимание потенциальных жертв, чтобы те чаще переходили на мошеннические сайты.
Примеры сайтов, загружаемых различными модификациями троянов Android.FakeApp:
Примеры мошеннических уведомлений с информацией о «выплатах» и «компенсациях», которые демонстрируют эти вредоносные приложения:
Кроме того, были обнаружены очередные многофункциональные трояны, принадлежащие к семейству Android.Joker и получившие имена Android.Joker.496, Android.Joker.534 и Android.Joker.535. Они распространялись под видом безобидных приложений — программ-переводчиков и мультимедийного редактора для создания gif-анимации. Однако настоящими их функциями были загрузка и выполнение произвольного кода, а также перехват содержимого уведомлений и подписка пользователей на премиум-услуги.
Среди выявленных угроз оказался и новый троян, добавленный в вирусную базу Dr.Web как Android.Banker.3679. Он распространялся под видом приложения для работы с бонусной программой Esfera банка Santander и предназначался для бразильских пользователей. Основными функциями Android.Banker.3679 являлись фишинг и кража конфиденциальных данных, а его целью было банковское приложение Santander Empresas.
После установки и запуска троян запрашивал доступ к специальным возможностям ОС Android — якобы для продолжения работы с приложением. На самом деле они были нужны ему для автоматического выполнения вредоносных действий. Если жертва соглашалась предоставить ему необходимые полномочия, банкер получал контроль над устройством и мог самостоятельно нажимать на различные элементы меню, кнопки, считывать содержимое окон приложений и т. д.
Наряду с банковскими троянами, выявленными в Google Play, владельцам Android-устройств угрожали банкеры, которые распространялись через вредоносные сайты. Например, специалисты компании «Доктор Веб» зафиксировали очередные атаки на японских пользователей, где применялись вредоносные приложения из различных семейств — Android.BankBot.3954, Android.SmsSpy.833.origin, Android.SmsSpy.10809, Android.Spy.679.origin и другие. Они загружались с поддельных сайтов курьерских и почтовых служб под видом обновлений браузера Chrome, программы Play Маркет и прочего безобидного ПО.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/SLihaDgLyXU/
|
|