«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2021 года |
8 сентября 2021 года
В течение месяца специалисты компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них — программы-подделки семейства Android.FakeApp, загружавшие мошеннические сайты. Кроме того, был обнаружен очередной троян, похищавший логины и пароли от учетных записей Facebook. Также злоумышленники распространяли троянов семейства Android.Joker, которые подписывают жертв на платные мобильные услуги.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В августе в каталоге Google Play было обнаружено множество вредоносных программ. Среди них — программы-подделки семейства Android.FakeApp, которые используются в различных мошеннических схемах. Так, часть этих троянов вновь распространялась под видом официальных приложений популярных российских лотерей «Русское лото» и «Гослото», а также их официального дистрибьютора «Столото». Подделки были добавлены в вирусную базу Dr.Web как Android.FakeApp.307, Android.FakeApp.308, Android.FakeApp.309, Android.FakeApp.310, Android.FakeApp.311, Android.FakeApp.312, Android.FakeApp.325, Android.FakeApp.328, Android.FakeApp.329, Android.FakeApp.330, Android.FakeApp.332, Android.FakeApp.333, Android.FakeApp.334, Android.FakeApp.335 и Android.FakeApp.341.
При запуске программы загружали мошеннические сайты, где потенциальным жертвам предлагалось получить бесплатные лотерейные билеты и принять участие в розыгрыше призов. Однако это был обман: игра лишь имитировалась, а для получения «выигрыша» от пользователей требовалось оплатить «комиссию» или «пошлину» — эти деньги оседали в карманах мошенников.
Пример работы одного из таких троянов показан ниже:
Примеры того, как такие подделки выглядят в Google Play:
Другими подделками были очередные приложения, с помощью которых российские пользователи якобы могли найти информацию о различных социальных выплатах от государства, а также непосредственно получить эти выплаты на свои банковские карты и счета. Как и в случае со схемой с лотерейными билетами, такие программы лишь загружали мошеннические сайты, на которых для получения «выплат» требовалось оплатить «комиссию».
Трояны были добавлены в вирусную базу Dr.Web как Android.FakeApp.306, Android.FakeApp.313 и Android.FakeApp.325.
Кроме того, были обнаружены новые мошеннические программы, якобы предназначенные для инвестирования и торговли на финансовом рынке. Некоторые из них злоумышленники распространяли от имени известных компаний.
Эти трояны, получившие имена Android.FakeApp.305, Android.FakeApp.314, Android.FakeApp.315 и Android.FakeApp.316, загружали различные «финансовые» сайты-приманки, где пользователям предлагалось пройти регистрацию, чтобы начать зарабатывать. В некоторых случаях у них запрашивались имя, фамилия, адрес электронной почты и номер мобильного телефона, в других — только телефонный номер. Затем жертвы обмана могли быть перенаправлены на другие мошеннические ресурсы, получить уведомление о том, что мест для новых клиентов якобы не осталось, либо увидеть просьбу дождаться звонка «оператора».
Примеры работы этих троянов:
При помощи таких инвестиционных программ-подделок злоумышленники не только собирают персональную информацию пользователей и могут украсть их деньги, но и способны в дальнейшем вовлечь их в другие мошеннические схемы, в том числе продав полученные данные третьим лицам.
Среди выявленных в Google Play угроз также оказались и новые представители семейства опасных троянов Android.Joker, добавленные в вирусную базу Dr.Web как Android.Joker.320.origin, Android.Joker.858 и Android.Joker.910. Первый распространялся под видом анимированных обоев 3D Live Wallpaper, второй маскировался под музыкальное приложение New Music Ringtones, а третий выдавал себя за приложение Free Text Scanner для сканирования текстов и создания PDF-документов. Все они подписывали владельцев Android-устройств на платные мобильные услуги, а также могли загружать и исполнять произвольный код.
Также наши вирусные аналитики обнаружили нового трояна, предназначенного для кражи логинов и паролей от учетных записей Facebook. Он распространялся под видом программы, позволяющей защитить установленные приложения от несанкционированного доступа. Троян был добавлен в вирусную базу Dr.Web как Android.PWS.Facebook.34.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/eHQKTt-Z1jY/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2021 года |
8 сентября 2021 года
В течение месяца специалисты компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них — программы-подделки семейства Android.FakeApp, загружавшие мошеннические сайты. Кроме того, был обнаружен очередной троян, похищавший логины и пароли от учетных записей Facebook. Также злоумышленники распространяли троянов семейства Android.Joker, которые подписывают жертв на платные мобильные услуги.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В августе в каталоге Google Play было обнаружено множество вредоносных программ. Среди них — программы-подделки семейства Android.FakeApp, которые используются в различных мошеннических схемах. Так, часть этих троянов вновь распространялась под видом официальных приложений популярных российских лотерей «Русское лото» и «Гослото», а также их официального дистрибьютора «Столото». Подделки были добавлены в вирусную базу Dr.Web как Android.FakeApp.307, Android.FakeApp.308, Android.FakeApp.309, Android.FakeApp.310, Android.FakeApp.311, Android.FakeApp.312, Android.FakeApp.325, Android.FakeApp.328, Android.FakeApp.329, Android.FakeApp.330, Android.FakeApp.332, Android.FakeApp.333, Android.FakeApp.334, Android.FakeApp.335 и Android.FakeApp.341.
При запуске программы загружали мошеннические сайты, где потенциальным жертвам предлагалось получить бесплатные лотерейные билеты и принять участие в розыгрыше призов. Однако это был обман: игра лишь имитировалась, а для получения «выигрыша» от пользователей требовалось оплатить «комиссию» или «пошлину» — эти деньги оседали в карманах мошенников.
Пример работы одного из таких троянов показан ниже:
Примеры того, как такие подделки выглядят в Google Play:
Другими подделками были очередные приложения, с помощью которых российские пользователи якобы могли найти информацию о различных социальных выплатах от государства, а также непосредственно получить эти выплаты на свои банковские карты и счета. Как и в случае со схемой с лотерейными билетами, такие программы лишь загружали мошеннические сайты, на которых для получения «выплат» требовалось оплатить «комиссию».
Трояны были добавлены в вирусную базу Dr.Web как Android.FakeApp.306, Android.FakeApp.313 и Android.FakeApp.325.
Кроме того, были обнаружены новые мошеннические программы, якобы предназначенные для инвестирования и торговли на финансовом рынке. Некоторые из них злоумышленники распространяли от имени известных компаний.
Эти трояны, получившие имена Android.FakeApp.305, Android.FakeApp.314, Android.FakeApp.315 и Android.FakeApp.316, загружали различные «финансовые» сайты-приманки, где пользователям предлагалось пройти регистрацию, чтобы начать зарабатывать. В некоторых случаях у них запрашивались имя, фамилия, адрес электронной почты и номер мобильного телефона, в других — только телефонный номер. Затем жертвы обмана могли быть перенаправлены на другие мошеннические ресурсы, получить уведомление о том, что мест для новых клиентов якобы не осталось, либо увидеть просьбу дождаться звонка «оператора».
Примеры работы этих троянов:
При помощи таких инвестиционных программ-подделок злоумышленники не только собирают персональную информацию пользователей и могут украсть их деньги, но и способны в дальнейшем вовлечь их в другие мошеннические схемы, в том числе продав полученные данные третьим лицам.
Среди выявленных в Google Play угроз также оказались и новые представители семейства опасных троянов Android.Joker, добавленные в вирусную базу Dr.Web как Android.Joker.320.origin, Android.Joker.858 и Android.Joker.910. Первый распространялся под видом анимированных обоев 3D Live Wallpaper, второй маскировался под музыкальное приложение New Music Ringtones, а третий выдавал себя за приложение Free Text Scanner для сканирования текстов и создания PDF-документов. Все они подписывали владельцев Android-устройств на платные мобильные услуги, а также могли загружать и исполнять произвольный код.
Также наши вирусные аналитики обнаружили нового трояна, предназначенного для кражи логинов и паролей от учетных записей Facebook. Он распространялся под видом программы, позволяющей защитить установленные приложения от несанкционированного доступа. Троян был добавлен в вирусную базу Dr.Web как Android.PWS.Facebook.34.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в августе 2021 года |
8 сентября 2021 года
Число обращений пользователей за расшифровкой файлов увеличилось на 4.2% по сравнению с прошлым месяцем. Самым распространенным энкодером августа стал Trojan.Encoder.26996, на долю которого приходится 52.54% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с июлем, в августе число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 4.2%.
В августе 2021 года интернет-аналитики «Доктор Веб» заметили участившееся распространение ссылок на подозрительные сайты, предлагающие онлайн-услуги экстрасенсов. Консультации «экспертов» в гадании, астрологии и экстрасенсорике стоят немалых денег, а проверить качество оказанной помощи – невозможно.
На скриншоте показана главная страница ресурса, изобилующая клише «лучший сайт», «опытные эксперты» и «гарантия возврата денег», однако в реальности это очередная мошенническая схема с липовыми гадалками, набранными по объявлениям из социальных сетей. Подобные сайты не заблокированы Роскомнадзором, но Dr.Web отправляет их в категорию нерекомендуемых для посещения.
В августе специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых угроз. В их числе — вредоносные программы семейства Android.FakeApp, загружающие различные мошеннические сайты. Кроме того, были обнаружены очередные трояны опасного семейства Android.Joker, подписывающие жертв на платные услуги и выполняющие произвольный код. Среди найденных вредоносных программ также оказался троян, похищающий логины и пароли от учетных записей Facebook.
В течение августа антивирусные продукты Dr.Web для Android наиболее часто фиксировали на защищаемых устройствах рекламные вредоносные приложения, а также троянов, загружающих другое ПО.
Наиболее заметные события, связанные с «мобильной» безопасностью в августе:
Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности в августе 2021 года |
8 сентября 2021 года
Число обращений пользователей за расшифровкой файлов увеличилось на 4.2% по сравнению с прошлым месяцем. Самым распространенным энкодером августа стал Trojan.Encoder.26996, на долю которого приходится 52.54% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с июлем, в августе число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 4.2%.
В августе 2021 года интернет-аналитики «Доктор Веб» заметили участившееся распространение ссылок на подозрительные сайты, предлагающие онлайн-услуги экстрасенсов. Консультации «экспертов» в гадании, астрологии и экстрасенсорике стоят немалых денег, а проверить качество оказанной помощи – невозможно.
На скриншоте показана главная страница ресурса, изобилующая клише «лучший сайт», «опытные эксперты» и «гарантия возврата денег», однако в реальности это очередная мошенническая схема с липовыми гадалками, набранными по объявлениям из социальных сетей. Подобные сайты не заблокированы Роскомнадзором, но Dr.Web отправляет их в категорию нерекомендуемых для посещения.
В августе специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых угроз. В их числе — вредоносные программы семейства Android.FakeApp, загружающие различные мошеннические сайты. Кроме того, были обнаружены очередные трояны опасного семейства Android.Joker, подписывающие жертв на платные услуги и выполняющие произвольный код. Среди найденных вредоносных программ также оказался троян, похищающий логины и пароли от учетных записей Facebook.
В течение августа антивирусные продукты Dr.Web для Android наиболее часто фиксировали на защищаемых устройствах рекламные вредоносные приложения, а также троянов, загружающих другое ПО.
Наиболее заметные события, связанные с «мобильной» безопасностью в августе:
Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/52P1UwfLOek/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2021 года |
11 августа 2021 года
Кроме того, наши специалисты обнаружили новое семейство банковских троянов Android.BankBot.Coper, атакующих владельцев Android-устройств.
Среди угроз, выявленных на Android-устройствах, наибольшую активность вновь проявили рекламные вредоносные приложения, а также трояны, способные выполнять произвольный код и загружать другие программы.
В прошлом месяце вирусные аналитики компании «Доктор Веб» обнаружили новое семейство банковских троянов Android.BankBot.Coper. Вначале эти вредоносные приложения атаковали колумбийских пользователей, однако позднее наши специалисты выявили модификации, нацеленные на владельцев Android-устройств ряда европейских стран.
Эти банковские трояны обладают модульной архитектурой, а также различными механизмами защиты, что позволяет им успешнее выполнять возложенные на них задачи. Например, по команде злоумышленников вредоносные программы перехватывают и отправляют СМС, контролируют push-уведомления, демонстрируют фишинговые окна и даже способны отслеживать вводимую на клавиатуре информацию.
Подробнее об этом семействе Android-троянов рассказано в новостной публикации на сайте компании «Доктор Веб».
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В июле вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные угрозы. Среди них были новые трояны семейства Android.Joker, добавленные в вирусную базу Dr.Web как Android.Joker.803, Android.Joker.837 и Android.Joker.846. Они скрывались в безобидных, на первый взгляд, приложениях - редакторе изображений Background Changer, мессенджере Sweet Emoji SMS и программе с функциями фонарика Flashlight LED Pro. Трояны действительно работали так, как того ожидали пользователи, однако незаметно для жертв они также подписывали их на платные мобильные сервисы и могли выполнять произвольный код.
Кроме того, была обнаружена новая модификация троянской программы-подделки Android.FakeApp.299, которая распространялась среди российских пользователей под видом приложений для поиска льгот и получения различных социальных выплат, например - пособий от государства. Настоящей ее функцией была загрузка мошеннических сайтов, при помощи которых злоумышленники похищали конфиденциальные данные и деньги владельцев Android-устройств.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2021 года |
11 августа 2021 года
Кроме того, наши специалисты обнаружили новое семейство банковских троянов Android.BankBot.Coper, атакующих владельцев Android-устройств.
Среди угроз, выявленных на Android-устройствах, наибольшую активность вновь проявили рекламные вредоносные приложения, а также трояны, способные выполнять произвольный код и загружать другие программы.
В прошлом месяце вирусные аналитики компании «Доктор Веб» обнаружили новое семейство банковских троянов Android.BankBot.Coper. Вначале эти вредоносные приложения атаковали колумбийских пользователей, однако позднее наши специалисты выявили модификации, нацеленные на владельцев Android-устройств ряда европейских стран.
Эти банковские трояны обладают модульной архитектурой, а также различными механизмами защиты, что позволяет им успешнее выполнять возложенные на них задачи. Например, по команде злоумышленников вредоносные программы перехватывают и отправляют СМС, контролируют push-уведомления, демонстрируют фишинговые окна и даже способны отслеживать вводимую на клавиатуре информацию.
Подробнее об этом семействе Android-троянов рассказано в новостной публикации на сайте компании «Доктор Веб».
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В июле вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные угрозы. Среди них были новые трояны семейства Android.Joker, добавленные в вирусную базу Dr.Web как Android.Joker.803, Android.Joker.837 и Android.Joker.846. Они скрывались в безобидных, на первый взгляд, приложениях - редакторе изображений Background Changer, мессенджере Sweet Emoji SMS и программе с функциями фонарика Flashlight LED Pro. Трояны действительно работали так, как того ожидали пользователи, однако незаметно для жертв они также подписывали их на платные мобильные сервисы и могли выполнять произвольный код.
Кроме того, была обнаружена новая модификация троянской программы-подделки Android.FakeApp.299, которая распространялась среди российских пользователей под видом приложений для поиска льгот и получения различных социальных выплат, например - пособий от государства. Настоящей ее функцией была загрузка мошеннических сайтов, при помощи которых злоумышленники похищали конфиденциальные данные и деньги владельцев Android-устройств.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/2DtGV9eVy-g/
|
|
«Доктор Веб»: обзор вирусной активности в июле 2021 года |
11 августа 2021 года
Число обращений пользователей за расшифровкой файлов увеличилось на 35.2% по сравнению с прошлым месяцем. Самым распространенным энкодером июля стал Trojan.Encoder.26996, на долю которого приходится почти половина всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с июнем, в июле число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 35,2%.
В июле 2021 года интернет-аналитики «Доктор Веб» обратили внимание на участившиеся случаи распространения угрожающих SMS. В последних вирусных обзорах мы уже писали о предложениях злоумышленников купить фейковые сертификаты или QR-коды, но теперь преступники зашли дальше — за 50 000 рублей они предлагают «замести следы» после покупки подделки.
На скриншоте изображен пример угрожающей SMS с предложением отправить средства на указанную карту. Однако ничего не сказано о возможных последствиях для получателя этого «письма счастья», если он откажется идти на поводу у злоумышленников.
В июле вирусные аналитики компании «Доктор Веб» обнаружили новое семейство банковских троянов для ОС Android, получившее имя Coper. Эти вредоносные приложения обладают модульной архитектурой и рядом защитных механизмов. При этом они способны перехватывать и отправлять СМС, контролировать уведомления, демонстрировать фишинговые окна поверх запускаемых программ, отслеживать вводимую на клавиатуре информацию и выполнять другие вредоносные действия.
Также были выявлены очередные угрозы в каталоге Google Play. Среди них — трояны семейства Android.Joker, подписывающие жертв на платные услуги, и вредоносная программа семейства Android.FakeApp, загружавшая мошеннические сайты, на которых потенциальным жертвам предлагалось получить «выплаты» от государства.
Среди угроз, зафиксированных на защищаемых устройствах, наиболее активными вновь стали рекламные трояны, а также трояны, выполняющие произвольный код и загружающие другое ПО.
Наиболее заметные события, связанные с «мобильной» безопасностью в июле:
Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности в июле 2021 года |
11 августа 2021 года
Число обращений пользователей за расшифровкой файлов увеличилось на 35.2% по сравнению с прошлым месяцем. Самым распространенным энкодером июля стал Trojan.Encoder.26996, на долю которого приходится почти половина всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с июнем, в июле число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 35,2%.
В июле 2021 года интернет-аналитики «Доктор Веб» обратили внимание на участившиеся случаи распространения угрожающих SMS. В последних вирусных обзорах мы уже писали о предложениях злоумышленников купить фейковые сертификаты или QR-коды, но теперь преступники зашли дальше — за 50 000 рублей они предлагают «замести следы» после покупки подделки.
На скриншоте изображен пример угрожающей SMS с предложением отправить средства на указанную карту. Однако ничего не сказано о возможных последствиях для получателя этого «письма счастья», если он откажется идти на поводу у злоумышленников.
В июле вирусные аналитики компании «Доктор Веб» обнаружили новое семейство банковских троянов для ОС Android, получившее имя Coper. Эти вредоносные приложения обладают модульной архитектурой и рядом защитных механизмов. При этом они способны перехватывать и отправлять СМС, контролировать уведомления, демонстрировать фишинговые окна поверх запускаемых программ, отслеживать вводимую на клавиатуре информацию и выполнять другие вредоносные действия.
Также были выявлены очередные угрозы в каталоге Google Play. Среди них — трояны семейства Android.Joker, подписывающие жертв на платные услуги, и вредоносная программа семейства Android.FakeApp, загружавшая мошеннические сайты, на которых потенциальным жертвам предлагалось получить «выплаты» от государства.
Среди угроз, зафиксированных на защищаемых устройствах, наиболее активными вновь стали рекламные трояны, а также трояны, выполняющие произвольный код и загружающие другое ПО.
Наиболее заметные события, связанные с «мобильной» безопасностью в июле:
Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/ce3kVinPMkw/
|
|
Новый банковский троян Coper нацелен на пользователей из Колумбии |
21 июля 2021
Все обнаруженные образцы Android.BankBot.Coper, исследованные нашими вирусными аналитиками, распространялись под видом официального ПО кредитной организации Bancolombia - приложения Bancolombia Personas. Для большей убедительности их значок был оформлен в том же стиле, что и у настоящих программ банка. Для сравнения, ниже приведен пример значка подделки (слева) и пример значков настоящих приложений Bancolombia (справа), доступных для загрузки в Google Play:
Сам процесс заражения происходит в несколько этапов. Первой ступенью является установка той самой программы-приманки, которую злоумышленники выдают за банковское приложение. Фактически, это дроппер, основная задача которого - доставить и установить на целевое устройство скрытый внутри него главный вредоносный модуль. Поскольку логика работы у исследованных модификаций троянов практически одинакова, дальнейшее описание механизма их функционирования будет основано на примере Android.BankBot.Coper.1.
При запуске дроппер расшифровывает и запускает исполняемый dex-файл (Android.BankBot.Coper.2.origin), который расположен в его ресурсах и замаскирован под веб-документ с именем o.htm. Этому троянскому компоненту отводится роль второй ступени заражения. Одной из его задач является получение доступа к специальным возможностям (Accessibility Services) ОС Android, с помощью которых троян сможет полностью контролировать зараженное устройство и имитировать действия пользователя (например, нажимать на кнопки меню и закрывать окна). Для этого он запрашивает у жертвы соответствующее разрешение. Успешно получив необходимые полномочия, все дальнейшие вредоносные действия троян выполняет уже самостоятельно. Так, он пытается отключить встроенную в операционную систему защиту Google Play Protect, разрешить установку приложений из неизвестных источников, установить и запустить основной вредоносный модуль и тоже предоставить ему доступ к специальным возможностям.
Троян расшифровывает и при помощи полученных привилегий устанавливает вредоносный apk-пакет (Android.BankBot.Coper.2), скрытый во втором зашифрованном файле и замаскированный под аудио-композицию с именем PViwFtl2r3.mp3. В нем находится троянский модуль Android.BankBot.Coper.1.origin, выполняющий основные вредоносные действия, необходимые злоумышленникам. Этот компонент устанавливается под видом системного приложения с именем Cache plugin, использующего стандартный для некоторых системных Android-программ значок шестеренки. Такие имя и значок увеличивают вероятность того, что пользователи не увидят в программе угрозу.
При запуске модуль получает доступ к ряду важных функций. Так, троян запрашивает разрешение на чтение и управление уведомлениями и добавление его в список исключений системной оптимизации аккумулятора, что позволит ему работать постоянно. Кроме того, троян становится администратором устройства, а также получает доступ к управлению телефонными звонками и СМС-сообщениями.
Далее этот модуль скрывает свой значок из списка приложений на главном экране, «прячась» от пользователя, после чего сообщает C&C-серверу об успешном заражении и ждет дальнейших указаний. Троян поддерживает постоянную связь с сервером, каждую минуту отправляя на него запросы. При необходимости этот интервал может быть изменен соответствующей командой. Кроме того, в зависимости от полученного от сервера ответа троян может изменять и другие свои настройки, среди которых:
При непосредственном получении команд Android.BankBot.Coper.1.origin может выполнять следующие действия:
Кроме того, троян перехватывает и отправляет на сервер содержимое всех Push-уведомлений, поступающих на устройство.
Для демонстрации фишингового окна Android.BankBot.Coper.1.origin использует уже ставший классическим для мобильных банковских троянов метод. Содержимое такого окна загружается с удаленного сервера и помещается в WebView, который имитирует внешний вид целевой программы для обмана жертвы.
Трояны Android.BankBot.Coper обладают целым рядом защитных механизмов. Один из них - контроль целостности основного вредоносного компонента. Если он будет удален, банкеры попытаются установить его вновь.
Второй прием - отслеживание потенциально опасных для троянов событий, таких как:
Если банкеры фиксируют какое-либо из этих событий, они через функции специальных возможностей Android имитируют нажатие кнопки «Домой», возвращая жертву на главный экран. Если же трояны обнаруживают, что пользователь пытается их удалить, они имитируют нажатие кнопки «Назад». Тем самым они не только препятствуют своему удалению, но и мешают владельцам полноценно использовать собственные устройства.
Кроме того, в дропперах троянов Android.BankBot.Coper предусмотрены и другие механизмы защиты. Например, они проверяют, не запущены ли в виртуальной среде, а также контролируют наличие активной SIM-карты и страну пребывания пользователя. Если проверка заканчивается неудачей, банкеры немедленно завершают свою работу. Можно предположить, что цель таких проверок - не допустить установку основного вредоносного модуля в неблагоприятных для троянов условиях (например, под контролем специалистов по информационной безопасности или на устройства пользователей из нецелевых стран) и тем самым избежать преждевременного обнаружения. В исследованных образцах такая проверка не задействуется, но она может быть использована в будущих модификациях вредоносных приложений.
Компания «Доктор Веб» рекомендует владельцам Android-устройств устанавливать банковские приложения только из официальных каталогов ПО или загружать их с официальных сайтов кредитных организаций, если по какой-либо причине использование официального магазина приложений невозможно.
Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют все известные модификации банковских троянов Android.BankBot.Coper, поэтому для наших пользователей они опасности не представляют.
|
|
Новый банковский троян Coper нацелен на пользователей из Колумбии |
21 июля 2021
Все обнаруженные образцы Android.BankBot.Coper, исследованные нашими вирусными аналитиками, распространялись под видом официального ПО кредитной организации Bancolombia - приложения Bancolombia Personas. Для большей убедительности их значок был оформлен в том же стиле, что и у настоящих программ банка. Для сравнения, ниже приведен пример значка подделки (слева) и пример значков настоящих приложений Bancolombia (справа), доступных для загрузки в Google Play:
Сам процесс заражения происходит в несколько этапов. Первой ступенью является установка той самой программы-приманки, которую злоумышленники выдают за банковское приложение. Фактически, это дроппер, основная задача которого - доставить и установить на целевое устройство скрытый внутри него главный вредоносный модуль. Поскольку логика работы у исследованных модификаций троянов практически одинакова, дальнейшее описание механизма их функционирования будет основано на примере Android.BankBot.Coper.1.
При запуске дроппер расшифровывает и запускает исполняемый dex-файл (Android.BankBot.Coper.2.origin), который расположен в его ресурсах и замаскирован под веб-документ с именем o.htm. Этому троянскому компоненту отводится роль второй ступени заражения. Одной из его задач является получение доступа к специальным возможностям (Accessibility Services) ОС Android, с помощью которых троян сможет полностью контролировать зараженное устройство и имитировать действия пользователя (например, нажимать на кнопки меню и закрывать окна). Для этого он запрашивает у жертвы соответствующее разрешение. Успешно получив необходимые полномочия, все дальнейшие вредоносные действия троян выполняет уже самостоятельно. Так, он пытается отключить встроенную в операционную систему защиту Google Play Protect, разрешить установку приложений из неизвестных источников, установить и запустить основной вредоносный модуль и тоже предоставить ему доступ к специальным возможностям.
Троян расшифровывает и при помощи полученных привилегий устанавливает вредоносный apk-пакет (Android.BankBot.Coper.2), скрытый во втором зашифрованном файле и замаскированный под аудио-композицию с именем PViwFtl2r3.mp3. В нем находится троянский модуль Android.BankBot.Coper.1.origin, выполняющий основные вредоносные действия, необходимые злоумышленникам. Этот компонент устанавливается под видом системного приложения с именем Cache plugin, использующего стандартный для некоторых системных Android-программ значок шестеренки. Такие имя и значок увеличивают вероятность того, что пользователи не увидят в программе угрозу.
При запуске модуль получает доступ к ряду важных функций. Так, троян запрашивает разрешение на чтение и управление уведомлениями и добавление его в список исключений системной оптимизации аккумулятора, что позволит ему работать постоянно. Кроме того, троян становится администратором устройства, а также получает доступ к управлению телефонными звонками и СМС-сообщениями.
Далее этот модуль скрывает свой значок из списка приложений на главном экране, «прячась» от пользователя, после чего сообщает C&C-серверу об успешном заражении и ждет дальнейших указаний. Троян поддерживает постоянную связь с сервером, каждую минуту отправляя на него запросы. При необходимости этот интервал может быть изменен соответствующей командой. Кроме того, в зависимости от полученного от сервера ответа троян может изменять и другие свои настройки, среди которых:
При непосредственном получении команд Android.BankBot.Coper.1.origin может выполнять следующие действия:
Кроме того, троян перехватывает и отправляет на сервер содержимое всех Push-уведомлений, поступающих на устройство.
Для демонстрации фишингового окна Android.BankBot.Coper.1.origin использует уже ставший классическим для мобильных банковских троянов метод. Содержимое такого окна загружается с удаленного сервера и помещается в WebView, который имитирует внешний вид целевой программы для обмана жертвы.
Трояны Android.BankBot.Coper обладают целым рядом защитных механизмов. Один из них - контроль целостности основного вредоносного компонента. Если он будет удален, банкеры попытаются установить его вновь.
Второй прием - отслеживание потенциально опасных для троянов событий, таких как:
Если банкеры фиксируют какое-либо из этих событий, они через функции специальных возможностей Android имитируют нажатие кнопки «Домой», возвращая жертву на главный экран. Если же трояны обнаруживают, что пользователь пытается их удалить, они имитируют нажатие кнопки «Назад». Тем самым они не только препятствуют своему удалению, но и мешают владельцам полноценно использовать собственные устройства.
Кроме того, в дропперах троянов Android.BankBot.Coper предусмотрены и другие механизмы защиты. Например, они проверяют, не запущены ли в виртуальной среде, а также контролируют наличие активной SIM-карты и страну пребывания пользователя. Если проверка заканчивается неудачей, банкеры немедленно завершают свою работу. Можно предположить, что цель таких проверок - не допустить установку основного вредоносного модуля в неблагоприятных для троянов условиях (например, под контролем специалистов по информационной безопасности или на устройства пользователей из нецелевых стран) и тем самым избежать преждевременного обнаружения. В исследованных образцах такая проверка не задействуется, но она может быть использована в будущих модификациях вредоносных приложений.
Компания «Доктор Веб» рекомендует владельцам Android-устройств устанавливать банковские приложения только из официальных каталогов ПО или загружать их с официальных сайтов кредитных организаций, если по какой-либо причине использование официального магазина приложений невозможно.
Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют все известные модификации банковских троянов Android.BankBot.Coper, поэтому для наших пользователей они опасности не представляют.
http://feedproxy.google.com/~r/drweb/viruses/~3/welv5VlTeeE/
|
|
О защите от проникновения через уязвимость Windows PrintNightmare |
15 июля 2021 года
Вероятность использования уязвимости CVE-2021-34527 затрагивает все популярные версии ОС Windows. Благодаря эксплойтам злоумышленники могут доставлять на компьютеры различную вредоносную нагрузку, включая троянов-шифровальщиков, требующих выкуп за расшифровку повреждённых ими файлов.
Антивирус Dr.Web остаётся в полной готовности воспрепятствовать известным ему эксплойтам. При обнаружении в «дикой природе» новых эксплойтов, которые могут воспользоваться CVE-2021-34527 и CVE-2021-1675, они оперативно добавляются в вирусную базу Dr.Web. Однако стоит помнить, что антивирус не является заменой системы безопасности ОС, и что уязвимость такого плана — лакомый кусок для множества хакеров. А значит — пользователям тоже следует проявить бдительность.
Чтобы максимально обезопасить компьютерную инфраструктуру, рекомендуется установить патчи от разработчика ОС, после чего удостовериться, что в реестре Windows нужные переключатели установлены в соответствии с рекомендациями Microsoft.
Напомним, что продукты комплекса Dr.Web Enterprise Security Suite 12.0 обладают широким арсеналом средств превентивной защиты. Кроме того, на данный момент уже разрабатываются дополнительные функции по защите от проникновения злоумышленников через уязвимость PrintNightmare.
Патч для закрытия уязвимости CVE-2021-1675
|
|
О защите от проникновения через уязвимость Windows PrintNightmare |
15 июля 2021 года
Вероятность использования уязвимости CVE-2021-34527 затрагивает все популярные версии ОС Windows. Благодаря эксплойтам злоумышленники могут доставлять на компьютеры различную вредоносную нагрузку, включая троянов-шифровальщиков, требующих выкуп за расшифровку повреждённых ими файлов.
Антивирус Dr.Web остаётся в полной готовности воспрепятствовать известным ему эксплойтам. При обнаружении в «дикой природе» новых эксплойтов, которые могут воспользоваться CVE-2021-34527 и CVE-2021-1675, они оперативно добавляются в вирусную базу Dr.Web. Однако стоит помнить, что антивирус не является заменой системы безопасности ОС, и что уязвимость такого плана — лакомый кусок для множества хакеров. А значит — пользователям тоже следует проявить бдительность.
Чтобы максимально обезопасить компьютерную инфраструктуру, рекомендуется установить патчи от разработчика ОС, после чего удостовериться, что в реестре Windows нужные переключатели установлены в соответствии с рекомендациями Microsoft.
Напомним, что продукты комплекса Dr.Web Enterprise Security Suite 12.0 обладают широким арсеналом средств превентивной защиты. Кроме того, на данный момент уже разрабатываются дополнительные функции по защите от проникновения злоумышленников через уязвимость PrintNightmare.
Патч для закрытия уязвимости CVE-2021-1675
Патч для закрытия уязвимости CVE-2021-34527
http://feedproxy.google.com/~r/drweb/viruses/~3/3htFhvvEi-I/
|
|
«Доктор Веб»: обзор вирусной активности в июне 2021 года |
9 июля 2021 года
Число обращений пользователей за расшифровкой файлов уменьшилось на 8% по сравнению с прошлым месяцем. Самым распространенным энкодером июня стал Trojan.Encoder.26996 на долю которого приходится 37.65% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с маем, в июне число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 8%.
В июне 2021 года интернет-аналитики «Доктор Веб» обнаружили активность в сфере продаж фейковых QR-кодов о вакцинации. Злоумышленники предлагают купить подделку для прохода в заведения общественного питания.
На скриншоте изображен пример схемы торговли QR-кодами. Всё происходит в приватных каналах, доступ к которым можно получить только после вступления в чат. Там публикуют восторженные отзывы покупателей и обещают 100% гарантию прохода в любое заведение общественного питания.
Согласно статистике детектирования, в июне антивирусные продукты Dr.Web для Android чаще всего фиксировали на защищаемых устройствах различные троянские программы, предназначенные для показа рекламы. Кроме того, среди наиболее распространенных угроз по-прежнему остаются вредоносные приложения, способные выполнять произвольный код и загружать другое ПО.
В течение минувшего месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество угроз. Среди них были различные троянские приложения-подделки из семейства Android.FakeApp, загружавшие мошеннические сайты. Также наши специалисты выявили очередных опасных троянов Android.Joker, подписывающих жертв на платные мобильные услуги и способные выполнять произвольный код. Кроме того, были обнаружены трояны, кравшие логины и пароли от учетных записей Facebook, о чем наша компания сообщила в одной из новостных публикаций.
Наиболее заметные события, связанные с «мобильной» безопасностью в июне:
Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июне 2021 года |
9 июля 2021 года
В течение месяца вирусные аналитики компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них - троянские приложения, похищавшие логины и пароли от учетных записей Facebook, опасные вредоносные программы, подписывавшие пользователей на платные мобильные сервисы, а также трояны, загружавшие мошеннические веб-сайты.
В минувшем месяце специалисты компании «Доктор Веб» обнаружили в каталоге Google Play вредоносные приложения, предназначенные для кражи логинов и паролей от учетных записей Facebook. Трояны, получившие имена Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.17 и Android.PWS.Facebook.18, скрывались в безобидных, на первый взгляд, программах и были загружены свыше 5 850 000 раз.
Для похищения конфиденциальной информации они предлагали потенциальным жертвам войти в Facebook, для чего загружали настоящую страницу авторизации социальной сети. Затем при помощи специального JavaScript-скрипта трояны перехватывали вводимые логины и пароли и вместе с некоторыми другими данными передавали на удаленный сервер злоумышленников.
Подробнее об этом случае рассказано в одной из наших новостей.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Наряду с троянами, похищавшими логины и пароли от Facebook, специалисты «Доктор Веб» обнаружили в каталоге Google Play и другие вредоносные приложения. В их числе — трояны Android.Joker.758 и Android.Joker.766, подписывавшие жертв на платные мобильные сервисы и способные выполнять произвольный код. Первый распространялся под видом программы для редактирования видео, второй - под видом приложения с коллекцией изображений для изменения фона главного экрана Android-устройств.
Другие трояны являлись представителями семейства программ-подделок Android.FakeApp, распространявшихся под видом различного ПО. Например, троянов Android.FakeApp.278, Android.FakeApp.279, Android.FakeApp.294, Android.FakeApp.295, Android.FakeApp.296 и Android.FakeApp.298 злоумышленники выдавали за официальные приложения лотереи «Русское лото», при помощи которых пользователи якобы могли получить бесплатные лотерейные билеты и узнать итоги розыгрышей.
В то же время трояны Android.FakeApp.280, Android.FakeApp.281, Android.FakeApp.282, Android.FakeApp.283, Android.FakeApp.284, Android.FakeApp.285 и Android.FakeApp.286 распространялись под видом программ, якобы предназначенных для заработка на финансовом и товарном рынках, например - при помощи торговли валютой, нефтью, газом и криптовалютами.
По заверениям разработчиков, приложения «совершали автоматические успешные сделки». От пользователей лишь требовалось пройти регистрацию и связаться с «менеджером». Некоторые из этих программ якобы были созданы при поддержке правительства и президента Российской Федерации, при этом часть из них была ориентирована на пользователей как в России, так и в других странах — например, в Польше. В действительности эти программы-подделки не предоставляли никакой полезной функциональности и только заманивали жертв к мошенникам, загружая сомнительные и откровенно фишинговые сайты.
Еще одно «финансовое» приложение-подделка, добавленное в вирусную базу Dr.Web как Android.FakeApp.277, распространялось под видом своеобразной программы для инвестирования от Илона Маска. В ней жертвам предлагалось «удвоить» объем имеющейся у них криптовалюты, отправив ее якобы на кошельки компании Tesla. На самом деле никакого отношения ни к известной компании, ни к ее владельцу троянское приложение не имело, и попавшие на удочку злоумышленников пользователи переводили криптовалюту мошенникам.
Другого трояна, получившего имя Android.FakeApp.297, злоумышленники выдавали за программу-электронный кошелек. Как и в случае с другими аналогичными вредоносными приложениями-подделками, оно загружало мошеннические сайты.
Кроме того, были выявлены очередные программы-подделки, предлагавшие жертвам найти информацию о пособиях и льготах и получить выплаты от государства. Антивирусные продукты Dr.Web для Android детектируют их как Android.FakeApp.291, Android.FakeApp.292 и Android.FakeApp.293.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в июне 2021 года |
9 июля 2021 года
В июне анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 8% по сравнению с маем. При этом количество уникальных угроз уменьшилось на 18.7%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике по частоте распространения лидирует разнообразное вредоносное ПО, в том числе веб-страницы, присылаемые в фишинговых рассылках.
Число обращений пользователей за расшифровкой файлов уменьшилось на 8% по сравнению с прошлым месяцем. Самым распространенным энкодером июня стал Trojan.Encoder.26996 на долю которого приходится 37.65% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с маем, в июне число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 8%.
В июне 2021 года интернет-аналитики «Доктор Веб» обнаружили активность в сфере продаж фейковых QR-кодов о вакцинации. Злоумышленники предлагают купить подделку для прохода в заведения общественного питания.
На скриншоте изображен пример схемы торговли QR-кодами. Всё происходит в приватных каналах, доступ к которым можно получить только после вступления в чат. Там публикуют восторженные отзывы покупателей и обещают 100% гарантию прохода в любое заведение общественного питания.
Согласно статистике детектирования, в июне антивирусные продукты Dr.Web для Android чаще всего фиксировали на защищаемых устройствах различные троянские программы, предназначенные для показа рекламы. Кроме того, среди наиболее распространенных угроз по-прежнему остаются вредоносные приложения, способные выполнять произвольный код и загружать другое ПО.
В течение минувшего месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество угроз. Среди них были различные троянские приложения-подделки из семейства Android.FakeApp, загружавшие мошеннические сайты. Также наши специалисты выявили очередных опасных троянов Android.Joker, подписывающих жертв на платные мобильные услуги и способные выполнять произвольный код. Кроме того, были обнаружены трояны, кравшие логины и пароли от учетных записей Facebook, о чем наша компания сообщила в одной из новостных публикаций.
Наиболее заметные события, связанные с «мобильной» безопасностью в июне:
Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/oTGtvUfWtr8/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июне 2021 года |
9 июля 2021 года
В июне антивирусные продукты Dr.Web для Android чаще всего обнаруживали на защищаемых устройствах вредоносные приложения, загружавшие другое ПО и выполнявшие произвольный код. Кроме того, активными вновь были трояны и программы, демонстрировавшие нежелательную рекламу.
В течение месяца вирусные аналитики компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них - троянские приложения, похищавшие логины и пароли от учетных записей Facebook, опасные вредоносные программы, подписывавшие пользователей на платные мобильные сервисы, а также трояны, загружавшие мошеннические веб-сайты.
В минувшем месяце специалисты компании «Доктор Веб» обнаружили в каталоге Google Play вредоносные приложения, предназначенные для кражи логинов и паролей от учетных записей Facebook. Трояны, получившие имена Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.17 и Android.PWS.Facebook.18, скрывались в безобидных, на первый взгляд, программах и были загружены свыше 5 850 000 раз.
Для похищения конфиденциальной информации они предлагали потенциальным жертвам войти в Facebook, для чего загружали настоящую страницу авторизации социальной сети. Затем при помощи специального JavaScript-скрипта трояны перехватывали вводимые логины и пароли и вместе с некоторыми другими данными передавали на удаленный сервер злоумышленников.
Подробнее об этом случае рассказано в одной из наших новостей.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Наряду с троянами, похищавшими логины и пароли от Facebook, специалисты «Доктор Веб» обнаружили в каталоге Google Play и другие вредоносные приложения. В их числе — трояны Android.Joker.758 и Android.Joker.766, подписывавшие жертв на платные мобильные сервисы и способные выполнять произвольный код. Первый распространялся под видом программы для редактирования видео, второй - под видом приложения с коллекцией изображений для изменения фона главного экрана Android-устройств.
Другие трояны являлись представителями семейства программ-подделок Android.FakeApp, распространявшихся под видом различного ПО. Например, троянов Android.FakeApp.278, Android.FakeApp.279, Android.FakeApp.294, Android.FakeApp.295, Android.FakeApp.296 и Android.FakeApp.298 злоумышленники выдавали за официальные приложения лотереи «Русское лото», при помощи которых пользователи якобы могли получить бесплатные лотерейные билеты и узнать итоги розыгрышей.
В то же время трояны Android.FakeApp.280, Android.FakeApp.281, Android.FakeApp.282, Android.FakeApp.283, Android.FakeApp.284, Android.FakeApp.285 и Android.FakeApp.286 распространялись под видом программ, якобы предназначенных для заработка на финансовом и товарном рынках, например - при помощи торговли валютой, нефтью, газом и криптовалютами.
По заверениям разработчиков, приложения «совершали автоматические успешные сделки». От пользователей лишь требовалось пройти регистрацию и связаться с «менеджером». Некоторые из этих программ якобы были созданы при поддержке правительства и президента Российской Федерации, при этом часть из них была ориентирована на пользователей как в России, так и в других странах — например, в Польше. В действительности эти программы-подделки не предоставляли никакой полезной функциональности и только заманивали жертв к мошенникам, загружая сомнительные и откровенно фишинговые сайты.
Еще одно «финансовое» приложение-подделка, добавленное в вирусную базу Dr.Web как Android.FakeApp.277, распространялось под видом своеобразной программы для инвестирования от Илона Маска. В ней жертвам предлагалось «удвоить» объем имеющейся у них криптовалюты, отправив ее якобы на кошельки компании Tesla. На самом деле никакого отношения ни к известной компании, ни к ее владельцу троянское приложение не имело, и попавшие на удочку злоумышленников пользователи переводили криптовалюту мошенникам.
Другого трояна, получившего имя Android.FakeApp.297, злоумышленники выдавали за программу-электронный кошелек. Как и в случае с другими аналогичными вредоносными приложениями-подделками, оно загружало мошеннические сайты.
Кроме того, были выявлены очередные программы-подделки, предлагавшие жертвам найти информацию о пособиях и льготах и получить выплаты от государства. Антивирусные продукты Dr.Web для Android детектируют их как Android.FakeApp.291, Android.FakeApp.292 и Android.FakeApp.293.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/NC9Id3SVJ_o/
|
|
«Доктор Веб»: обзор вирусной активности в мае 2021 года |
22 июня 2021 года
В мае анализ данных статистики Dr.Web показал уменьшение общего числа обнаруженных угроз на 32.46% по сравнению с апрелем. При этом количество уникальных угроз увеличилось на 31.4%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике по частоте распространения лидирует разнообразное вредоносное ПО, в том числе обфусцированные вредоносные программы, скрипты, а также приложения, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов увеличилось на 19.9% по сравнению с апрелем. Самым распространенным энкодером мая оказался Trojan.Encoder.26996, на долю которого приходится 25% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с апрелем, в мае число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 19.9%.
В мае 2021 года интернет-аналитики «Доктор Веб» обнаружили множество сайтов, продающих поддельные документы. Злоумышленники предлагают всего за несколько тысяч рублей купить водительские права или фейковый прививочный сертификат.
Потенциальная жертва попадает на сайт после соответствующего запроса в поисковой системе. Дальше остается выбрать нужную справку — и поддельный документ почти готов.
Примечательно, что мошенники пытаются замаскировать свою деятельность под легальную, вставляя маленькие скриншоты сертификатов на осуществление медицинской деятельности, которые едва можно разглядеть. На сайтах настоящих клиник и медцентров всегда можно рассмотреть и внимательно изучить все имеющиеся лицензии.
В мае специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередных троянов из семейства Android.FakeApp. Они распространялись под видом приложений с информацией о денежных выплатах от государства, а также программ, с помощью которых пользователи якобы могли получить бесплатные лотерейные билеты. Кроме того, были найдены новые модификации троянов Android.Joker, способных выполнять произвольный код и подписывать жертв на платные мобильные сервисы.
Наиболее заметные события, связанные с «мобильной» безопасностью в мае:
Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности в мае 2021 года |
22 июня 2021 года
В мае анализ данных статистики Dr.Web показал уменьшение общего числа обнаруженных угроз на 32.46% по сравнению с апрелем. При этом количество уникальных угроз увеличилось на 31.4%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике по частоте распространения лидирует разнообразное вредоносное ПО, в том числе обфусцированные вредоносные программы, скрипты, а также приложения, использующие уязвимости документов Microsoft Office.
Число обращений пользователей за расшифровкой файлов увеличилось на 19.9% по сравнению с апрелем. Самым распространенным энкодером мая оказался Trojan.Encoder.26996, на долю которого приходится 25% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с апрелем, в мае число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 19.9%.
В мае 2021 года интернет-аналитики «Доктор Веб» обнаружили множество сайтов, продающих поддельные документы. Злоумышленники предлагают всего за несколько тысяч рублей купить водительские права или фейковый прививочный сертификат.
Потенциальная жертва попадает на сайт после соответствующего запроса в поисковой системе. Дальше остается выбрать нужную справку — и поддельный документ почти готов.
Примечательно, что мошенники пытаются замаскировать свою деятельность под легальную, вставляя маленькие скриншоты сертификатов на осуществление медицинской деятельности, которые едва можно разглядеть. На сайтах настоящих клиник и медцентров всегда можно рассмотреть и внимательно изучить все имеющиеся лицензии.
В мае специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередных троянов из семейства Android.FakeApp. Они распространялись под видом приложений с информацией о денежных выплатах от государства, а также программ, с помощью которых пользователи якобы могли получить бесплатные лотерейные билеты. Кроме того, были найдены новые модификации троянов Android.Joker, способных выполнять произвольный код и подписывать жертв на платные мобильные сервисы.
Наиболее заметные события, связанные с «мобильной» безопасностью в мае:
Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/lLAhZ12wO40/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в мае 2021 года |
22 июня 2021 года
Согласно статистике детектирования, в мае антивирусные продукты Dr.Web для Android чаще всего обнаруживали на защищаемых устройствах рекламных троянов, а также вредоносные приложения, которые загружали другое ПО и выполняли произвольный код.
В течение прошлого месяца специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых угроз. Среди них были трояны, подписывающие жертв на платные услуги, а также вредоносные программы, загружавшие мошеннические сайты.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В мае специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых вредоносных приложений. Среди них — очередные трояны из семейства Android.FakeApp. Большинство распространялось под видом программ, с помощью которых пользователи якобы могли найти информацию о пособиях, льготах и денежных компенсациях от государства, а также подать заявку на их получение. Остальные распространялись под видом официальных приложений лотереи «Русское лото», в которых потенциальным жертвам предлагалось получить бесплатные лотерейные билеты, а также проверить наличие выигрышей.
Ни одна из этих программ-подделок не предоставляла обещанной функциональности. Трояны лишь загружали мошеннические веб-сайты, с помощью которых злоумышленники похищали деньги и конфиденциальную информацию владельцев Android-устройств. При этом некоторые из них дополнительно демонстрировали навязчивые уведомления, также ведущие на сайты мошенников. Вредоносные приложения были добавлены в вирусную базу Dr.Web как Android.FakeApp.262, Android.FakeApp.263, Android.FakeApp.264, Android.FakeApp.265, Android.FakeApp.266, Android.FakeApp.269, Android.FakeApp.270, Android.FakeApp.271, Android.FakeApp.272 и Android.FakeApp.273.
Вот как выглядят некоторые из этих троянов:
Пример уведомлений, которые они могут демонстрировать:
Кроме того, наши вирусные аналитики обнаружили новых троянов семейства Android.Joker, способных выполнять произвольный код и подписывать жертв на платные мобильные сервисы. Вредоносные приложения распространялись под видом программ для работы с СМС, переводчика, «живых» обоев для рабочего стола, а также фоторедактора. Они были добавлены в вирусную базу Dr.Web как Android.Joker.722, Android.Joker.723, Android.Joker.729, Android.Joker.730, Android.Joker.739, Android.Joker.742 и Android.Joker.744.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в мае 2021 года |
22 июня 2021 года
Согласно статистике детектирования, в мае антивирусные продукты Dr.Web для Android чаще всего обнаруживали на защищаемых устройствах рекламных троянов, а также вредоносные приложения, которые загружали другое ПО и выполняли произвольный код.
В течение прошлого месяца специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых угроз. Среди них были трояны, подписывающие жертв на платные услуги, а также вредоносные программы, загружавшие мошеннические сайты.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В мае специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых вредоносных приложений. Среди них — очередные трояны из семейства Android.FakeApp. Большинство распространялось под видом программ, с помощью которых пользователи якобы могли найти информацию о пособиях, льготах и денежных компенсациях от государства, а также подать заявку на их получение. Остальные распространялись под видом официальных приложений лотереи «Русское лото», в которых потенциальным жертвам предлагалось получить бесплатные лотерейные билеты, а также проверить наличие выигрышей.
Ни одна из этих программ-подделок не предоставляла обещанной функциональности. Трояны лишь загружали мошеннические веб-сайты, с помощью которых злоумышленники похищали деньги и конфиденциальную информацию владельцев Android-устройств. При этом некоторые из них дополнительно демонстрировали навязчивые уведомления, также ведущие на сайты мошенников. Вредоносные приложения были добавлены в вирусную базу Dr.Web как Android.FakeApp.262, Android.FakeApp.263, Android.FakeApp.264, Android.FakeApp.265, Android.FakeApp.266, Android.FakeApp.269, Android.FakeApp.270, Android.FakeApp.271, Android.FakeApp.272 и Android.FakeApp.273.
Вот как выглядят некоторые из этих троянов:
Пример уведомлений, которые они могут демонстрировать:
Кроме того, наши вирусные аналитики обнаружили новых троянов семейства Android.Joker, способных выполнять произвольный код и подписывать жертв на платные мобильные сервисы. Вредоносные приложения распространялись под видом программ для работы с СМС, переводчика, «живых» обоев для рабочего стола, а также фоторедактора. Они были добавлены в вирусную базу Dr.Web как Android.Joker.722, Android.Joker.723, Android.Joker.729, Android.Joker.730, Android.Joker.739, Android.Joker.742 и Android.Joker.744.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/Y52KiDRllQ4/
|
|
