«Доктор Веб»: обзор вирусной активности в апреле 2022 года |
27 мая 2022 года
Число обращений пользователей за расшифровкой файлов уменьшилось на 2.25% по сравнению с прошлым месяцем. Самым распространенным энкодером месяца вновь стал Trojan.Encoder.26996, на долю которого приходится 40% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с мартом, в апреле число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 2.25%.
В апреле 2022 года интернет-аналитики наблюдали рост числа сайтов, маскирующихся под официальные ресурсы разработчиков различного ПО. С помощью этих сайтов злоумышленники распространяли поддельные установщики с рекламными и вредоносными программами.
На скриншоте изображен пример описываемой страницы и запуск поддельного установщика. Программа пытается установить браузерное расширение для работы с прокси, а также дополнительно устанавливает стороннее ПО на компьютер пользователя.
В минувшем месяце наиболее распространенной Android-угрозой, выявленной на устройствах пользователей, вновь стала вредоносная программа Android.Spy.4498. Она крадет информацию из уведомлений от других приложений. Кроме того, не утратили актуальности и многочисленные рекламные трояны. При этом активность как первого, так и вторых несколько снизилась по сравнению с предыдущим месяцем.
Вместе с тем в течение апреля в каталоге Google Play были найдены новые вредоносные программы. Среди них — мошеннические приложения из семейства Android.FakeApp, а также трояны Android.Joker, подписывающие жертв на платные услуги.
Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:
Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в апреле 2022 года |
27 мая 2022 года
В апреле продолжилось снижение активности трояна Android.Spy.4498, крадущего информацию из уведомлений от других приложений. Кроме того, незначительно замедлилось распространение рекламных троянов, которые по-прежнему остаются в числе наиболее популярных Android-угроз.
В течение месяца специалисты компании «Доктор Веб» обнаружили новые вредоносные программы в каталоге Google Play. Среди них — мошеннические приложения из семейства Android.FakeApp, а также трояны Android.Joker, подписывающие жертв на платные услуги.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В прошедшем месяце вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные вредоносные приложения. Среди них — трояны из семейства Android.Joker, которые способны загружать и исполнять произвольный код, а также подписывать пользователей на платные мобильные услуги. Один из них скрывался в приложении с «живыми» обоями Purple Live Wallpaper, другой — в программе для распознавания штрих-кодов QR Code Reader. Они были добавлены в вирусную базу Dr.Web как Android.Joker.1381 и Android.Joker.1383 соответственно.
<
Кроме того, наши специалисты зафиксировали распространение новых троянов из семейства Android.FakeApp, получивших имена Android.FakeApp.930, Android.FakeApp.931 и Android.FakeApp.933. Злоумышленники выдавали их за приложения, при помощи которых российские пользователи якобы могли найти информацию о социальных выплатах и различных денежных компенсациях, а также непосредственно получить «полагающиеся» им деньги. Эти трояны скрывались в программах под названиями «Как получить компенсацию от РФ», «Пособия для граждан 2022» и «Выплаты ФРСП».
В действительности подделки загружали мошеннические сайты, через которые киберпреступники обманом пытались выудить у потенциальных жертв персональную информацию и похитить деньги.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в марте 2022 года |
18 апреля 2022 года
По сравнению с предыдущим месяцем в марте активность трояна Android.Spy.4498, крадущего информацию из уведомлений от других приложений, несколько снизилась. Тем не менее, он по-прежнему остается самой распространенной Android-угрозой. Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, его доля составила 46,98% от общего числа угроз, выявленных на защищаемых устройствах. Не утратили актуальность и рекламные трояны, среди которых наиболее заметны представители семейства Android.HiddenAds.
В середине марта компания «Доктор Веб» сообщила об обнаружении вредоносных приложений, созданных для кражи криптовалют у владельцев устройств под управлением Android и iOS. Кроме того, в течение месяца фиксировались новые трояны в каталоге Google Play.
В марте компания «Доктор Веб» сообщила об обнаружении троянов CoinSteal, созданных для кражи криптовалют пользователей устройств под управлением Android и iOS. Злоумышленники модифицировали некоторые версии популярных программ-криптокошельков, в том числе MetaMask, imToken, Bitpie и TokenPocket, чтобы распространять их под видом безвредных вариантов.
Ниже — пример работы оригинального приложения MetaMask и его вредоносного варианта.
Незаметно для пользователей они похищали вводимые секретные seed-фразы, необходимые для доступа к криптокошелькам и хранящимся в них криптовалютам, и передавали их на удаленный сервер. Наши специалисты выявили несколько десятков таких троянов. Подробнее об этих вредоносных приложениях рассказано в материале на сайте компании.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В марте вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play очередные программы-подделки из семейства Android.FakeApp. Они распространялись под видом приложений для поиска информации о различных денежных компенсациях и якобы помогали получать выплаты от государства. Однако трояны лишь загружали мошеннические сайты, где путем обмана у потенциальных жертв похищались конфиденциальные данные и деньги. Вредоносные приложения были добавлены в вирусную базу Dr.Web как Android.FakeApp.907 («Компенсация НДС»), Android.FakeApp.908 («Возврат НДС на карту») и Android.FakeApp.909 («Поиск начислений 2022»).
Кроме того, наши специалисты выявили трояна Android.PWS.Facebook.134, нацеленного на пользователей социальной сети Facebook (деятельность сети запрещена на территории России). Эта вредоносная программа скрывалась в редакторах изображений Photo PIP и Collager Photo Maker и похищала данные, необходимые для доступа к учетным записям пользователей.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в марте 2022 года |
18 апреля 2022 года
Число обращений пользователей за расшифровкой файлов увеличилось на 13.2% по сравнению с прошлым месяцем. Самым распространенным энкодером марта стал Trojan.Encoder.26996, на долю которого приходится более четверти всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с февралем, в марте число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 13.26%.
В марте 2022 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов, которые якобы выплачивают деньги за просмотр видео. Предполагается, что потенциальная жертва окажется на сайте, где обязательным элементом регистрации будет ввод данных банковской карты. На деле же злоумышленники получат ценные данные, а жертве не заплатят ничего.
На скриншоте изображен пример описываемой страницы. Здесь указаны расценки за просмотр видео и восторженные отзывы тех, кто уже якобы заработал на этом.
В марте компания «Доктор Веб» предупредила пользователей о троянах CoinSteal, созданных для кражи криптовалют у владельцев устройств под управлением Android и iOS. Злоумышленники встроили эти вредоносные приложения в некоторые версии популярных криптокошельков, таких как imToken, MetaMask, Bitpie и TokenPocket, чтобы распространять их под видом оригиналов. Трояны похищали секретные seed-фразы, необходимые для доступа к криптокошелькам.
Кроме того, наша вирусная лаборатория обнаружила очередные угрозы в каталоге Google Play. Среди них — программы-подделки Android.FakeApp и троян Android.PWS.Facebook.134. Первые применяются в различных мошеннических схемах. Второй — похищает конфиденциальные данные, необходимые для доступа к учетным записям пользователей социальной сети Facebook (деятельность сети запрещена на территории России).
Анализ статистики детектирований антивирусных продуктов Dr.Web для Android показал, что наиболее распространенной угрозой в марте вновь стал троян Android.Spy.4498, крадущий информацию из уведомлений от других приложений. При этом по сравнению с предыдущим месяцем его активность несколько снизилась. В то же время опасность по-прежнему представляют и рекламные трояны.
Наиболее заметные события, связанные с «мобильной» безопасностью в марте:
Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в феврале 2022 года |
31 марта 2022 года
В феврале лидером среди угроз, выявленных на Android-устройствах, вновь стал троян Android.Spy.4498, предназначенный для кражи информации из уведомлений от других приложений. На долю этой вредоносной программы пришлось 47,83% детектирований антивирусных продуктов Dr.Web для Android, что практически вдвое превышает показатель предыдущего месяца. Вместе с тем высокую активность сохраняют различные рекламные трояны, наиболее распространенным среди которых остается Android.HiddenAds.3018.
Среди угроз, обнаруженных в каталоге Google Play вирусными аналитиками «Доктор Веб», — всевозможные программы-подделки из семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. Кроме того, наши специалисты выявили несколько троянов, относящихся к семейству многофункциональных вредоносных приложений Android.Triada, а также очередную вредоносную программу из семейства Android.Subscription. Последняя подписывает жертв на платные мобильные услуги.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В течение февраля специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередные программы-подделки, которые киберпреступники использовали в мошеннических схемах. Некоторые из них, такие как Android.FakeApp.895 («Выплаты Gaz»), Android.FakeApp.896 («Gasprom Инвестиции») и Android.FakeApp.897 (Gaz Investr) распространялись под видом программ для инвестирования в нефтегазовые проекты, а троян Android.FakeApp.781 скрывался в программе под названием «Вернуть налог на карту», якобы помогающей получить денежные компенсации. Все они загружали мошеннические сайты, через которые злоумышленники пытались украсть у потенциальных жертв персональную информацию и деньги.
Кроме того, были обнаружены многофункциональные трояны Android.Triada.5186, Android.Triada.5241 и Android.Triada.5242, скрывавшиеся в программах и играх под названием Flying Knife Master-Throw Hit, Powerful Multi Space-2Accounts, Space Flight Battle и Idle Soldier-Battle Royale.io.
Также наши вирусные аналитики выявили трояна Android.Subscription.7, загружавшего сайты партнерских сервисов для подписки жертв на платные мобильные услуги. Он распространялся под видом редактора изображений Funky Photo.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в феврале 2022 года |
31 марта 2022 года
Число обращений пользователей за расшифровкой файлов уменьшилось на 10.72% по сравнению с прошлым месяцем. Самым распространенным энкодером февраля стал Trojan.Encoder.26996, на долю которого приходится почти четверть всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с январем, в феврале число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 10.72%.
В феврале 2022 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов, маскирующихся под онлайн-сервисы доставки. Для каждого пользователя создаётся уникальная страница с конфиденциальными данными, где для оплаты предлагается ввести данные банковской карты.
На скриншоте изображен пример описываемой страницы. Здесь указаны фейковые номера отправления и статус оплаты.
Согласно статистике детектирований антивирусных продуктов Dr.Web для Android, в феврале наиболее распространенной угрозой вновь стал троян Android.Spy.4498, крадущий информацию из уведомлений от других приложений. На долю этой вредоносной программы пришлось 47,83% детектирований. В то же время высокую активность вновь проявили рекламные трояны.
Среди угроз, выявленных специалистами компании «Доктор Веб» в каталоге Google Play, — новые программы-подделки из семейства Android.FakeApp, многофункциональные трояны Android.Triada и очередная вредоносная программа из семейства Android.Subscription, предназначенная для подписки пользователей на платные мобильные услуги.
Наиболее заметные события, связанные с «мобильной» безопасностью в феврале:
Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в январе 2022 года |
15 марта 2022 года
В январе антивирусные продукты Dr.Web для Android зафиксировали высокую активность вредоносного приложения Android.Spy.4498, предназначенного для кражи информации из уведомлений. Согласно полученной статистике, в минувшем месяце оно встречалось на устройствах пользователей чаще других угроз: на его долю пришлось 24,86% детектирований. Широкое распространение вновь получили рекламные трояны. Как и месяцем ранее, лидерство среди них сохранилось за Android.HiddenAds.3018, пришедшим на смену более старой модификации Android.HiddenAds.1994. При этом снизилось число атак троянов, способных загружать другие приложения и выполнять произвольный код.
В течение месяца наши специалисты выявили в каталоге Google Play очередные вредоносные приложения. Среди них — многочисленные программы-подделки семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. Кроме того, был найден очередной троян из семейства Android.PWS.Facebook, который крал данные, необходимые для взлома учетных записей Facebook. Также вирусные аналитики «Доктор Веб» обнаружили новые вредоносные приложения из семейства Android.Subscription, подписывающие пользователей на платные мобильные услуги.
В минувшем январе вирусные аналитики компании «Доктор Веб» зафиксировали распространение нового Android-трояна, получившего имя Android.Spy.4498. Злоумышленники встроили его в некоторые версии неофициальных модификаций мессенджера WhatsApp, таких как GBWhatsApp, OBWhatsApp и WhatsApp Plus, и под видом безвредных распространяли через вредоносные сайты.
Основная функция Android.Spy.4498 — перехват содержимого уведомлений других приложений. Однако он также способен загружать и предлагать пользователям устанавливать программы и демонстрировать диалоговые окна с полученным от злоумышленников содержимым.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В прошлом месяце специалисты компании «Доктор Веб» выявили в каталоге Google Play множество угроз. Среди них — большое число принадлежащих к семейству Android.FakeApp троянских приложений, которые злоумышленники применяли в различных мошеннических схемах. Например, трояны Android.FakeApp.777 и Android.FakeApp.778 распространялись под видом программ для поиска и получения социальных выплат и денежных компенсаций и были нацелены на российских пользователей. На самом деле они лишь загружали мошеннические сайты, на которых у потенциальных жертв запрашивалась персональная информация и путем обмана похищались деньги.
Другие подделки выдавались за инвестиционные приложения, с помощью которых пользователи якобы могли стать инвесторами и получать пассивный доход без каких-либо экономических знаний. Всю работу за них якобы должен был выполнять некий торговый алгоритм, либо персональный менеджер. Например, трояны Android.FakeApp.771, Android.FakeApp.772, Android.FakeApp.773, Android.FakeApp.774, Android.FakeApp.775, Android.FakeApp.776, Android.FakeApp.779 и Android.FakeApp.780 распространялись под видом таких программ как Газпром Инвест, Gaz Investor, Инвестиции АктивГаз и других, якобы имеющих отношение к компании «Газпром» и нефтегазовому рынку. А некоторые модификации Android.FakeApp.780 якобы позволяли зарабатывать на фондовом рынке и криптовалютах. Они скрывались в программах под названием ТОН и Chain Reaction.
Однако все эти трояны также лишь загружали мошеннические сайты, где от потенциальных жертв требовалось зарегистрировать учетную запись. Затем пользователям предлагалось либо дождаться звонка «оператора» или «персонального брокера», либо пополнить счет, чтобы «уникальный алгоритм» приступил к торговле и зарабатыванию денег.
Был выявлен и очередной троян, нацеленный на кражу данных, необходимых для взлома учетных записей Facebook. Получившая имя Android.PWS.Facebook.123 вредоносная программа распространялась под видом редактора изображений Adorn Photo Pro.
Кроме того, наши вирусные аналитики обнаружили новых представителей троянов из семейства Android.Subscription, которые подписывают пользователей на платные мобильные услуги. Один из них — Android.Subscription.5 — скрывался в самых разнообразных программах, например — фоторедакторах, навигационном приложении и мультимедийном плеере. Другой, добавленный в вирусную базу Dr.Web как Android.Subscription.6, распространялся под видом лончера в стиле операционной системы мобильных устройств Apple.
Эти вредоносные программы загружали веб-сайты партнерских сервисов, подключающих платные подписки при помощи технологии Wap Click. На таких страницах у потенциальных жертв запрашивается номер мобильного телефона, а после его ввода происходит попытка автоматической активации сервиса.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в январе 2022 года |
15 марта 2022 года
Число обращений пользователей за расшифровкой файлов увеличилось на 72.15% по сравнению с прошлым месяцем. Самым распространенным энкодером января стал Trojan.Encoder.26996, на долю которого приходится почти треть всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с декабрем, в январе число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 72.15%.
В январе 2022 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов, маскирующихся под веб-ресурсы крупных нефтяных компаний и банков. Мошенники предлагают потенциальным жертвам «реализовать мечты» и «начать зарабатывать» вместо с Газпромбанком.
На скриншоте изображен фрагмент фишингового сайта с предложением пройти тест, чтобы получить доступ к платформе.
Согласно статистике детектирований антивирусных продуктов Dr.Web для Android, в прошлом месяце наиболее частым «гостем» на Android-устройствах пользователей стал троян Android.Spy.4498. Эта вредоносная программа крадет информацию из уведомлений других приложений, а также способна загружать другие приложения и демонстрировать диалоговые окна с различным содержимым. Среди лидеров по числу обнаружений по-прежнему остаются всевозможные рекламные трояны. При этом снизилось число атак троянов, способных загружать и выполнять произвольный код.
В течение января наши специалисты выявили в каталоге Google Play новые угрозы. Среди них — очередные мошеннические программы из семейства Android.FakeApp, трояны из семейства Android.Subscription, подписывающие пользователей на платные услуги, и троян, который похищал данные, необходимые для взлома учетных записей Facebook. Последний был добавлен в вирусную базу как Android.PWS.Facebook.123.
Наиболее заметные события, связанные с «мобильной» безопасностью в январе:
Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в декабре 2021 года |
28 января 2022 года
В каталоге Google Play были выявлены очередные угрозы. Среди них — всевозможные вредоносные программы-подделки семейства Android.FakeApp, применяемые в различных мошеннических схемах, трояны семейства Android.Joker, подписывающие пользователей на платные мобильные услуги, и другие вредоносные приложения.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В декабре 2021 года в каталоге Google Play были обнаружены новые вредоносные приложения семейства Android.Joker, которые загружают и исполняют произвольный код и подписывают пользователей на платные мобильные сервисы. Например, трояны Android.Joker.1097 и Android.Joker.1126 скрывались в мессенджерах Color Message и Elegant SMS, а Android.Joker.1129 распространялся под видом утилиты Speed Clean Pro для оптимизации работы Android-устройств. Трояна Android.Joker.1157 злоумышленники выдавали за программу PDF Camera Scanner для создания PDF-документов, а Android.Joker.1160 — за приложение Blood Pressure Record для контроля кровяного давления.
Наши вирусные аналитики также обнаружили очередного трояна из семейства Android.PWS.Facebook. Такие вредоносные приложения крадут логины, пароли и другую информацию, необходимую для взлома учетных записей Facebook. Новый представитель этого семейства распространялся под видом приложения Vasee Bluenee Slideshow для создания слайд-шоу и видеороликов. Его компоненты были добавлены в вирусную базу Dr.Web как Android.PWS.Facebook.101 и Android.PWS.Facebook.102.
Кроме того, в Google Play были найдены программы-подделки, которые использовались в различных мошеннических схемах. Некоторые из них, такие как Android.FakeApp.721 («Выплаты пособий населению») и Android.FakeApp.724 («ФРП РУ Выплаты»), злоумышленники вновь распространяли под видом приложений с информацией о мерах социальной поддержки в России. С их помощью пользователи также якобы могли получить выплаты и компенсации. Однако трояны лишь загружали мошеннические сайты, где жертвам предлагалось указать персональные данные и оплатить «комиссию» или «пошлину» для «перевода» денег на их банковский счет.
Аналогичная функциональность была и у троянов, получивших имена Android.FakeApp.722 и Android.FakeApp.723. Вирусописатели выдавали их за программы для получения бесплатных лотерейных билетов. Эти вредоносные программы загружали сайты, на которых для «получения» билетов и выигрышей пользователи должны были оплатить «комиссию».
А трояны Android.FakeApp.727 и Android.FakeApp.729 распространялись под видом приложений для майнинга криптовалют. Они скрывались в таких программах как Dogecoin Mining Cloud, Litecoin Mining Cloud, Bitcoin Miner, Ethereum Mining Cloud и BTC Mining Cloud. Установившим их пользователям предлагалось получать криптовалюту при помощи облачного сервиса, а для увеличения скорости добычи — оплатить премиальные тарифные планы.
Это не первые троянские приложения такого типа. Например, ещё в августе 2021 года вирусные аналитики компании «Доктор Веб» обнаружили аналогичную вредоносную программу с именем Multimine - BTC Cloud Mining. Она была добавлена в вирусную базу Dr.Web как Android.FakeApp.336.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в декабре 2021 года |
28 января 2022 года
Число обращений пользователей за расшифровкой файлов уменьшилось на 41,3% по сравнению с прошлым месяцем. Самым распространенным энкодером декабря стал Trojan.Encoder.26996, на долю которого приходится почти треть всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с ноябрем, в декабре число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 41,3%.
В декабре 2021 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов, маскирующихся под веб-ресурсы российских региональных банков. Мошенники создают страницы, максимально похожие на те, что использует банк. Жертве предлагается ввести реальные логин и пароль, а также установить «удобное мобильное приложение».
На скриншоте изображена главная страница фишингового сайта, сделанного по мотивам официального веб-сайта Ак Барс Банка.
В декабре 2021 года антивирусные продукты Dr.Web для Android наиболее часто выявляли на защищаемых устройствах рекламных троянов, а также вредоносные приложения, загружающие другое ПО и выполняющие произвольный код. В то же время в каталоге Google Play были найдены новые угрозы. Среди них — очередные программы-подделки, которые злоумышленники использовали в различных мошеннических схемах, и трояны, подписывавшие жертв на платные мобильные услуги.
Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:
Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2021 год |
21 января 2022 года
В 2021 году получение незаконного заработка оставалось одним из приоритетов для киберпреступников. Так, среди наиболее распространенных Android-угроз вновь оказались трояны, демонстрирующие рекламу, всевозможные загрузчики и установщики ПО, а также трояны, способные скачивать и запускать произвольный код. Банковские трояны также представляли серьезную угрозу, при этом их активность существенно возросла. Кроме того, пользователи часто сталкивались с различными рекламными приложениями. Наряду с распространением существующих, появлялись новые семейства и модификации вредоносных программ, приносящих киберпреступникам прибыль.
В течение года специалисты компании «Доктор Веб» зафиксировали множество угроз в Google Play. Среди них - опасные трояны, подписывавшие жертв на платные услуги, программы-подделки, применяемые в различных мошеннических схемах, трояны-стилеры, похищавшие конфиденциальную информацию, а также рекламные приложения.
При этом злоумышленники искали новые пути заражения и осваивали для собственной экспансии новые площадки. Так, в каталоге AppGallery были найдены первые вредоносные приложения, а одна из версий программы APKPure оказалась заражена трояном-загрузчиком. Кроме того, вирусописатели продолжили применять специализированные инструменты, позволяющие более эффективно заражать Android-устройства. Среди них — всевозможные упаковщики, обфускаторы и утилиты для запуска программ без их установки.
Как и в прошлом году, киберпреступники не обошли вниманием проблему пандемии COVID-19. Так, они распространяли всевозможных троянов под видом полезных программ.
В конце марта вирусные аналитики компании «Доктор Веб» обнаружили вредоносную функциональность в клиентском ПО альтернативного каталога Android-программ APKPure. Затронутой оказалась версия 3.17.18 этого приложения. Злоумышленники встроили в него многокомпонентного трояна Android.Triada.4912, который загружал различные веб-сайты, а также скачивал другие вредоносные модули и разнообразные приложения.
Для наглядности ниже представлены фрагменты кода троянской версии программы (слева) и ее «чистого» варианта (справа). Выделенная на изображении строка отвечает за инициализацию Android.Triada.4912.
В июле «Доктор Веб» сообщил о появлении в каталоге Google Play троянских приложений семейства Android.PWS.Facebook, ворующих логины, пароли и другую конфиденциальную информацию, необходимую для взлома учетных записей Facebook. Программы являлись полностью работоспособными, что должно было ослабить бдительность потенциальных жертв. Для доступа ко всем функциям приложений и отключения рекламы внутри них пользователям предлагалось войти в аккаунт социальной сети. Здесь и таилась главная опасность. Трояны загружали в WebView настоящую форму авторизации сайта Facebook, после чего внедряли в тот же WebView специальный JavaScript, который крал данные. После этого вводимые логины и пароли вместе с куки сессии передавалась злоумышленникам.
В течение года было выявлено множество других вредоносных приложений такого типа. Пример того, как эти трояны пытаются похитить информацию пользователей:
Тогда же, в июле наши вирусные аналитики обнаружили новое семейство банковских троянов Android.BankBot.Coper. Это модульные вредоносные приложения, обладающие многоступенчатым механизмом заражения. Они распространяются под видом настоящих банковских программ и другого ПО. При инфицировании Android-устройств трояны пытаются получить доступ к специальным возможностям ОС Android (Accessibility Services), позволяющим им полностью контролировать систему, а также имитировать действия пользователей. Среди их возможностей - перехват и отправка СМС-сообщений, выполнение USSD-запросов, блокировка и разблокировка экрана, демонстрация push-уведомлений и фишинговых окон, удаление приложений, работа в качестве кейлоггера (перехват вводимой на клавиатуре информации) и т. д. Кроме того, они обладают различными механизмами самозащиты.
В ноябре компания «Доктор Веб» опубликовала исследование популярных в России моделей детских смарт-часов, направленное на поиск потенциальных уязвимостей в таких устройствах. Проведенный анализ показал неудовлетворительный уровень их безопасности. Например, в одной из моделей были обнаружены предустановленные троянские приложения. В некоторых других для доступа к функциям дистанционного управления используются стандартные пароли, которые в ряде случаев невозможно изменить. Кроме того, в некоторых детских смарт-часах при передаче чувствительных данных не применяется шифрование. Ниже представлена сводная таблица с основными выявленными уязвимостями:
Также в минувшем году наши специалисты обнаружили первые вредоносные программы в AppGallery - официальном каталоге приложений Android-устройств Huawei. Среди них были многокомпонентные трояны семейства Android.Joker, об этом случае мы сообщали весной. Одна из их основных функций - подключение владельцев Android-устройств к платным мобильным услугам. Незаметно для своих жертв они скачивали и запускали вредоносные модули, после чего загружали веб-сайты, где автоматически оформляли подписку на те или иные сервисы. Для этого они подставляли в нужные поля веб-форм номер телефона пользователя и перехваченный пин-код подтверждения операции.
Некоторые из обнаруженных вредоносных приложений представлены на скриншоте ниже:
Уже осенью в AppGallery были найдены десятки игр со встроенным в них трояном Android.Cynos.7.origin. Он представлял собой специализированный программный модуль, который собирал и передавал злоумышленникам информацию о телефонных номерах и устройствах пользователей, а также демонстрировал рекламу. Согласно данным на страницах этих приложений в каталоге AppGallery, в общей сложности их установили не менее 9 300 000 пользователей.
В течение года злоумышленники для распространения самых разнообразных вредоносных приложений вновь активно эксплуатировали тему пандемии COVID-19 и вакцинации. Например, в программе Free NET COVID-19 для якобы бесплатного доступа к интернету скрывался троян Android.SmsSpy.830.origin, похищавший СМС-сообщения.
Троян Android.SmsSend.2134.origin распространялся под видом программы CoWinHelp, с помощью которой жертвы якобы могли записаться на вакцинацию. На самом деле он отправлял СМС со ссылкой на загрузку своей копии всем контактам из телефонной книги пользователя.
А при установке приложения Coronavirus Tracker, якобы позволявшего следить за статистикой заражений, пользователи сталкивались с трояном-вымогателем Android.Locker.7145. Он блокировал устройства и требовал выкуп за разблокировку.
Не остались в стороне и банковские трояны. Например, злоумышленники создавали подделки существующих программ, предназначенных для добровольного отслеживания контактов, уведомления о возможных рисках заражения и проверки статуса вакцинации. Так, банкер Android.BankBot.904.origin притворялся приложением NHS COVID-19 Национальной службы здравоохранения Великобритании, а Android.BankBot.612.origin выдавал себя за программу TousAntiCovid министерства здравоохранения Франции.
Как и годом ранее, в 2021 году пользователи Android-устройств наиболее часто сталкивались с различными вредоносными программами. Согласно статистике детектирований антивирусных продуктов Dr.Web для Android, на их долю пришлось 83,94% от всех угроз, выявленных на защищаемых устройствах. На втором месте по распространенности вновь расположились рекламные приложения и специализированные рекламные модули, встраиваемые в игры и другое ПО, - их доля составила 10,64%. Третье место с долей в 4,67% сохранилось за потенциально опасными программами. Нежелательное ПО осталось на четвертом месте - оно обнаруживалось на устройствах в 0,75% случаев.
По сравнению с позапрошлым годом, расстановка сил в стане вредоносного ПО несколько изменилась. Так, на первый план вышли троянские приложения семейства Android.HiddenAds, известного с 2016 года. Они опасны тем, что демонстрируют надоедливую рекламу - баннеры и видеоролики, которая часто перекрывает окна других программ и даже интерфейс операционной системы, мешая нормальной работе с Android-устройствами. При этом такие вредоносные приложения «прячутся» от пользователей - например, скрывают свои значки с главного экрана. Число атак с их участием увеличилось на 6,7%, при этом на их долю пришлось 23,59% детектирований всех вредоносных приложений. Таким образом, почти каждый четвертый троян, с которым сталкивались пользователи в минувшем году, был представителем этого семейства-ветерана, что делает его одной из наиболее распространенных в настоящее время Android-угроз.
Анализ статистики показал, что самой активной модификацией семейства стал троян Android.HiddenAds.1994 (12,19% атак). При этом в октябре наши специалисты обнаружили его новую версию, Android.HiddenAds.3018. Ее особенность — в том, что вирусописатели присваивают распространяемым копиям трояна имена программных пакетов настоящих приложений из Google Play. Такая тактика может применяться, например, для обхода механизмов проверки приложений на Android-устройствах или интернет-ресурсах, через которые эти приложения распространяются. С момента появления обновленная модификация постепенно стала доминировать над предшественницей, активность которой снижалась. Есть все основания полагать, что со временем она может полностью занять ее место.
Несколько сдали позиции вредоносные приложения, основная задача которых - загрузка другого ПО, а также выполнение произвольного кода. Тем не менее, они по-прежнему остаются одними из самых активных и серьезных Android-угроз. К ним относятся многочисленные представители семейств Android.RemoteCode (15,79% детектирований вредоносного ПО), Android.Triada (15,43%), Android.DownLoader (6,36%), Android.Mobifun (3,02%), Android.Xiny (1,84%) и другие. Все они также помогают вирусописателям зарабатывать деньги. Например, через участие в различных партнерских программах и реализацию всевозможных преступных схем - монетизацию трафика накруткой счетчиков загрузок и установкой игр и приложений, подписку пользователей на платные мобильные услуги, распространение других троянов и т. д.
В числе наиболее распространенных вредоносных приложений остались и трояны-кликеры из семейства Android.Click (10,52% детектирований), которые также являются инструментами нелегального заработка. Они способны имитировать действия пользователей - например, загружать сайты с рекламой, нажимать на баннеры, переходить по ссылкам, автоматически подписывать на платные сервисы и выполнять другие вредоносные действия.
В 2021 году больше половины (55,71%) выявленных на Android-устройствах нежелательных приложений составили программы семейства Program.FakeAntiVirus. Это почти в 3,5 раза больше, чем годом ранее. Такие программы имитируют работу антивирусов, обнаруживают несуществующие угрозы и предлагают купить свои полные версии - якобы для лечения заражения и исправления проблем.
Кроме того, антивирусные продукты Dr.Web для Android вновь детектировали множество специализированных программ, позволяющих контролировать активность пользователей, собирать информацию о них, а также дистанционно управлять устройствами.
Наиболее распространенными потенциально опасными программами снова стали специализированные утилиты, позволяющие запускать Android-приложения без их установки. Среди них - различные представители семейства Tool.SilentInstaller. Они уверенно заняли первое место по числу обнаружений на устройствах пользователей с результатом в 79,51% от общего выявленных программ, несущих потенциальный риск. Это на 53,28% больше, чем годом ранее.
Кроме того, актуальным остается использование злоумышленниками всевозможных обфускаторов и программ-упаковщиков. С их помощью вирусописатели пытаются защитить вредоносные приложения от анализа специалистами по информационной безопасности и детектирования антивирусами. Приложения, защищенные такими утилитами, обнаруживались на Android-устройствах в 14,16% случаев.
Третьими по числу обнаружений стали утилиты, позволяющие получать root-полномочия. Такие инструменты могут работать в связке с троянскими приложениями, позволяя им, например, заражать системный каталог Android-устройств. На долю таких утилит пришлось 2,59% детектирований потенциально опасного ПО.
Среди рекламного ПО наиболее часто на устройствах пользователей детектировались приложения с модулями, которые демонстрировали уведомления и диалоговые окна, а также загружали и предлагали пользователям установить различные игры и программы. Кроме того, распространенными вновь стали встроенные в приложения модули, которые демонстрировали баннеры с рекламой вне этих программ.
Среди угроз, выявленных в каталоге Google Play в 2021 году, было множество троянов, принадлежащих к семейству Android.Joker. Они опасны тем, что способны загружать и исполнять произвольный код, а также автоматически подписывать пользователей на платные мобильные услуги. Эти трояны распространялись под видом самых разных приложений - фото- и видеоредакторов, музыкальных плееров, мессенджеров, программ для работы с документами и заботы о здоровье, переводчиков, утилит для оптимизации работы системы и других. При этом они выполняли заявленные функции, чтобы потенциальные жертвы не заподозрили в них угрозу. В течение года вирусные аналитики «Доктор Веб» выявили в Google Play более 40 неизвестных ранее модификаций таких вредоносных приложений, число установок которых превысило 1 250 000.
Другой массированной угрозой стали вредоносные приложения-подделки из семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. Такие трояны тоже распространяются под видом полезных и безобидных программ, но на самом деле не выполняют заявленных функций. Основные задачи большинства из них - обмануть пользователей и заманить их на мошеннические сайты, а также выудить как можно больше конфиденциальных данных. Наши специалисты обнаружили сотни таких троянов, которые загрузили свыше 1 700 000 пользователей.
Как и годом ранее, одной из популярных схем с применением этих вредоносных приложений стала эксплуатация темы государственной социальной поддержки населения в России. Для этого многие трояны Android.FakeApp распространялись под видом программ для поиска информации о выплатах пособий и льгот, «компенсации» НДС и т. п., а также непосредственного получения выплат. Однако они лишь загружали мошеннические сайты, где каждому посетителю сулились многотысячные выплаты. За «начисление» обещанных средств от жертв требовалось оплатить «государственную пошлину» или «комиссию банка» в размере от нескольких сотен до нескольких тысяч рублей. Никаких выплат жертвы мошенников на самом деле не получали — вместо этого они переводили собственные средства злоумышленникам, а также предоставляли им свои персональные данные.
Некоторые модификации троянов периодически демонстрировали уведомления с сообщениями о якобы доступных выплатах и компенсациях. Таким образом киберпреступники пытались привлечь дополнительное внимание потенциальных жертв, чтобы те чаще переходили на мошеннические сайты. Примеры таких уведомлений:
Другой популярной схемой стали предложения инвестиций и заработка на торговле криптовалютами, нефтью, газом и другими активами. Подобные схемы уже несколько лет применяются при атаках на владельцев компьютеров. Однако в минувшем году они стали более активно продвигаться и среди пользователей мобильных устройств, для чего создавались соответствующие программы-подделки. С их помощью пользователи якобы могли получать пассивный доход от инвестиций, не имея ни опыта, ни специальных экономических знаний. Для большей привлекательности такие трояны часто распространялись под видом официального ПО известных компаний или оформлялись в стиле существующих финансовых приложений.
На загружаемых многими из них сайтах владельцам Android-устройств предлагалось зарегистрировать учетную запись, указав персональную информацию, и дождаться звонка «оператора». Предоставленные при регистрации данные — имена, фамилии, адреса электронной почты и номера телефонов — злоумышленники могли самостоятельно использовать для дальнейшего обмана пользователей или же продать на черном рынке.
Примеры работы таких троянов:
При этом финансовые программы-подделки «охотились» не только на российских, но и на иностранных пользователей, которые также рисковали оказаться на поддельных сайтах и попасть в сети мошенников.
Один из таких троянов, Android.FakeApp.277, даже распространялся под видом инвестиционной программы от Илона Маска. В ней потенциальным жертвам предлагалось «удвоить» объем имеющейся у них криптовалюты, отправив ее якобы на криптокошельки компании Tesla. Никакого отношения ни к известной компании, ни к ее владельцу эта подделка не имела, и обманутые пользователи переводили криптовалюту мошенникам.
Другая группа троянов этого семейства активно распространялась под видом официальных приложений популярных российских лотерей. С их помощью пользователи якобы могли получить бесплатные лотерейные билеты и принять участие в розыгрыше призов. На самом деле билеты были ненастоящие, а игра лишь имитировалась - всегда с неизменной победой «счастливчика». При этом для получения «выигрыша» от жертв требовалось оплатить «комиссию» или «пошлину» — эти деньги оседали в карманах мошенников.
Пример того, как эти трояны обманывают пользователей:
Применялись и другие схемы. Например, некоторые трояны Android.FakeApp распространялись под видом приложений, которые злоумышленники выдавали за безобидные программы разнообразной тематики. Среди них - справочники о моде, животных, природе, различные гороскопы. Другие распространялись под видом ПО с информацией о болезнях и способах их лечения. В первом случае мошенники даже не старались скрыть признаки подделки. При запуске программ потенциальные жертвы неожиданно попадали на сомнительные и откровенно мошеннические сайты «онлайн-знакомств», где для привлечения внимания часто имитировалось общение с реальными людьми, а пользователям предлагалось пройти регистрацию, иногда платную. Во втором случае жертвы попадали на сайты, рекламирующие некие чудо-лекарства, которые им «посчастливилось» застать в наличии и приобрести якобы по очень выгодной цене.
Распространялись приложения-подделки и под видом программ, якобы предоставлявших доступ к скидкам, акционным и бонусным картам, а также подаркам от известных магазинов и компаний. Для большей убедительности в них использовалась символика и названия соответствующих брендов — производителей электроники, АЗС и торговых сетей.
В зависимости от модификации троянов, при их запуске потенциальным жертвам предлагалось оформить платную подписку стоимостью от 400 рублей и выше в день или неделю — якобы чтобы воспользоваться всеми функциями приложений и получить обещанные бонусы. Однако в результате они получали лишь бесполезные штрих- или QR-коды. В течение 3 дней с начала активации подписки пользователи могли от нее отказаться. Но в данном случае злоумышленники рассчитывали, что жертвы либо забудут об этих программах и подключенных через них услугах, либо просто не обратят внимания, что активировали дорогостоящий сервис с периодической оплатой.
Среди выявленных в Google Play угроз были и другие типы вредоносных приложений. Например, трояны семейства Android.Proxy, превращающие зараженные устройства в прокси-серверы, через которые злоумышленники переадресовывали интернет-трафик. Также наши специалисты выявили новые модификации рекламных троянов Android.HiddenAds.
Кроме того, в официальном каталоге приложений появлялись банковские трояны. Один из них, Android.Banker.3679, распространялся под видом приложения для работы с бонусной программой Esfera банка Santander и предназначался для бразильских пользователей.
Его основными функциями были фишинг и кража конфиденциальных данных, а главной целью — банковское приложение Santander Empresas. Троян запрашивал доступ к специальным возможностям ОС Android, с помощью которых получал контроль над устройством и мог самостоятельно нажимать на различные элементы меню и кнопки и считывать содержимое окон приложений.
Другой троян, Android.Banker.4919, распространялся под видом банковских приложений Resalat Bank и Tose'e Ta'avon Bank и атаковал иранских пользователей. Он загружал фишинговые сайты, а также имел функциональность для кражи СМС-сообщений, однако не мог этого сделать из-за отсутствия необходимых системных разрешений.
Пример одного из сайтов, которые загружала эта вредоносная программа:
Также наши специалисты обнаружили приложения со встроенными рекламными модулями семейства Adware.NewDich, которые по команде управляющего сервера загружали различные веб-сайты в браузере Android-устройств. Чтобы не вызвать подозрений в неправомерных действиях, загрузка сайтов происходила, когда пользователи не работали с этими программами.
Модули Adware.NewDich часто загружают страницы различных партнерских и рекламных сервисов, которые перенаправляют пользователей на разделы размещенных в Google Play программ. Одной из них было приложение, которое оказалось банковским трояном и получило имя Android.Banker.3684. Этот троян перехватывал вводимые логины, пароли, одноразовые проверочные коды, а также содержимое поступающих уведомлений, для чего запрашивал соответствующее системное разрешение. Еще одно рекламируемое приложение содержало рекламный модуль Adware.Overlay.1.origin, который загружал веб-страницы и демонстрировал их поверх окон других программ.
В 2021 число обнаруженных на Android-устройствах банковских троянов увеличилось на 43,74% по сравнению с предыдущим годом. На их многочисленные модификации пришлось 5,4% детектирований всех вредоносных программ. Пик распространения Android-банкеров пришелся на начало весны, после чего интенсивность их атак постепенно снижалась с небольшим повышением активности в августе и сентябре.
Возросшая активность этих вредоносных приложений во многом обусловлена появлением множества новых семейств. Например, в начале января стал распространяться банковский троян Oscorp (Android.BankBot.792.origin), а в июле в вирусную базу Dr.Web были добавлены записи для детектирования трояна S.O.V.A. (Android.BankBot.842.origin). Тогда же стало известно о семействах Coper и Abere (Android.BankBot.Abere.1.origin). Последний интересен тем, что управляется через Telegram-боты. Уже в октябре пользователям стали угрожать различные модификации трояна SharkBot (Android.BankBot.904.origin).
Кроме того, злоумышленники распространяли банкеров Anatsa (Android.BankBot.779.origin) и Flubot (Android.BankBot.780.origin, Android.BankBot.828.origin). Несмотря на то, что их первые модификации появились в конце 2020 года, основная их активность пришлась именно на последние 12 месяцев.
Вместе с тем оставались активными и старые семейства, такие как Anubis (Android.BankBot.518.origin, Android.BankBot.670.origin, Android.BankBot.822.origin и другие модификации), Ginp (Android.BankBot.703.origin), Gustuff (Android.BankBot.657.origin, Android.BankBot.738.origin), Medusa (Android.BankBot.830.origin), Hydra (Android.BankBot.563.origin), BRATA (Android.BankBot.915.origin), Alien (Android.BankBot.687.origin, Android.BankBot.745.origin) и Cerberus (Android.BankBot.612.origin, Android.BankBot.8705). При этом появлялись и новые «потомки» трояна Cerberus, основанные на его исходном коде, который попал в открытый доступ в конце лета 2020 года. Одним из них был банкер ERMAC (Android.BankBot.870.origin), начавший свои атаки в июле.
Извлечение прибыли остается одной из главных целей вирусописателей, поэтому в будущем году следует ожидать появления новых троянских и нежелательных приложений, позволяющих зарабатывать деньги. Поскольку реклама - это надежный и относительно простой источник дохода, сохранится актуальность рекламных троянов. Также вероятно увеличение числа вредоносных программ, предназначенных для загрузки и установки различного ПО.
Продолжат появляться новые банковские трояны, многие из которых будут сочетать в себе широкую функциональность. Они будут не только красть деньги со счетов пользователей, но и выполнять другие задачи.
Сохранится угроза со стороны мошенников и всевозможных программ-подделок, которые те будут распространять. Кроме того, возможны новые атаки с применением троянов, крадущих конфиденциальную информацию, а также рост числа случаев использования шпионских программ.
Также следует ожидать, что для защиты вредоносных программ все больше киберпреступников станут использовать всевозможные обфускаторы и упаковщики.
Со своей стороны компания «Доктор Веб» продолжит отслеживать активность злоумышленников и выявлять самые актуальные угрозы, предоставляя надежную защиту для наших пользователей. Для защиты от Android-угроз рекомендуется применять антивирусные средства Dr.Web для Android, а также устанавливать все актуальные обновления операционной системы и используемых программ.
|
|
«Доктор Веб»: обзор вирусной активности за 2021 год |
21 января 2022 года
Среди почтовых угроз самыми популярными оказались стилеры, различные модификации бэкдоров, написанные на VB.NET. Кроме того, злоумышленники активно распространяли PDF-файлы с вредоносной нагрузкой, трояны-загрузчики, а также веб-страницы, представляющие собой форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Часть распространяемых в почте угроз пришлась на программы, эксплуатирующие различные уязвимости документов Microsoft Office.
В 2021 году вирусная лаборатория «Доктор Веб» опубликовала несколько расследований. Одним из них стало исследование Spyder — модульного бэкдора для целевых атак. Наши специалисты зафиксировали, что хакерская группировка Winnti использовала этот образец для атак на предприятия в Центральной Азии.
Также в прошедшем году аналитики «Доктор Веб» расследовали целевые атаки на российские НИИ. В ходе расследования специалистам нашей компании удалось раскрыть несанкционированное присутствие APT-группы, деятельность которой оставалась незамеченной почти 3 года.
Однако вирусописатели традиционно не ограничивали себя платформой Windows. Атакам регулярно подвергались владельцы устройств на базе ОС Android. Злоумышленники активно распространяли трояны в каталоге Google Play, при этом мы обнаружили первые трояны и в AppGallery. Самыми популярными угрозами для мобильных устройств оказались различные шпионские и банковские трояны, а также загрузчики вредоносного ПО и трояны, способные выполнять произвольный код.
В марте специалисты «Доктор Веб» выпустили масштабное исследование модульного бэкдора, предназначенного для целевых атак. В нашу вирусную лабораторию обратились телекоммуникационная компания из Центральной Азии. Оказалось, что сеть была скомпрометирована хакерской группировкой Winnti. Рассмотренный образец бэкдора для целевых атак BackDoor.Spyder.1 оказался примечателен тем, что его код не выполняет прямых вредоносных функций. Среди основных задач трояна — скрытое функционирование в зараженной системе и установление связи с управляющим сервером с последующим ожиданием команд операторов.
Спустя месяц специалисты «Доктор Веб» опубликовали ещё одно исследование. За помощью обратился российский научно-исследовательский институт — сотрудники заметили некоторые технические проблемы, которые свидетельствовали о наличии вредоносного ПО на сервере локальной сети. Вирусные аналитики выяснили, что НИИ подвергся целевой атаке с использованием нескольких бэкдоров, включая BackDoor.Skeye и BackDoor.DNSep. Примечательно, что впервые сеть была скомпрометирована ещё в 2017 году и с тех пор несколько раз подвергалась атакам, судя по имеющимся данным — сразу несколькими хакерскими группировками.
Летом компания «Доктор Веб» рассказывала о появлении критических уязвимостей диспетчера очереди печати ОС Windows. Уязвимость затрагивала все популярные версии операционной системы. С помощью эксплойтов злоумышленники использовали в своих целях компьютеры жертв. Например, загружали вредоносные трояны-шифровальщики, требующие выкуп за расшифровку поврежденных файлов. Уязвимости CVE-2021-34527 и CVE-2021-1675 получили название PrintNightmare. Для каждой из них вскоре появились официальные патчи от разработчика операционной системы.
Начало осени запомнилось массовым введением QR-кодов, подтверждающих факт вакцинации, в связи с чем активизировались мошенники. Например, злоумышленники часто подделывали сайт портала Госуслуг. Фишинговые сайты предназначались для кражи учетных данных, впоследствии используемых для несанкционированных действий от лица жертв. Количество выявленных фишинговых сайтов резко увеличилось почти на 30%. В дни наибольшей активности мошенников база веб-антивируса Dr.Web SpIDer Gate пополнялась сотнями фейковых сайтов.
Эксплуатация коронавирусной повестки продолжилась и в декабре. Злоумышленники предлагали скачать генератор QR-кодов о вакцинации. На деле же пользователь, который загружал вредоносную программу, получал сразу несколько троянов. Загруженный архив содержал исполняемый файл, который дополнительно доставлял на компьютер жертвы майнер и клипер.
Также в прошедшем году пользователям угрожали уязвимости библиотеки логирования Log4j 2. Наиболее критическая из них — Log4Shell (CVE-2021-44228) основана на том, что при логировании библиотекой Log4j 2 сообщений, сформированных особым образом, происходит обращение к контролируемому злоумышленниками серверу с последующим выполнением кода. Через уязвимости киберпреступники распространяли майнеры, бэкдоры, а также DDoS-трояны. Продукты Dr.Web успешно детектируют полезную нагрузку вредоносного ПО, проникающего на устройства через уязвимости.
Анализ статистики Dr.Web показал, что в 2021 году пользователей чаще всего атаковали трояны-загрузчики, которые устанавливали вредоносные программы. Помимо этого, на протяжении всего года пользователям угрожали различные бэкдоры и трояны, предназначенные для скрытого майнинга.
В почтовом трафике в 2021 году чаще всего распространяли различные бэкдоры, трояны-банкеры и другое вредоносное ПО, использующее уязвимости офисных документов. Кроме того, злоумышленники отправляли в фишинговых рассылках фиктивные формы ввода данных и вредоносные PDF-файлы.
По сравнению с 2020, в 2021 году число запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в антивирусную лабораторию «Доктор Веб» поступило на 26,6% меньше. Динамика регистрации таких запросов в 2021 году показана на графике:
В течение 2021 года интернет-аналитики «Доктор Веб» обнаружили множество опасных сайтов, большинство из которых оказались связаны с тематикой QR-кодов. В мае были обнаружены страницы, позволяющие купить любые поддельные документы, в том числе и справки о прививке от коронавируса. Мошенники тщательно пытались замаскировать нелегальную деятельность, публикуя на сайте разоблачающие других жуликов статьи.
С тех пор злоумышленники не отпускали тему коронавируса, каждый месяц создавая сайты и прочие ресурсы, где можно купить или сгенерировать QR-код. Летом специалисты «Доктор Веб» обнаружили приватные чаты: они кишат предложениями приобрести QR-код и подтверждают «безопасность» процедуры якобы восторженными отзывами тех, кто уже купил сертификат о вакцинации.
Также на волне коронавирусной тематики злоумышленники распространяют фейковые генераторы QR-кодов. Следует помнить, что сертификат о вакцинации нельзя сгенерировать каким-то особым образом, — он генерируется только из ссылки на конкретную страницу портала Госуслуг или информационной системы субъекта федерации, касающуюся факта иммунизации гражданина.
Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, в 2021 году пользователи ОС Android чаще всего сталкивались с троянами семейства Android.HiddenAds, демонстрировавшими всевозможную рекламу. На их долю пришлось более 83% всех вредоносных приложений, обнаруженных на защищаемых устройствах. Широкое распространение получили трояны, основная функция которых — загрузка других программ, а также скачивание и запуск произвольного кода. По сравнению с 2020 годом, на 43% возросла активность банковских троянов.
Среди нежелательных приложений самыми активными оказались программы семейства Program.FakeAntiVirus, имитировавшие работу антивирусов. Они предлагали пользователям приобрести их полные версии — якобы для лечения выявленных заражений. Также на Android-устройствах встречалось различное ПО, позволяющее следить за их владельцами.
Более чем на 53% выросло число обнаруженных потенциально опасных утилит Tool.SilentInstaller, позволяющих запускать Android-приложения без их установки. Такие инструменты могут использоваться не только в безобидных целях, но и при распространении троянов. Всевозможные рекламные модули и рекламные программы также детектировались довольно часто — их доля превысила 10% от всех выявленных угроз.
В течение года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество угроз. Среди них — приложения-подделки семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах, и трояны Android.Joker, способные загружать и исполнять произвольный код, а также автоматически подписывать пользователей на платные мобильные сервисы. Также здесь встречались рекламные трояны, рекламные приложения и банковские трояны. Кроме того, злоумышленники распространяли вредоносные программы семейства Android.PWS.Facebook, похищавшие необходимые для взлома учетных записей Facebook данные.
Минувший год был отмечен тем, что в каталоге приложений AppGallery для Android-устройств компании Huawei были найдены первые троянские приложения. Ими стали уже знакомые трояны семейства Android.Joker, а также вредоносный модуль Android.Cynos.7.origin, который собирал информацию о мобильных номерах пользователей и демонстрировал рекламу.
Среди угроз, выявленных нашими специалистами в 2021 году, был троян Android.Triada.4912. Злоумышленники встроили его в одну из версий приложения APKPure — клиентского ПО одноименного альтернативного каталога Android-программ. Он загружал различные веб-сайты, а также скачивал другие вредоносные модули и разнообразные приложения. Кроме того, вирусные аналитики «Доктор Веб» обнаружили новое семейство модульных банковских троянов Android.BankBot.Coper. Они перехватывают и отправляют СМС-сообщения, выполняют USSD-запросы, блокируют и разблокируют экран, демонстрируют push-уведомления и фишинговые окна, способны удалять программы, перехватывать вводимую на клавиатуре информацию и выполнять другие вредоносные действия.
Также в минувшем году компания «Доктор Веб» проанализировала популярные в России модели детских смарт-часов на предмет возможных уязвимостей в них. Как показало исследование, безопасность подобных устройств находится на неудовлетворительном уровне. Например, на одной из моделей были предустановленные троянские приложения.
В первую очередь, прошедший год показал, насколько оперативно злоумышленники подстраиваются под ту или иную актуальную тематику. Следует ожидать ещё более хитрых мошеннических схем, связанных с ковидом или другими важными темами грядущего года.
Помимо этого, останутся активными рекламные трояны, всевозможные шифровальщики и другое вредоносное ПО. Корпорациям и компаниям в новом году следует уделять повышенное внимание информационной защите. Как показывает практика, пренебрежение правилами цифровой безопасности многократно увеличивает риски компрометации корпоративной сети. 2021 год запомнился большим количеством «громких» инцидентов с троянами-вымогателями, распространяющимся по модели Ransomware as a Service (RaaS). И эта тенденция продолжит набирать обороты.
Также стоит быть внимательными пользователям устройств, управляемых ОС Android. Ожидается увеличение количества угроз в официальных каталогах приложений.
|
|
«Доктор Веб»: обзор вирусной активности в ноябре 2021 года |
9 декабря 2021 года
Число обращений пользователей за расшифровкой файлов уменьшилось на 11.4% по сравнению с октябрем. Самым распространенным энкодером месяца стал Trojan.Encoder.26996, на долю которого пришлось 32.93% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с октябрем, в ноябре число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 7.66%.
В ноябре 2021 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов, маскирующихся под веб-ресурсы крупнейших нефтяных компаний мира. Мошенники предлагают любому желающему инвестировать в нефтяные продукты и зарабатывать от 300 евро в день.
На скриншоте изображена фишинговая страница Shell, на которой злоумышленники призывают инвестировать вместе с известной компанией.
В ноябре компания «Доктор Веб» опубликовала исследование, направленное на поиск потенциальных уязвимостей в детских смарт-часах. Результаты данного исследования показали, что уровень их безопасности неудовлетворителен. В частности, на некоторых моделях таких устройств могут быть предустановлены троянские приложения.
В течение прошедшего месяца наши вирусные аналитики выявили новые угрозы в каталогах Google Play и AppGallery, среди которых были трояны-шпионы и трояны, подписывающие жертв на платные услуги. При этом антивирусные продукты Dr.Web для Android чаще всего детектировали рекламных троянов, а также вредоносные программы, способные выполнять произвольный код и загружать другое ПО.
Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:
Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в ноябре 2021 года |
9 декабря 2021 года
Согласно статистике детектирований антивирусных продуктов Dr.Web для Android, в ноябре владельцы Android-устройств чаще всего сталкивались с рекламными троянами. Среди наиболее распространенных угроз остаются и различные вредоносные программы, способные загружать другие приложения и выполнять произвольный код.
В начале месяца компания «Доктор Веб» опубликовала исследование, направленное на оценку безопасности детских смарт-часов. Оно показало, что в подобных устройствах могут встречаться различные уязвимости, в том числе предустановленные троянские приложения.
В течение ноября наши специалисты обнаружили новые вредоносные программы в каталоге Google Play. Среди них - трояны семейств Android.PWS.Facebook и Android.Joker. Первые похищают данные, необходимые для взлома учетных записей Facebook. Вторые подписывают жертв на платные мобильные услуги. Очередная угроза была выявлена и в каталоге AppGallery. Злоумышленники распространяли в нем игры со встроенным трояном Android.Cynos.7.origin, который передавал на удаленный сервер информацию о мобильных номерах пользователей, а также их устройствах.
В конце ноября компания «Доктор Веб» сообщила об обнаружении в каталоге AppGallery десятков различных игр, в которые был встроен троян Android.Cynos.7.origin. Он собирал и передавал злоумышленникам информацию о мобильных номерах пользователей и их устройствах. Кроме того, вредоносная программа демонстрировала рекламу. Подробнее об этой угрозе рассказано в нашем новостном материале.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В минувшем месяце вирусные аналитики «Доктор Веб» выявили в каталоге Google Play новых троянов семейства Android.PWS.Facebook, предназначенных для кражи логинов, паролей и другой информации, необходимой для взлома учетных записей Facebook. Они были добавлены в вирусную базу Dr.Web как Android.PWS.Facebook.75, Android.PWS.Facebook.76, Android.PWS.Facebook.93 и Android.PWS.Facebook.97. Трояны распространялись под видом фоторедактора EasySnap Camera, гоночной игры Race Master 3D Game, а также VPN-клиентов Touch VPN Proxy и Star VPN Master.
Кроме того, наши специалисты обнаружили очередных троянов семейства Android.Joker, получивших имена Android.Joker.1060, Android.Joker.1061, Android.Joker.1068 и Android.Joker.1076. Злоумышленники выдавали их за безобидные программы - сборник изображений Wallpaper Retro, а также мессенджеры Light Messages, Colorful Emoji Message и Diverse SMS. Попав на устройства пользователей, трояны подписывали тех на платные мобильные услуги и могли загружать и выполнять произвольный код.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в октябре 2021 года |
29 ноября 2021 года
Число обращений пользователей за расшифровкой файлов увеличилось на 7.9% по сравнению с сентябрем. Самым распространенным энкодером месяца стал Trojan.Encoder.26996 на долю которого пришлось 44.02% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с сентябрем, в октябре число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 7.9%.
В октябре 2021 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов, предлагающих промокоды для глобального маркетплейса AliExpress. Мошенники просят совершать покупку исключительно по их ссылке.
На скриншоте изображена страница партнерской программы AliExpress, после покупки товаров на которой владелец промокода получит денежные средства.
В октябре на Android-устройствах пользователей чаще всего вновь обнаруживались рекламные трояны и вредоносные приложения, способные загружать другое ПО и выполнять произвольный код.
Вместе с тем наши вирусные аналитики выявили в каталоге Google Play очередные угрозы. Среди них — трояны, подписывающие жертв на платные мобильные услуги, трояны-стилеры, крадущие логины и пароли от учетных записей Facebook, а также вредоносные программы, превращающие зараженные Android-устройства в прокси-серверы для переадресации трафика злоумышленников.
Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:
Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2021 года |
29 ноября 2021 года
В прошлом месяце наши специалисты обнаружили в каталоге Google Play троянов, подписывающих жертв на платные услуги и крадущих логины и пароли от учетных записей социальной сети Facebook, а также вредоносные программы, превращающие Android-устройства пользователей в прокси-серверы.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Среди выявленных в каталоге Google Play вредоносных приложений были очередные трояны, предназначенные для кражи логинов и паролей от учетных записей Facebook. Они распространялись под видом полезного ПО — фото- и видеоредакторов Pix Photo Motion Edit 2021, Collage Maker — Mirror Effect Editor и Video Maker with Music, а также VPN-клиентов Kangaroo VPN, S-VPN Proxy и Lightning VPN. Эти трояны были добавлены в вирусную базу Dr.Web как Android.PWS.Facebook.38, Android.PWS.Facebook.40, Android.PWS.Facebook.41, Android.PWS.Facebook.59, Android.PWS.Facebook.64 и Android.PWS.Facebook.67.
Кроме того, вирусные аналитики «Доктор Веб» обнаружили новые модификации опасных вредоносных программ из семейства Android.Joker, подписывающих пользователей на платные мобильные услуги и способные загружать и выполнять произвольный код. Они получили имена Android.Joker.1012 и Android.Joker.1017. Трояны распространялись под видом приложений Color Call Flash Alert on Call и Apply Flasher, уведомляющих о входящих звонках и сообщениях.
Также наши специалисты обнаружили вредоносные программы Android.Proxy.29 и Android.Proxy.41.origin, распространявшиеся под видом приложений Mobile Battery Saver и Optimizer для оптимизации работы Android-устройств. В действительности это были трояны, превращающие устройства жертв в прокси-серверы для переадресации трафика злоумышленников.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2021 года |
15 октября 2021 года
В течение предыдущего месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play десятки новых программ-подделок семейства Android.FakeApp, используемых злоумышленниками в различных мошеннических схемах.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В сентябре специалисты компании «Доктор Веб» обнаружили в Google Play несколько десятков новых приложений-подделок, которые помогали злоумышленникам реализовывать различные мошеннические схемы. В их числе был троян Android.FakeApp.344, несколько модификаций которого распространялись под видом самых разнообразных программ — графических оболочек (лончеров), сборников изображений, самоучителя игры на пианино, приложения для контроля пульса и других.
Его основная функция — загрузка веб-сайтов по команде вирусописателей. При этом троян может использоваться в самых разных вредоносных сценариях: выполнять фишинг-атаки, подписывать жертв на платные мобильные услуги, продвигать интересующие злоумышленников сайты или же загружать сайты с рекламой.
Android.FakeApp.344 управляется через одну из учетных записей GitHub, репозитории которых содержат конфигурационные файлы. При запуске троян получает необходимые настройки. Если в них есть соответствующее задание, он загружает целевой сайт. Если же задания нет или трояну не удалось получить конфигурацию, он работает в обычном режиме, и пользователи могут даже не подозревать, что с программой что-то не так.
Другие обнаруженные вредоносные приложения-подделки получили имена Android.FakeApp.347, Android.FakeApp.364 и Android.FakeApp.385. Они также распространялись под видом безобидных и полезных программ — приложений для осуществления бесплатных звонков, фоторедактора, программы религиозной тематики и ПО для защиты установленных приложений от несанкционированного использования.
Однако заявленных функций они не выполняли — трояны лишь загружали различные сайты, в том числе те, на которых у пользователей запрашивался номер мобильного телефона. После его ввода владельцы Android-устройств перенаправлялись на страницу поисковой системы, и на этом работа подделок заканчивалась.
Троянские приложения Android.FakeApp.354, Android.FakeApp.355, Android.FakeApp.356, Android.FakeApp.357, Android.FakeApp.358, Android.FakeApp.366, Android.FakeApp.377, Android.FakeApp.378, Android.FakeApp.380, Android.FakeApp.383 и Android.FakeApp.388 якобы должны были помочь российским пользователям найти информацию о государственной социальной поддержке — выплатах льгот, пособий, «компенсации НДС», а также непосредственно получить «полагающиеся по закону» деньги. Однако эти программы лишь заманивали владельцев мобильных устройств на мошеннические сайты, где абсолютно любому посетителю сулились многотысячные выплаты. За «начисление» обещанных средств от пользователей требовалось оплатить «государственную пошлину» или «комиссию банка» в размере от нескольких сотен до нескольких тысяч рублей. Никаких выплат жертвы этой обманной схемы на самом деле не получали — вместо этого они переводили собственные средства мошенникам.
Другие программы-подделки, добавленные в вирусную базу Dr.Web как Android.FakeApp.348, Android.FakeApp.349, Android.FakeApp.350, Android.FakeApp.351, Android.FakeApp.352, Android.FakeApp.353, Android.FakeApp.365, Android.FakeApp.367, Android.FakeApp.368, Android.FakeApp.369, Android.FakeApp.370, Android.FakeApp.382, Android.FakeApp.384, Android.FakeApp.387 и Android.FakeApp.389, мошенники выдавали за официальные инвестиционные приложения компании «Газпром». С их помощью пользователи якобы могли получать значительный пассивный доход от инвестиций, не имея ни опыта, ни специальных экономических знаний. Всю работу за них якобы должен был выполнять менеджер или некий уникальный алгоритм.
Примеры страниц таких программ в Google Play:
В действительности эти троянские приложения не имели никакого отношения к известным компаниям и инвестициям. Они загружали мошеннические сайты, на которых владельцам Android-устройств предлагалось зарегистрировать учетную запись, указав персональную информацию, и дождаться звонка «оператора». Предоставленные при регистрации данные — имена, фамилии, адреса электронной почты и номера телефонов — злоумышленники могли самостоятельно использовать для дальнейшего обмана пользователей или же продать на черном рынке.
При этом для привлечения внимания и увеличения числа установок таких троянов злоумышленники активно рекламируют их, например, через видеосервис YouTube. Пример подобной рекламы:
Были выявлены и очередные подделки, выдаваемые за официальные приложения популярных российских лотерей. Они были добавлены в вирусную базу Dr.Web как Android.FakeApp.359, Android.FakeApp.360, Android.FakeApp.361, Android.FakeApp.362, Android.FakeApp.363, Android.FakeApp.371, Android.FakeApp.372, Android.FakeApp.373, Android.FakeApp.374, Android.FakeApp.379 и Android.FakeApp.381. С их помощью пользователи якобы могли получить бесплатные лотерейные билеты и принять участие в розыгрышах. Эти программы также загружали мошеннические сайты, где для получения несуществующих билетов и выигрышей требовалось оплатить «комиссию».
Кроме того, наши специалисты обнаружили несколько модификаций трояна Android.FakeApp.386, который распространялся под видом программ-справочников — с их помощью пользователи якобы могли почерпнуть знания о здоровье и ознакомиться с возможными способами лечения тех или иных недугов. На самом деле это были обычные подделки. Они не выполняли заявленных функций и только загружали веб-сайты, которые зачастую имитировали популярные информационные ресурсы. На таких сайтах от лица известных врачей и медийных персон рекламировались всевозможные препараты сомнительного качества. Потенциальные «клиенты» также завлекались предложениями получить препараты якобы бесплатно или с большой скидкой, если укажут имя и номер телефона, а затем дождутся звонка «менеджера».
Пример одного из таких приложений:
Пример его работы:
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2021 года |
15 октября 2021 года
В течение предыдущего месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play десятки новых программ-подделок семейства Android.FakeApp, используемых злоумышленниками в различных мошеннических схемах.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В сентябре специалисты компании «Доктор Веб» обнаружили в Google Play несколько десятков новых приложений-подделок, которые помогали злоумышленникам реализовывать различные мошеннические схемы. В их числе был троян Android.FakeApp.344, несколько модификаций которого распространялись под видом самых разнообразных программ — графических оболочек (лончеров), сборников изображений, самоучителя игры на пианино, приложения для контроля пульса и других.
Его основная функция — загрузка веб-сайтов по команде вирусописателей. При этом троян может использоваться в самых разных вредоносных сценариях: выполнять фишинг-атаки, подписывать жертв на платные мобильные услуги, продвигать интересующие злоумышленников сайты или же загружать сайты с рекламой.
Android.FakeApp.344 управляется через одну из учетных записей GitHub, репозитории которых содержат конфигурационные файлы. При запуске троян получает необходимые настройки. Если в них есть соответствующее задание, он загружает целевой сайт. Если же задания нет или трояну не удалось получить конфигурацию, он работает в обычном режиме, и пользователи могут даже не подозревать, что с программой что-то не так.
Другие обнаруженные вредоносные приложения-подделки получили имена Android.FakeApp.347, Android.FakeApp.364 и Android.FakeApp.385. Они также распространялись под видом безобидных и полезных программ — приложений для осуществления бесплатных звонков, фоторедактора, программы религиозной тематики и ПО для защиты установленных приложений от несанкционированного использования.
Однако заявленных функций они не выполняли — трояны лишь загружали различные сайты, в том числе те, на которых у пользователей запрашивался номер мобильного телефона. После его ввода владельцы Android-устройств перенаправлялись на страницу поисковой системы, и на этом работа подделок заканчивалась.
Троянские приложения Android.FakeApp.354, Android.FakeApp.355, Android.FakeApp.356, Android.FakeApp.357, Android.FakeApp.358, Android.FakeApp.366, Android.FakeApp.377, Android.FakeApp.378, Android.FakeApp.380, Android.FakeApp.383 и Android.FakeApp.388 якобы должны были помочь российским пользователям найти информацию о государственной социальной поддержке — выплатах льгот, пособий, «компенсации НДС», а также непосредственно получить «полагающиеся по закону» деньги. Однако эти программы лишь заманивали владельцев мобильных устройств на мошеннические сайты, где абсолютно любому посетителю сулились многотысячные выплаты. За «начисление» обещанных средств от пользователей требовалось оплатить «государственную пошлину» или «комиссию банка» в размере от нескольких сотен до нескольких тысяч рублей. Никаких выплат жертвы этой обманной схемы на самом деле не получали — вместо этого они переводили собственные средства мошенникам.
Другие программы-подделки, добавленные в вирусную базу Dr.Web как Android.FakeApp.348, Android.FakeApp.349, Android.FakeApp.350, Android.FakeApp.351, Android.FakeApp.352, Android.FakeApp.353, Android.FakeApp.365, Android.FakeApp.367, Android.FakeApp.368, Android.FakeApp.369, Android.FakeApp.370, Android.FakeApp.382, Android.FakeApp.384, Android.FakeApp.387 и Android.FakeApp.389, мошенники выдавали за официальные инвестиционные приложения компании «Газпром». С их помощью пользователи якобы могли получать значительный пассивный доход от инвестиций, не имея ни опыта, ни специальных экономических знаний. Всю работу за них якобы должен был выполнять менеджер или некий уникальный алгоритм.
Примеры страниц таких программ в Google Play:
В действительности эти троянские приложения не имели никакого отношения к известным компаниям и инвестициям. Они загружали мошеннические сайты, на которых владельцам Android-устройств предлагалось зарегистрировать учетную запись, указав персональную информацию, и дождаться звонка «оператора». Предоставленные при регистрации данные — имена, фамилии, адреса электронной почты и номера телефонов — злоумышленники могли самостоятельно использовать для дальнейшего обмана пользователей или же продать на черном рынке.
При этом для привлечения внимания и увеличения числа установок таких троянов злоумышленники активно рекламируют их, например, через видеосервис YouTube. Пример подобной рекламы:
Были выявлены и очередные подделки, выдаваемые за официальные приложения популярных российских лотерей. Они были добавлены в вирусную базу Dr.Web как Android.FakeApp.359, Android.FakeApp.360, Android.FakeApp.361, Android.FakeApp.362, Android.FakeApp.363, Android.FakeApp.371, Android.FakeApp.372, Android.FakeApp.373, Android.FakeApp.374, Android.FakeApp.379 и Android.FakeApp.381. С их помощью пользователи якобы могли получить бесплатные лотерейные билеты и принять участие в розыгрышах. Эти программы также загружали мошеннические сайты, где для получения несуществующих билетов и выигрышей требовалось оплатить «комиссию».
Кроме того, наши специалисты обнаружили несколько модификаций трояна Android.FakeApp.386, который распространялся под видом программ-справочников — с их помощью пользователи якобы могли почерпнуть знания о здоровье и ознакомиться с возможными способами лечения тех или иных недугов. На самом деле это были обычные подделки. Они не выполняли заявленных функций и только загружали веб-сайты, которые зачастую имитировали популярные информационные ресурсы. На таких сайтах от лица известных врачей и медийных персон рекламировались всевозможные препараты сомнительного качества. Потенциальные «клиенты» также завлекались предложениями получить препараты якобы бесплатно или с большой скидкой, если укажут имя и номер телефона, а затем дождутся звонка «менеджера».
Пример одного из таких приложений:
Пример его работы:
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/Zr_fKmsCDlM/
|
|
«Доктор Веб»: обзор вирусной активности в сентябре 2021 года |
15 октября 2021 года
Число обращений пользователей за расшифровкой файлов уменьшилось на 11.8% по сравнению с августом. Самым распространенным энкодером месяца стал Trojan.Encoder.26996, на долю которого пришлось 43.79% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с августом, в сентябре число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 11.8%.
В сентябре 2021 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов с «выигрышами». Любому случайному посетителю предлагается выбрать 3 случайных подарочных коробки, в одной из которых обязательно будут деньги.
На скриншоте изображена страница, где пользователю предлагается забрать выигрыш. Однако для этого требуется ввести номер банковской карты и другие персональные данные. Далее со «счастливчиком» связываются операторы чата, главная цель которых – выманить у жертвы как можно больше средств. Отправить мошенникам деньги призывают под разными предлогами: комиссия, информационные услуги или даже «налог».
В сентябре пользователям Android-устройств чаще всего угрожали рекламные трояны, а также вредоносные программы, загружающие другие приложения и выполняющие произвольный код. При этом наши специалисты обнаружили в каталоге Google Play множество новых троянов семейства Android.FakeApp, которые использовались в различных мошеннических схемах.
Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:
Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности в сентябре 2021 года |
15 октября 2021 года
Число обращений пользователей за расшифровкой файлов уменьшилось на 11.8% по сравнению с августом. Самым распространенным энкодером месяца стал Trojan.Encoder.26996, на долю которого пришлось 43.79% всех инцидентов.
Угрозы прошедшего месяца:
По сравнению с августом, в сентябре число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 11.8%.
В сентябре 2021 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов с «выигрышами». Любому случайному посетителю предлагается выбрать 3 случайных подарочных коробки, в одной из которых обязательно будут деньги.
На скриншоте изображена страница, где пользователю предлагается забрать выигрыш. Однако для этого требуется ввести номер банковской карты и другие персональные данные. Далее со «счастливчиком» связываются операторы чата, главная цель которых – выманить у жертвы как можно больше средств. Отправить мошенникам деньги призывают под разными предлогами: комиссия, информационные услуги или даже «налог».
В сентябре пользователям Android-устройств чаще всего угрожали рекламные трояны, а также вредоносные программы, загружающие другие приложения и выполняющие произвольный код. При этом наши специалисты обнаружили в каталоге Google Play множество новых троянов семейства Android.FakeApp, которые использовались в различных мошеннических схемах.
Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:
Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/KEX_1NoWhNU/
|
|
