2 марта 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в январе 2023 года пользователи стали чаще сталкиваться с рекламными троянскими приложениями. Наиболее распространенными среди них вновь оказались представители семейства Android.HiddenAds, при этом они обнаруживались на 18,04% чаще, чем в декабре прошлого года.

По сравнению с последним месяцем 2022-го также возросла активность банковских троянских приложений и программ-вымогателей. Первые обнаруживались на 2,63% чаще, вторые — на 20,71%. В то же время наблюдалось незначительное снижение активности вредоносных шпионских программ.

В течение месяца вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play множество новых угроз, включая мошеннические приложения и троянские программы, которые подписывали пользователей на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3558

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Spy.5106

Android.Spy.4498

Детектирование различных вариантов трояна, который представляет собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Эта вредоносная программа может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.7360

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeMoney.7

Program.FakeMoney.3

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.17.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.ApkProtector.16.origin

Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Adware.Fictus.1.origin

Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Adware.SspSdk.1.origin

Специализированный рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует рекламу, когда содержащие его программы закрыты. В результате пользователям сложнее определить источник надоедливых объявлений.

Adware.AdPush.36.origin

Представитель семейства рекламных модулей, которые могут быть интегрированы в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, модули этого семейства собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от их версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.Hero.1.origin

Один из компонентов семейства модульных рекламных приложений, которые демонстрируют нежелательную рекламу в виде push-уведомлений и баннеров на экране Android-устройств. Кроме того, они способны устанавливать и удалять программы при наличии соответствующих системных полномочий.

Угрозы в Google Play

В январе 2023 года вирусная лаборатория компании «Доктор Веб» зафиксировала множество новых угроз в каталоге Google Play. Среди них — схожие по функциональности многокомпонентные троянские программы семейств Android.Joker и Android.Harly, подписывающие жертв на платные услуги. Первые загружают вспомогательные модули из интернета, в то время как вторые хранят их в зашифрованном виде среди собственных ресурсов. Так, получивший по классификации Dr.Web имя Android.Joker.1991 троян скрывался в приложении Phone Number Tracker для отслеживания местоположения абонентов по номерам телефонов. Вредоносная программа Android.Joker.1998 распространялась под видом утилиты Phone Cleaner Lite для оптимизации работы системы. Android.Joker.1999 и Android.Joker.2008 злоумышленники выдавали за СМС-мессенджеры Funny Messenger и Mind Message. А под видом редактора изображений Easy Photo Collage пользователи устанавливали трояна Android.Joker.2000.

В свою очередь, Android.Harly.13 и Android.Harly.25 скрывались в видеоредакторе Honey Video & Photo Maker и альтернативном лончере Joy Live Wallpaper & Launcher соответственно.

Другой выявленной угрозой стала программа Sim Analyst, с помощью которой пакистанские пользователи якобы могли находить информацию о других абонентах по их номерам телефонов. На самом деле под видом этого инструмента злоумышленники распространяли шпионское приложение на базе утилиты дистанционного контроля (RAT) AhMyth Android Rat. Эта троянская программа была добавлена в вирусную базу Dr.Web как Android.Spy.1092.origin.

В базовом виде шпионская утилита AhMyth Android Rat обладает широким набором возможностей. Например, позволяет отслеживать местоположение устройства, фотографировать через встроенную камеру и записывать окружение через микрофон, перехватывать СМС, а также получать информацию о звонках и о контактах в телефонной книге. Однако поскольку распространяемые через Google Play приложения имеют ограничение доступа к ряду чувствительных функций, у данной версии шпиона возможности были скромнее. Так, он мог отслеживать местоположение устройства, похищать содержимое из уведомлений, различные медиафайлы, такие как фото и видео, а также файлы, которые были переданы через мессенджеры и хранились локально на устройстве.

Кроме того, наши специалисты обнаружили более двух десятков программ-подделок Android.FakeApp, которые злоумышленники использовали в мошеннических целях. Они распространялись под видом широкого спектра приложений и по команде удаленного сервера могли загружать различные веб-сайты, в том числе фишинговые.

Некоторые из этих программ преподносились в качестве игр:

При определенных условиях вместо ожидаемой функциональности они могли демонстрировать сайты онлайн-казино — например, если были установлены при переходе по специально сформированной ссылке из рекламного объявления.

Ниже представлены примеры такого поведения: в одних случаях пользователи видят игру, в других — сайты казино.

Другие приложения-подделки распространялись под видом финансовых приложений и инструментов для саморазвития. С их помощью пользователи якобы могли вести домашнюю бухгалтерию, участвовать в различных опросах, пройти обучение и повысить финансовую грамотность, начать инвестировать, либо получить бесплатные акции. На самом деле главной целью этих программ была загрузка мошеннических сайтов.

Примеры загружаемых мошеннических сайтов представлены ниже. Потенциальным жертвам демонстрируется вводящая в заблуждение информация, либо предлагается пройти предварительный опрос. Затем — зарегистрировать учетную запись, указав персональные данные. В конце требуется ожидать звонка «специалиста» или поступления некоего «выгодного предложения».

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14675&lng=ru&c=9

2 марта 2023 года

Анализ статистики детектирований антивируса Dr.Web в январе 2023 года показал снижение общего числа обнаруженных угроз на 4,47% по сравнению с декабрем. В то же время число уникальных угроз, напротив, увеличилось на 4,26%. Наиболее активными оставались всевозможные рекламные приложения. В почтовом трафике чаще всего выявлялись вредоносные скрипты, а также программы, эксплуатирующие различные уязвимости.

Число обращений пользователей за расшифровкой файлов увеличилось на 5,01% по сравнению с предыдущим месяцем. Чаще всего жертвы троянов-шифровальщиков сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35209.

В течение января вирусная лаборатория «Доктор Веб» зафиксировала появление множества новых угроз в каталоге Google Play. Среди них были десятки мошеннических программ, а также очередные троянские приложения, подписывающие жертв на платные услуги.

По данным сервиса статистики «Доктор Веб»

Угрозы января:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Adware.Downware.20272

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Trojan.BPlug.4087

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Exploit.CVE-2018-0798.4

Эксплойт для использования уязвимостей в ПО Microsoft Office, позволяющий выполнить произвольный код.

Шифровальщики

В январе число запросов на расшифровку файлов, поврежденных троянами-шифровальщиками, увеличилось на 5,01% по сравнению с декабрем.

• Trojan.Encoder.26996 — 22.43%
• Trojan.Encoder.3953 — 19.39%
• Trojan.Encoder.35209 — 5.45%
• Trojan.Encoder.34027 — 4.55%
• Trojan.Encoder.35534 — 3.64%

Опасные сайты

В январе 2023 года интернет-аналитики компании «Доктор Веб» отмечали очередной рост числа мошеннических сайтов, в частности — фишинговых ресурсов инвестиционной тематики. Злоумышленники предлагали потенциальным жертвам улучшить свое материальное положение через вложения в те или иные финансовые инструменты. Например, им предлагалось зарегистрировать учетную запись в определенных сервисах, которые якобы принадлежали крупным российским компаниям. На самом деле такие ресурсы были поддельными, и указанная на них персональная информация поступала мошенникам.

На скриншотах представлены примеры мошеннических веб-сайтов, имитирующих официальные сервисы крупных российских компаний. На таких сайтах потенциальным жертвам могут предлагать пройти предварительный опрос или же сразу зарегистрировать «учетную запись», указав персональные данные в специальной форме.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в январе 2023 года вновь наблюдалась повышенная активность троянских приложений, демонстрирующих нежелательную рекламу. Кроме того, на защищаемых устройствах чаще выявлялись банковские троянские приложения, а также программы-вымогатели. Вместе с тем вирусная лаборатория компании «Доктор Веб» зафиксировала появление десятков новых угроз в каталоге Google Play. Среди них были всевозможные мошеннические программы Android.FakeApp, а также троянские приложения Android.Joker и Android.Harly, которые подписывали жертв на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в январе:

• рост активности рекламных троянских программ, банковских троянов и программ-вымогателей.
• появление очередных угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14676&lng=ru&c=9

27 января 2023 года

Согласно данным статистики детектирований антивируса Dr.Web для Android, в декабре 2022 года возросла активность рекламных троянских приложений, а также шпионских программ. В то же время в течение предыдущего месяца в каталоге Google Play было выявлено множество новых угроз, включая десятки программ-подделок, а также троянские приложения, подписывающие жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Android.Spy.4498

Детектирование различных вариантов трояна, который представляет собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Эта вредоносная программа может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3558

Троянская программа, предназначенная для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.6950

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.FakeMoney.3

Program.FakeMoney.7

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, при этом для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.17.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.ApkProtector.16.origin

Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.AdPush.36.origin

Adware.Adpush.19599

Adware.SspSdk.1.origin

Adware.Airpush.7.origin

Adware.Fictus.1.origin

Угрозы в Google Play

В декабре 2022 года специалисты компании «Доктор Веб» выявили множество новых угроз в каталоге Google Play. Среди них — десятки троянских программ из семейства Android.FakeApp. Они подключались к удаленному серверу и в соответствии с поступающими от него настройками вместо предоставления ожидаемых функций могли демонстрировать содержимое различных сайтов, в том числе фишинговых.

Некоторые из этих программ-подделок распространялись под видом инвестиционных приложений, справочников и опросников. С их помощью пользователи якобы могли повысить финансовую грамотность, вложить деньги в фондовый и криптовалютный рынки, напрямую торговать нефтью и газом и даже бесплатно получить акции крупных компаний. Вместо этого им предлагалось указать персональные данные для отправки «заявки» на регистрацию учетной записи или для связи со «специалистом».

Другие программы-подделки скрывались во множестве игр.

В зависимости от получаемой от управляющего сервера конфигурации они могли демонстрировать сайты различных онлайн-казино или безобидную игру, как показано на примерах ниже.

Также была выявлена очередная программа-подделка, которая распространялась под видом приложения для поиска работы под названием SEEKS. На самом деле она загружала веб-сайты с вымышленными вакансиями и заманивала потенциальных жертв в руки мошенников. Эта подделка была добавлена в вирусную базу Dr.Web как Android.FakeApp.1133.

Получившую имя Android.FakeApp.1141 вредоносную программу злоумышленники выдавали за VPN-клиент Safe VPN. На самом деле это было поддельное приложение.

Программа при запуске демонстрировала содержимое сайта, на котором потенциальным жертвам предлагалось всего за 1 рубль получить доступ к VPN-сервису. Для этого от них требовалось создать учетную запись и произвести оплату банковской картой. В действительности они приобретали пробную трехдневную версию услуги, и по истечении пробного периода с их счета ежедневно должна была списываться сумма в 140 рублей. Информация об этих условиях присутствовала на сайте, однако располагалась таким образом, что большинство жертв этой схемы обмана могло ее не заметить.

При этом данное приложение имитировало возможность подключения к защищенной сети, уведомляя пользователей об успешном соединении. На самом деле это был обман — заявленная функциональность в программе отсутствовала.

Были обнаружены и очередные мошеннические программы, которые якобы позволяли зарабатывать на выполнении тех или иных заданий. Так, приложение Wonder Time предлагало устанавливать, запускать и использовать другие программы и игры. За это пользователи получали виртуальное вознаграждение — токены, которые якобы можно было обменять на настоящие деньги. Однако, чтобы вывести «заработанное», требовалось накопить миллионы наград, в то время как за выполнение заданий начислялись лишь небольшое количество токенов. Таким образом, даже если пользователи могли собрать требуемую сумму, они затратили бы на это намного больше времени, сил и других ресурсов по сравнению с ожидаемой выгодой. В зависимости от версии это приложение детектируется Dr.Web как Program.FakeMoney.4, Program.FakeMoney.5 и Program.FakeMoney.6.

Несколько программ с аналогичным принципом работы были внесены в вирусную базу Dr.Web как Program.FakeMoney.7. Например, этой записью детектируются приложения Lucky Habit: health tracker, WalkingJoy и некоторые версии Lucky Step-Walking Tracker. Первая распространялась в качестве программы для выработки полезных привычек, другие — как шагомеры. Они начисляли виртуальное вознаграждение («тикеты» или «монеты») за различные достижения — пройденное пользователями расстояние, соблюдение распорядка дня и т. д., а также позволяли получать дополнительные начисления за просмотр рекламы.

Как и в предыдущем случае, для начала процесса вывода заработанных наград было необходимо накопить их существенный объем. Если собрать необходимую сумму пользователю удавалось, программы дополнительно требовали просмотреть несколько десятков рекламных роликов. Затем они предлагали просмотреть еще несколько десятков объявлений, чтобы «ускорить» процесс вывода. При этом проверка корректности указываемых пользователем платежных данных не проводилась, поэтому вероятность получения им каких-либо выплат от этих программ крайне мала.

Более того, ранние версии Lucky Step-Walking Tracker, которые детектирует антивирус Dr.Web, предлагали конвертировать награду в подарочные карты интернет-магазинов. Однако с выходом обновления приложения разработчики убрали возможность обмена наград на настоящие деньги, избавившись от соответствующих элементов интерфейса. В результате все ранее накопленные начисления фактически стали бесполезными цифрами. При этом и Lucky Habit: health tracker, и Lucky Step-Walking Tracker, и WalkingJoy имеют общий управляющий сервер [string]richox[.]net[/string]. Это может говорить о том, что они связаны друг с другом, и что пользователи Lucky Habit: health tracker и WalkingJoy в любой момент также могут лишиться всех надежд на получение выплат.

Среди обнаруженных угроз также оказались и новые троянские приложения из семейства Android.Joker, которые подписывают жертв на платные услуги. Они скрывались в таких программах как Document PDF Scanner (Android.Joker.1941), Smart Screen Mirroring (Android.Joker.1942) и Smart Night Clock (Android.Joker.1949).

Кроме того, в каталоге Google Play распространялась программа FITSTAR, позиционируемая как фитнес-приложение.

При запуске она загружала веб-сайты, где пользователям за относительно небольшие деньги — 29 рублей — предлагалось приобрести индивидуальные планы похудения. При этом в действительности указанная цена не была окончательной. За эти деньги они лишь приобретали пробный доступ к сервису на 1 день. По окончании пробного периода выполнялось автоматическое продление подписки на 4 дня — уже за 980 рублей. Стоимость же полного доступа к сервису могла достигать 7000 рублей, при этом предполагалось дальнейшее автоматическое продление имеющейся подписки.

Таким образом, установившие данную программу владельцы Android-устройств по неосторожности могли лишиться существенной суммы денег. Это приложение было добавлено в вирусную базу Dr.Web как Program.Subscription.1.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14652&lng=ru&c=9

27 января 2023 года

Анализ статистики детектирований антивируса Dr.Web в декабре показал рост общего числа обнаруженных угроз на 14,02% по сравнению с ноябрем. Число уникальных угроз при этом также увеличилось — на 2,2%. Наиболее активными по-прежнему остаются рекламные приложения. В почтовом трафике чаще всего встречались вредоносные скрипты, ПО для эксплуатации различных уязвимостей, а также рекламные программы.

Число обращений пользователей за расшифровкой файлов снизилось на 1,5% по сравнению с предыдущим месяцем. Наиболее часто жертвы энкодеров сталкивались с такими троянскими программами как Trojan.Encoder.3953, Trojan.Encoder.26996 и Trojan.Encoder.34027.

Кроме того, в декабре вирусные аналитики компании «Доктор Веб» вновь выявили многочисленные угрозы в каталоге Google Play. Среди них были как троянские, так и нежелательные приложения.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Downware.20091

Adware.Downware.20261

Adware.Downware.20272

Adware.Downware.20280

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Exploit.CVE-2018-0798.4

Exploit.CVE-2017-11882.123

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

LNK.Starter.56

Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.

Шифровальщики

В минувшем месяце число запросов на расшифровку файлов, поврежденных троянами-шифровальщиками, снизилось на 1,5% по сравнению с ноябрем.

• Trojan.Encoder.3953 — 22.98%
• Trojan.Encoder.26996 — 18.12%
• Trojan.Encoder.34027 — 6.80%
• Trojan.Encoder.30356 — 1.94%
• Trojan.Encoder.35209 — 1.94%

Опасные сайты

В прошлом месяце интернет-аналитики «Доктор Веб» вновь наблюдали рост числа сайтов, которые маскировались под веб-ресурсы крупных российских нефтегазовых и других компаний. На них потенциальным жертвам предлагается выгодно вложить деньги в те или иные проекты.

На скриншоте изображен пример одного из таких сайтов. Мошенники предлагают пользователям торговать газом, при этом на странице расположены ложные счетчики посещения и количества оставшихся для регистрации свободных мест. Второй счетчик показывает, что мест якобы практически не осталось. Этот прием применяется для того, чтобы жертвы совершили так называемую спонтанную или импульсную покупку — согласились с предложением под влиянием эмоций. Чтобы «начать» торговлю, от посетителей сайта требуется указать персональные данные.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в заключительном месяце 2022 года возросла активность рекламных троянских приложений, а также шпионских программ. При этом в течение декабря в каталоге Google Play вновь было выявлено множество новых угроз. Среди них — опасные трояны Android.Joker, которые подписывали жертв на платные услуги, программы-подделки Android.FakeApp, применяемые в различных мошеннических схемах, а также нежелательное ПО.

Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:

• рост активности рекламных троянских программ и шпионских приложений;
• появление очередных угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14657&lng=ru&c=9

30 декабря 2022 года

Компания «Доктор Веб» выявила вредоносную программу для ОС Linux, которая взламывает сайты на базе CMS WordPress через эксплуатацию 30 уязвимостей в ряде плагинов и тем оформления для этой платформы. Если на сайтах используются устаревшие версии таких плагинов без необходимых исправлений, в целевые веб-страницы внедряются вредоносные JavaScript-скрипты. После этого при клике мышью в любом месте атакованной страницы пользователи перенаправляются на другие ресурсы.

Киберпреступники на протяжении многих лет атакуют сайты на базе WordPress. Эксперты по информационной безопасности наблюдают за случаями, когда для взлома интернет-ресурсов и внедрения в них вредоносных скриптов применяются различные уязвимости платформы и ее компонентов. Проведенный специалистами «Доктор Веб» анализ обнаруженной троянской программы показал, что она может быть тем вредоносным инструментом, с помощью которого злоумышленники более 3 лет совершали подобные атаки и зарабатывали на перепродаже трафика — арбитраже.

Вредоносная программа, получившая по классификации Dr.Web имя Linux.BackDoor.WordPressExploit.1, предназначена для работы на устройствах под управлением 32-битных ОС семейства Linux, однако может функционировать и в 64-битных системах. Linux.BackDoor.WordPressExploit.1 — это бэкдор, которым злоумышленники управляют дистанционно. По их команде он способен выполнять следующие действия:

• атаковать заданную веб-страницу (сайт);
• переходить в режим ожидания;
• завершать свою работу;
• останавливать ведение журнала выполненных действий.

Основной функцией трояна является взлом веб-сайтов на базе системы управления контентом WordPress и внедрение вредоносного скрипта в их веб-страницы. Для этого он использует известные уязвимости в плагинах для WordPress, а также в темах оформления сайтов. Перед атакой троян связывается с управляющим сервером и получает от него адрес веб-ресурса, который требуется взломать. Затем Linux.BackDoor.WordPressExploit.1 по очереди пытается эксплуатировать уязвимости в устаревших версиях следующих плагинов и тем, которые могут быть установлены на сайте:

• WP Live Chat Support Plugin
• WordPress – Yuzo Related Posts
• Yellow Pencil Visual Theme Customizer Plugin
• Easysmtp
• WP GDPR Compliance Plugin
• Newspaper Theme on WordPress Access Control (уязвимость CVE-2016-10972)
• Thim Core
• Google Code Inserter
• Total Donations Plugin
• Post Custom Templates Lite
• WP Quick Booking Manager
• Faceboor Live Chat by Zotabox
• Blog Designer WordPress Plugin
• WordPress Ultimate FAQ (уязвимости CVE-2019-17232, CVE-2019-17233)
• WP-Matomo Integration (WP-Piwik)
• WordPress ND Shortcodes For Visual Composer
• WP Live Chat
• Coming Soon Page and Maintenance Mode
• Hybrid

В случае успешной эксплуатации одной или нескольких уязвимостей в целевую страницу внедряется загружаемый с удаленного сервера вредоносный JavaScript. При этом инжектирование происходит таким образом, что при загрузке зараженной страницы данный JavaScript будет инициирован самым первым, — независимо от того, какое содержимое было на странице ранее. В дальнейшем при клике мышью в любом месте зараженной страницы пользователи будут перенаправлены на нужный злоумышленникам сайт.

Пример инжекта в одной из взломанных страниц:

Троянская программа ведет статистику своей работы: она отслеживает общее число атакованных сайтов, все случаи успешного применения эксплойтов и дополнительно — число успешных эксплуатаций уязвимостей в плагине WordPress Ultimate FAQ и Facebook-мессенджере* от компании Zotabox. Кроме того, он информирует удаленный сервер обо всех выявленных незакрытых уязвимостях.

Вместе с текущей модификацией этой троянской программы наши специалисты также выявили ее обновленную версию — Linux.BackDoor.WordPressExploit.2. Она отличается от исходной адресом управляющего сервера, адресом домена, с которого загружается вредоносный скрипт, а также дополненным списком эксплуатируемых уязвимостей для следующих плагинов:

• Brizy WordPress Plugin
• FV Flowplayer Video Player
• WooCommerce
• WordPress Coming Soon Page
• WordPress theme OneTone
• Simple Fields WordPress Plugin
• WordPress Delucks SEO plugin
• Poll, Survey, Form & Quiz Maker by OpinionStage
• Social Metrics Tracker
• WPeMatico RSS Feed Fetcher
• Rich Reviews plugin

При этом в обоих вариантах трояна была обнаружена нереализованная функциональность для взлома учетных записей администраторов атакуемых веб-сайтов методом грубой силы (брутфорс) — подбором логинов и паролей по имеющимся словарям. Можно предположить, что данная функция присутствовала в более ранних модификациях, либо, наоборот, запланирована злоумышленниками для будущих версий вредоносного приложения. Если такая возможность появится в других версиях бэкдора, киберпреступники смогут успешно атаковать даже часть тех сайтов, где используются актуальные версии плагинов с закрытыми уязвимостями.

Компания «Доктор Веб» рекомендует владельцам сайтов на базе CMS WordPress вовремя обновлять все компоненты платформы, включая сторонние плагины и темы, а также использовать надежные и уникальные логины и пароли к учетным записям.

* Деятельность социальной сети Facebook запрещена на территории России.

Индикаторы компрометации

Подробнее о Linux.BackDoor.WordPressExploit.1

Подробнее о Linux.BackDoor.WordPressExploit.2

https://news.drweb.ru/show/?i=14646&lng=ru&c=9

23 декабря 2022 года

В ноябре анализ статистики детектирований антивируса Dr.Web показал снижение общего числа обнаруженных угроз на 8,58% по сравнению с октябрем. В то же время число уникальных угроз выросло на 3,27%. Наибольшую активность вновь проявили всевозможные рекламные приложения. В почтовом трафике преобладали вредоносные скрипты, трояны-загрузчики, рекламные программы и угрозы, которые для заражения атакуемых компьютеров эксплуатируют различные уязвимости.

Число обращений пользователей за расшифровкой файлов в минувшем месяце снизилось на 6,8% по сравнению с октябрем. Наиболее часто жертвы энкодеров сталкивались с троянской программой Trojan.Encoder.26996 — она стала причиной 28,24% зафиксированных инцидентов. Второй по распространенности оказалась вредоносная программа Trojan.Encoder.3953 с долей 22,19%. На третьем месте расположился Trojan.Encoder.567 — он стал виновником 2,88% выявленных случаев повреждения пользовательских файлов.

В течение ноября вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество новых угроз для ОС Android. Среди них — вредоносные программы, которые загружали мошеннические веб-сайты, а также троянские приложения, которые подписывали жертв на платные услуги.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.Downware.20091

Adware.Downware.20088

Adware.Downware.20261

Adware.Downware.20272

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Exploit.CVE-2018-0798.4

Эксплойт для использования уязвимости в ПО Microsoft Office, позволяющий выполнить произвольный код.

Trojan.Packed2.44597

Троянская программа-загрузчик, написанная на C#. Она загружает широкий спектр вредоносных приложений на атакуемые компьютеры, например — представителей семейств Formbook, SnakeKeylogger, AgentTesla, Redline, AsyncRAT и другие.

Adware.Downware.19998

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Шифровальщики

В минувшем месяце число запросов на расшифровку файлов, испорченных троянами-шифровальщиками, снизилось на 6,8% по сравнению с октябрем.

• Trojan.Encoder.26996 — 28.24%
• Trojan.Encoder.3953 — 22.19%
• Trojan.Encoder.567 — 2.88%
• Trojan.Encoder.34027 — 2.31%
• Trojan.Encoder.30356 — 1.73%

Опасные сайты

В ноябре 2022 года интернет-аналитики «Доктор Веб» продолжили фиксировать фишинговые рассылки и атаки с применением различных мошеннических сайтов. Среди таких сайтов вновь были отмечены ресурсы, которые вводили пользователей в заблуждение якобы выгодными предложениями. Например, получить бесплатные лотерейные билеты или принять участие в различных акциях известных интернет-магазинов и компаний.

На скриншотах ниже показан пример мошеннического сайта, где по заранее заготовленному сценарию имитируется розыгрыш лотереи и сообщается о выигрыше. Для «получения» денег потенциальной жертве предлагается оплатить пошлину или комиссию. Если пользователь поверит и согласится на оплату, его деньги уйдут мошенникам. Кроме того, он рискует раскрыть данные своей банковской карты.

На следующем изображении — поддельный сайт крупного российского ритейлера, где потенциальной жертве мошенников предлагается принять участие в новогодней акции с перспективой получить подарок. Вначале пользователь должен пройти опрос, а затем — поучаствовать в мини-игре и угадать, в какой из коробок находится приз. Как и в предыдущем случае, факт выигрыша здесь заранее предопределен. Для «получения» подарка пользователь должен поделиться предоставленной ему ссылкой с определенным числом контактов или групп в мессенджере WhatsApp. При этом подвох заключается в том, что такая ссылка будет вести не на текущий, как могла бы предположить жертва, а на какой-либо другой сайт. В том числе это может быть сайт с фишингом или рекламой, либо веб-ресурс, распространяющий вредоносные приложения. После того как введенный в заблуждение пользователь распространит ссылку на сомнительный сайт среди большого числа своих контактов, он увидит сообщение с ложной информацией о том, что его заявка на участие в акции якобы находится в обработке.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований антивируса Dr.Web для Android, в ноябре возросла активность банковских, а также рекламных троянских приложений. В то же время пользователи реже сталкивались с программами, содержащими нежелательные рекламные модули.

В течение месяца наши вирусные аналитики выявили в каталоге Google Play десятки новых вредоносных приложений. Среди них — множество программ-подделок из семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах, а также троянские программы Android.Joker и Android.Subscription, подписывающие жертв на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

• рост активности банковских и рекламных троянских программ;
• появление новых угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14631&lng=ru&c=9

23 декабря 2022 года

Согласно данным статистики детектирований антивируса Dr.Web для Android, в ноябре незначительно снизилась активность троянских и нежелательных приложений, демонстрирующих рекламу. Тем не менее, они по-прежнему остаются одними из наиболее распространенных Android-угроз. Вместе с тем возросла активность программ, которые могут применяться для кибершпионажа.

В течение месяца вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play множество новых вредоносных приложений. Среди них — десятки программ-подделок, которые киберпреступники используют в различных мошеннических схемах, а также трояны, подписывающие жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Android.Spy.4498

Детектирование различных модификаций трояна, который похищает содержимое уведомлений от других приложений. Он также загружает и предлагает пользователям установить другие программы и может демонстрировать диалоговые окна.

Android.HiddenAds.3558

Троянская программа, предназначенная для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.MobiDash.6950

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.BankBot.11466

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.FakeMoney.3

Программа, якобы позволяющая зарабатывать на просмотре видеороликов и рекламы. Она имитирует начисление вознаграждений за выполненные задания. Для вывода «заработанных» денег пользователи якобы должны накопить определенную сумму, но даже когда им это удается, получить выплаты они не могут.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.13.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.Obfuscapk.1

Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.AdPush.36.origin

Adware.Adpush.6547

Adware.Fictus.1.origin

Adware.SspSdk.1.origin

Adware.Airpush.7.origin

Угрозы в Google Play

В ноябре 2022 года вирусные аналитики компании «Доктор Веб» обнаружили более 80 новых вредоносных приложений в каталоге Google Play. Среди них было множество троянских программ из семейства Android.FakeApp — злоумышленники использовали их в различных мошеннических схемах. Например, трояны Android.FakeApp.1036, Android.FakeApp.1039, Android.FakeApp.1041, Android.FakeApp.1045, Android.FakeApp.1046, Android.FakeApp.1047 и Android.FakeApp.1055 распространялись под видом приложений для поиска работы, но на самом деле лишь загружали веб-сайты с поддельными вакансиями.

Когда пользователи пытались откликнуться на понравившиеся объявления, у них запрашивалась персональная информация — имя и фамилия, адрес электронной почты и номер мобильного телефона. В дальнейшем эти данные попадали в руки киберпреступников. При этом в ряде случаев потенциальным жертвам мошенников предлагалось связаться с «работодателем» напрямую — например, через мессенджеры WhatsApp и Telegram. Выдавая себя за представителей различных компаний, злоумышленники приглашали пользователей стать участниками сомнительных сервисов онлайн-заработка, после чего пытались выманить у них деньги. Подробнее об этом случае рассказано в материале на нашем сайте.

Троянские приложения, получившие имена Android.FakeApp.1081, Android.FakeApp.1082, Android.FakeApp.1083 и Android.FakeApp.1084, якобы позволяли зарабатывать на просмотре рекламы. Они загружали рекламные видеоролики и баннеры. За каждый успешный просмотр полноэкранной рекламы пользователю «начислялась» награда — 1 рубль. Однако при попытке вывести деньги программы сообщали, что для этого требуется накопить большую сумму — до нескольких тысяч рублей. В данном случае создатели подделок обманывали жертв, чтобы те просматривали как можно больше рекламы и приносили доход злоумышленникам. При этом для увеличения объема рекламного трафика в «справке» некоторых модификаций троянов сообщалось, что при клике по объявлениям вознаграждение якобы увеличится до 2 рублей. Никаких выплат пользователи на самом деле не получали и лишь тратили время.

Эти вредоносные приложения были нацелены на русскоязычных пользователей, однако их авторы допустили множество грамматических и лексических ошибок. Среди них — ошибки в названиях программ (например, «Заработка без вложений», «Заработка денег с Одной клик»), а также ошибки в текстах интерфейса (например, «Порог начисление деньги это 2000 рублей», «Вам зачисленно 1 рублей», «Вам надо заработать 3000 рублей чтобы вывести денег»).

Наши специалисты выявили более 20 модификаций этих троянских программ.

Среди найденных подделок были и очередные троянские приложения, якобы позволяющие зарабатывать на различных инвестициях в криптовалюту и фондовый рынок, а также в торговлю нефтью и газом. Они распространялись под видом всевозможных инструментов, таких как справочники и непосредственно приложения для торговли, и предназначались для пользователей из ряда стран, включая Россию и Казахстан. Эти подделки загружали мошеннические сайты, вводя потенциальных жертв в заблуждение.

Помимо них, специалисты «Доктор Веб» выявили в каталоге Google Play троянские приложения, подписывающие жертв на платные услуги. Они были внесены в вирусную базу Dr.Web как Android.Joker.1917, Android.Joker.1920 и Android.Joker.1921, а также Android.Subscription.13, Android.Subscription.14 и Android.Subscription.15. Первые три скрывались в программах Paint Art, Emoji Chat Messages и Art Filters Paint. Остальные — в приложениях Call Fhone, IOS Launch и Clapper Radar.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14640&lng=ru&c=9

2 декабря 2022 года

Согласно данным статистики детектирований антивируса Dr.Web для Android, в октябре одними из наиболее распространенных угроз оставались приложения, демонстрирующие нежелательную рекламу. Однако по сравнению с прошлым месяцем их активность несколько снизилась.

Заметную активность проявили банковские трояны и приложения, позволяющие злоумышленникам шпионить за пользователями. Например, владельцы Android-устройств вновь сталкивались с троянской программой Android.Spy.4498 и различными ее модификациями. Она способна похищать содержимое уведомлений от других приложений, что может привести к утечке конфиденциальных данных.

Вместе с тем в течение месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество новых угроз, включая вредоносное, рекламное и нежелательное ПО.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.4498

Android.Spy.5106

Детектирование различных модификаций трояна, крадущего содержимое уведомлений от других приложений. Он также загружает и предлагает пользователям установить другие программы и может демонстрировать диалоговые окна.

Android.MobiDash.6945

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.HiddenAds.3558

Троянская программа, предназначенная для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.BankBot.11466

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское, а также другое вредоносное ПО.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку пользователя (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.WapSniff.1.origin

Программа для перехвата сообщений в мессенджере WhatsApp.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.Obfuscapk.1

Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.SspSdk.1.origin

Adware.AdPush.36.origin

Adware.Adpush.6547

Adware.Fictus.1.origin

Adware.Airpush.7.origin

Угрозы в Google Play

В начале октября вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play троянскую программу Fast Cleaner & Cooling Master, которую злоумышленники выдавали за утилиту оптимизации работы операционной системы. Она управляется при помощи команд, которые получает через Firebase Cloud Messaging или AppMetrica Push SDK. В зависимости от команды приложение показывает рекламу или запускает на Android-устройстве прокси-сервер для использования третьими лицами, которые могут перенаправлять через него трафик. Различные версии этого трояна антивирус Dr.Web детектирует как Android.Proxy.35, Android.Proxy.36 и Android.Proxy.37.

Позднее были выявлены приложения, содержащие новый рекламный модуль Adware.FireAd. Он получает команды через Firebase Cloud Messaging и открывает в веб-браузере заданные в них ссылки. Модуль был встроен в некоторые версии таких программ как Volume, Music Equalizer (версии 2.9-3.5, детектируются Dr.Web как Adware.FireAd.1), Bluetooth device auto connect (версии 46-58, детектируются как Adware.FireAd.2) и Bluetooth & Wi-Fi & USB driver (версии 15-19, детектируются как Adware.FireAd.2).

В конце октября в вирусную базу Dr.Web была добавлена запись Program.FakeMoney.3 для детектирования нежелательного приложения под названием TubeBox. С его помощью владельцы Android-устройств якобы могли зарабатывать на просмотре видеороликов и рекламы.

За каждый просмотр на внутренний счет им якобы начислялось вознаграждение — монеты и купоны, которые можно конвертировать в деньги и вывести удобным способом — например, банковским переводом или через платежные системы. При этом, чтобы вывести деньги, они должны были накопить минимально допустимую сумму. Если же нужная сумма со временем набиралась, получить выплаты пользователи не могли из-за тех или иных проблем, о которых сообщала программа. Создатели приложения старались как можно дольше удержать своих жертв внутри него, чтобы те продолжали смотреть видео и рекламу, на самом деле зарабатывая деньги для мошенников, а не для себя.

Также в течение месяца было найдено множество новых программ-подделок семейства Android.FakeApp, которые киберпреступники использовали в различных мошеннических схемах. Троянские приложения распространялись под видом инвестиционных программ, якобы имеющих прямое отношение к российским банкам и сырьевым компаниям, а также маскировались под справочники и программы для участия в опросах. Мошенники обещали потенциальным жертвам (в том числе через рекламу), что те смогут пройти обучение инвестированию, выгодно вложить средства, самостоятельно торговать газом и даже бесплатно получить акции соответствующих компаний. На самом деле такие подделки загружали специально созданные сайты, на которых под видом участия в опросах, регистрации учетных записей или подачи заявок собирались персональные данные.

Ниже представлены примеры рекламы, в которой потенциальным жертвам предлагается установить троянские приложения. Злоумышленники используют образы известных личностей и компаний, а также делают громкие заявления. В частности, обещают высокий доход и сопровождают рекламу такими фразами как «Против санкций всей страной», «Дарим 10 акций бесплатно», «Заработайте уже во время обучения», «Я дам вам 100 000 USD, если вы не станете миллионером за 6 месяцев» и т. п.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14617&lng=ru&c=9

2 декабря 2022 года

В октябре анализ статистики детектирований антивируса Dr.Web показал увеличение общего числа обнаруженных угроз на 6,6% по сравнению с сентябрем. Количество уникальных угроз также несколько выросло — на 1,73%. При этом одними из наиболее распространенных опасных приложений по-прежнему остаются рекламные программы. В почтовом трафике чаще всего наблюдались вредоносные скрипты, используемые в фишинг-атаках PDF-файлы, а также программы, эксплуатирующие уязвимости документов Microsoft Office.

В минувшем месяце число обращений пользователей за расшифровкой файлов снизилось на 28,06%. После кратковременного спада активности, произошедшего в сентябре, самым распространенным энкодером вновь стал Trojan.Encoder.26996 с долей 27,05% от общего числа зафиксированных инцидентов. При этом лидер предыдущего месяца — Trojan.Encoder.3953 — опустился на второе место с долей 25,46%.

В течение октября вирусные аналитики компании «Доктор Веб» обнаружили множество новых угроз в каталоге Google Play. Среди них были как троянские программы, так и рекламные нежелательные приложения.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Downware.20091

Adware.Downware.20088

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.OpenCandy.247

Семейство приложений для установки на компьютер различного дополнительного рекламного ПО.

Trojan.AutoIt.1122

Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

HTML.FishForm.365

Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.

Exploit.CVE-2018-0798.4

Эксплойт для эксплуатации уязвимости в ПО Microsoft Office, позволяющий выполнить произвольный код.

Шифровальщики

В октябре число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, снизилось на 28,06% по сравнению с сентябрем.

• Trojan.Encoder.26996 — 27.05%
• Trojan.Encoder.3953 — 25.99%
• Trojan.Encoder.567 — 2.65%
• Trojan.Encoder.30356 — 1.33%
• Trojan.Encoder.34790 — 1.33%

Опасные сайты

В октябре 2022 года наблюдался рост числа поддельных сайтов для поиска работы. На них пользователям от имени представителей крупных российских компаний предлагалось трудоустройство с привлекательными условиями — простыми обязанностями, гибким рабочим графиком и высокой заработной платой. Например, мошенники создавали поддельные вакансии на должность «удаленного сотрудника обработки заказов». От кандидатов требовалось зарегистрировать учетную запись, после чего те якобы сразу могли приступить к работе. Однако для вывода «заработанных» денег они должны были «активировать» аккаунт, заплатив некоторую сумму.

Чтобы заманить как можно больше пользователей в ловушку, злоумышленники рассылали фишинговые письма со ссылками на такие сайты.

На скриншоте изображен пример мошеннического сайта с поддельной вакансией. Мошенники используют название и логотип компании, от имени которой дается объявление. Кроме того, на странице содержатся поддельные комментарии, призванные убедить потенциальных жертв в безопасности и легитимности предлагаемой работы.

Вредоносное и нежелательное ПО для мобильных устройств

В октябре наблюдалось небольшое снижение активности рекламных троянских приложений по сравнению с предыдущим месяцем. Тем не менее, они по-прежнему остаются одними из наиболее распространенных угроз, с которыми сталкиваются владельцы Android-устройств. Кроме того, отмечалась активность банковских троянов, а также приложений, которые могут использоваться для кибершпионажа.

За прошедший месяц вирусные аналитики компании «Доктор Веб» выявили множество новых угроз в каталоге Google Play — например, поддельные программы семейства Android.FakeApp, применяемые в различных мошеннических схемах. Среди них также были рекламные и нежелательные приложения.

Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:

• активность рекламных троянских программ;
• появление новых угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14619&lng=ru&c=9

31 октября 2022 года

В сентябре анализ статистики детектирований антивируса Dr.Web показал снижение общего числа обнаруженных угроз на 9,29% по сравнению с августом. Одновременно с этим уменьшилось и количество уникальных угроз — на 38,95%. Как и ранее, пользователи чаще всего сталкивались с рекламными приложениями. В почтовом трафике наибольшее распространение получили вредоносные скрипты, а также применяемые в фишинг-атаках вредоносные PDF-файлы. Кроме того, злоумышленники не оставляли попыток заразить компьютеры пользователей при помощи рассылки приложений, использующих уязвимости документов Microsoft Office.

В минувшем месяце число обращений пользователей за расшифровкой файлов выросло на 41,26%. Самым распространенным энкодером сентября стал Trojan.Encoder.3953 с долей 25,83% от общего числа зафиксированных инцидентов, в то время как многомесячный лидер Trojan.Encoder.26996 опустился на второе место.

Вирусные аналитики компании «Доктор Веб» выявили новые угрозы в каталоге Google Play. Среди них - троянские программы-подделки семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах, а также рекламные приложения.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.Downware.20091

Adware.Downware.20088

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.OpenCandy.247

Adware.OpenCandy.251

Семейство приложений, предназначенных для установки на компьютер различного дополнительного рекламного ПО.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

PDF.Fisher.367

PDF.Fisher.371

PDF.Fisher.366

PDF-документы, используемые в фишинговых email-рассылках.

Шифровальщики

В сентябре число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, увеличилось на 41,26% по сравнению с августом.

• Trojan.Encoder.3953 — 25.83%
• Trojan.Encoder.26996 — 23.94%
• Trojan.Encoder.11539 — 2.61%
• Trojan.Encoder.567 — 2.37%
• Trojan.Encoder.35209 — 1.90%

Опасные сайты

В сентябре 2022 года интернет-аналитики компании «Доктор Веб» вновь фиксировали массовое распространение спам-писем со ссылками на мошеннические сайты. Среди них - сайты, на которых российские пользователи якобы могли получить бесплатные лотерейные билеты. На самом деле никаких билетов не предоставлялось, и злоумышленники вводили в заблуждение потенциальных жертв, имитируя розыгрыш призов. При этом каждому посетителю сообщалось, что он победитель. Для «получения» приза от пользователей требовалось указать данные банковской карты и заплатить «комиссию» за перевод.

Ниже представлены примеры двух сайтов — на одном имитируется розыгрыш лотереи и сообщается о выигрыше, а на другом якобы осуществляется оплата комиссии за перевод выигрыша на банковскую карту жертвы:

На других сайтах пользователям предлагалось стать участниками различных инвестиционных платформ, якобы аффилированных с известными финансовыми и нефтегазовыми компаниями. Для этого требовалось пройти опрос и зарегистрировать учетную запись, указав имя и фамилию, адрес электронной почты и номер телефона. После «регистрации» жертвы такого обмана обычно перенаправляются на различные веб-сайты, в том числе - нежелательные. Кроме того, киберпреступники в дальнейшем могут использовать предоставляемые данные для проведения фишинг-атак или организации мошеннических телефонных звонков.

Пример фишингового письма, в котором говорится о возможности безвозмездного получения денег на банковскую карту. Для этого потенциальной жертве предлагается перейти по ссылке. При переходе по ней загружается мошеннический сайт с информацией о «легком заработке» и рекламой другого мошеннического интернет-ресурса, якобы имеющего отношение к крупному российскому банку.

Вредоносное и нежелательное ПО для мобильных устройств

В минувшем месяце наблюдался рост активности банковских троянских приложений, атакующих владельцев Android-устройств. При этом несколько снизилась активность вредоносных программ, предназначенных для демонстрации нежелательной рекламы. В то же время отмечалось очередное снижение активности троянской программы-шпиона Android.Spy.4498, которая похищает информацию из уведомлений от других приложений.

В течение сентября специалисты вирусной лаборатории «Доктор Веб» выявили новые угрозы в каталоге Google Play. Среди них - очередные вредоносные программы семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах, а также программы с нежелательными рекламными модулями.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

• рост активности банковских троянских приложений;
• незначительное снижение активности рекламных троянских программ;
• продолжилось снижение активности трояна-шпиона Android.Spy.4498;
• появление новых угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14582&lng=ru&c=9

31 октября 2022 года

Согласно данным статистики детектирований антивируса Dr.Web для Android, в сентябре несколько снизилась активность троянских программ, демонстрирующих рекламу. В то же время на Android-устройствах чаще обнаруживались приложения со встроенными нежелательными рекламными модулями.

Злоумышленники вновь широко применяли специализированные утилиты, позволяющие запускать ПО без его установки. Кроме того, пользователи продолжили сталкиваться с различными шпионскими приложениями.

Троянская программа Android.Spy.4498, которая похищает информацию из уведомлений от других приложений, обнаруживалась на Android-устройствах на 32,72% реже по сравнению с августом. В прошлом месяце на ее долю пришлось чуть более четверти всех детектирований вредоносных приложений.

В течение сентября специалисты компании «Доктор Веб» выявили в каталоге Google Play очередные угрозы. Среди них - программы-подделки, применяемые в различных мошеннических схемах, а также рекламное ПО.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.4498

Троян, крадущий содержимое уведомлений от других приложений. Кроме того, он загружает и предлагает пользователям установить другие программы, а также может демонстрировать различные диалоговые окна.

Android.HiddenAds.3490

Android.HiddenAds.3345

Трояны, предназначенные для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.BankBot.11466

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское, а также другое вредоносное ПО.

Android.MobiDash.6945

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения, предназначенного для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.wSpy.1.origin

Program.MobileTool.2.origin

Приложения, которые позволяют следить за владельцами Android-устройств и могут использоваться для кибершпионажа. В зависимости от версии и модификации они способны выполнять различные действия. Например, контролировать местоположение устройств, собирать данные об СМС-переписке и беседах в социальных сетях, копировать документы, фотографии и видео, выполнять прослушивание телефонных звонков и окружения и т. п.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.7.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.Obfuscapk.1

Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.AdPush.36.origin

Adware.Adpush.16510

Adware.SspSdk.1.origin

Adware.Airpush.7.origin

Adware.Myteam.2.origin

Угрозы в Google Play

В сентябре в каталоге Google Play были выявлены новые вредоносные программы-подделки, функциональность которых не соответствовала заявленной. Злоумышленники реализовывали через них различные мошеннические схемы и атаковали с их помощью пользователей из разных стран. Так, троянские приложения Android.FakeApp.1005, Android.FakeApp.1007, Android.FakeApp.1011 и Android.FakeApp.1012 распространялись под видом программ, при помощи которых пользователи якобы могли повысить финансовую грамотность, инвестировать в нефтегазовые проекты, получить доступ к автоматизированным торговым системам, а также сервисам онлайн-заработка. Среди них были приложения под названиями QuantumAI | income from 3000, QuantumAI - Earning System, Quantum AI - auto earning tool, «КазГаз - инвест кабинет», «ГосОпросы», «ГазОнлайн: Платформа», а также «Газ Профи» и Gift cards and coupons 2022.

Одни из них были ориентированы на российских пользователей, другие - на русскоговорящих пользователей Казахстана и стран Европейского союза. Трояны загружали мошеннические сайты, на которых потенциальным жертвам предлагалось создать учетную запись для «доступа» к тому или иному сервису. Для этого пользователи должны были указать свои персональные данные: имя, фамилию, адрес электронной почты и номер мобильного телефона. В некоторых случаях от них также требовалось указать одноразовый код, который направлялся им в СМС. После «регистрации» они либо перенаправлялись на другой сомнительный сайт, либо видели сообщение о том, что операция успешно выполнена, и с ними вскоре свяжется «менеджер» или «эксперт». При этом предоставляемая ими информация передавалась неизвестным лицам, которые в дальнейшем могли использовать ее по своему усмотрению. В том числе - для организации фишинг-атак, либо для продажи рекламным агентствам или на черном рынке.

Примеры функционирования таких поддельных приложений:

При этом для привлечения внимания пользователей некоторые из этих троянов периодически демонстрировали уведомления с ложными сообщениями. Например, с обещаниями крупного заработка, а также бонусов и подарков клиентам, либо с предупреждениями о якобы ограниченном числе оставшихся для регистрации мест.

Для охвата большей аудитории киберпреступники рекламировали этих троянов в сторонних приложениях через встроенные в них рекламные системы. При этом реклама в виде полноэкранных баннеров и видеороликов в ряде случаев могла быть таргетированной. Например, нацеленной на русскоговорящих европейских пользователей, которым предлагалось установить приложение, которое якобы позволит бесплатно получить акции крупной российской нефтегазовой компании.

Примеры рекламы, с помощью которой распространялись поддельные программы:

Троянские программы Android.FakeApp.1006, Android.FakeApp.1008, Android.FakeApp.1009, Android.FakeApp.1010, Android.FakeApp.1019, а также некоторые модификации Android.FakeApp.1007 злоумышленники распространяли среди российских и украинских владельцев Android-устройств. С их помощью пользователи якобы могли стать обладателями бесплатных лотерейных билетов и принять участие в розыгрыше призов, либо найти информацию о государственных пособиях и выплатах и оформить их получение.

На самом деле трояны загружали мошеннические сайты, содержащие ложную информацию. На них имитировался как розыгрыш лотерей, так и процесс поиска и оформления пособий. Для «получения» выигрышей и государственных выплат потенциальные жертвы мошенников должны были указать свои персональные данные. Кроме того, от них требовалось заплатить комиссию или пошлину за «перевод» средств, либо за «доставку» денег курьером. Предоставленная пользователями информация (в том числе данные банковской карты) и оплата попадали в руки злоумышленников, в то время как сами жертвы обмана не получали никаких обещанных выплат или призов.

Примеры работы данных троянских приложений:

Вместе с тем наши специалисты выявили новые нежелательные рекламные модули, которые по классификации компании «Доктор Веб» получили имена Adware.AdNoty.1 и Adware.AdNoty.2. Эти модули могут быть встроены в различное ПО. Периодически они демонстрируют уведомления с рекламой, например - игр и программ. При нажатии на такие уведомления в браузере Android-устройств загружаются веб-сайты в соответствии со списком рекламных ссылок, заданном в конфигурации модулей.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14590&lng=ru&c=9

16 сентября 2022

В условиях, когда российские пользователи сталкиваются c ограничением поставок иностранного программного обеспечения, а также с риском прекращения поддержки и получения важных обновлений, закрывающих уязвимости в этих продуктах, импортозамещение играет ключевую роль в поддержании стабильности отечественного рынка информационных технологий. Одной из важных областей импортозамещения является сегмент операционных систем, где основная ставка делается на отечественные решения на базе Linux. Однако переход на системы с открытым исходным кодом сам по себе не решает в полной мере проблему информационной безопасности, поскольку для злоумышленников Linux на протяжении многих лет является не менее привлекательной целью, чем другие популярные платформы. Наглядным примером того, что такие операционные системы также нуждаются в защите, стала троянская программа Linux.Siggen.4074, атаковавшая компьютеры одного из корпоративных пользователей Dr.Web.

В конце августа 2022 года в компанию «Доктор Веб» обратился один из клиентов в связи с возможной компрометацией корпоративных рабочих станций под управлением ОС семейства Linux. Признаком потенциального заражения являлись попытки загрузки троянского приложения-майнера Linux.Siggen.4074, которые успешно блокировались модулем SpIDer Gate, входящим в установленный на пострадавших компьютерах антивирус Dr.Web Security Space для Linux. Проведенный анализ показал, что на пострадавших компьютерах задача на скачивание трояна была прописана в планировщике cron.

Компания «Доктор Веб» напоминает, что инфраструктура любого предприятия, равно как и отдельные рабочие места, нуждаются в антивирусной защите независимо от используемых операционных систем. Ошибочно полагать, что компьютеры на базе Linux неинтересны злоумышленникам. Напротив, у них достаточно знаний и технических возможностей для совершения атак на пользователей этой платформы. И с ростом ее популярности в России можно ожидать увеличения числа подобных атак.

Антивирус Dr.Web успешно детектирует и нейтрализует трояна Linux.Siggen.4074 и скачиваемые им различные компоненты, поэтому для наших пользователей эти вредоносные приложения опасности не представляют.

Подробнее о Linux.Siggen.4074

https://news.drweb.ru/show/?i=14569&lng=ru&c=9

15 сентября 2022 года

В августе анализ данных статистики антивируса Dr.Web показал рост общего числа обнаруженных угроз на 10,72% по сравнению с июлем. Количество уникальных угроз также увеличилось — на 8,59%. Наиболее часто пользователи сталкивались со всевозможными рекламными приложениями. В почтовом трафике преобладали вредоносные скрипты, троянские программы, загружающие другие вредоносные приложения, а также фишинговые веб-страницы, предназначенные для кражи аутентификационных данных. Кроме того, злоумышленники продолжили распространять в почтовых вложениях программы, использующие уязвимости документов Microsoft Office.

В минувшем месяце число обращений пользователей за расшифровкой файлов снизилось на 2,57%. При этом лидером среди энкодеров в очередной раз стал Trojan.Encoder.26996 — на его долю пришлось 32,24% всех инцидентов.

Среди угроз для мобильных устройств высокая активность вновь наблюдалась со стороны троянских приложений и программ, предназначенных для демонстрации нежелательной рекламы.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Downware.20091

Adware.Downware.19998

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.OpenCandy.247

Adware.OpenCandy.248

Семейство приложений, предназначенных для установки на компьютер различного дополнительного рекламного ПО.

Adware.Elemental.20

Семейство рекламных программ, попадающих на устройства путем подмены ссылок на файлообменных сервисах. Вместо ожидаемых файлов жертвы получают эти приложения, которые показывают рекламу, а также устанавливают ненужное ПО.

Статистика вредоносных программ в почтовом трафике

JS.Redirector.448

JS.Redirector.450

Вредоносные сценарии на языке JavaScript, размещаемые в коде веб-страниц. Предназначены для перенаправления пользователей на фишинговые или рекламные сайты.

Exploit.CVE-2018-0798.4

Эксплойт, предназначенный для эксплуатации уязвимости в ПО Microsoft Office и позволяющий выполнить произвольный код.

Trojan.DownloaderNET.190

Троянская программа, предназначенная для загрузки других вредоносных приложений на целевые компьютеры.

HTML.FishForm.206

Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.

Шифровальщики

В августе число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, снизилось на 2,57% по сравнению с июлем.

• Trojan.Encoder.26996 — 32.24%
• Trojan.Encoder.3953 — 12.17%
• Trojan.Encoder.30356 — 3.95%
• Trojan.Encoder.567 — 2.96%
• Trojan.Encoder.11539 — 1.97%

Опасные сайты

В августе сохранялась высокая активность интернет-мошенников. Например, они вновь заманивали потенциальных жертв на псевдоинвестиционные сайты, якобы имеющие отношение к крупным российским компаниям финансового и нефтегазового сектора. На таких ресурсах пользователям в качестве «билета» в мир инвестиций может предлагаться пройти простой опрос, зарегистрировать учетную запись, предоставив персональную информацию, и ждать звонка «менеджера». Если пользователи поверят в обещанное, то сами передадут неизвестной стороне свои данные. При этом им могут начать поступать нежелательные звонки как от мошенников, притворяющихся сотрудниками банка, так и представителей компаний, рекламирующих собственные услуги.

Пример одного из таких сайтов. Вначале посетителям предлагается пройти тест, ответы на вопросы которого на самом деле никак не влияют на итоговый результат. После этого якобы открывается эксклюзивный доступ к инвестиционной платформе крупного российского банка. В конце требуется оставить свои контактные данные — имя и фамилию, номер мобильного телефона и адрес электронной почты. Указав данные, пользователи видят сообщение об успешной регистрации и информацию о том, что с ними в ближайшее время свяжется «эксперт».

Вредоносное и нежелательное ПО для мобильных устройств

В августе наблюдался рост активности троянов и программ, созданных для демонстрации нежелательной рекламы на Android-устройствах. Также возросла активность специализированных программных платформ, позволяющих запускать Android-приложения без их установки. Вместе с тем продолжилось снижение активности трояна Android.Spy.4498, похищающего информацию из уведомлений от других приложений.

Наиболее заметные события, связанные с «мобильной» безопасностью в августе:

• рост активности вредоносных и других программ, предназначенных для показа нежелательной рекламы;
• снижение активности трояна-шпиона Android.Spy.4498.

Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14566&lng=ru&c=9

15 сентября 2022 года

В августе заметно возросла активность троянских приложений, предназначенных для демонстрации нежелательной рекламы. Они выявлялись на защищаемых устройствах на 3,8% чаще, чем месяцем ранее. Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, тремя из пяти наиболее распространенных вредоносных программ стали именно рекламные трояны — представители семейства Android.HiddenAds. Всплеск активности наблюдался и среди рекламных приложений, которые выявлялись на защищаемых устройствах на 10,57% чаще, чем в июле.

Не теряют актуальности специализированные программные платформы, позволяющие запускать приложения без их установки. Злоумышленники часто используют их в связке с распространяемым ими вредоносным ПО.

Троянская программа Android.Spy.4498, которая похищает информацию из уведомлений от других приложений, продолжает постепенно терять позиции. За месяц ее активность упала на 29,05%, и в настоящее время на ее долю приходится менее трети всех детектирований вредоносных программ.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.4498

Троян, крадущий содержимое уведомлений от других приложений. Кроме того, он загружает и предлагает пользователям установить другие программы, а также может демонстрировать различные диалоговые окна.

Android.HiddenAds.3490

Android.HiddenAds.3345

Android.HiddenAds.3018

Трояны, предназначенные для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.DownLoader.475.origin

Троян, загружающий другие вредоносные программы и ненужное ПО. Он может скрываться во внешне безобидных приложениях, которые распространяются через каталог Google Play или вредоносные сайты.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения, предназначенного для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.wSpy.1.origin

Коммерческая программа-шпион, предназначенная для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку пользователя (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.WapSniff.1.origin

Программа для перехвата сообщений в мессенджере WhatsApp.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.7.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.GPSTracker.1.origin

Специализированная программная платформа, предназначенная для скрытого слежения за местоположением и перемещением пользователей. Она может быть встроена в различные приложения и игры.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.AdPush.36.origin

Adware.Airpush.7.origin

Adware.Myteam.2.origin

Adware.Adpush.16510

Adware.Adpush.6547

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14564&lng=ru&c=9

31 августа 2022 года

По данным антивирусных продуктов Dr.Web для Android

• Android.Spy.4498
• Android.Spy.4837

Детектирование различных модификаций трояна, крадущего содержимое уведомлений от других приложений. Он также загружает и предлагает пользователям установить другие программы и может демонстрировать диалоговые окна.

• Android.HiddenAds.3152
• Android.HiddenAds.3018

Трояны, предназначенные для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

• Android.DownLoader.475.origin

Троян, загружающий другие вредоносные программы и ненужное ПО. Он может скрываться во внешне безобидных приложениях, которые распространяются через каталог Google Play или вредоносные сайты.

• Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

• Program.SecretVideoRecorder.1.origin
• Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения, предназначенного для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

• Program.wSpy.1.origin

Коммерческая программа-шпион, предназначенная для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку пользователя (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

• Program.WapSniff.1.origin

Программа для перехвата сообщений в мессенджере WhatsApp.

• Tool.SilentInstaller.14.origin
• Tool.SilentInstaller.6.origin
• Tool.SilentInstaller.13.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

• Tool.GPSTracker.1.origin

Специализированная программная платформа, предназначенная для скрытого слежения за местоположением и перемещением пользователей. Она может быть встроена в различные приложения и игры.

• Tool.Obfuscapk.1

Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

• Adware.SspSdk1.origin
• Adware.AdPush.36.origin
• Adware.Airpush.7.origin
• Adware.Myteam.2.origin
• Adware.Jiubang.1

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14549&lng=ru&c=9

31 августа 2022 года

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

• Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

• Adware.OpenCandy.247
• Adware.OpenCandy.248

Семейство приложений, предназначенных для установки на компьютер различного дополнительного рекламного ПО.

• Adware.Elemental.20

Семейство рекламных программ, попадающих на устройства путем подмены ссылок на файлообменных сервисах. Вместо ожидаемых файлов жертвы получают эти приложения, которые показывают рекламу, а также устанавливают ненужное ПО.

• Adware.Downware.19998

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Статистика вредоносных программ в почтовом трафике

• JS.Redirector.448
• JS.Redirector.450

Вредоносные сценарии на языке JavaScript, размещаемые в коде веб-страниц. Предназначены для перенаправления пользователей на фишинговые или рекламные сайты.

• JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

• Trojan.Packed2.44349

Детектирование вредоносных приложений, защищенных программным упаковщиком.

• W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Шифровальщики

В июле число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, выросло на 1,81% по сравнению с июнем.

• Trojan.Encoder.26996 — 28.65%
• Trojan.Encoder.3953 — 12.20%
• Trojan.Encoder.567 — 5.67%
• Trojan.Encoder.30356 — 3.35%
• Trojan.Encoder.11539 — 3.05%

Опасные сайты

В прошлом месяце интернет-аналитики компании «Доктор Веб» вновь наблюдали высокую активность киберпреступников, которые массово распространяли фишинговые письма со ссылками на мошеннические сайты. Популярностью среди злоумышленников по-прежнему пользуются подделки сайтов известных банков, онлайн-магазинов, нефтегазовых, транспортных и других компаний. На них потенциальным жертвам традиционно предлагается, например, стать инвесторами или получить оплату за доставленный покупателю товар. Главная цель мошенников остается неизменной — им нужна конфиденциальная информация пользователей, включая данные банковских карт, а также их деньги.

Пример мошеннического сайта, якобы принадлежащего крупной российской кредитной организации. На нем указано, что пользователи после прохождения «теста» якобы смогут получить доступ к специализированной инвестиционной платформе.

Пример поддельного сайта транспортной компании. На нем для каждого посетителя генерируется уникальная страница с персональной информацией и ссылкой, при переходе по которой якобы станет возможно получить оплату за доставленный товар.

Узнайте больше о нерекомендуемых Dr.Web сайтах

https://news.drweb.ru/show/?i=14553&lng=ru&c=9

26 июля 2022 года

В июне анализ данных статистики Dr.Web показал уменьшение общего числа обнаруженных угроз на 14.62% по сравнению с маем. При этом количество уникальных угроз незначительно увеличилось — на 0.09%. В большинстве случаев пользователи продолжают сталкиваться с рекламными и нежелательными приложениями. В почтовом трафике преобладали вредоносные скрипты, приложения, использующие уязвимости документов Microsoft Office, а также всевозможные трояны-загрузчики.

Число обращений пользователей за расшифровкой файлов выросло на 17.26% по сравнению с маем. Самым распространенным энкодером остается Trojan.Encoder.26996 — в прошлом месяце на его долю пришлось 33% всех инцидентов.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Downware.19998

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.OpenCandy.247

Adware.OpenCandy.248

Семейство приложений, предназначенных для установки на компьютер различного дополнительного рекламного ПО.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.Ubar.20

Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Статистика вредоносных программ в почтовом трафике

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Exploit.CVE-2018-0798.4

Эксплойт, предназначенный для эксплуатации уязвимости в ПО Microsoft Office и позволяющий выполнить произвольный код.

JS.Redirector.435

Вредоносный сценарий на языке JavaScript, размещаемый в коде веб-страниц. Предназначен для перенаправления пользователей на фишинговые или рекламные сайты.

HTML.FishForm.311

Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.

Trojan.DownLoader44.63714

Троянская программа, загружающая полезную нагрузку с облачного хранилища OneDrive. После скачивания файл расшифровывается и запускается на исполнение.

Шифровальщики

По сравнению с маем, в июне число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, увеличилось на 17.26%.

• Trojan.Encoder.26996 — 32.99%
• Trojan.Encoder.25069 — 11.34%
• Trojan.Encoder.3953 — 8.06%
• Trojan.Encoder.567 — 7.30%
• Trojan.Encoder.11539 — 0.76%

Опасные сайты

В прошлом месяце специалисты «Доктор Веб» продолжили фиксировать массовое распространение спам-писем со ссылками на мошеннические сайты. В частности, популярными среди злоумышленников остаются поддельные сайты известных нефтегазовых компаний. На них потенциальным жертвам предлагается стать инвесторами, получить бесплатные активы или принять участие в розыгрыше призов. Для этого пользователям необходимо «зарегистрироваться», указав имя, номер телефона и другую персональную информацию. В других случаях от них требуется оплата якобы необходимой услуги — пошлины, комиссии за перевод «выигрыша» или конвертации валюты. Ничего из обещанного они, конечно же, не получают и лишь передают мошенникам конфиденциальные данные, а также теряют деньги.

Пример нежелательного письма со ссылкой на мошеннический ресурс и пошаговой инструкцией для пользователей:

Примеры мошеннических сайтов с предложением регистрации, после которой у пользователей якобы появится возможность выгодной торговли природным газом:

Вредоносное и нежелательное ПО для мобильных устройств

В июне продолжилось снижение активности троянской программы Android.Spy.4498, которая крадет информацию из уведомлений от других приложений. Несмотря на это, она все еще остается самой распространенной Android-угрозой. По сравнению с маем активность рекламных троянов также снизилась.

В течение месяца наши специалисты выявили в каталоге Google Play множество вредоносных программ. Среди них были рекламные трояны семейства Android.HiddenAds, мошеннические приложения Android.FakeApp, а также трояны семейства Android.PWS.Facebook, похищающие логины и пароли от учетных записей Facebook. Кроме того, вирусные аналитики компании «Доктор Веб» обнаружили очередных троянов семейства Android.Joker, которые подписывают пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в июне:

• снижение активности трояна-шпиона Android.Spy.4498;
• снижение активности рекламных троянов;
• обнаружение множества вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14529&lng=ru&c=9

26 июля 2022 года

В июне продолжилось снижение активности трояна Android.Spy.4498, похищающего информацию из уведомлений от других приложений. По сравнению с маем он встречался на Android-устройствах на 20,56% реже. Активность рекламных троянов семейства Android.HiddenAds также снизилась, хоть и менее значительно — на 8%. Вместе с тем эти вредоносные приложения остаются одними из наиболее распространенных Android-угроз.

В течение месяца вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play десятки вредоносных программ. Среди них — рекламные трояны, программы-подделки, применяемые мошенниками, похитители конфиденциальной информации и другие.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.4498

Троян, крадущий содержимое уведомлений от других приложений. Кроме того, он загружает и предлагает пользователям установить другие программы, а также может демонстрировать различные диалоговые окна.

Android.HiddenAds.3018

Android.HiddenAds.3152

Трояны, предназначенные для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.MobiDash.6939

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.DownLoader.475.origin

Троян, загружающий другие вредоносные программы и ненужное ПО. Он может скрываться во внешне безобидных приложениях, которые распространяются через каталог Google Play или вредоносные сайты.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения, предназначенного для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.wSpy.1.origin

Коммерческая программа-шпион, предназначенная для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку пользователя (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.WapSniff.1.origin

Программа для перехвата сообщений в мессенджере WhatsApp.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.7.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.GPSTracker.1.origin

Специализированная программная платформа, предназначенная для скрытого слежения за местоположением и перемещением пользователей. Она может быть встроена в различные приложения и игры.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.SspSdk.1.origin

Adware.AdPush.36.origin

Adware.Adpush.16510

Adware.Myteam.2.origin

Adware.Airpush.7.origin

Угрозы в Google Play

В июне вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play около 30 рекламных троянов Android.HiddenAds, общее число загрузок которых превысило 9 890 000. Среди них были как новые представители семейства (Android.HiddenAds.3168, Android.HiddenAds.3169, Android.HiddenAds.3171, Android.HiddenAds.3172 и Android.HiddenAds.3207), так и новые модификации уже известного трояна Android.HiddenAds.3158, о котором мы сообщали в майском обзоре.

Все они были встроены в разнообразные программы — редакторы изображений, экранные клавиатуры, системные утилиты, приложения для звонков, программы для замены фонового изображения домашнего экрана и другие.

Ниже представлен список с названиями программ, в которых скрывались эти трояны:

• Photo Editor: Beauty Filter (gb.artfilter.tenvarnist)
• Photo Editor: Retouch & Cutout (de.nineergysh.quickarttwo)
• Photo Editor: Art Filters (gb.painnt.moonlightingnine)
• Photo Editor - Design Maker (gb.twentynine.redaktoridea)
• Photo Editor & Background Eraser (de.photoground.twentysixshot)
• Photo & Exif Editor (de.xnano.photoexifeditornine)
• Photo Editor - Filters Effects (de.hitopgop.sixtyeightgx)
• Photo Filters & Effects (de.sixtyonecollice.cameraroll)
• Photo Editor : Blur Image (de.instgang.fiftyggfife)
• Photo Editor : Cut, Paste (de.fiftyninecamera.rollredactor)
• Emoji Keyboard: Stickers & GIF (gb.crazykey.sevenboard)
• Neon Theme Keyboard (com.neonthemekeyboard.app)
• Neon Theme - Android Keyboard (com.androidneonkeyboard.app)
• Cashe Cleaner (com.cachecleanereasytool.app)
• Fancy Charging (com.fancyanimatedbattery.app)
• FastCleaner: Cashe Cleaner (com.fastcleanercashecleaner.app)
• Call Skins - Caller Themes (com.rockskinthemes.app)
• Funny Caller (com.funnycallercustomtheme.app)
• CallMe Phone Themes (com.callercallwallpaper.app)
• InCall: Contact Background (com.mycallcustomcallscrean.app)
• MyCall - Call Personalization (com.mycallcallpersonalization.app)
• Caller Theme (com.caller.theme.slow)
• Caller Theme (com.callertheme.firstref)
• Funny Wallpapers - Live Screen (com.funnywallpapaerslive.app)
• 4K Wallpapers Auto Changer (de.andromo.ssfiftylivesixcc)
• NewScrean: 4D Wallpapers (com.newscrean4dwallpapers.app)
• Stock Wallpapers & Backgrounds (de.stockeighty.onewallpapers)
• Notes - reminders and lists (com.notesreminderslists.app)

Для показа рекламы часть из них пытается получить разрешение на демонстрацию окон поверх других программ, остальные — попасть в список исключений функции экономии заряда аккумулятора. А чтобы в дальнейшем пользователям было сложнее обнаружить «нарушителей», трояны скрывают свои значки в списке установленных приложений главного экрана или заменяют их менее приметными. Например, значком с названием «SIM Toolkit», при выборе которого вместо исходного приложения запускается одноименное системное ПО для работы с SIM-картой.

Примеры того, как эти трояны пытаются получить доступ к необходимым функциям:

Пример изменения значка одного из вредоносных приложений:

Кроме того, наши специалисты обнаружили очередных троянов семейства Android.Joker, которые способны загружать и выполнять произвольный код, а также подписывать пользователей на платные мобильные услуги без их ведома. Один из них скрывался в лончере Poco Launcher, другой — в приложении-камере 4K Pro Camera; третий — в сборнике стикеров Heart Emoji Stickers. Они были добавлены в вирусную базу Dr.Web как Android.Joker.1435, Android.Joker.1461 и Android.Joker.1466 соответственно.

Среди выявленных угроз также были новые вредоносные приложения семейства Android.PWS.Facebook, получившие имена Android.PWS.Facebook.149 и Android.PWS.Facebook.151. Они похищали данные, необходимые для взлома учетных записей Facebook (деятельность социальной сети Facebook запрещена на территории России). Оба трояна распространялись под видом редакторов изображений. Первый — программы под названием YouToon - AI Cartoon Effect, второй — Pista - Cartoon Photo Effect.

После запуска они предлагали потенциальным жертвам войти в свою учетную запись, после чего загружали стандартную страницу авторизации Facebook. Затем они перехватывали данные аутентификации и передавали их злоумышленникам.

Также специалисты «Доктор Веб» обнаружили трояна Android.Click.401.origin. Он скрывался в программе Water Reminder- Tracker & Reminder, напоминающей о необходимости пить достаточно жидкости, и в обучающей программе по йоге Yoga- For Beginner to Advanced. Обе были полностью работоспособными, поэтому у пользователей не было причин заподозрить в них угрозу.

Этот троян расшифровывает и запускает находящийся среди его ресурсов основной вредоносный компонент (Android.Click.402.origin по классификации антивируса Dr.Web), который скрытно загружает различные веб-сайты в WebView. Затем данный компонент имитирует действия пользователей, автоматически нажимая на расположенные на сайтах интерактивные элементы, например — баннеры и рекламные ссылки.

Другой выявленной угрозой стало поддельное приложение для онлайн-общения Chat Online, несколько модификаций которого были добавлены в вирусную базу Dr.Web как Android.FakeApp.963 и Android.FakeApp.964.

В трояне нет заявленной функциональности. Он лишь загружает различные веб-сайты, в том числе мошеннические. На одних имитируется процесс регистрации в онлайн-сервисах знакомств. При этом у потенциальных жертв запрашивается номер мобильного телефона, адрес электронной почты и другие персональные данные. В дальнейшем эта информация может попадать на черный рынок и использоваться мошенниками.

На других сайтах имитируется диалог с настоящими пользователями, после чего предлагается оплатить премиум-доступ для продолжения «общения». Согласие на это может привести не только к единовременному списанию определенной суммы или подписке на ненужную платную услугу, но и к потере всех средств, если киберпреступники получат данные банковской карты.

Компания «Доктор Веб» передала информацию о выявленных угрозах корпорации Google. На момент выхода данного обзора часть вредоносных приложений все еще была доступна для загрузки.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14520&lng=ru&c=9

14 июня 2022 года

В мае активность трояна Android.Spy.4498, похищающего информацию из уведомлений от других приложений, снизилась на 13,48%. Тем не менее эта вредоносная программа по-прежнему является наиболее распространенной Android-угрозой. Среди лидеров по числу детектирований на устройствах пользователей также остаются рекламные трояны Android.HiddenAds. Их активность по сравнению с апрелем выросла на 13,57%.

В течение месяца вирусная лаборатория компании «Доктор Веб» зафиксировала распространение новых вредоносных приложений в каталоге Google Play. Среди них — трояны семейства Android.Subscription, подписывающие пользователей на платные услуги, мошеннические программы Android.FakeApp, трояны-похитители паролей из семейства Android.PWS.Facebook, помогающие киберпреступникам взламывать учетные записи социальной сети Facebook, а также рекламные трояны Android.HiddenAds.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.4498

Троян, крадущий содержимое уведомлений от других приложений. Кроме того, он загружает и предлагает пользователям установить другие программы, а также может демонстрировать различные диалоговые окна.

Android.HiddenAds.3018

Android.HiddenAds.3152

Трояны, предназначенные для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.DownLoader.475.origin

Троян, загружающий другие вредоносные программы и ненужное ПО. Он может скрываться во внешне безобидных приложениях, которые распространяются через каталог Google Play или вредоносные сайты.

Android.Triada.4567.origin

Многофункциональный троян, выполняющий разнообразные вредоносные действия. Относится к семейству троянских приложений, проникающих в процессы всех работающих программ. Различные представители этого семейства могут встречаться в прошивках Android-устройств, куда злоумышленники внедряют их на этапе производства. Кроме того, некоторые их модификации могут эксплуатировать уязвимости, чтобы получить доступ к защищенным системным файлам и директориям.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения, предназначенного для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.WapSniff.1.origin

Программа для перехвата сообщений в мессенджере WhatsApp.

Program.KeyStroke.3

Android-программа, способная перехватывать вводимую на клавиатуре информацию. Некоторые ее модификации также позволяют отслеживать входящие СМС-сообщения, контролировать историю телефонных звонков и выполнять запись разговоров.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.7.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.Obfuscapk.1.origin

Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.SspSdk.1.origin

Adware.AdPush.36.origin

Adware.Adpush.6547

Adware.Adpush.2146

Adware.Myteam.2.origin

Угрозы в Google Play

В мае специалисты компании «Доктор Веб» обнаружили в каталоге Google Play множество новых угроз. Среди них — рекламные трояны Android.HiddenAds.3158 и Android.HiddenAds.3161.

<

Первый представлял собой сборник изображений Wild & Exotic Animal Wallpaper. Он пытался скрыться от пользователя, заменяя значок приложения в меню главного экрана менее заметным, а также изменяя имя на «SIM Tool Kit». Кроме того, программа запрашивала разрешение отключить для нее функцию экономии заряда аккумулятора, чтобы постоянно работать в фоновом режиме. Это позволяло трояну показывать рекламу даже тогда, когда владелец устройства долго не использовал приложение.

Второй троян распространялся под видом программы-фонарика Magnifier Flashlight. Он скрывал свой значок из списка программ в меню главного экрана, после чего периодически демонстрировал рекламные видеоролики и баннеры. Примеры такой рекламы:

Были выявлены очередные троянские программы, которые крадут необходимые для взлома учетных записей Facebook данные (деятельность социальной сети Facebook запрещена на территории России). Они распространялись под видом редакторов изображений PIP Pic Camera Photo Editor (Android.PWS.Facebook.142), PIP Camera 2022 (Android.PWS.Facebook.143), Camera Photo Editor (Android.PWS.Facebook.144) и Light Exposure Photo Editor (Android.PWS.Facebook.145), а также астрологической программы ZodiHoroscope - Fortune Finder (Android.PWS.Facebook.141).

Эти трояны под различными предлогами (например, якобы для доступа ко всем функциям приложений или отключения рекламы) предлагают потенциальным жертвам войти в учетную запись Facebook, после чего перехватывают и передают киберпреступникам вводимые логины, пароли и другие данные авторизации.

Среди найденных вредоносных программ также были новые представители семейства троянов Android.Subscription, предназначенных для подписки пользователей на платные услуги. Один из них, добавленный в вирусную базу Dr.Web как Android.Subscription.9, распространялся под видом программы Recovery для восстановления данных. Другой — под видом игры Driving Real Race: он получил имя Android.Subscription.10. Эти вредоносные приложения загружали сайты партнерских сервисов, через которые выполнялась подписка.

Кроме того, злоумышленники вновь распространяли программы-подделки. Среди них — приложение «Компенсация НДС» (Android.FakeApp.949), якобы предназначенное для поиска и получения пособий и выплат российскими пользователями. На самом деле оно загружало мошеннические сайты, при помощи которых киберпреступники пытались похитить у жертв конфиденциальную информацию и деньги.

Другую подделку злоумышленники выдавали за приложение Only Fans App OnlyFans Android, которое якобы позволяло получить бесплатный доступ к закрытым профилям и платному контенту сервиса OnlyFans.

Пользователям предлагалось пройти небольшой опрос, после чего программа загружала мошеннический сайт, на котором имитировался процесс получения доступа. У потенциальных жертв запрашивался адрес электронной почты, после чего им предлагалось выполнить различные задания, например — установить заданные игры и программы или пройти онлайн-опросы. В действительности никакого доступа пользователи не получали, а от успешно выполненных заданий выигрывали сами мошенники — они получали плату от партнерских сервисов. Эта программа-подделка была добавлена в вирусную базу Dr.Web как Android.FakeApp.951.

Опрос в приложении, призванный заманить потенциальную жертву на мошеннический сайт:

«Получение» доступа к контенту через мошеннический сайт:

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14500&lng=ru&c=9

14 июня 2022 года

В мае анализ данных статистики Dr.Web показал уменьшение общего числа обнаруженных угроз на 0.86% по сравнению с апрелем. При этом количество уникальных угроз незначительно увеличилось — на 1.73%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике чаще всего распространялись вредоносные скрипты, стилеры, ссылки на фишинговые страницы, а также программы, использующие уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов уменьшилось на 2.53% по сравнению с апрелем. Самым распространенным энкодером месяца вновь стал Trojan.Encoder.26996, на долю которого пришлось 37.47% всех инцидентов.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.Downware.19998

Adware.Downware.19988

Adware.Downware.20026

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.OpenCandy.247

Семейство приложений, предназначенных для установки на компьютер различного дополнительного рекламного ПО.

Статистика вредоносных программ в почтовом трафике

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Они предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Trojan.PWS.Stealer.33179

Троянская программа, предназначенная для кражи паролей и другой конфиденциальной информации пользователя.

Exploit.CVE-2018-0798.4

Эксплойт, предназначенный для эксплуатации уязвимости в ПО Microsoft Office и позволяющий выполнить произвольный код.

HTML.FishForm.206

Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.

JS.Redirector.435

Вредоносный скрипт, перенаправляющий пользователя на подконтрольную злоумышленникам веб-страницу.

Шифровальщики

По сравнению с апрелем, в мае число запросов на расшифровку файлов, затронутых шифровальщиками, уменьшилось на 2.53%.

• Trojan.Encoder.26996 — 37,47%
• Trojan.Encoder.3953 — 13.93%
• Trojan.Encoder.567 — 3.72%
• Trojan.Encoder.11539 — 2.17%
• Trojan.Encoder.33749 — 1.86%

Опасные сайты

В мае 2022 года продолжился рост числа сайтов, маскирующихся под официальные ресурсы разработчиков различного популярного ПО. Злоумышленники продолжали использовать подобные ресурсы для распространения поддельных установщиков с рекламными и вредоносными программами.

На скриншотах выше изображен пример описываемой страницы и загрузка поддельного установщика на компьютер пользователя. Сайт имеет сертификат с действительной цифровой подписью и дополнительно уведомляет пользователя о том, что файл якобы безопасен для запуска.

Вредоносное и нежелательное ПО для мобильных устройств

В мае наиболее распространенной Android-угрозой вновь стал троян Android.Spy.4498, который крадет информацию из уведомлений от других приложений. В то же время его активность продолжает снижаться. Рекламные трояны Android.HiddenAds также не теряют актуальность. Их активность по сравнению с апрелем, напротив, несколько возросла.

В течение месяца специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередные вредоносные приложения. Среди них — мошеннические программы Android.FakeApp и трояны из семейства Android.Subscription, подписывающие пользователей на платные услуги. Кроме того, были выявлены новые представители семейства троянов Android.PWS.Facebook, которые крадут логины, пароли и другую информацию, необходимую для взлома учетных записей Facebook. Распространяли злоумышленники и рекламных троянов Android.HiddenAds.

Наиболее заметные события, связанные с «мобильной» безопасностью в мае:

• снижение активности трояна-шпиона Android.Spy.4498;
• рост активности рекламных троянов;
• появление новых угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14502&lng=ru&c=9