22 сентября 2023 года

Компания «Доктор Веб» информирует об участившихся случаях мошенничества с применением программ для удаленного доступа к рабочему столу. Наибольшей популярностью у злоумышленников пользуется программа RustDesk.

В связи с недавними утечками фрагментов баз данных целого ряда банков у мошенников появился доступ к персональным данным клиентов. Эти данные злоумышленники используют для того, чтобы войти в доверие к своим жертвам. Представляясь сотрудниками поддержки банка, преступники сообщают о том, что на счете жертвы замечена подозрительная активность, которая может привести к потере денег. И чтобы воспрепятствовать краже, якобы следует установить на устройство «защитную» программу. Злоумышленники предлагают перейти в магазин приложений и набрать в поисковой строке запросы типа «поддержка Сбербанка», «поддержка ВТБ» и т. п.

Источник: nakopi-deneg.ru

На самом деле до недавнего времени в топе выдачи Google Play по таким поисковым фразам находились программы типа AweSun Remote Desktop, RustDesk Remote Desktop, Удаленный рабочий стол AnyDesk. Такая ситуация обусловлена тем, что система ранжирования приложений в Google Play учитывает то, какое приложение выбирают пользователи, вводя тот или иной поисковый запрос. И чем больше людей, ищущих приложение по ключевым словам «поддержка имя_банка», совершит ошибку и перейдет по ссылке на приложение для удаленного администрирования, тем больше Google Play будет рекомендовать такую программу пользователям.

Следует отметить, что сами по себе программы для удаленного управления не являются вредоносными. Проблема возникает, когда их применяют для совершения противоправных действий.

После установки приложения мошенники просят жертву сообщить им уникальный идентификатор, а затем берут устройство под свой полный контроль. Доступ к устройству позволяет им совершать платежи и переводы со счета жертвы. При этом доказательство взлома и отзыв платежного поручения в такой ситуации будут невозможны, так как с точки зрения банка с системой платежей взаимодействует именно устройство клиента.

В настоящий момент компания Google сняла приложение RustDesk с публикации в магазине Google Play. Вследствие этого злоумышленники перевели свою деятельность за пределы площадки — теперь для реализации схемы мошенничества с удаленным управлением они используют сайты — например, hххps://помощникбанков[.]рф.

На таких сайтах потенциальным жертвам предлагается скачать уже знакомое нам приложение RustDesk. В некоторых случаях для большей убедительности в скачиваемых приложениях заменены названия и иконка на соответствующие тому или иному банку. Дополнительное психологическое воздействие оказывает и раздел с отзывами «довольных пользователей».

Антивирус Dr.Web детектирует приложение RustDesk как Tool.RustDesk.1.origin, а модифицированные приложения определяются как Android.FakeApp.1426. Для дополнительной безопасности компонент URL-фильтр блокирует доступ к сайтам злоумышленников, не позволяя пользователям стать жертвой обмана.

Компания «Доктор Веб» напоминает:

• Проявляйте бдительность, отвечая на звонки от банков и других организаций.
• Никогда не устанавливайте на свои устройства программы по чьей-то просьбе.
• Никому не сообщайте коды из СМС или push-уведомлений.
• Не разговаривайте с «сотрудниками банков». Если вам сообщают о несанкционированном списании средств с вашего счета — кладите трубку. Если хотите удостовериться, что все в порядке — перезвоните в банк самостоятельно по номеру, указанному на вашей карте.

Подробнее о Tool.RustDesk.1.origin

Подробнее о Android.FakeApp.1426

Индикаторы компрометации:

• помощникбанков[.]рф
• поддержкабанка[.]рф
• поддержка-банка[.]рф
• цбподдержка[.]рф
• поддержкацб[.]рф
• 24поддержка[.]рф

• sha1:2fcee98226ef238e5daa589fb338f387121880c6
• sha1:f28cb04a56d645067815d91d079b060089dbe9fe
• sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
• sha1:535ecea51c63d3184981db61b3c0f472cda10092
• sha1:ee406a21dcb4fe02feb514b9c17175ee95625213

https://news.drweb.ru/show/?i=14755&lng=ru&c=9

15 сентября 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в июле 2023 года пользователи сталкивались с рекламными троянскими программами семейства Android.HiddenAds на 33,48% чаще, чем в июне. При этом рекламные троянские программы семейства Android.MobiDash обнаруживались реже на 24,11%. По сравнению с предыдущим месяцем число атак шпионских троянских программ снизилось на 2,81%. В то же время активность банковских троянов увеличилась на 2,31%, а программам-вымогателей семейства Android.Locker — на 8,53%.

В каталоге Google Play были обнаружены новые угрозы. Среди них — троянская программа, с помощью которой злоумышленники пытались похитить у владельцев Android-устройств криптовалюту, а также очередные вредоносные приложения, подписывавшие жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3697

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.Pandora.7

Android.Pandora.5

Детектирование вредоносных приложений, скачивающих и устанавливающих троянскую программу-бэкдор Android.Pandora.2. Такие загрузчики злоумышленники часто встраивают в приложения для Smart TV, ориентированные на испаноязычных пользователей.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.SnoopPhone.1.origin

Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение и выполнять аудиозапись окружения.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут пытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Tool.ApkProtector.16.origin

Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Tool.Packer.3.origin

Детектирование Android-программ, код которых зашифрован и обфусцирован утилитой NP Manager.

Adware.Fictus.1.origin

Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Adware.ShareInstall.1.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.MagicPush.3

Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы пользователь видит рекламу.

Adware.AdPush.39.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.

Угрозы в Google Play

В июле 2023 года вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play троянскую программу Android.CoinSteal.105, предназначенную для кражи криптовалют. Злоумышленники пытались выдать ее за официальное приложение криптобиржи P2B, P2B official, распространяя под схожим именем — P2B Trade: Realize The P2Pb2b.

На следующем изображении слева представлен скриншот настоящей программы, справа — троянского приложения.

При этом подделку продвигали криптоблогеры, в результате чего число ее установок оказалось вдвое больше, чем у оригинала.

При запуске этот троян открывает в WebView заданный злоумышленниками сайт системы распределения трафика, с которого выполняется цепочка перенаправлений на другие ресурсы. На текущий момент троян загружает официальный сайт криптобиржи https://p2pb2b.com, однако целевыми потенциально могут быть и другие веб-сайты — мошеннические, содержащие рекламу и т. д.

После загрузки сайта криптобиржи Android.CoinSteal.105 внедряет в него JS-скрипты, с помощью которых подменяет адреса криптокошельков, вводимые пользователями для вывода криптовалют.

Кроме того, киберпреступники вновь распространяли через Google Play вредоносные программы, которые подписывали владельцев Android-устройств на платные услуги. Одной из них была троянская программа Android.Harly.80, скрывавшаяся в интерактивном приложении Desktop Pets – Lulu, которое предназначено для взаимодействия с виртуальным домашним питомцем.

Другие относились к семейству Android.Joker и были добавлены в вирусную базу Dr.Web как Android.Joker.2170, Android.Joker.2171 и Android.Joker.2176. Первый был встроен в программу Cool Charging Animation для отображения информации о зарядке батареи на экране блокировки. Второй скрывался в программе Smart Counter, предназначенной для записи действий и отслеживания хороших и плохих привычек. Третий распространялся под видом сборника изображений 4K HD Wallpaper для смены оформления фона домашнего экрана.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14746&lng=ru&c=9

15 сентября 2023 года

https://news.drweb.ru/show/?i=14749&lng=ru&c=9

13 сентября 2023 года

Компания «Доктор Веб» выявила новые версии троянов семейства Android.Spy.Lydia, которые выполняют ряд шпионских функций на зараженных устройствах с ОС Android, а также предоставляют злоумышленникам возможность удаленного управления с целью кражи персональной информации и денег. При этом трояны имеют защитный механизм, который проверяет, не запускаются ли они в эмуляторе или на тестовом устройстве. В таких случаях они прекращают работу.

Трояны распространяются через вредоносные сайты, маскирующиеся под финансовые организации — например, онлайн-биржи, основной аудиторией которых, по замыслу мошенников, призваны стать жители Ирана. Пример такого сайта — hxxp[:]//biuy.are-eg[.]com/dashbord.

Здесь потенциальной жертве предлагается ввести персональные данные: фамилию, имя, отчество, номер мобильного телефона, а также национальный идентификационный номер. После ввода запрашиваемой информации устройство открывает страницу hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php, на которой сообщается, что для доступа к торгам необходимо скачать и установить специальное программное обеспечение. Однако после нажатия на кнопку загрузки вместо ожидаемой благонадежной программы жертве отправляется одна из модификаций трояна Android.Spy.Lydia.1.

При запуске троян запрашивает с сайта hxxp[:]//teuoi[.]com ссылку на фишинговый сайт, который затем отображается на экране устройства посредством компонента WebView без запуска браузера. Полученная нами версия вредоносной программы открывала следующий URL: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php.

Фишинговая веб-страница, загруженная WebView, показана на скриншоте ниже:

Это форма для ввода национального идентификационного номера, на который впоследствии будет выполняться «выплата дивидендов». На этом шаге троян отправляет на управляющий сервер свой уникальный идентификатор и информацию об успешном заражении устройства.

После заражения троян подключается к удаленному хосту ws[:]//httpiamaloneqs[.]xyz:80 по протоколу WebSocket и ожидает поступления команд, которые отправляются всем зараженным устройствам одновременно. При этом каждая команда снабжена идентификатором того устройства, которому она адресована. На скриншоте ниже показаны команды, отправленные C&C-сервером ботнету.

Трояны семейства Android.Spy.Lydia способны выполнять следующие функции:

• собирать информацию об установленных приложениях,
• скрывать или показывать свой значок в списке приложений на домашнем экране,
• выключать звук на устройстве,
• передавать содержимое входящих СМС на сервер или на указанный номер,
• передавать на сервер содержимое буфера обмена,
• отправлять СМС произвольного содержания на заданные номера,
• передавать на сервер список контактов из телефонной книги,
• добавлять новые контакты в телефонную книгу,
• загружать заданные веб-сайты посредством компонента WebView.

Такие возможности позволяют злоумышленникам использовать это семейство троянов для перехвата СМС-сообщений, определения того, какими банковскими приложениями пользуется потенциальная жертва, и совершения мошеннических действий с банковскими счетами. Например, киберпреступники могут читать СМС от банков, чтобы узнать подробности о балансе счета и совершенных покупках, что позволяет им в дальнейшем с легкостью войти в доверие к пользователю. Также, используя технологию A2P (отправка СМС из приложений) и уязвимости протокола пересылки СМС, мошенники могут отправлять поддельные сообщения от имени банков, запрашивая выполнение каких-либо действий, что ставит безопасность банковских счетов под угрозу. Прочитав переписку жертвы, скамеры могут представиться кем-то из знакомых и попросить перевести деньги «в долг», помочь оплатить какой-то счет и т. п. Наконец, эти трояны позволяют обходить двухфакторную аутентификацию, предоставляя злоумышленникам полный доступ к банковскому счету после кражи соответствующих учетных данных.

К сожалению, такой тип атак резко набирает популярность: по данным Банка России число незаконных транзакций во втором квартале 2023 года выросло на 28,5%. За это время злоумышленникам удалось похитить 3,6 миллиарда рублей.

Компания «Доктор Веб» напоминает об опасности скачивания программного обеспечения из сомнительных источников, а также о необходимости проявлять осмотрительность при внезапных звонках или получении сообщений от банков и других организаций. Кроме того, мы настоятельно рекомендуем установить на устройство антивирус.

Антивирус Dr.Web Security Space для Android выявляет и обезвреживает троянов семейства Android.Spy.Lydia, защищая устройства наших пользователей, значительно затрудняя кражу личной информации и денег.

Индикаторы компрометации

Подробнее о Android.Spy.Lydia.1

https://news.drweb.ru/show/?i=14748&lng=ru&c=9

06 сентября 2023 года

Компания «Доктор Веб» выявила семейство троянских программ Android.Pandora, которое компрометирует устройства пользователей в процессе обновления прошивки или при установке приложений для нелегального просмотра видеоконтента. Обширные возможности по проведению DDoS-атак этот бэкдор унаследовал от своего предка — известного троянца Linux.Mirai.

Специалистам компании «Доктор Веб» поступили сообщения от нескольких пользователей о случаях изменения файлов в системной области. Монитор угроз отреагировал на наличие в файловой системе на устройствах следующих объектов:

• /system/bin/pandoraspearrk
• /system/bin/supervisord
• /system/bin/s.conf
• /system/xbin/busybox
• /system/bin/curl

Также было обнаружено изменение двух файлов:

• /system/bin/rootsudaemon.sh
• /system/bin/preinstall.sh

На разных устройствах изменялись разные файлы. Как выяснилось, скрипт, устанавливающий это вредоносное ПО, ищет системные сервисы, исполняемый код которых находится в .sh-файлах, и добавляет в них строчку, запускающую трояна:

• /system/bin/supervisord -c /system/bin/s.conf &

Это необходимо, чтобы троян закрепился в системе и запускался после перезагрузки устройства.

Особый интерес представляет обфусцированный файл с именем pandoraspearrk. После анализа он был добавлен в вирусную базу Dr.Web как бэкдор Android.Pandora.2. Основным его предназначением является использование зараженного устройства в составе ботнета для выполнения распределенных DDoS-атак. Файл supervisord — сервис, который контролирует статус исполняемого файла pandoraspearrk и в случае завершения его работы перезапускает бэкдор. Свои настройки supervisord получает из файла s.conf. Файлы busybox и curl являются обычными версиями одноименных утилит командной строки, которые присутствуют для обеспечения сетевых функций и работы с файловой системой. Файл rootsudaemon.sh запускает сервис daemonsu, обладающий root-привилегиями, и уже упомянутый supervisord с передачей ему параметров из s.conf. Программа preinstall.sh выполняет различные действия, заданные производителем устройства.

Данное вредоносное ПО направлено на пользователей устройств на базе Android TV, в первую очередь нижнего ценового сегмента. В частности, оно угрожает обладателям приставок Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 и ряда других.

Мы обнаружили, что этот троянец — модификация бэкдора Android.Pandora.10 (раньше назывался Android.BackDoor.334), содержавшегося во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3 от 3 декабря 2015 года. Вероятно, это обновление распространялось с различных сайтов, поскольку оно подписано публично доступными тестовыми ключами Android Open Source Project. Служба, которая запускает бэкдор, включена в загрузочный образ boot.img. На изображении ниже показан запуск вредоносного сервиса в файле init.amlogic.board.rc из boot.img.

Вторым вектором передачи бэкдоров семейства Android.Pandora является установка приложений с сайтов для нелегального стриминга фильмов и сериалов. Примерами таких ресурсов могут быть домены с именами типа youcine, magistv, latinatv и unitv, ориентированные на испаноязычных пользователей.

После установки и запуска приложения на устройстве незаметно для пользователя запускается сервис GoMediaService. После первого запуска приложения этот сервис автоматически стартует при загрузке устройства, вызывая программу gomediad.so. Рассматриваемая версия программы распаковывает ряд файлов, в том числе исполняемый classes.dex, который определяется антивирусом Dr.Web как объект Tool.AppProcessShell.1, представляющий собой командный интерпретатор с повышенными привилегиями. В дальнейшем программы на устройстве могут взаимодействовать с данной оболочкой командной строки через открытый порт 4521. На изображении ниже приведена структура файлов, созданных программой gomediad.so, которая детектируется как Android.Pandora.4, после ее запуска.

Среди распакованных файлов имеется .tmp.sh, который представляет собой установщик уже знакомого нам бэкдора Android.Pandora.2. После установки и запуска бэкдор получает адрес управляющего сервера из параметров командной строки или из файла, зашифрованного алгоритмом Blowfish. Обратившись к серверу, бэкдор скачивает файл hosts, заменяя им оригинальный системный файл, запускает процесс самообновления, после чего готов к приему команд.

Отправляя команды на зараженное устройство, злоумышленники могут запускать и останавливать DDoS-атаки по протоколам TCP и UDP, выполнять SYN, ICMP и DNS-flood, открывать reverse shell, монтировать системные разделы ОС Android TV на чтение и запись и т. д. Все эти возможности были реализованы за счёт использования кода троянца Linux.Mirai, который с 2016 года применялся для организации DDOS-атак на такие известные сайты как GitHub, Twitter, Reddit, Netflix, Airbnb и многие другие.

Компания «Доктор Веб» рекомендует обновлять операционную систему на ваших устройствах до самых последних доступных версий, которые закрывают имеющиеся уязвимости, а также скачивать программное обеспечение только из заслуживающих доверия источников: официальных сайтов или магазинов приложений.

Dr.Web Security Space для Android при наличии root-полномочий способен обезвредить Android.Pandora, а также приложения, в которые тот встроен. Если же на инфицированном устройстве root-привилегии недоступны, избавиться от вредоносной программы поможет установка чистого образа операционной системы, которую должен предоставить производитель оборудования.

Индикаторы компрометации

Подробнее о Android.Pandora.2 и Linux.Mirai

Подробнее о Android.Pandora.4

https://news.drweb.ru/show/?i=14743&lng=ru&c=9

06 сентября 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в июне 2023 года активность рекламных троянских программ семейства Android.HiddenAds возросла на 10,93%. В то же время рекламные вредоносные приложения семейства Android.MobiDash обнаруживались на защищаемых устройствах реже на 15,94%. По сравнению с маем число атак шпионских троянских программ снизилось на 47,15%, а банковских троянов — на 12,23%. Вместе с тем пользователи на 46,30% чаще сталкивались с вредоносными программами-вымогателями семейства Android.Locker.

В июне в каталоге Google Play были выявлены очередные угрозы. Среди них — вредоносные программы-подделки из семейства Android.FakeApp, а также троянские приложения Android.Joker, подписывающие жертв на платные сервисы.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3697

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.7795

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.Pandora.7

Детектирование вредоносных приложений, скачивающих и устанавливающих троянскую программу-бэкдор Android.Pandora.2. Такие загрузчики злоумышленники часто встраивают в приложения для Smart TV, ориентированные на испаноязычных пользователей.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.Reptilicus.8.origin

Приложение, позволяющее следить за владельцами Android-устройств. Оно способно контролировать местоположение устройства, собирать данные об СМС-переписке и беседах в социальных сетях, прослушивать телефонные звонки и окружение, создавать снимки экрана, отслеживать вводимую на клавиатуре информацию, копировать файлы с устройства и выполнять другие действия.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут пытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Tool.ApkProtector.16.origin

Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Adware.ShareInstall.1.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.

Adware.MagicPush.3

Adware.MagicPush.1

Рекламные модули, встраиваемые в Android-приложения. Они демонстрируют всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы пользователь видит рекламу.

Adware.AdPush.39.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В июне 2023 года специалисты компании «Доктор Веб» вновь обнаружили в каталоге Google Play троянские приложения семейства Android.FakeApp. Часть из них распространялась под видом программ финансовой тематики — справочников и пособий, домашней бухгалтерии, ПО для доступа к биржевой информации и т. д. Например, Android.FakeApp.1382, Android.FakeApp.1383, Android.FakeApp.1384, Android.FakeApp.1385, Android.FakeApp.1386, Android.FakeApp.1387 и другие. На самом деле их основной функцией была загрузка мошеннических сайтов, якобы имеющих отношение к инвестициям.

Другие такие программы распространялись под видом игр. Например, Android.FakeApp.1390, Android.FakeApp.1396, Android.FakeApp.1400 и Android.FakeApp.1401. При определенных условиях они могли загружать сайты онлайн-казино.

Ниже представлен пример работы одной из таких программ-подделок в качестве игры, а также загруженного ей сайта:

Кроме того, в июне были выявлены очередные троянские программы семейства Android.Joker. которые подписывали жертв на платные услуги. Они скрывались в приложениях Funny Prank Sounds, Beauty 4K Wallpaper и Chat SMS и по классификации антивируса Dr.Web получили имена Android.Joker.2143, Android.Joker.2152 и Android.Joker.2154 соответственно.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14735&lng=ru&c=9

06 сентября 2023 года

Анализ статистики детектирований антивируса Dr.Web в июне 2023 года показал снижение общего числа обнаруженных угроз на 5,40% по сравнению с маем. При этом число уникальных угроз увеличилось на 21,37%. Чаще всего пользователям угрожали всевозможные рекламные приложения и троянские программы, распространяемые в составе другого вредоносного ПО. В почтовом трафике вновь преобладали фишинговые PDF-документы.

По сравнению с последним весенним месяцем число обращений пользователей за расшифровкой файлов снизилось на 15,57%. Наиболее распространенными энкодерами стали Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.34027.

В течение июня вирусные аналитики компании «Доктор Веб» выявили в Google Play очередные мошеннические троянские программы семейства Android.FakeApp. Вместе с тем злоумышленники вновь распространяли троянские приложения Android.Joker, подписывавшие владельцев Android-устройств на платные услуги.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы июня:

Adware.Downware.20091

Adware.Downware.20280

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Trojan.BPlug.3814

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Adware.Siggen.33194

Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры пользователей при попытке скачать торрент-файлы.

Статистика вредоносных программ в почтовом трафике

PDF.Phisher.458

PDF.Phisher.486

PDF.Phisher.485

PDF.Phisher.498

PDF-документы, используемые в фишинговых email-рассылках.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Шифровальщики

В июне число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 15,57% по сравнению с маем.

Наиболее распространенные энкодеры июня:

• Trojan.Encoder.26996 — 20.56%
• Trojan.Encoder.3953 — 14.49%
• Trojan.Encoder.34027 — 4.21%
• Trojan.Encoder.35534 — 3.74%
• Trojan.Encoder.37400 — 3.74%

Опасные сайты

В июне 2023 года интернет-аналитики компании «Доктор Веб» отмечали рост числа сайтов, через которые пользователи якобы легально могут приобрести или восстановить те или иные документы России, стран СНГ и других государств. Например, паспорта, водительские удостоверения, дипломы, всевозможные справки, свидетельства и т. д. Владельцы таких сайтов заверяют потенциальных клиентов в полной легальности и безопасности подобных услуг. При этом в ряде случаев они могут отмечать, что не несут ответственности за предлагаемый «товар», и вся информация на их ресурсах представлена в «ознакомительных целях».

Пользователи, которые прибегают к подобным сомнительным услугам, рискуют сразу по нескольким причинам. Они могут не только столкнуться с мошенниками, которые украдут у них деньги, но и нарушить закон, купив не имеющую ничего общего с официальным документом подделку.

Пример сайта, предлагающего приобрести паспорт гражданина Российской Федерации:

Примеры сайтов, предлагающих приобрести дипломы об образовании:

Пример сайта, предлагающего приобрести водительские удостоверения и другие документы:

Вместе с тем злоумышленники продолжили создавать мошеннические сайты, на которых посетителям от имени интернет-магазинов предлагалось принять участие в розыгрыше призов. Потенциальным жертвам давалось несколько попыток. Вначале они «выигрывали» общедоступные промокоды на те или иные сервисы и услуги. Однако главным «подарком» становились крупные денежные вознаграждения в валюте иностранных государств. Для их получения пользователи якобы должны были заплатить комиссию за перевод на банковскую карту или электронный кошелек или же за конвертацию в другую валюту. На самом деле никаких денежных выигрышей жертвы мошенников не получали.

На представленных выше скриншотах показан пример одного из мошеннических сайтов, предлагающих принять участие в «розыгрыше» призов. По заранее заданному сценарию сайт сообщает о выигрыше $4500. Когда потенциальная жертва пытается забрать приз, она видит сообщение о якобы возникшей ошибке и необходимости оплаты комиссии за конвертацию валюты в российские рубли.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в июне 2023 года снизилась активность рекламных троянских программ семейства Android.MobiDash. При этом пользователей чаще атаковали аналогичные троянские программы из семейства Android.HiddenAds. По сравнению с маем владельцы Android-устройств реже сталкивались со шпионскими программами и банковскими троянами. В то же время возросло число атак вредоносных программ-вымогателей Android.Locker.

В течение июня в каталоге Google Play было выявлено множество новых угроз. Среди них — вредоносные программы семейства Android.FakeApp, а также троянские приложения Android.Joker, которые подписывают пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в июне:

• рекламные троянские программы остаются одними из самых распространенных Android-угроз,
• снижение активности шпионских и банковских троянских программ,
• рост активности программ-вымогателей,
• появление новых угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14741&lng=ru&c=9

27 июля 2023 года

Компания «Доктор Веб» выявила атаку на пользователей Windows с применением модульной троянской программы-загрузчика Trojan.Fruity.1. С ее помощью злоумышленники способны заражать компьютеры различными типами вредоносных приложений в зависимости от своих целей. Для сокрытия атаки и повышения шансов на ее успех используется ряд приемов. Среди них — многоступенчатый процесс заражения целевых систем, применение безобидных программ для запуска компонентов трояна, а также попытка обойти антивирусную защиту.

Уже примерно год компания «Доктор Веб» регистрирует обращения пользователей с жалобами на заражение Windows-компьютеров вредоносной программой-шпионом Remcos RAT (Trojan.Inject4.57973). В ходе расследования этих инцидентов наши специалисты вскрыли атаку, в которой главная роль отведена многокомпонентной троянской программе-загрузчику Trojan.Fruity.1. Для ее распространения злоумышленники создают вредоносные сайты, а также специально подготовленные установщики различных программ. Среди них — инструменты для тонкой настройки работы процессоров, видеокарт и BIOS, утилиты для проверки состояния компьютерного оборудования и ряд других. Такие установщики служат приманкой и содержат не только интересующее потенциальную жертву ПО, но и самого трояна вместе со всеми его компонентами.

При попытке скачать ту или иную программу с поддельного сайта посетитель перенаправляется на страницу файлообменного сервиса MEGA, где ему предлагается загрузить zip-архив с троянским пакетом.

Когда ничего не подозревающая жертва извлекает из архива исполняемый файл и запускает его, начинается стандартный процесс установки. Однако наряду с искомой безобидной программой, которая отвлекает внимание пользователя, на компьютер попадает и Trojan.Fruity.1. Вместе с другими компонентами он копируется в ту же папку, что и программа-приманка.

Одними из «модулей» трояна злоумышленники сделали легитимные программы. В рассматриваемом примере Trojan.Fruity.1 внедрен в одну из библиотек языка программирования Python, для запуска которой используется интерпретатор python.exe с действительной цифровой подписью. Кроме того, были выявлены случаи применения файлов медиаплеера VLC и среды виртуализации VMWare.

Ниже представлен список файлов, связанных с трояном:

• python39.dll — копия библиотеки из пакета Python с внедренным в нее вредоносным кодом;
• python.exe — оригинальный интерпретатор языка Python для запуска модифицированной библиотеки;
• idea.cfg — конфигурация с данными о расположении полезной нагрузки;
• idea.mp3 — зашифрованные модули трояна;
• fruit.png — зашифрованная полезная нагрузка.

После их извлечения из установщика начинается многоступенчатый процесс заражения системы. На следующем изображении представлена общая схема алгоритма работы Trojan.Fruity.1:

1 этап заражения

При запуске библиотеки python39.dll Trojan.Fruity.1 расшифровывает содержимое файла idea.mp3 и извлекает из него dll-библиотеку и шелл-код (код №1) для второй стадии. Он также считывает содержимое файла idea.cfg. Тот содержит строку с информацией о расположении полезной нагрузки, которую троян должен запустить. Полезная нагрузка может загружаться из интернета или располагаться на целевом компьютере локально. В данном случае используется локальный файл fruit.png, ранее извлеченный троянским установщиком.

2 этап заражения

Расшифрованный шелл-код (код №1) запускает командный интерпретатор cmd.exe в приостановленном состоянии. В память созданного процесса записывается информация о расположении полезной нагрузки (fruit.png), шелл-код для третьей стадии (код №2), а также контекст для его работы. Затем в образ расшифрованного на первом этапе dll-файла вносится патч, указывающий на адрес контекста в процессе. Далее происходит инжект этого dll-файла в процесс cmd.exe, после чего управление переходит библиотеке.

3 этап заражения

Инжектированная библиотека проверяет полученную строку с данными о расположении зашифрованной полезной нагрузки. Если строка начинается с аббревиатуры http, библиотека пытается скачать целевой файл из интернета. В противном случае она использует локальный файл. В данном случае библиотеке передается локальный путь до файла fruit.png. Это изображение перемещается во временный каталог, после чего запускается код №2 для его расшифровки. В файле fruit.png при помощи стеганографии скрыто два исполняемых файла (dll-библиотеки), а также шелл-код для инициализации следующей стадии (код №3).

4 этап заражения

После выполнения предыдущих шагов Trojan.Fruity.1 запускает код №3. С его помощью он пытается обойти детектирование антивирусами и помешать процессу своей отладки при анализе специалистами по информационной безопасности.

Троян пытается выполнить инжект в процесс msbuild.exe программы MSBuild. В случае неудачи попытка повторяется для процессов cmd.exe (командного интерпретатора Windows) и notepad.exe (программы «Блокнот»). В целевой процесс при помощи метода Process Hollowing внедряется одна из двух dll-бибилиотек, расшифрованных из изображения fruit.png, а также шелл-код для инициализации пятой стадии (код №4).

Затем во временном каталоге системы создается dll-файл со случайным названием, в который записывается содержимое расшифрованного исполняемого файла из того же изображения. Этот файл также инжектируется в целевой процесс. Однако при этом используется метод Process Doppelg"anging, с помощью которого оригинальный процесс приложения в памяти подменяется вредоносным. В рассматриваемом случае библиотека представляет собой троянскую программу-шпион Remcos RAT.

5 этап заражения

При помощи внедренных в библиотеку шелл-кода (код №4) и dll-библиотеки Trojan.Fruity.1 устанавливает приложение python.exe в автозагрузку операционной системы. Также он создает в системном планировщике задачу на его запуск. Кроме того, Trojan.Fruity.1 добавляет это приложение в список исключений на проверку встроенным антивирусом Windows. Далее шелл-код записывает в конец файла python39.dll случайные данные таким образом, чтобы у него изменилась хеш-сумма и тем самым тот отличался от оригинального файла из троянского установщика. Кроме того, он модифицирует метаданные библиотеки, изменяя дату и время ее создания.

Несмотря на то, что в настоящее время Trojan.Fruity.1 распространяет шпионскую программу Remcos RAT, с помощью него злоумышленники способны заражать компьютеры и другими вредоносными программами. При этом те могут как скачиваться из интернета, так и распространяться вместе с Trojan.Fruity.1 в составе троянских установщиков ПО. В результате у киберпреступников появляется больше возможностей для реализации различных сценариев атак.

Наши специалисты напоминают, что скачивать программное обеспечение необходимо только из заслуживающих доверия источников — с официальных сайтов разработчиков и из специализированных каталогов. Кроме того, для защиты компьютеров необходимо установить антивирус. Продукты Dr.Web успешно детектируют и удаляют троянскую программу Trojan.Fruity.1 и ее вредоносные компоненты, поэтому те не представляют опасности для наших пользователей.

Подробнее о Trojan.Fruity.1

Подробнее о Trojan.Inject4.57973

Индикаторы компрометации

https://news.drweb.ru/show/?i=14728&lng=ru&c=9

28 июня 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в мае 2023 года снизилась активность рекламных троянских программ семейств Android.HiddenAds и Android.MobiDash — на 9,04% и 6,3% соответственно. Вместе с тем число атак шпионских троянских приложений возросло на 120,53%. Чаще всего пользователи сталкивались с Android.Spy.5106 — шпионом, скрытым в некоторых неофициальных модификациях мессенджера WhatsApp. По сравнению с предыдущим месяцем число атак банковских троянских приложений снизилось на 55,33%, а программ-вымогателей — на 28,26%.

В мае специалисты компании «Доктор Веб» вновь обнаружили в каталоге Google Play вредоносные программы-подделки из семейства Android.FakeApp. Они распространялись под видом игр и могли загружать сайты онлайн-казино. Кроме того, были выявлены очередные троянские программы, подписывавшие пользователей на платные сервисы.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3697

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.7783

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.Spy.SpinOk.1

Детектирование приложений со встроенным маркетинговым SDK, которое предназначено для поддержания интереса пользователей к программам через систему заданий, мини-игр и якобы розыгрыши призов. Этот модуль обладает скрытыми шпионскими возможностями. Он собирает информацию о хранящихся на Android-устройствах файлах, способен передавать их злоумышленникам, а также может подменять и загружать содержимое буфера обмена на удаленный сервер.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.17.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут пытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.MagicPush.3

Adware.MagicPush.1

Рекламные модули, встраиваемые в Android-приложения. Они демонстрируют всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы пользователь видит рекламу.

Adware.AdPush.36.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.Inmobi.1

Детектирование некоторых версий рекламного SDK Inmobi, способных совершать телефонные звонки и добавлять события в календарь Android-устройств.

Угрозы в Google Play

В мае 2023 года вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play очередные вредоносные приложения семейства Android.FakeApp. Среди них — Android.FakeApp.1352, Android.FakeApp.1354, Android.FakeApp.1348, Android.FakeApp.1357, Android.FakeApp.1358, Android.FakeApp.1359 и Android.FakeApp.1360. Злоумышленники распространяли их под видом различных игр, однако вместо игровой функциональности эти программы-подделки могли загружать сайты онлайн-казино.

Пример работы одного из этих троянских приложений в игровом режиме и загрузки им сайта онлайн-казино:

Кроме того, в каталоге Google Play вновь были найдены троянские программы, подписывавшие жертв на платные услуги. Одной из них стала Android.Harly.66 — она скрывалась в приложении Screen Desktop Pet для интерактивной игры с анимированными персонажами. Другие распространялись под видом программы-металлоискателя Stud Finder, инструмента для поиска изображений Picture Search и коллекции стикеров для мессенджера WhatsApp под названием Relaxing Stickers. По классификации антивируса Dr.Web они получили имена Android.Joker.2117, Android.Joker.2118 и Android.Joker.2119 соответственно.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14718&lng=ru&c=9

28 июня 2023 года

Анализ статистики детектирований антивируса Dr.Web в мае 2023 года показал рост общего числа обнаруженных угроз на 1,24% по сравнению с апрелем. При этом число уникальных угроз снизилось на 8,25%. Наиболее часто пользователи вновь сталкивались с рекламными программами и троянскими приложениями различных семейств. В почтовом трафике массово распространялись применяемые в фишинг-атаках PDF-документы. Кроме того, через электронные письма киберпреступники рассылали вредоносные скрипты и программы, эксплуатирующие уязвимости в ПО Microsoft Office.

Число обращений пользователей за расшифровкой файлов снизилось на 0,27% по сравнению с предыдущим месяцем. Наиболее часто жертвы троянов-шифровальщиков сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35534.

В течение мая специалисты компании «Доктор Веб» вновь обнаружили в каталоге Google Play троянские программы семейства Android.FakeApp, которые злоумышленники применяют в различных мошеннических схемах. Кроме того, были выявлены очередные троянские программы, подписывающие пользователей на платные сервисы.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы мая:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Trojan.BPlug.4087

Trojan.BPlug.3814

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

PDF.Phisher.458

PDF.Phisher.455

PDF.Phisher.474

PDF.Phisher.467

PDF-документы, используемые в фишинговых email-рассылках.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Шифровальщики

В мае число запросов на расшифровку файлов, поврежденных троянскими программами-шифровальщиками, снизилось на 0,27% по сравнению с апрелем.

Наиболее распространенные энкодеры мая:

• Trojan.Encoder.26996 — 19.37%
• Trojan.Encoder.3953 — 15.71%
• Trojan.Encoder.35534 — 7.21%
• Trojan.Encoder.37400 — 3.60%
• Trojan.Encoder.34027 — 3.15%

Опасные сайты

В мае 2023 года злоумышленники продолжили рассылать нежелательные электронные письма со ссылками на различные мошеннические сайты — например, инвестиционной тематики. Так, интернет-аналитики компании «Доктор Веб» выявили очередные веб-ресурсы, предлагавшие пользователям заработать при помощи псевдоторговых автоматизированных систем Quantum System, Quantum UI, и т. п. Чтобы «получить доступ» к системе, потенциальные жертвы должны зарегистрировать учетную запись, указав персональные данные. Эта информация попадает в руки мошенников. Те могут перепродать ее на черном рынке, а также обманом вынудить пользователей доверить деньги якобы беспроигрышным алгоритмам торговли с высокой доходностью.

На скриншотах выше показаны примеры страниц одного из таких мошеннических сайтов. Посетителям предлагается регистрация, после чего запрашивается адрес электронной почты — якобы для получения дальнейших инструкций по использованию «продукции».

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в мае 2023 года по сравнению с апрелем пользователи реже сталкивались с рекламными троянскими программами. Кроме того, на защищаемых устройствах реже обнаруживались банковские трояны и вредоносные программы-вымогатели. В то же время значительно возросло число атак шпионских троянских приложений.

В течение месяца в каталоге Google Play были выявлены очередные угрозы. Среди них — мошеннические программы семейства Android.FakeApp, а также трояны семейств Android.Joker и Android.Harly, подписывающие пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в мае:

• снижение активности рекламных и банковских троянских программ, а также вредоносных приложений-вымогателей,
• рост активности шпионских троянских программ,
• появление очередных угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14719&lng=ru&c=9

14 июня 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в апреле 2023 года пользователи сталкивалась с рекламными троянскими программами семейства Android.HiddenAds на 16,13% реже, а с представителями семейства Android.MobiDash — на 40,42% чаще, чем в марте. При этом данный тип вредоносных приложений остается одним из наиболее распространенных для платформы Android.

На 27,89% сократилась активность шпионских троянских программ. Чаще всего на защищаемых устройствах вновь обнаруживались различные варианты трояна-шпиона (в том числе Android.Spy.5106 и Android.Spy.4498), скрытого в некоторых неофициальных модификациях мессенджера WhatsApp.

По сравнению с мартом количество атак банковских троянских программ возросло на 32,38%, а вредоносных приложений-вымогателей Android.Locker — на 14,83%.

В течение апреля вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные вредоносные приложения-подделки из семейства Android.FakeApp, которые злоумышленники использовали в различных мошеннических схемах. Кроме того, киберпреступники распространяли через Google Play троянскую программу из семейства Android.Joker — она подписывала жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.MobiDash.7783

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.HiddenAds.3597

Android.HiddenAds.3558

Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.17.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут пытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.MagicPush.1

Adware.MagicPush.3

Рекламные модули, встраиваемые в Android-приложения. Они демонстрируют всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы пользователь видит рекламу.

Adware.AdPush.36.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.Youmi.4

Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.

Угрозы в Google Play

В апреле 2023 года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play более 30 вредоносных программ семейства Android.FakeApp. Часть из них (Android.FakeApp.1320, Android.FakeApp.1329, Android.FakeApp.1331, Android.FakeApp.1336, Android.FakeApp.1340, Android.FakeApp.1347 и прочие) распространялась под видом приложений финансовой тематики. Например, различных справочников и пособий по инвестированию, инструментов для торговли, программ для участия в опросах и т. д. Однако их настоящей функцией была загрузка мошеннических сайтов, через которые злоумышленники пытались получить от потенциальных жертв персональные данные и похитить их деньги.

Другие программы этого типа распространялись под видом игр, например — Android.FakeApp.1322, Android.FakeApp.1326, Android.FakeApp.1330, Android.FakeApp.1334, Android.FakeApp.1337 и Android.FakeApp.26.origin. Вместо ожидаемой функциональности они могли загружать сайты онлайн-казино.

Примеры их двойственного поведения представлены ниже. В первом случае в них доступна игровая функциональность, во втором — происходит загрузка целевых сайтов.

Кроме того, наши специалисты выявили очередные мошеннические программы, которые злоумышленники выдавали за инструменты для поиска вакансий. Эти представители семейства Android.FakeApp, добавленные в вирусную базу Dr.Web как Android.FakeApp.1324 и Android.FakeApp.1307, предлагали пользователям указать персональные данные в специальной форме или связаться с «работодателями» через мессенджеры.

Вместе с тем злоумышленники распространяли через Google Play троянскую программу Android.Joker.2106, которая подписывала жертв на платные услуги. Она скрывалась в приложении для создания подписей и работы с ними.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14708&lng=ru&c=9

14 июня 2023 года

Анализ статистики детектирований антивируса Dr.Web в апреле 2023 года показал снижение общего числа обнаруженных угроз на 2,08% по сравнению с мартом. Число уникальных угроз при этом также снизилось — на 17,40%. Наиболее активными среди них вновь оказались рекламные программы и троянские приложения различных семейств. В почтовом трафике преобладали вредоносные скрипты и PDF-документы, применяемые в фишинг-атаках.

Число обращений пользователей за расшифровкой файлов снизилось на 13,75% по сравнению с предыдущим месяцем. Наиболее часто жертвы троянов-шифровальщиков вновь сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35534.

В течение апреля в каталоге Google Play было выявлено множество угроз. Среди них — троянские программы Android.FakeApp, используемые в мошеннических целях, а также вредоносное приложение из семейства Android.Joker, которое подписывало жертв на платные услуги.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы апреля:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Trojan.BPlug.4087

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

PDF.Phisher.455

PDF.Phisher.456

PDF.Phisher.458

PDF.Phisher.463

PDF-документы, используемые в фишинговых email-рассылках.

Шифровальщики

В апреле число запросов на расшифровку файлов, поврежденных троянскими программами-шифровальщиками, снизилось на 13,75% по сравнению с мартом.

Наиболее распространенные энкодеры апреля:

• Trojan.Encoder.26996 — 24.31%
• Trojan.Encoder.3953 — 19.92%
• Trojan.Encoder.35534 — 4.38%
• Trojan.Encoder.35209 — 3.59%
• Trojan.Encoder.11539 — 3.19%

Опасные сайты

В апреле 2023 года интернет-мошенники не оставляли попыток заманить пользователей на фишинговые сайты — например, на поддельные ресурсы интернет-магазинов. Так, для российских пользователей злоумышленники вновь организовывали спам-рассылки электронных писем с ненастоящими купонами на скидку якобы от имени магазина «М.Видео».

Для «покупки» понравившихся товаров посетители должны были указать персональные данные, а также данные банковской карты. На самом деле жертвы обмана лишь предоставляли злоумышленникам личную информацию и рисковали потерять деньги, «оплачивая» несуществующий товар.

Пример содержимого спам-письма с ложной информацией о промокоде на скидку и ссылкой на поддельный интернет-ресурс магазина:

Примеры страниц фишингового интернет-ресурса, имитирующего внешний вид настоящего сайта магазина, представлены ниже. Посетителям предлагается указать персональную информацию и «оплатить» заказ.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в апреле 2023 года рекламные троянские программы вновь стали одними из наиболее распространенных Android-угроз. По сравнению с мартом пользователи чаще сталкивались с программами-вымогателями, а также банковскими троянскими приложениями. Вместе с тем наблюдалось снижение активности шпионских троянских программ.

В течение апреля в каталоге Google Play были выявлены очередные угрозы. Среди них — программы-подделки из семейства Android.FakeApp, применяемые в различных мошеннических схемах, а также представитель опасного семейства Android.Joker, подписывавший жертв на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:

• рекламные троянские программы остаются одними из наиболее распространенных Android-угроз,
• рост активности банковских троянских программ и приложений-вымогателей,
• распространение угроз через каталог Google Play.

Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14709&lng=ru&c=9

13 июня 2023 года

Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На данный момент с его помощью злоумышленникам удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.

В конце мая 2023 года в компанию «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный нашими специалистами анализ подтвердил факт присутствия троянских программ в системе —стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» успешно локализовала все эти угрозы и справилась с их обезвреживанием.

В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально. Дальнейшее исследование позволило выявить несколько таких зараженных сборок Windows:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Все они были доступны для скачивания на одном из торрент-трекеров, однако нельзя исключать, что злоумышленники используют и другие сайты для распространения инфицированных образов системы.

Вредоносные программы в этих сборках расположены в системном каталоге:

• \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
• \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
• \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа Trojan.MulDrop22.7578:

%SystemDrive%\Windows\Installer\iscsicli.exe

Ее задача — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.

В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.

Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется ряд ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.

Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для специалистов по информационной безопасности.

По подсчетам наших вирусных аналитиков, на момент публикации этой новости с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме $18 976,29 или 1 568 233 рубля.

Компания «Доктор Веб» рекомендует пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей. Антивирус Dr.Web успешно обнаруживает и нейтрализует Trojan.Clipper.231 и связанные с ним вредоносные приложения, поэтому для наших пользователей эти троянские программы опасности не представляют.

Подробнее о Trojan.Clipper.231

Подробнее о Trojan.MulDrop22.7578

Подробнее о Trojan.Inject4.57873

Индикаторы компрометации

https://news.drweb.ru/show/?i=14712&lng=ru&c=9

https://news.drweb.ru/show/?i=14705&lng=ru&c=9

17 мая 2023 год

Анализ статистики детектирований антивируса Dr.Web в марте 2023 года показал рост общего числа обнаруженных угроз на 21,39% по сравнению с февралем. Число уникальных угроз при этом увеличилось на 46,64%. Чаще всего пользователи сталкивались с рекламными приложениями, а также со всевозможными троянскими программами. В почтовом трафике наиболее часто выявлялись вредоносные скрипты и программы, эксплуатирующие уязвимости в ПО Microsoft Office.

Число обращений пользователей за расшифровкой файлов возросло на 7,3% по сравнению с предыдущим месяцем. Наиболее часто жертвы троянов-шифровальщиков сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35534.

Вместе с тем специалисты компании «Доктор Веб» обнаружили в каталоге Google Play свыше 60 вредоносных приложений из семейства Android.FakeApp, которые злоумышленники использовали в различных мошеннических схемах.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы марта:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Trojan.BPlug.4087

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

Trojan.Inject4.30942

Детектирование программного упаковщика, применяемого для защиты вредоносного приложения-кейлоггера.

Шифровальщики

В марте число запросов на расшифровку файлов, поврежденных троянами-шифровальщиками, увеличилось на 7,3% по сравнению с февралем.

• Trojan.Encoder.26996 — 20.00%
• Trojan.Encoder.3953 — 15.82%
• Trojan.Encoder.35534 — 10.15%
• Trojan.Encoder.35209 — 2.99%
• Trojan.Encoder.34027 — 2.39%

Опасные сайты

В марте 2023 года интернет-аналитики компании «Доктор Веб» вновь зафиксировали активность мошенников, пытавшихся заманить пользователей на поддельные сайты инвестиционной тематики, например — якобы аффилированные с известными компаниями. На таких сайтах потенциальным жертвам предлагается получить доступ к неким инвестиционным платформам, которые якобы позволяют быстро и без рисков получить доход от вложений. На самом деле злоумышленники вводят пользователей в заблуждение: они собирают персональную информацию и вовлекают жертв в различные мошеннические схемы, участие в которых может привести к потере денег.

На скриншотах выше представлены примеры страниц одного из таких сайтов. Вначале посетителю предлагается получить «доступ» к платформе, для чего требуется пройти формальный опрос. Далее у него запрашивается персональная информация. В конце на сайте появляется сообщение о том, что пользователь успешно прошел регистрацию, и что с ним в дальнейшем свяжется «эксперт».

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в марте 2023 года наиболее распространенными угрозами по-прежнему оставались рекламные троянские приложения семейства Android.HiddenAds. Кроме того, пользователи чаще сталкивались с банковскими троянскими приложениями, а также с программами-вымогателями. Вместе с тем на защищаемых Android-устройствах реже встречалось шпионское вредоносное ПО.

В течение прошлого месяца наши вирусные аналитики выявили в каталоге Google Play десятки троянских программ-подделок из семейства Android.FakeApp. Они распространялись под видом безобидных игр и приложений, однако их основной задачей была загрузка тех или иных сайтов, в том числе мошеннических. Кроме того, наши специалисты выявили случаи заражения защищенного системного раздела одной из моделей ТВ-приставок на базе ОС Android опасным бэкдором Android.Pandora.2, который по команде атакующих способен выполнять различные вредоносные действия.

Наиболее заметные события, связанные с «мобильной» безопасностью в марте:

• рост активности рекламных троянских программ,
• рост числа атак банковских троянских приложений и программ-вымогателей,
• выявление случаев заражения системного раздела одной из моделей телевизионных Android-приставок опасным бэкдором,
• обнаружение очередных угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14694&lng=ru&c=9

17 мая 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в марте 2023 года одними из наиболее распространенных угроз вновь стали рекламные троянские приложения, представленные семействами Android.HiddenAds и Android.MobiDash. Активность первых осталась на уровне прошлого месяца и выросла на незначительные 0,16%, в то время как вторые активизировались более заметно — на 11,89%. Реже (на 5,01%) детектировались шпионские троянские программы, существенную долю которых в очередной раз составили различные варианты трояна, скрытого в некоторых неофициальных модификациях мессенджера WhatsApp.

Количество атак банковских троянских приложений увеличилось на 78,47%. Чаще всего пользователи сталкивались с представителями семейства Android.BankBot, на которые пришлось 73,06% детектирований угроз этого типа. В то же время на 0,47% выросла активность вредоносных программ-вымогателей Android.Locker.

Вместе с тем в течение марта вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных программ из семейства Android.FakeApp, которые злоумышленники использовали в различных мошеннических схемах. Кроме того, были выявлены случаи заражения защищенного системного раздела одной из моделей ТВ-приставок на базе ОС Android опасным бэкдором Android.Pandora.2, способным по команде выполнять различные вредоносные действия.

Мобильная угроза месяца

В марте вирусные аналитики компании «Доктор Веб» выявили случаи заражения системного раздела одной из моделей телевизионных Android-приставок троянским приложением-бэкдором Android.Pandora.2. Установленный на затронутых устройствах антивирус Dr.Web зафиксировал появление новых файлов в защищенной системной области. Среди них была и указанная вредоносная программа. По команде злоумышленников Android.Pandora.2 способен модифицировать или полностью подменять системный файл hosts, отвечающий за преобразование доменных имен в соответствующие им IP-адреса, осуществлять DDoS-атаки, загружать и устанавливать собственные обновления, а также выполнять другие действия.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3597

Android.HiddenAds.3558

Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Clipper.7

Детектирование некоторых версий официальных приложений онлайн-магазинов SHEIN и ROMWE - Ultimate Cyber Mall, имеющих потенциально опасную функцию копирования информации из буфера обмена, свойственную клиперам. Затронутые варианты программ отслеживают содержимое буфера и при появлении в нем заданной последовательности символов, характерной для определенных URL-адресов, передают соответствующие строки на удаленный сервер.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.17.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.Androlua.1.origin

Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.AdPush.36.origin

Adware.Adpush.19599

Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, данные модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Adware.SspSdk.1.origin

Adware.AdSpam.1

Специализированный рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует рекламу, когда содержащие его программы закрыты. В результате пользователям сложнее определить источник надоедливых объявлений.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В марте 2023 года специалисты компании «Доктор Веб» выявили в каталоге Google Play десятки новых троянских приложений из семейства Android.FakeApp. Они распространялись под видом различных полезных программ, но в действительности основной их задачей была загрузка всевозможных сайтов. Многие из них — например, Android.FakeApp.1251, Android.FakeApp.1254, Android.FakeApp.1257, Android.FakeApp.1258, Android.FakeApp.1260 и Android.FakeApp.1294 — злоумышленники вновь выдавали за программы финансовой тематики, такие как справочники и обучающие пособия, инструменты для доступа к инвестиционным платформам и торговли различными активами, программы для ведения домашней бухгалтерии, участия в опросах и т. д. Такие приложения-подделки могли загружать мошеннические сайты, где пользователям предлагалось указать персональную информацию и зарегистрировать учетную запись — якобы для доступа к инвестиционным сервисам.

Другие подобные приложения вновь распространялись под видом всевозможных игр. Например, Android.FakeApp.1252, Android.FakeApp.1255, Android.FakeApp.1268, Android.FakeApp.1272, Android.FakeApp.1278, Android.FakeApp.1280, Android.FakeApp.1297 и ряд других. Вместо ожидаемой функциональности они могли загружать сайты онлайн-казино.

Примеры запуска такими троянскими программами игрового режима:

Примеры загружаемых ими сайтов онлайн-казино:

Наши специалисты также обнаружили очередные программы-подделки, которые мошенники выдавали за приложения для поиска работы. Они загружали сайты со списками поддельных вакансий. При выборе понравившейся «вакансии» потенциальным жертвам предлагалось указать в специальной форме персональные данные или связаться с «работодателем» через мессенджеры — например, WhatsApp. Антивирус Dr.Web детектирует эти вредоносные приложения как Android.FakeApp.1133 и Android.FakeApp.23.origin.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14695&lng=ru&c=9

6 апреля 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в феврале 2023 года возросла активность рекламных троянских приложений семейства Android.HiddenAds — на 26,95% по сравнению с январем. В то же время на 7,27% снизилась активность рекламных вредоносных программ Android.MobiDash.

Реже на защищаемых Dr.Web устройствах выявлялись банковские троянские приложения и программы-вымогатели — на 70,57% и 14,63% соответственно. Кроме того, на 33,93% снизилась активность шпионских троянских приложений, наиболее распространенными среди которых стали различные варианты трояна, атакующего пользователей некоторых неофициальных модификаций мессенджера WhatsApp.

В течение февраля вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play свыше 70 вредоносных приложений. Большинство принадлежало к семейству мошеннических программ Android.FakeApp. Были среди них и троянские приложения, которые подписывали жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Android.Spy.4498

Детектирование различных вариантов трояна, который представляет собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Эта вредоносная программа может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3558

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.7422

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.17.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.13.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Adware.AdPush.36.origin

Adware.Adpush.19599

Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, данные модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Adware.SspSdk.1.origin

Специализированный рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует рекламу, когда содержащие его программы закрыты. В результате пользователям сложнее определить источник надоедливых объявлений.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.Fictus.1.origin

Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Угрозы в Google Play

В феврале 2023 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные вредоносные приложения, подписывавшие владельцев Android-устройств на платные услуги. Так, троянские программы семейства Android.Subscription — Android.Subscription.19 и Android.Subscription.20 — распространялись под видом сборника изображений WPHD - Wallpapers 4K и утилиты для восстановления удаленных файлов Back File.

Вредоносные приложения этого типа при запуске загружают сайты платных сервисов и пытаются оформить подписку либо автоматически, либо предлагая пользователям указать номер мобильного телефона. Ниже представлены примеры веб-сайтов, которые обнаруженные троянские программы загружали с целью оформления платной подписки:

А новые представители семейства Android.Joker, получившие имена Android.Joker.2038 и Android.Joker.2039, скрывались в приложении Photo Safe для защиты файлов от несанкционированного доступа и в программе Home Security Camera, которая позволяла управлять камерами наблюдения через смартфон или использовать само устройство в режиме видеонаблюдения. Эти вредоносные программы загружают сайты целевых сервисов незаметно, после чего самостоятельно подключают жертв к платным услугам.

Кроме того, наши специалисты обнаружили десятки программ-подделок семейства Android.FakeApp, которые распространялись под видом разнообразного ПО. Многие из них злоумышленники выдавали за всевозможные приложения финансовой тематики — справочники и обучающие пособия, программы для прохождения опросов, торговли и просмотра данных о котировках, инструменты для ведения домашней бухгалтерии и т. д. Среди них — Android.FakeApp.1219, Android.FakeApp.1220, Android.FakeApp.1221, Android.FakeApp.1226, Android.FakeApp.1228, Android.FakeApp.1229, Android.FakeApp.1231, Android.FakeApp.1232, Android.FakeApp.1241 и другие.

Если пользователи устанавливали их при переходе по специальной ссылке (например, из рекламного объявления), то при запуске программ загружались мошеннические сайты. На них потенциальным жертвам предлагалось пройти небольшой опрос и получить доступ к «инвестиционной платформе», зарегистрировав учетную запись с указанием персональных данных. Если же установка программ была органической (то есть пользователи находили и устанавливали такие подделки по собственной инициативе), некоторые из них вместо загрузки сайтов мошенников демонстрировали ожидаемую функциональность.

Примеры загружаемых ими мошеннических сайтов:

Ряд программ злоумышленники преподносили в качестве приложений спортивной тематики или официального ПО букмекерских контор.

Некоторые из них (Android.FakeApp.1192, Android.FakeApp.1193, Android.FakeApp.1194, Android.FakeApp.22.origin, Android.FakeApp.1195, Android.FakeApp.1196 и другие) выполняли проверку устройств, на которых работали. Если они обнаруживали, что эти устройства тестовые (например, с отсутствующей SIM-картой или модели линейки Nexus), то активировали безобидную функциональность — запускали игры, викторины (так называемые квизы), загружали спортивные таблицы, информацию о матчах и т. д. В противном случае они открывали в WebView или браузере сайты, адреса которых получали из базы данных Firebase. Другие такие программы-подделки (Android.FakeApp.1197, Android.FakeApp.1198, Android.FakeApp.1199, Android.FakeApp.1200, Android.FakeApp.1201, Android.FakeApp.1202, Android.FakeApp.1204, Android.FakeApp.1209, Android.FakeApp.1212 и другие) соединялись с удаленным сервером, который принимал решение о запуске скрытых безобидных функций или загрузке того или иного сайта. А троянская программа Android.FakeApp.1203 получала ссылки для загрузки сайтов из облачного сервиса Firebase Remote Config. Ниже представлены примеры работы этих программ.

Запуск игр и загрузка таблицы футбольных матчей:

Те же самые приложения загружают сайты букмекеров:

Распространявшиеся под видом игр программы-подделки Android.FakeApp.1222, Android.FakeApp.1224, Android.FakeApp.1225 и Android.FakeApp.1235 вместо игровой функциональности могли загружать в браузере Google Chrome сайты онлайн-казино.

Пример работы одной из них в режиме игры:

Примеры загружаемых ими веб-страниц:

Была среди выявленных подделок и очередная программа, которая распространялась под видом инструмента поиска работы и загружала мошеннические сайты со списком ненастоящих вакансий. Когда пользователи выбирали одно из объявлений, им предлагалось либо оставить свои контактные данные, заполнив специальную форму, либо связаться с «работодателем» напрямую через мессенджер. Эта подделка является одной из модификаций троянского приложения, известного с конца 2022 года, и детектируется Dr.Web как Android.FakeApp.1133.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14687&lng=ru&c=9

6 апреля 2023 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2023 года показал рост общего числа обнаруженных угроз на 22,29% по сравнению с январем. Число уникальных угроз при этом увеличилось на 34,02%. Чаще всего детектировались всевозможные рекламные приложения и троянские программы различных семейств. В почтовом трафике наиболее часто выявлялись вредоносные скрипты и программы, эксплуатирующие уязвимости в ПО Microsoft Office. Кроме того, через сообщения электронной почты активно распространялись фишинговые HTML-файлы, которые имитировали авторизацию на известных сайтах с целью хищения аутентификационных данных.

Число обращений пользователей за расшифровкой файлов снизилось на 17,63% по сравнению с предыдущим месяцем. Наиболее часто жертв троянов-шифровальщиков атаковали энкодеры Trojan.Encoder.3953, Trojan.Encoder.26996 и Trojan.Encoder.35534.

В течение февраля специалисты компании «Доктор Веб» выявили десятки новых вредоносных приложений в Google Play. Среди них — множество программ-подделок, способных загружать всевозможные мошеннические и нежелательные сайты, а также трояны, которые подписывали пользователей Android-устройств на платные услуги.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы февраля:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Adware.Downware.20272

Adware.Downware.20088

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

LNK.Starter.56

Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.

Шифровальщики

В феврале число запросов на расшифровку файлов, поврежденных троянами-шифровальщиками, снизилось на 17,63% по сравнению с январем.

• Trojan.Encoder.3953 — 23.62%
• Trojan.Encoder.26996 — 21.26%
• Trojan.Encoder.35534 — 5.51%
• Trojan.Encoder.34027 — 2.36%
• Trojan.Encoder.30356 — 1.97%

Опасные сайты

В феврале 2023 года интернет-аналитики компании «Доктор Веб» продолжили фиксировать появление мошеннических сайтов. Среди них были очередные веб-ресурсы, якобы открывающие посетителям доступ к заработку через инвестиции. Там пользователям предлагалось пройти небольшой опрос, после чего запрашивались персональные данные для регистрации учетной записи. Указываемая информация попадала к мошенникам и в дальнейшем могла использоваться в различных атаках. Кроме того, злоумышленники не оставляли попыток заманить потенциальных жертв на сайты, предлагавшие якобы бесплатные лотерейные билеты. Каждый посетитель становился «победителем» и для получения несуществующего выигрыша должен был заплатить «комиссию» или оплатить «доставку» денег.

На изображениях выше показаны примеры страниц одного из поддельных сайтов. Посетитель якобы выиграл в онлайн-лотерею 224 138 рублей и для «получения» приза должен заплатить некую комиссию размером 1176 рублей, предоставив данные банковской карты.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в феврале 2023 года пользователи чаще всего вновь сталкивались с демонстрирующими надоедливую рекламу троянскими приложениями семейства Android.HiddenAds. В то же время снизилась активность банковских троянских приложений, программ-вымогателей и шпионских вредоносных программ. Вместе с тем в течение месяца специалисты «Доктор Веб» выявили в каталоге Google Play десятки новых угроз. Среди них — программы семейства Android.FakeApp, способные загружать мошеннические и другие нежелательные сайты, а также троянские приложения Android.Joker и Android.Subscription, подписывающие пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в феврале:

• рост активности рекламных троянских программ,
• снижение активности банковских троянских приложений и программ-вымогателей,
• обнаружение множества угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14689&lng=ru&c=9

29 марта 2023 года

В 2022 году наиболее распространенными угрозами вновь стали различные вредоносные приложения, при этом по сравнению с 2021 годом число их атак значительно возросло. Наиболее часто пользователи сталкивались с основанными на скриптовом языке AutoIt троянскими программами. Злоумышленники применяли их, чтобы скрыть от обнаружения другие угрозы. Атаковали пользователей и всевозможные загрузчики и дропперы. Первые скачивали и запускали на целевых компьютерах полезную нагрузку, вторые — распространяли в своем составе вредоносное ПО и извлекали его при заражении систем. Кроме того, активность проявили бэкдоры, дистанционно выполняющие различные команды, а также рекламные троянские приложения.

Среди угроз в электронной почте наиболее заметными стали всевозможные вредоносные скрипты, фишинговые PDF-документы и веб-страницы, а также вредоносные программы, эксплуатирующие уязвимости документов Microsoft Office. В почтовом трафике также встречались бэкдоры и другие троянские программы.

Весной 2022 года компания «Доктор Веб» опубликовала исследование APT-атаки на одну из телекоммуникационных компаний Казахстана. Наши специалисты выяснили, что за атакой стояла хакерская группировка Calypso APT. При этом злоумышленников в первую очередь интересовали почтовые серверы азиатских компаний с установленным ПО Microsoft Exchange. Тем не менее их жертвами стали компании и из других стран.

В течение года наши вирусные аналитики выявили сразу несколько атак с использованием вредоносных программ для платформы Linux. В сентябре киберпреступники пытались заразить ряд корпоративных компьютеров майнером. А в декабре была обнаружена троянская программа-бэкдор, которая эксплуатировала уязвимости во множестве устаревших версий плагинов к CMS WordPress и взламывала сайты на ее базе.

Интернет-аналитики «Доктор Веб» отмечали высокую активность мошенников — те продолжили создавать множество фишинговых и поддельных интернет-ресурсов. Популярностью среди злоумышленников пользовались подделки сайтов известных банков, онлайн-магазинов, нефтегазовых, транспортных и других компаний. Кроме того, они умело подстраивали свою незаконную деятельность под происходящие в мире события.

Вместе с тем не пришлось скучать и владельцам мобильных устройств. В течение года пользователи Android сталкивались со шпионскими программами, рекламными троянскими приложениями, мошенническим и нежелательным рекламным ПО. При этом злоумышленники вновь активно использовали каталог Google Play для распространения всевозможных угроз. Их успели загрузить десятки миллионов пользователей. В то же время наши специалисты обнаружили троянские приложения, похищавшие криптовалюту у владельцев как «андроидов», так и устройств под управлением iOS. В большинстве случаев киберпреступники прятали этих троянов в модифицированных версиях популярных криптокошельков.

Наиболее интересные события 2022 года

В марте 2022 года «Доктор Веб» опубликовал исследование APT-атаки на одну из телекоммуникационных компаний Казахстана. Осенью 2021 года та обратилась в нашу вирусную лабораторию с подозрением на присутствие вредоносного ПО в корпоративной сети. Расследование инцидента показало, что за атакой стояла хакерская группировка Calypso APT. При этом компрометация серверов организации произошла намного раньше — еще в 2019 году. Злоумышленники применяли широкий набор вредоносных инструментов, но основными стали бэкдоры Backdoor.PlugX.93 и BackDoor.Whitebird.30, а также утилиты Fast Reverse Proxy (FRP) и RemCom. Первостепенной целью киберпреступников являлись почтовые серверы азиатских компаний с установленным ПО Microsoft Exchange. Однако жертвами данной APT-атаки стали и компании из ряда других стран — Египта, Италии, США и Канады.

В апреле вирусные аналитики «Доктор Веб» предупредили о росте числа атак на российские организации, когда злоумышленники шифровали файлы, но не требовали выкуп за расшифровку и не оставляли свои контакты. Для доступа к инфраструктуре целевых компаний атакующие применяли несколько схем. Во-первых, они эксплуатировали различные варианты уязвимостей ProxyLogon и ProxyShell в ПО Microsoft Exchange. Во-вторых, были зафиксированы случаи получения доступа к данным административных учетных записей через дамп памяти процесса lsass.exe с использованием утилиты ProcDump. В случае успеха атакующие подключались к контроллеру домена, откуда на устройства в корпоративной сети устанавливались приложения Bitlocker и Jetico BestCrypt Volume Encryption. С их помощью и выполнялось шифрование жестких дисков.

В конце лета была выявлена попытка заражения троянской программой-майнером Linux.Siggen.4074 ряда корпоративных компьютеров под управлением ОС Linux, принадлежащих одному из наших клиентов. Проведенный специалистами «Доктор Веб» анализ показал, что на пострадавших устройствах задача на скачивание этого трояна была прописана в планировщике cron. Благодаря установленному в целевых системах антивирусу Dr.Web попытки заражения успешно пресекались, что в очередной раз подтвердило важность обеспечения безопасности Linux-систем в той же мере, что и других платформ.

А уже в декабре необходимость такой защиты была продемонстрирована выявленной нашими специалистами троянской программой-бэкдором Linux.BackDoor.WordPressExploit.1. Она взламывала сайты под управлением CMS WordPress, эксплуатируя несколько десятков уязвимостей в устаревших версиях плагинов к этой платформе, для которых не были установлены необходимые исправления. В случае успеха в веб-страницы целевых сайтов внедрялся загружаемый с удаленного сервера вредоносный JavaScript. После этого при клике мышью в любом месте таких зараженных страниц пользователи перенаправлялись на нужные злоумышленникам сайты.

В течение года повышенную активность проявляли мошенники. При этом наряду с уже привычными схемами обмана они добавили в свой арсенал и новые приемы, соответствующие актуальной повестке дня. Например, летом наши специалисты выявили мошеннические рассылки должникам украинских банков, проживающим на освобожденных территориях. В сообщениях содержалась ложная информация о переуступке прав требования задолженностей, а также запрос на предоставление персональных данных. Чтобы такие поддельные сообщения выглядели более убедительно, мошенники отправляли их от имени кредитной организации АО «Тинькофф Банк» и добавляли к ним соответствующий логотип.

А осенью с целью похитить у пользователей деньги и собрать актуальные персональные данные мошенники эксплуатировали тему частичной мобилизации. Так, потенциальным жертвам поступали сообщения с информацией о наличии их данных в списках призывников и о том, что через портал «Госуслуги» в скором времени им должна прийти повестка. При этом для большей убедительности мошенники обращались к пользователям по имени и отчеству. В конечном счете пользователям предлагалось перевести деньги на биткойн-кошелек отправителя такого сообщения, чтобы «перестраховаться» и попасть «во вторую очередь первичной мобилизации». В других случаях потенциальным жертвам уже на мошеннических сайтах предлагалось проверить свои данные по «закрытым базам данных комиссариатов», указав информацию о себе. На самом деле все вводимые данные поступали злоумышленникам.

Вирусная обстановка

Анализ статистики детектирований антивируса Dr.Web за 2022 год показал увеличение общего числа обнаруженных угроз на 121,60% по сравнению с 2021 годом. Число уникальных угроз при этом снизилось на 24,84%. Чаще всего пользователей атаковали троянские приложения, которые злоумышленники применяли в связке с другими угрозами для затруднения обнаружения последних. Кроме того, активность проявляли рекламные трояны, бэкдоры и всевозможные установщики ПО.

BAT.Hosts.186

Вредоносный скрипт, написанный на языке командного интерпретатора ОС Windows. Модифицирует файл hosts, добавляя в него определенный список доменов.

Trojan.AutoIt.961

Trojan.AutoIt.710

Trojan.AutoIt.289

Trojan.AutoIt.1122

Утилита, написанная на скриптовом языке AutoIt и распространяемая в составе майнера или RAT-трояна. Выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Trojan.MulDrop15.62951

Дроппер, распространяющий и устанавливающий другое вредоносное ПО.

Trojan.Hosts.48196

Детектирование модифицированного файла hosts в ОС Windows, измененного с целью блокировки доступа к сайтам антивирусных компаний и различных ИТ-форумов, где оказывают помощь в лечении заражений.

Trojan.BPlug.3844

Вредоносное расширение для браузера, предназначенное для выполнения веб-инжектов в просматриваемые интернет-страницы и блокировки сторонней рекламы.

Trojan.InstallCore.4047

Распространенный установщик рекламного ПО, который демонстрирует рекламу и устанавливает дополнительные программы без согласия пользователя.

DPC:Trojan.Starter.7691.@1

Детектирование угрозы, процесс которой инициализируется в целевой системе через запуск командной строки с определенными параметрами. В данном случае на атакуемых компьютерах фиксировались попытки запуска вредоносной программы Trojan.Starter.7691, которая предназначена для запуска другого вредоносного ПО на целевом устройстве.

В почтовом трафике в 2022 году чаще всего встречалось вредоносное ПО, использующее уязвимости офисных документов, а также всевозможные вредоносные скрипты. Кроме того, киберпреступники активно распространяли мошеннические письма с фишинговыми PDF-документами и HTML-файлами. Они могли представлять собой, например, фиктивные формы ввода учетных данных, которые имитируют авторизацию на известных сайтах. Указанные в них данные отправлялись злоумышленникам.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

JS.Redirector.450

JS.Redirector.448

JS.Redirector.435

Вредоносные скрипты, перенаправляющие пользователя на подконтрольные злоумышленникам веб-страницы.

LNK.Starter.56

Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.

Exploit.CVE-2018-0798.4

Эксплойт для использования уязвимостей в ПО Microsoft Office, позволяющий выполнить произвольный код.

BackDoor.SpyBotNET.25

Бэкдор, написанный на .NET. Способен манипулировать файловой системой (копирование, удаление, создание директорий и т. д.), завершать процессы, делать снимки экрана.

Шифровальщики

По сравнению с 2021, в 2022 году в вирусную лабораторию «Доктор Веб» поступило на 2,81% больше запросов от пользователей, пострадавших от шифровальщиков. Динамика регистрации запросов на расшифровку файлов за прошедшие 12 месяцев показана на графике:

Наиболее распространенные шифровальщики в 2022 году:

Trojan.Encoder.26996

Шифровальщик, известный как STOP Ransomware. Пытается получить приватный ключ с сервера, а в случае неудачи пользуется зашитым. Один из немногих троянов-вымогателей, который шифрует данные поточным алгоритмом Salsa20.

Trojan.Encoder.3953

Шифровальщик, имеющий несколько различных версий и модификаций. Для шифрования файлов применяет алгоритм AES-256 в режиме CBC.

Trojan.Encoder.567

Шифровальщик, написанный на Delphi. История развития трояна насчитывает множество версий с использованием различных алгоритмов шифрования. Как правило, распространяется в виде вложений к электронным письмам.

Trojan.Encoder.11539

Шифровальщик, имеющий множество модификаций, которые отличаются разным набором алгоритмов шифрования. Как правило, распространяется в виде вложений к электронным письмам и для шифрования файлов использует алгоритм AES-256 в режиме CBC.

Trojan.Encoder.30356

Шифровальщик, написанный на Delphi и известный как Zeppelin Ransomware. Для шифрования файлов использует симметричный алгоритм AES-256, а для защиты закрытого ключа — асимметричный RSA-2048.

Сетевое мошенничество

В 2022 году интернет-аналитики «Доктор Веб» выявили множество мошеннических сайтов различной тематики. Так, в феврале и июле отмечался рост числа сайтов, замаскированных под онлайн-сервисы доставки. Для каждого посетителя генерировалась уникальная страница с конфиденциальными данными, где для оплаты «услуги» требовалось ввести данные банковской карты.

В марте наблюдалась повышенная активность интернет-ресурсов, которые якобы выплачивали деньги за просмотр видео. С них потенциальные жертвы перенаправлялись на сайты, где требовалась обязательная регистрация с указанием данных банковской карты. После ввода эти сведения передавались злоумышленникам, а сами пользователи не получали никаких обещанных выплат.

В апреле и мае популярностью пользовались сайты, которые маскировались под официальные ресурсы разработчиков различных популярных приложений — браузеров, клиентского ПО игровых платформ и т. д. Злоумышленники распространяли через них поддельные установщики с рекламными, нежелательными и даже вредоносными программами. Примеры таких сайтов-имитаций представлены ниже:

Осенью активизировались мошенники, от имени представителей крупных российских компаний предлагавшие трудоустройство с привлекательными условиями. Например, они создавали поддельные вакансии на должность «удаленного сотрудника обработки заказов». Кандидаты должны были зарегистрировать учетную запись, после чего якобы сразу могли приступать к работе. Однако, чтобы вывести «заработанные» деньги, они должны были «активировать» аккаунт, заплатив некоторую сумму.

Пример поддельного сайта с вакансиями, на котором использовался логотип и название компании, от имени которой давалось мошенническое объявление:

В конце года интернет-аналитики «Доктор Веб» отмечали рост числа мошеннических сайтов, где посетителям предлагалось принять участие в различных акциях известных интернет-магазинов и компаний. На них имитировались мини-конкурсы и розыгрыши призов, а для «получения» выигрыша требовалось поделиться специальной ссылкой с определенным числом контактов или групп в мессенджере WhatsApp. Такая ссылка могла вести на всевозможные сайты, в том числе — рекламные и вредоносные. Тем самым мошенники руками самих пользователей фактически выполняли спам-рассылки. При этом жертвы этой схемы обещанных ранее призов не получали — их изначально вводили в заблуждение.

Среди выявленных в 2022 году мошеннических сайтов вновь были многочисленные интернет-ресурсы, предлагавшие пользователям якобы бесплатные лотерейные билеты. Они имитировали процесс розыгрыша призов, делая каждого посетителя «победителем». Затем потенциальным жертвам предлагалось указать персональную информацию и данные банковской карты и заплатить «комиссию» или «налог» за «получение» выигрыша.

Но чаще всего пользователи сталкивались с мошенническими сайтами инвестиционной тематики. Такие интернет-ресурсы якобы имели отношение к крупным российским компаниям финансового и нефтегазового сектора и предлагали посетителям заработать на инвестициях в акции, нефтегазовые проекты и другие привлекательные активы. Чтобы «начать зарабатывать», вначале пользователи должны пройти опрос или некий базовый тест, ответив на несколько простых вопросов. После этого им предлагается зарегистрировать учетную запись, указав персональные данные. На самом деле эти сведения передаются мошенникам, которые в дальнейшем могут пытаться заманить потенциальных жертв в различные схемы по отъему денег. Примеры таких опасных сайтов представлены на изображениях ниже:

Для мобильных устройств

Согласно статистике детектирований Dr.Web для мобильных устройств Android, в 2022 году самой распространенной вредоносной Android-программой стала Android.Spy.4498. Вместе с другими ее версиями, Android.Spy.4837 и Android.Spy.5106, она обнаруживались в более чем 41% случаев. Злоумышленники встраивают ее в некоторые неофициальные модификации мессенджера WhatsApp. Это троянское приложение способно похищать содержимое уведомлений, может предлагать установить программы из неизвестных источников и демонстрировать различные диалоговые окна.

Одними из наиболее активных вновь оказались рекламные троянские программы семейства Android.HiddenAds — на их долю пришлось почти 27% всех выявленных вредоносных приложений. Также наблюдалась активность рекламных троянов Android.MobiDash (4,81% детектирований), программ-вымогателей Android.Locker (1,50% детектирований) и мошеннических приложений Android.FakeApp (0,98% детектирований). В то же время пользователи реже сталкивались с троянскими программами, предназначенными для загрузки и установки других приложений и способных выполнять произвольный код.

Среди нежелательного ПО наиболее заметной вновь стала программа Program.FakeAntiVirus.1. Она имитирует работу антивирусов и предлагает приобрести лицензию для лечения несуществующих угроз. На ее долю пришлось более 65% всех выявленных нежелательных программ. Высокую активность проявили различные шпионские программы, а также приложения, предлагавшие пользователям заработать на выполнении тех или иных заданий. На самом деле они вводили владельцев Android-устройств в заблуждение и никаких реальных вознаграждений не выплачивали.

Среди потенциально опасного ПО лидирующие позиции по числу детектирований вновь заняли инструменты Tool.SilentInstaller — они обнаруживались на защищаемых Dr.Web устройствах в 66,83% случаев. Эти утилиты позволяют запускать Android-приложения без их установки и могут применяться киберпреступниками для запуска вредоносного ПО. Схожие по функциональности утилиты Tool.VirtualApk обнаруживались в 1,81% случаев. При этом заметно повысилась активность утилит Tool.Androlua, которые позволяют запускать приложения на скриптовом языке программирования Lua. На их долю пришлось 4,81% детектирований потенциально опасных программ.

Самыми распространенными рекламными программами в 2022 году стали Adware.Adpush (60,70% детектирований рекламного ПО), Adware.SspSdk (5,47% детектирований) и Adware.Airpush (5,35% детектирований). Как и большинство им подобных, они представляют собой специальные модули, которые могут быть встроены в Android-программы и игры.

В течение года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play более 280 различных угроз, общее число загрузок которых составило не менее 45 000 000. Чаще всего выявлялись мошеннические программы из семейства Android.FakeApp, которые распространялись под видом самого разнообразного ПО. Они подключались к удаленному серверу и в соответствии с поступившей командой могли демонстрировать содержимое различных сайтов (в том числе фишинговых и мошеннических) вместо предоставления той функциональности, которую ожидали пользователи.

Были обнаружены очередные троянские программы, подписывавшие жертв на платные услуги. Среди них — представители семейств Android.Joker и Android.Subscription. Кроме того, наши специалисты выявили новые троянские программы — похитители паролей из семейства Android.PWS.Facebook, нацеленные на пользователей социальной сети Facebook (деятельность платформы Facebook запрещена на территории Российской Федерации).

Также в Google Play вновь распространялись рекламные троянские программы Android.HiddenAds, многофункциональные вредоносные приложения Android.Triada и ряд других угроз. Например, троян Android.Proxy.35, превращавший зараженные устройства в прокси-серверы, нежелательные программы Program.FakeMoney, обещавшие заработок на выполнении заданий, и новые рекламные программы Adware.AdNoty и Adware.FireAd.

Перспективы и вероятные тенденции

Прошедший год показал, что киберугрозы постоянно эволюционируют, при этом злоумышленникам интересны как обычные пользователи, так и корпоративный сектор. Поэтому в новом году следует ожидать появления новых вредоносных приложений и проведения злоумышленниками очередных целевых и APT-атак.

Рекламные троянские программы и банковские троянские приложения приносят киберпреступникам прибыль, поэтому они останутся актуальными угрозами. При этом, вероятно, продолжится тенденция, когда все больше атак на клиентов кредитных организаций будет совершаться с применением MaaS-модели (Malware as a Service — вредоносное ПО как услуга). В результате число уникальных семейств банковских троянских программ может постепенно снизиться, и этот теневой рынок будет поделен между несколькими крупными поставщиками.

Мошенничество останется актуальной проблемой в 2023 году. Злоумышленники очень изобретательны и вместе со старыми схемами обмана наверняка возьмут на вооружение новые приемы. Кроме того, как и всегда, они будут использовать актуальную информационную повестку.

Продолжатся атаки на владельцев мобильных устройств. При этом под ударом окажутся не только пользователи Android — владельцы устройств Apple также могут столкнуться с новыми угрозами. Стоит ожидать и очередные атаки на другие платформы, в первую очередь Linux и macOS.

https://news.drweb.ru/show/?i=14684&lng=ru&c=9

16 марта 2023 года

В 2022 году основное внимание киберпреступников вновь было сфокусировано на незаконном заработке. Наиболее простым и эффективным методом получения прибыли для них по-прежнему остается сегмент онлайн-рекламы. Поэтому, как и ранее, пользователи Android-устройств часто сталкивались с соответствующими вредоносными и нежелательными программами — те демонстрировали нежелательные рекламные объявления. Вместе с тем наблюдалась высокая активность мошенников и, как следствие, распространение всевозможных мошеннических приложений.

Заметно возросла и активность шпионских приложений. При этом киберпреступников весьма интересовали пользователи мессенджера WhatsApp. В результате самой распространенной Android-угрозой стала шпионящая за ними вредоносная программа.

В то же время по сравнению с 2021 годом снизилась активность банковских троянских программ. Несмотря на это, их использование по-прежнему выгодно вирусописателям. В течение последних 12 месяцев появлялись новые семейства, а также выявлялись новые варианты уже существующих вредоносных приложений этого типа.

Злоумышленники продолжили распространять вредоносные и нежелательные программы через каталог Google Play. В 2022 году наши специалисты выявили в нем несколько сотен всевозможных угроз, которые загрузили миллионы пользователей.

Однако под ударом оказались не только владельцы Android-устройств, но и пользователи смартфонов под управлением iOS. И тем, и другим пришлось столкнуться с троянскими программами, похищавшими криптовалюту.

Наиболее интересные события 2022 года

В марте компания «Доктор Веб» сообщила об обнаружении троянских приложений CoinSteal, созданных для кражи криптовалюты у владельцев устройств под управлением Android и iOS. Эти вредоносные программы в основном являются модификациями официальных клиентов криптокошельков, в которые внедрен код для перехвата вводимых пользователями seed-фраз и их последующей передачи на удаленный сервер. Например, злоумышленники под видом оригинальных распространяли модифицированные версии таких криптокошельков как MetaMask, imToken, Bitpie, TokenPocket, OneKey и Trust Wallet.

Ниже представлен пример работы троянской версии криптокошелька MetaMask:

Пример вредоносного кода, внедренного в одну из его версий:

В августе была выявлена атака на приложения WhatsApp и WhatsApp Business, устанавливаемые на поддельные Android-устройства. Наши вирусные аналитики обнаружили бэкдоры в системном разделе ряда бюджетных моделей Android-смартфонов, которые являлись подделками устройств известных брендов. Эти вредоносные программы могли выполнять произвольный код в мессенджерах и потенциально использоваться для перехвата содержимого чатов, организации спам-рассылок и реализации различных мошеннических схем. Помимо наличия встроенных вредоносных программ на таких поддельных устройствах вместо заявленной современной была установлена сильно устаревшая версия операционной системы. Она была подвержена многочисленным уязвимостям, что повышало для пользователей риск стать жертвами злоумышленников.

В октябре наши специалисты обнаружили банковские троянские программы Android.Banker.5097 и Android.Banker.5098, нацеленные на малайзийских пользователей Android. Они распространялись под видом мобильных приложений онлайн-магазинов и предлагали разнообразные товары со скидками. Когда жертвы пытались оплатить заказ, у них запрашивались логины и пароли от учетных записей систем дистанционного банковского обслуживания. Указанные данные передавались злоумышленникам. А для обхода двухфакторной аутентификации банкеры перехватывали СМС с одноразовыми кодами. Они также собирали персональную информацию пользователей — дату рождения, номер мобильного телефона, номер индивидуальной карты, удостоверяющей личность, а в ряде случаев — адрес проживания.

В ноябре компания «Доктор Веб» предупреждала о распространении троянских программ, которые злоумышленники выдавали за приложения для поиска работы. Эти вредоносные программы загружали мошеннические веб-сайты со списком поддельных вакансий. Когда потенциальные жертвы выбирали понравившуюся вакансию, им предлагалось заполнить специальную форму, указав персональные данные. На самом деле форма была фишинговой, и вводимые сведения передавались киберпреступникам. В других случаях пользователям предлагалось напрямую связаться с «работодателем» через WhatsApp, Telegram или другие мессенджеры. В действительности роль мнимых работодателей исполняли мошенники, которые пытались заманить потенциальных жертв в различные мошеннические схемы, чтобы украсть у них деньги и собрать дополнительную конфиденциальную информацию.

В минувшем году для распространения вредоносных приложений киберпреступники активно применяли популярные рекламные системы, встроенные во многие Android-программы и игры. Через вводящую в заблуждение рекламу (например, полноэкранные видеоролики и баннеры) они пытались охватить более широкую аудиторию и максимально увеличить число установок троянских приложений. Ниже представлены примеры такой вредоносной рекламы.

Статистика

В 2022 году пользователи ОС Android сталкивались с различными типами угроз, но наиболее часто — с различными вредоносными программами. На их долю пришлось 88,73% от общего числа угроз, выявленных на защищаемых Dr.Web устройствах. Вторыми по распространенности стали рекламные приложения с долей в 6,85%. Третье место заняли потенциально опасные программы — они выявлялись в 2,88% случаев. На четвертом месте с долей в 1,54% расположилось нежелательное ПО.

Распределение угроз по типу на основе данных статистики детектирований Dr.Web для мобильных устройств Android наглядно представлено на следующей диаграмме:

Самым распространенным вредоносным приложением минувшего года стал Android.Spy.4498. Он способен похищать содержимое уведомлений, может предлагать установить программы из неизвестных источников, а также демонстрировать различные диалоговые окна. Злоумышленники целенаправленно встраивают его в некоторые неофициальные модификации мессенджера WhatsApp, популярные среди пользователей из-за наличия дополнительных функций, которые отсутствуют в оригинале. Поскольку потенциальные жертвы не догадываются, что вместо обычного «мода» устанавливают троянскую версию приложения, киберпреступникам удается охватывать значительную аудиторию владельцев Android-устройств. В общей сложности на долю Android.Spy.4498 и его различных вариантов — Android.Spy.4837 и Android.Spy.5106 — пришлось 41,21% от общего объема детектирований вредоносных программ.

Широкое распространение вновь получили рекламные троянские приложения, наиболее заметными среди которых стали представители семейства Android.HiddenAds. Они демонстрируют рекламу поверх окон других программ, мешая работе с устройствами. При этом они пытаются спрятаться от пользователей, скрывая свои значки с главного экрана или подменяя их менее приметными. По сравнению с предыдущим годом их активность возросла на 3,3 п. п. В общей сложности их доля среди всех выявленных на Android-устройствах вредоносных приложений составила 26,89%.

Большинство атак семейства пришлось на троянскую программу Android.HiddenAds.3018 (12,32% детектирований вредоносных приложений). В 2021 году она пришла на смену более старой версии, Android.HiddenAds.1994, которая на тот момент являлась самой распространенной вредоносной программой для ОС Android. По нашему прогнозу Android.HiddenAds.3018 имел все шансы постепенно вытеснить предшественника с лидирующих позиций, что в итоге и произошло.

Несколько увеличили активность (на 0,16 п. п.) и рекламные троянские приложения из семейства Android.MobiDash — на них пришлось 4,81% детектирований вредоносного ПО.

Также возросла активность троянских приложений-вымогателей Android.Locker и программ-подделок Android.FakeApp. Если ранее на них приходилось 1,29% и 0,67% детектирований вредоносного ПО, то в минувшем году их доля составила 1,50% и 0,98% соответственно.

В то же время в 2022 году заметно снизилась активность вредоносных программ для загрузки и установки других приложений, а также активность троянов, способных выполнять произвольный код. Так, число детектирований Android.RemoteCode сократилось с 15,79% годом ранее до 2,84%, Android.Triada — с 15,43% до 3,13%, Android.DownLoader — с 6,36% до 3,76%, Android.Mobifun — с 3,02% до 0,58%, а Android.Xiny — с 1,84% до 0,48%.

Реже пользователи сталкивались и с троянскими программами семейств Android.SmsSend, выполняющими подписку на платные услуги (1,29% детектирований против 1,33% в 2021 году), а также Android.Click (1,25% детектирований против 10,62% за тот же период). Последние способны загружать веб-сайты и имитировать действия пользователей — переходить по ссылкам, нажимать на баннеры и подписывать жертв на платные сервисы.

Десять наиболее часто детектируемых вредоносных приложений в 2022 году представлены на иллюстрации ниже:

Android.Spy.4498

Android.Spy.5106

Детектирование различных вариантов трояна, который представляет собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Эта вредоносная программа может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.1994

Android.HiddenAds.3018

Android.HiddenAds.3152

Android.HiddenAds.3558

Android.HiddenAds.624.origin

Трояны для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Triada.4567

Многофункциональная троянская программа, выполняющая разнообразные вредоносные действия. Относится к семейству троянских приложений, проникающих в процессы всех работающих программ. Различные представители этого семейства могут встречаться в прошивках Android-устройств, куда злоумышленники внедряют их на этапе производства. Кроме того, некоторые их модификации могут эксплуатировать уязвимости, чтобы получить доступ к защищенным системным файлам и директориям.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.6945

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Среди нежелательных приложений в 2022 году на Android-устройствах наиболее часто детектировалась программа Program.FakeAntiVirus.1. Она имитирует работу антивирусов, обнаруживает несуществующие угрозы и предлагает купить полную версию «продукта», чтобы произвести «лечение» заражения и исправить «выявленные проблемы». На ее долю пришлось 65,22% всех выявленных нежелательных программ.

Вторыми по распространенности (суммарно около четверти детектирований) стали многочисленные программы, которые позволяли собирать информацию о владельцах Android-устройств и следить за их действиями. Такие приложения могли применять не только обычные пользователи, но и злоумышленники. Последние с их помощью имели возможность проводить таргетированные атаки и целенаправленно заниматься кибершпионажем. Наиболее распространенными стали программы-шпионы Program.SecretVideoRecorder.1.origin, Program.SecretVideoRecorder.2.origin, Program.WapSniff.1.origin, Program.KeyStroke.3, Program.wSpy.1.origin, Program.FreeAndroidSpy.1.origin, Program.MobileTool.2.origin и Program.Reptilicus.7.origin.

Также пользователи сталкивались с приложениями, которые предлагали заработать на выполнении тех или иных заданий, но никакого реального вознаграждения в итоге не выплачивали. Среди таких программ чаще всего на Android-устройствах обнаруживалась Program.FakeMoney.3 — на нее пришлось 2,49% детектирований нежелательного ПО.

Десять наиболее часто обнаруживаемых нежелательных приложений в 2022 году представлены на следующей диаграмме:

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.WapSniff.1.origin

Программа для перехвата сообщений в мессенджере WhatsApp.

Program.KeyStroke.3

Android-программа, способная перехватывать вводимую на клавиатуре информацию. Некоторые ее модификации также позволяют отслеживать входящие СМС-сообщения, контролировать историю телефонных звонков и выполнять запись разговоров.

Program.FakeMoney.3

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, при этом для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.wSpy.1.origin

Program.FreeAndroidSpy.1.origin

Program.MobileTool.2.origin

Program.Reptilicus.7.origin

Приложения, которые следят за владельцами Android-устройств и могут использоваться для кибершпионажа. Они способны контролировать местоположение устройств, собирать данные об СМС-переписке, беседах в социальных сетях, копировать документы, фотографии и видео, прослушивать телефонные звонки и окружение и т. п.

Наиболее часто детектируемыми потенциально опасными программами в 2022 году вновь стали специализированные утилиты, которые позволяют запускать Android-приложения без их установки и могут использоваться киберпреступниками для запуска вредоносного ПО. Как и годом ранее самыми распространенными среди них оказались представители семейства Tool.SilentInstaller — они обнаруживались на защищаемых Dr.Web устройствах в 66,83% случаев. Это на 12,68 п. п. меньше показателя предыдущих 12 месяцев. Тем не менее, такие утилиты по-прежнему составляют большинство детектируемых приложений, представляющих потенциальную угрозу. Другими заметными потенциально опасными программами данного типа стали представители семейства Tool.VirtualApk с показателем 1,81%. Их активность возросла на 0,41 п. п. По сравнению с 2021 значительно чаще детектировались утилиты семейства Tool.Androlua. Они позволяют запускать на Android-устройствах приложения на скриптовом языке программирования Lua. Их доля выросла на 2,85 п. п. составила 3,04% от общего числа обнаруженных потенциально опасных программ.

Вновь наблюдалось использование всевозможных защитных инструментов — специализированных упаковщиков и обфускаторов кода, которые вирусописатели могут применять для защиты вредоносных программ от обнаружения. В общей сложности на них пришлось свыше 13% детектирований потенциально опасного ПО. Среди них наиболее заметными стали представители семейств Tool.Obfuscapk, Tool.ApkProtector и Tool.Packer. Доля первых по сравнению с 2021 годом снизилась на 0,58 п. п. и составила 5,01%, вторых — выросла на 0,22 п. п. и достигла 4,81%, а третьих — снизилась на 0,48 п. п. до 3,58%.

2,06% случаев обнаружения потенциально опасного ПО пришлось на программы со встроенным модулем Tool.GPSTracker.1.origin. Модуль применяется для взлома игр и приложений, но при этом способен незаметно отслеживать местоположение Android-устройств.

Кроме того, на Android-устройствах чаще выявлялись специализированные утилиты, предназначенные для тестирования отказоустойчивости сетей и веб-сайтов. Такие инструменты представляют потенциальную угрозу, поскольку могут использоваться как по прямому назначению, так и в противоправных целях — для проведения DDoS-атак. Среди утилит этого типа заметную активность проявили Tool.Loic.1.origin с долей в 1,97% детектирований потенциально опасного ПО (против 0,11% в 2021 году) и Tool.DdosId.1.origin с долей в 1,49% соответственно (против 0,09% за тот же период).

Десять наиболее распространенных потенциально опасных приложений, обнаруженных на Android-устройствах в 2022 году, представлены на иллюстрации ниже.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.3.origin

Tool.SilentInstaller.10.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.Obfuscapk.1

Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.

Tool.Packer.1.origin

Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Tool.GPSTracker.1.origin

Специализированная программная платформа для скрытого слежения за местоположением и перемещением пользователей. Она может быть встроена в различные приложения и игры.

Tool.Androlua.1.origin

Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты потенциально способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Среди рекламного ПО на Android-устройствах чаще всего обнаруживались приложения со встроенными модулями, которые демонстрировали рекламные баннеры, окна и уведомления. Кроме того, некоторые из них рекламировали другие программы, предлагая пользователям установить их. Многие из таких модулей собирали информацию об устройствах и могли привести к утечке конфиденциальной информации.

Лидерами оказались модули Adware.Adpush, на которые пришлось больше половины детектирований — 60,70%. На втором месте c долей в 5,47% расположились представители семейства Adware.SspSdk. Третьими по распространенности с показателем 5,35% стали модули Adware.Airpush. По сравнению с 2021 годом активность первых выросла на 6,61 п. п., вторых — снизилась на 6,94 п. п., третьих — увеличилась на 1,53 п. п.

Десять наиболее распространенных рекламных приложений, обнаруженных на Android-устройствах в 2022 году, представлены на следующей диаграмме:

Adware.AdPush.36.origin

Adware.Adpush.6547

Adware.Adpush.16510

Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, данные модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Adware.SspSdk.1.origin

Специализированный рекламный модуль, встраиваемый в Android-приложения. Он демонстрируют рекламу, когда содержащие его программы закрыты. В результате пользователям сложнее определить источник надоедливых объявлений.

Adware.Airpush.7.origin

Adware.Airpush.24.origin

Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от их версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.Fictus.1.origin

Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Adware.Myteam.2.origin

Adware.Jiubang.2

Рекламные модули, встраиваемые в Android-программы. Они демонстрируют баннеры с объявлениями поверх окон других приложений.

Adware.Leadbolt.12.origin

Представитель семейства нежелательных рекламных модулей, которые в зависимости от версии и модификации демонстрируют различную рекламу. Это могут быть всевозможные уведомления, а также ярлыки на главном экране, ведущие на веб-страницы. Данные модули также передают на удаленный сервер конфиденциальные данные.

Угрозы в Google Play

В течение 2022 года специалисты компании «Доктор Веб» выявили в каталоге Google Play свыше 280 различных угроз — троянских приложений, нежелательных и рекламных программ. Суммарно они были загружены не менее 45 000 000 раз.

Самыми многочисленными стали вредоносные приложения семейства Android.FakeApp, которые злоумышленники использовали в мошеннических целях. Они распространялись под видом разнообразного ПО. Например, справочников и обучающих пособий, инвестиционных приложений и инструментов для отслеживания биржевой информации, игр, программ для прохождения опросов и поиска вакансий; приложений, с помощью которых пользователи якобы могли получить социальные выплаты, вернуть налоги, получить бесплатные лотерейные билеты или акции компаний, программ для онлайн-знакомств и т. д.

Такие программы-подделки подключались к удаленному серверу и в соответствии с поступающими от него настройками вместо предоставления ожидаемых функций могли демонстрировать содержимое различных сайтов, в том числе фишинговых и мошеннических. Если же по той или иной причине загрузить целевые сайты им не удавалось, некоторые из них задействовали имеющуюся минимальную функциональность. Это делалось для того, чтобы избежать возможных подозрений со стороны потенциальных жертв и дождаться более подходящего момента для атаки.

Были выявлены новые вредоносные программы, подписывавшие пользователей на платные сервисы. Среди них — очередные представители семейств Android.Joker и Android.Subscription. Например, Android.Joker.1381 скрывался в сборнике изображений, Android.Joker.1383 — в сканере штрих-кодов, а Android.Joker.1435, Android.Subscription.6 и Android.Subscription.14 — в альтернативных лончерах.

Троян Android.Joker.1461 был встроен в приложение-фотокамеру, Android.Joker.1466 — в сборник стикеров, Android.Joker.1917, Android.Joker.1921, Android.Subscription.5 и Android.Subscription.7 — в редакторы изображений, Android.Joker.1920 — в мессенджер, а Android.Joker.1949 — в «живые» обои для смены оформления экрана.

Android.Subscription.9 распространялся под видом программы для восстановления данных, Android.Subscription.10 — под видом игры. Android.Subscription.9 мошенники выдавали за программу для звонков, а Android.Subscription.15 — за приложение для поиска смартфона по хлопку в ладоши.

Среди найденных вредоносных приложений также были новые похитители логинов и паролей от учетных записей Facebook, принадлежащих к семейству Android.PWS.Facebook (деятельность платформы Facebook запрещена на территории Российской Федерации). Большинство из них (Android.PWS.Facebook.123, Android.PWS.Facebook.134, Android.PWS.Facebook.143, Android.PWS.Facebook.144, Android.PWS.Facebook.145, Android.PWS.Facebook.149 и Android.PWS.Facebook.151) распространялось под видом различных редакторов изображений. А модификацию, добавленную в вирусную базу Dr.Web как Android.PWS.Facebook.141, киберпреступники выдавали за астрологическую программу.

Кроме того, наши вирусные аналитики обнаружили более 30 рекламных троянских программ семейства Android.HiddenAds. Среди них — Android.HiddenAds.3158, Android.HiddenAds.3161, Android.HiddenAds.3158, Android.HiddenAds.3169, Android.HiddenAds.3171, Android.HiddenAds.3172 и Android.HiddenAds.3207.

Также в Google Play вновь проникли многофункциональные троянские приложения семейства Android.Triada, например — Android.Triada.5186, Android.Triada.5241 и Android.Triada.5242. Они использовали вспомогательные модули для выполнения разнообразных вредоносных действий.

Троянская программа Android.Click.401.origin, которая была замаскирована под приложения для заботы о здоровье Water Reminder- Tracker & Reminder и Yoga- For Beginner to Advanced, скрытно загружала различные веб-сайты в WebView и нажимала на расположенные на них ссылки и баннеры, имитируя действия пользователей.

А различные варианты вредоносного приложения Android.Proxy.35 по команде злоумышленников превращали Android-устройства в прокси-сервер, перенаправляя через них чужой интернет-трафик. Также они имели возможность по команде демонстрировать рекламу.

В течение года вирусная лаборатория «Доктор Веб» выявила ряд нежелательных программ, которые предлагали пользователям заработать на выполнении различных заданий. Например, программа под названием TubeBox (Program.FakeMoney.3) якобы позволяла заработать на просмотре видеороликов и рекламы. Приложение Wonder Time (Program.FakeMoney.4) предлагало устанавливать, запускать и какое-то время использовать другие программы и игры. А приложения Lucky Habit: health tracker и WalkingJoy и некоторые версии программы Lucky Step-Walking Tracker (Program.FakeMoney.7) позиционировались как инструменты для заботы о здоровье и предлагали награду за персональные достижения — пройденное расстояние или следование распорядку дня.

За каждое успешно выполненное задание пользователи получали виртуальные награды. Чтобы конвертировать их в реальные деньги и вывести из приложений, им требовалось накопить крупную сумму. Однако в итоге получить какие-либо выплаты жертвы таких программ не могли.

Нежелательная программа, добавленная в вирусную базу Dr.Web как Program.Subscription.1, распространялась под видом фитнес-приложения FITSTAR. Она загружала веб-сайты, где пользователям предлагалось приобрести индивидуальные планы похудения за относительно небольшие деньги. Однако совершая покупку, те на самом деле подписывались на дорогостоящую услугу с периодической оплатой.

Наряду с троянскими и нежелательными программами наши специалисты обнаружили новые семейства нежелательных рекламных приложений — Adware.AdNoty и Adware.FireAd. Как и большинство подобных угроз, они представляли собой специализированные плагины и были встроены в различное ПО. Модули Adware.AdNoty периодически демонстрировали уведомления с рекламой, например - предлагали установить другие программы и игры. При нажатии на такие уведомления в браузере загружались веб-сайты из списка, расположенного в настройках этих плагинов.

В свою очередь, модули Adware.FireAd управлялись через Firebase Cloud Messaging и по команде открывали в веб-браузере заданные ссылки.

Банковские трояны

В 2022 году число выявленных на Android-устройствах банковских троянских приложений снизилось на 56,72% по сравнению с предыдущим годом. При этом их доля от общего количества обнаруженных вредоносных программ составила 4,42%. Согласно статистике детектирований Dr.Web для мобильных устройств Android, наименьшая активность Android-банкеров была зафиксирована в апреле, а ее пик пришелся на второе полугодие с максимальным количеством атак в сентябре и ноябре. В своих атаках злоумышленники использовали как уже известные, так и новые банковские троянские приложения.

В начале года наблюдалась активность старых семейств банкеров Medusa (Android.BankBot.929.origin), Flubot (Android.BankBot.913.origin) и Anatsa (Android.BankBot.779.origin). В то же время на сцене появилось новое семейство Xenomorph (Android.BankBot.990.origin) — очередной потомок банкера Cerberus, основанный на его исходном коде, который попал в открытый доступ в конце лета 2020 года.

Пользователей атаковали и новые варианты банкеров семейства S.O.V.A. С марта по июль были активны модификации, детектируемые Dr.Web как Android.BankBot.992.origin, а с августа — модификации, внесенные в вирусную базу как Android.BankBot.966.origin. Ближе к концу года киберпреступники начали распространять троянские приложения PixPirate (Android.BankBot.1026.origin) и Brasdex (Android.BankBot.969.origin), нацеленные на пользователей из Бразилии.

В течение 2022 года происходили атаки с применением банковских троянских программ семейств Alien (Android.BankBot.745.origin, Android.BankBot.873.origin), Anubis (Android.BankBot.518.origin, Android.BankBot.670.origin, Android.BankBot.794.origin), Cerberus (Android.BankBot.8705, Android.BankBot.612.origin), Gustuff (Android.BankBot.738.origin, Android.BankBot.863.origin), Sharkbot (Android.BankBot.977.origin) и Godfather (Android.BankBot.1006.origin, Android.BankBot.1024.origin).

Кроме того, были активны многочисленные представители семейства банкеров Coper (Android.BankBot.Coper), также известного как Octopus. О появлении этого семейства вредоносных программ компания «Доктор Веб» сообщала в июле 2021 года.

Распространяли киберпреступники и новые модификации банковского троянского приложения ERMAC, также появившегося в 2021 году. Например, в апреле и мае были активны версии, которые Dr.Web детектирует как Android.BankBot.970.origin. А в ноябре — варианты, определяемые как Android.BankBot.1015.origin.

Также был отмечен существенный рост числа атак с применением банкера Hydra (Android.BankBot.563.origin) — одного из самых активных инструментов в сегменте MaaS (Malware-as-a-Service) или бизнес-модели «вредоносное ПО как услуга», когда одни злоумышленники приобретают у других готовое решение для атак «под ключ».

Широкое распространение получили Android-банкеры, нацеленные на жителей Восточной и Юго-Восточной Азии. Так, пользователи из Китая сталкивались с троянской программой Android.Banker.480.origin, владельцам Android-устройств из Японии угрожал банкер Android.BankBot.907.origin, а пользователям из Южной Кореи — Android.BankBot.761.origin и Android.BankBot.930.origin. Кроме того, крайне активными были различные модификации семейства MoqHao (например, Android.Banker.5063, Android.Banker.521.origin и Android.Banker.487.origin), география атак которых охватывала множество стран.

Вместе с тем наблюдались очередные попытки киберпреступников распространять банковских троянов через каталог Google Play. Для снижения вероятности преждевременного обнаружения угрозы они размещали в нем специализированные загрузчики под видом безобидного ПО. Те выступали в качестве промежуточного звена и уже в процессе работы скачивали на целевые устройства непосредственно самих банкеров. Среди таких троянских приложений были Android.DownLoader.5096 и Android.DownLoader.5109 (загружали банкера TeaBot), Android.DownLoader.1069.origin и Android.DownLoader.1072.origin (загружали банкера SharkBot), а также Android.DownLoader.1080.origin (загружал банкера Hydra).

Перспективы и тенденции

Киберпреступники заинтересованы в увеличении своего заработка, поэтому в 2023 году стоит ожидать появления новых вредоносных и нежелательных программ, которые будут им в этом помогать. Следовательно, появятся новые троянские и нежелательные рекламные приложения.

Востребованными останутся банковские трояны. При этом продолжит расти рынок киберкриминальных услуг, в частности — аренда и продажа готовых вредоносных приложений.

Сохранится угроза и со стороны мошенников. Также следует ожидать повышенного интереса злоумышленников к конфиденциальной информации и активного применения шпионских программ. Вероятны и новые атаки на владельцев iOS-устройств.

Компания «Доктор Веб» постоянно отслеживает тенденции в сфере киберугроз, наблюдает за появлением новых вредоносных приложений и продолжает защищать своих пользователей. Установите антивирус Dr.Web на все используемые Android-устройства, чтобы повысить уровень своей информационной безопасности.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14679&lng=ru&c=9