Записи Друзья Комментарии
rss drweb about virs
Аватар rss_drweb_about_virs

 -Поиск по дневнику

Поиск сообщений в rss_drweb_about_virs

 -Подписка по e-mail

 

 -Постоянные читатели

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 24.08.2009
Записей: 595
Комментариев: 0
Написано: 0

О вирусах





Новости компании "Доктор Веб" - О вирусах


Добавить любой RSS - источник (включая журнал LiveJournal) в свою ленту друзей вы можете на странице синдикации.

Исходная информация - http://news.drweb.com/news/.
Данный дневник сформирован из открытого RSS-источника по адресу http://news.drweb.com/rss/get/?c=9&lng=ru, и дополняется в соответствии с дополнением данного источника. Он может не соответствовать содержимому оригинальной страницы. Трансляция создана автоматически по запросу читателей этой RSS ленты.
По всем вопросам о работе данного сервиса обращаться со страницы контактной информации.
[Обновить трансляцию]

Комментарии (0)
Нравится

Пустота захватила более миллиона ТВ-приставок на Android
Четверг, 12 Сентября 2024 г. 09:00 + в цитатник

12 сентября 2024 года

Специалисты «Доктор Веб» выявили новый случай инфицирования ТВ-приставок на базе Android. Вредоносная программа, получившая имя Android.Vo1d, заразила почти 1 300 000 устройств у пользователей из 197 стран. Это бэкдор, который помещает свои компоненты в системную область и по команде злоумышленников способен скрытно загружать и устанавливать стороннее ПО.

В августе 2024 года в компанию «Доктор Веб» обратилось несколько пользователей, на чьих устройствах антивирус Dr.Web зафиксировал изменения в системной файловой области. Это произошло со следующими моделями:

Модель ТВ-приставки Заявленная версия прошивки
R4 Android 7.1.2; R4 Build/NHG47K
TV BOX Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP Android 10.1; KJ-SMART4KVIP Build/NHG47K

Во всех случаях признаки заражения оказались схожими, поэтому они будут описаны на примере одного из первых обращений. На затронутой трояном ТВ-приставке были изменены следующие объекты:

  • install-recovery.sh
  • daemonsu

Кроме того, в ее файловой системе появилось 4 новых файла:

  • /system/xbin/vo1d
  • /system/xbin/wd
  • /system/bin/debuggerd
  • /system/bin/debuggerd_real

Файлы vo1d и wd — компоненты выявленного нами трояна Android.Vo1d.

Авторы трояна, вероятно, пытались замаскировать один из его компонентов под системную программу /system/bin/vold, назвав его схожим именем «vo1d» (подменив строчную букву «l» цифрой «1»). По имени этого файла вредоносная программа и получила свое наименование. При этом такое написание созвучно со словом «void» (в переводе с английского — пустота).

Файл install-recovery.sh — это скрипт, который присутствует на большинстве Android-устройств. Он запускается при старте операционной системы и содержит данные для автозапуска указанных в нем элементов. Если у какой-либо вредоносной программы есть root-доступ и возможность записи в системный каталог /system, она может закрепиться на инфицированном устройстве, добавив себя в этот скрипт (либо создав его в случае отсутствия в системе). Android.Vo1d прописал в нем автозапуск компонента wd.

Модифицированный файл install-recovery.sh

Файл daemonsu присутствует на многих Android-устройствах с root-доступом. Он запускается системой при загрузке и отвечает за предоставление root-привилегий пользователю. Android.Vo1d прописал себя и в этом файле, также настроив автозапуск модуля wd.

Файл debuggerd является демоном, который обычно применяется для создания отчетов об ошибках. Но при заражении ТВ-приставки этот файл был подменен скриптом, запускающим компонент wd.

Файл debuggerd_real в рассматриваемом случае является копией скрипта, которым был подменен настоящий файл debuggerd. Специалисты «Доктор Веб» полагают, что по задумке авторов трояна исходный debuggerd должен был быть перемещен в debuggerd_real для сохранения его работоспособности. Однако из-за того, что заражение, вероятно, произошло дважды, троян переместил уже подмененный файл (то есть скрипт). В результате на устройстве оказалось два скрипта от трояна и ни одного настоящего файла программы debuggerd.

В то же время у других обратившихся к нам пользователей на зараженных устройствах был несколько иной список файлов:

  • daemonsu (аналог файла vo1dAndroid.Vo1d.1);
  • wd (Android.Vo1d.3);
  • debuggerd (аналогичен описанному выше скрипту);
  • debuggerd_real (оригинальный файл утилиты debuggerd);
  • install-recovery.sh (скрипт, обеспечивающий загрузку указанных в нем объектов).

Изучение всех этих файлов показало, что для закрепления Android.Vo1d в системе его создатели использовали как минимум три различных метода — модификацию файлов install-recovery.sh и daemonsu, а также подмену программы debuggerd. Вероятно, они рассчитывали, что в инфицируемой системе будет присутствовать хотя бы один из целевых файлов, поскольку манипуляция даже с одним из них обеспечила бы успешный автозапуск трояна при последующих перезагрузках устройства.

Основная функциональность Android.Vo1d скрыта в его компонентах vo1d (Android.Vo1d.1) и wd (Android.Vo1d.3), которые работают в связке. Модуль Android.Vo1d.1 отвечает за запуск Android.Vo1d.3 и контролирует его активность, при необходимости перезапуская процесс. Также по команде управляющего сервера он может скачивать и запускать исполняемые файлы. В свою очередь, модуль Android.Vo1d.3 устанавливает на устройство и запускает зашифрованный в его теле демон (Android.Vo1d.5), который тоже способен скачивать и запускать исполняемые файлы. Кроме того, он отслеживает появление APK-файлов приложений в заданных каталогах и устанавливает их.

Проведенное вирусными аналитиками «Доктор Веб» исследование показало, что бэкдор Android.Vo1d заразил около 1 300 000 устройств, а география его распространения охватила почти 200 стран. Больше всего заражений было выявлено в Бразилии, Марокко, Пакистане, Саудовской Аравии, России, Аргентине, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.

Страны с наибольшим числом выявленных зараженных устройств

Страны с наибольшим числом выявленных зараженных устройств

Возможной причиной того, что распространяющие Android.Vo1d злоумышленники выбрали своей целью именно ТВ-приставки, является то, что такие устройства часто работают на базе устаревших версий Android, в которых не закрыты уязвимости и для которых уже не выходят обновления. Например, модели у обратившихся к нам пользователей работают на базе Android 7.1 несмотря на то, что для некоторых из них в конфигурации указаны версии намного новее — Android 10 и Android 12. К сожалению, это нередкая практика, когда производители бюджетных устройств используют старые версии ОС и выдают их за более актуальные, чтобы повысить их привлекательность.

Кроме того, сами пользователи ошибочно могут воспринимать ТВ-приставки как более защищенные устройства по сравнению со смартфонами. Из-за этого они могут реже устанавливать на них антивирус и рискуют столкнуться с вредоносными программами при скачивании сторонних приложений или при установке неофициальных прошивок.

На данный момент источник заражения приставок бэкдором остается неизвестным. Одним из возможных векторов может рассматриваться атака промежуточной вредоносной программы, которая эксплуатирует уязвимости операционной системы для получения root-полномочий. Другим может быть использование неофициальных версий прошивок с root-доступом.

Dr.Web Security Space для мобильных устройств успешно детектирует все известные варианты трояна Android.Vo1d и при наличии root-доступа выполняет лечение зараженных гаджетов.

Индикаторы компрометации

Подробнее об Android.Vo1d.1

Подробнее об Android.Vo1d.3

Подробнее об Android.Vo1d.5

https://news.drweb.ru/show/?i=14900&lng=ru&c=9
Комментарии (0)
Нравится

Использование Яндекс Браузера для закрепления в скомпрометированной системе. Несостоявшаяся целевая атака на российского оператора грузовых железнодорожных перевозок.
Среда, 04 Сентября 2024 г. 10:00 + в цитатник

Скачать в PDF

4 сентября 2024 года

Социальная инженерия — крайне эффективный метод мошенничества, которому сложно противостоять. Опытный злоумышленник умеет найти правильный подход к жертве, запугать или убедить ее выполнить какое-то действие. Но что если для реализации атаки не требуется каких-либо значимых коммуникативных усилий, а компьютер из цифрового помощника превращается в невольного соучастника преступления?

Целевой фишинг — популярный метод доставки вредоносного ПО на компьютеры сотрудников крупных компаний. От обычного фишинга он отличается тем, что злоумышленники заранее собирают информацию и персонализируют свое сообщение, побуждая жертву выполнить какое-то действие, которое приведёт к компрометации. Основными целями преступники выбирают или высокопоставленных сотрудников, обладающих доступом к ценной информации, или сотрудников тех отделов, которые по долгу службы контактируют с множеством адресатов. В частности это касается работников отдела кадров: они получают массу писем от ранее незнакомых лиц с вложениями в самых разных форматах. Такой вектор атаки и был избран мошенниками в том случае, о котором мы сейчас вам расскажем.

В марте 2024 года в компанию «Доктор Веб» обратились представители крупного российского предприятия, работающего в отрасли грузовых железнодорожных перевозок. Внимание сотрудников отдела информационной безопасности привлекло подозрительное письмо с прикрепленным к нему вложением. После попытки самостоятельно определить, какую опасность несет приложенный файл, они обратились к нашим специалистам. Ознакомившись с полученным запросом, наши аналитики пришли к выводу, что компания чуть не стала жертвой целевой атаки. Задачами, которые ставили перед собой злоумышленники, был сбор информации о системе и запуск модульного вредоносного ПО на скомпрометированном ПК.

Для реализации атаки киберпреступники отправили на электронный адрес компании фишинговое письмо, замаскированное под резюме соискателя вакансии. К письму был приложен архив, якобы содержащий PDF-файл с анкетой. Этот файл имел «двойное» расширение .pdf.lnk. Сокрытие вредоносных объектов при использовании двойных расширений — довольно частая тактика злоумышленников, которой они пользуются для того, чтобы вводить своих жертв в заблуждение. По умолчанию ОС Windows скрывает расширения файлов для удобства пользователя. А если файл имеет «двойное» расширение, то система скрывает только последнее из них. Таким образом, в данном случае жертва могла видеть первое расширение — .pdf, а расширение .lnk было скрыто. Отметим, что даже при включенном отображении полных имен файлов расширение .lnk всегда скрывается ОС.

Идея компрометации систем посредством lnk-файлов не нова. Наиболее знаковая атака произошла в 2010 году, когда оборудование для обогащения урана в иранском городе Нетенз подверглось беспрецедентному кибервоздействию со стороны злоумышленников. Червь под название Stuxnet атаковал ПЛК, управляющие газовыми центрифугами, выводя последние на запредельную скорость вращения, а затем резко останавливая, из-за чего происходило разрушение их корпусов. Помимо порчи оборудования этот червь инфицировал более 200 000 компьютеров во многих странах мира. Основным вектором атаки был lnk-файл, который попал на управляющий компьютер предприятия на USB-носителе. А для запуска вредоносного достаточно было лишь перейти в папку, содержащую специально сформированный lnk-файл. В рамках атаки было задействовано 4 уязвимости нулевого дня, в частности эксплойт CPLINK, что позволило запустить червя Stuxnet без участия пользователя.

Метаданные, хранящиеся в lnk-файле

Истинное расширение .lnk является расширением ярлыков в ОС Windows. В поле «Объект» (Target) можно указать путь до любого объекта ОС — например, исполняемого файла — и запустить его с требуемыми параметрами. В рамках этой атаки скрытно происходил запуск интерпретатора команд PowerShell, скачивавший с сайта злоумышленников два вредоносных скрипта, каждый из которых запускал свою полезную нагрузку.

Схема атаки

Первая из них представляла собой отвлекающий PDF, а также исполняемый файл с названием YandexUpdater.exe, маскирующийся под компонент для обновления Яндекс Браузера (название реального компонента — service_update.exe). Данный исполняемый файл представляет собой дроппер трояна Trojan.Packed2.46324, который после ряда проверок, направленных на выявление факта запуска в эмулируемом окружении и наличия ПО для отладки, распаковывал в скомпрометированной системе трояна Trojan.Siggen28.53599. Последний имеет возможность удаленного управления, выполняет сбор системной информации и скачивание различных вредоносных модулей. Помимо данных функций троян также обладает возможностями по противодействию отладке. При выявлении процессов антивирусов, виртуальных машин и отладчиков троян перезаписывает свой файл нулями и удаляет его вместе с папкой, в которой он хранился.

Отвлекающий PDF-файл

Вторая полезная нагрузка состояла из отвлекающего PDF-файла и трояна Trojan.Siggen27.11306. Данный троян представляет собой динамическую библиотеку (DLL) с зашифрованной полезной нагрузкой. Особенность данного трояна заключается в том, что он эксплуатирует уязвимость Яндекс Браузера к перехвату порядка поиска DLL (DLL Search Order Hijacking). В ОС Windows DLL-файлы представляют собой библиотеки, которые используются приложениями для хранения функций, переменных и элементов интерфейса. В момент своего запуска приложения выполняют поиск библиотек в различных хранилищах данных в определенном порядке, поэтому злоумышленники могут попытаться «пролезть без очереди» и поместить вредоносную библиотеку в ту папку, где поиск DLL происходит с наибольшим приоритетом.

Упрощенная схема приоритета поиска библиотек

Данный троян сохраняется в скрытую папку %LOCALAPPDATA%\Yandex\YandexBrowser\Application под именем Wldp.dll. Именно в этот каталог устанавливается Яндекс Браузер, и там же браузер будет искать необходимые ему библиотеки при запуске. В свою очередь, легитимная библиотека Wldp.dll, функция которой заключается в обеспечении безопасности запуска приложений, является системной библиотекой ОС и находится в папке %WINDIR%\System32. А так как вредоносная библиотека располагается в папке установки Яндекс Браузера, то первой будет загружаться именно она. При этом она получает все разрешения основного приложения: может выполнять команды и создавать процессы от имени браузера, а также наследовать правила брандмауэра для доступа в интернет.

После запуска браузера вредоносная библиотека Wldp.dll расшифровывает зашитую в нее полезную нагрузку. Следует отметить, что расшифровка выполняется дважды. В первый раз она производится с помощью ключа, создаваемого на основе хеша пути, по которому расположена вредоносная DLL, а затем — с помощью глобального ключа, зашитого в тело трояна. Результатом расшифровки является шелл-код, выполнение которого позволяет злоумышленникам запустить в скомпрометированной системе приложение, написанное на языке .NET. В свою очередь, этот стейджер загружал из сети вредоносное ПО. К сожалению, на момент нашего расследования на сервере, с которым связывался загрузчик, искомый файл был недоступен, и нам не удалось узнать, какой конкретно троян скачивался в данном случае.

Таким образом, мы видим многовекторную и многоступенчатую схему инфицирования одновременно двумя разными троянами, которые доставляются в скомпрометированную систему при открытии файла из фишингового письма. Несмотря на запутанную реализацию, методы профилактики и защиты от таких атак довольно просты. Они изложены ниже.

  1. Повышение осведомленности сотрудников в вопросах информационной безопасности (внимательно проверять ссылки и имена файлов, не открывать подозрительные объекты и т. п.).
  2. Использование программных продуктов, выполняющих фильтрацию писем, для предотвращения доставки вредоносных писем и вложений — например, Dr.Web Mail Security Suite.
  3. Установка на всех узлах сети антивирусного ПО, которое не пропустит опасный файл при работе в интернете или заблокирует подозрительную активность на компьютерах пользователей, если файл был доставлен на USB-носителе — например, Dr.Web Desktop Security Suite и Dr.Web Server Security Suite.
  4. Своевременное обновление ПО, в рамках которого устраняются программные ошибки.

После обнаружения эксплуатации уязвимости в Яндекс Браузере мы передали информацию о ней в компанию Яндекс. Разработчики оперативно отреагировали на наше сообщение, в результате чего была выпущена версия Яндекс Браузера 24.7.1.380 с исправлением, а найденной уязвимости был присвоен идентификатор CVE-2024-6473.

В дальнейшем мы координировали дату публикации этой новости с разработчиками браузера, чтобы дать возможность пользователям получить исправленную версию Яндекс Браузера до обнародования подробностей об этой атаке.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14899&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности для мобильных устройств во II квартале 2024 года
Понедельник, 01 Июля 2024 г. 10:00 + в цитатник

1 июля 2024 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, во II квартале 2024 года на защищаемых устройствах наиболее часто выявлялись рекламные троянские программы Android.HiddenAds. Вторыми по распространенности стали вредоносные приложения Android.FakeApp, которые злоумышленники применяют при реализации различных мошеннических схем. Основная доля детектирований этого семейства пришлась на трояна Android.FakeApp.1600, которого наши специалисты обнаружили в конце мая. Он распространяется через вредоносные сайты, с которых скачивается под видом игрового приложения. Однако на самом деле эта подделка при запуске загружает прописанный в ее настройках веб-сайт — в известных модификациях им является сайт онлайн-казино. Его посетителям предлагается сыграть в игру вида «колесо удачи», но при попытке сделать это они перенаправляются на страницу с формой регистрации. Высокие показатели по числу детектирований этой вредоносной программы можно объяснить тем, что для ее продвижения злоумышленники используют в том числе рекламу в других приложениях. При нажатии на такое объявление пользователи попадают на соответствующий вредоносный сайт, с которого происходит загрузка трояна. Третьими по распространенности стали обладающие шпионской функциональностью трояны Android.Spy.

В течение II квартала вирусная лаборатория компании «Доктор Веб» выявила очередные угрозы в каталоге Google Play. Среди них — разнообразные вредоносные программы-подделки Android.FakeApp, а также нежелательная программа Program.FakeMoney.11, якобы позволяющая конвертировать виртуальные награды в настоящие деньги и выводить их из приложения. Кроме того, злоумышленники в очередной раз распространяли через Google Play трояна, который подписывает жертв на платные услуги.

ГЛАВНЫЕ ТЕНДЕНЦИИ II КВАРТАЛА

  • Рекламные троянские программы Android.HiddenAds остаются наиболее активными Android-угрозами
  • Появление очередных угроз в каталоге Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.FakeApp.1600
Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106
Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeMoney.11
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin
Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin
Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.Packer.1.origin
Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.NPMod.1
Tool.NPMod.2
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Adware.ModAd.1
Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты, например - онлайн-казино и букмекеров, сайты для взрослых.
Adware.AdPush.39.origin
Adware.Adpush.21846
Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.ShareInstall.1.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС.
Adware.Airpush.7.origin
Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

Во втором квартале 2024 года вирусная лаборатория компании «Доктор Веб» вновь выявила в каталоге Google Play троянские приложения из семейства Android.FakeApp. Часть из них распространялась под видом программ финансовой тематики, а также приложений для участия в опросах и викторинах:

Они могли загружать мошеннические сайты, на которых потенциальным жертвам якобы от имени известных кредитных организаций и нефтегазовых компаний предлагалось пройти финансовое обучение или стать инвесторами. Для доступа к тому или иному «сервису» от пользователей требовалось ответить на несколько вопросов, после чего указать персональные данные.

Другие трояны Android.FakeApp скрывались во всевозможных играх. При определенных условиях вместо заявленной функциональности они загружали сайты букмекеров и онлайн-казино.

Еще одна троянская программа семейства Android.FakeAppAndroid.FakeApp.1607 — скрывалась в программе — сборнике изображений. Она действительно предоставляла заявленную функциональность, но вместо этого тоже могла загружать сайты онлайн-казино.

Несколько представителей семейства Android.FakeApp (Android.FakeApp.1605 и Android.FakeApp.1606) злоумышленники выдавали за программы для поиска работы. Эти трояны загружают поддельные списки вакансий, где предлагается связаться с «работодателем» через интернет-мессенджеры (например, Telegram), либо отправить «резюме», предоставив персональные данные. После привлечения внимания потенциальных жертв мошенники, пытаясь украсть деньги, могут заманивать пользователей в различные сомнительные схемы заработка.

Наши специалисты также выявили в Google Play еще одну нежелательную программу, принадлежащую семейству Program.FakeMoney. Такие приложения предлагают пользователям выполнять различные задания и получать виртуальные награды, которые в дальнейшем якобы возможно вывести в виде реальных денег. На самом деле они вводят владельцев Android-устройств в заблуждение, поскольку никаких выплат не происходит. Цель таких программ — стимулировать пользователей как можно дольше оставаться внутри них и показывать им рекламу, которая приносит прибыль разработчикам.

Выявленная программа (Program.FakeMoney.11) представляет собой вариант беспроигрышного «однорукого бандита», за игру в который и за просмотр рекламы внутри приложения пользователям начисляются виртуальные награды. При попытке вывести «заработанные» деньги программа максимально отдаляет эту возможность, устанавливая все новые условия. Если же пользователь в итоге «успешно» подаст заявку на вывод, он окажется в некой очереди на рассмотрение, состоящей из нескольких тысяч других «претендентов».

Кроме того, в каталоге Google Play распространялась очередная троянская программа семейства Android.HarlyAndroid.Harly.87. Вредоносные приложения этого семейства подписывают жертв на платные услуги.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14868&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности во II квартале 2024 года
Понедельник, 01 Июля 2024 г. 09:00 + в цитатник

1 июля 2024 года

Согласно статистике детектирований антивируса Dr.Web, во II квартале 2024 года наиболее распространенными угрозами стали нежелательные рекламные программы, рекламные троянские приложения, а также вредоносное ПО, которое распространяется в составе других троянов и применяется для затруднения их обнаружения. В почтовом трафике наиболее часто выявлялись вредоносные скрипты и различные фишинговые документы.

Пользователи, файлы которых были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.3953, Trojan.Encoder.35534 и Trojan.Encoder.26996.

На Android-устройствах наиболее часто детектировались рекламные трояны семейства Android.HiddenAds, вредоносные программы Android.FakeApp и трояны-шпионы Android.Spy. При этом в каталоге Google Play наши вирусные аналитики обнаружили очередные угрозы.

Главные тенденции II квартала

  • Высокая активность рекламных троянских программ и рекламного ПО
  • Преобладание вредоносных скриптов и всевозможных фишинговых документов во вредоносном почтовом трафике
  • Рекламные троянские приложения Android.HiddenAds вновь оказались наиболее часто детектируемыми угрозами для Android-устройств

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы II квартала:

Adware.Downware.20091
Adware.Downware.20477
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.StartPage1.62722
Вредоносная программа, подменяющая стартовую страницу в настройках браузера.
Trojan.AutoIt.1224
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
JS.Siggen5.44590
Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590
Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
PDF.Phisher.693
PDF.Phisher.707
PDF-документы, используемые в фишинговых email-рассылках.

Шифровальщики

Динамика поступления запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками:

Наиболее распространенные энкодеры II квартала:

Trojan.Encoder.3953 — 18.43%
Trojan.Encoder.35534 — 9.22%
Trojan.Encoder.26996 — 8.75%
Trojan.Encoder.35067 — 2.07%
Trojan.Encoder.37369 — 1.61%

Опасные сайты

Во II квартале 2024 года специалисты компании «Доктор Веб» зафиксировали массовую рассылку фишинговых электронных писем, предназначенных для пользователей из Японии. Мошенники якобы от имени одного из банков информировали потенциальных жертв о некой покупке и предлагали им ознакомиться с деталями «платежа», перейдя по предоставленной ссылке. На самом деле эта ссылка вела на фишинговый интернет-ресурс.

Среди выявленных во II квартале мошеннических сайтов наши интернет-аналитики также отметили фишинговые ресурсы, которые имитировали внешний вид настоящих сайтов электронных кошельков — например, Payeer. С их помощью злоумышленники пытались украсть у пользователей их аутентификационные данные.

Кроме того, киберпреступники не оставляют попыток получить доступ к учетным записям от различных мессенджеров. Для этого они создают сайты с поддельными формами аутентификации. Ниже представлен пример одного из них. Потенциальным жертвам предлагается войти в Telegram по QR-коду или номеру мобильного телефона. Если пользователь согласится на это, его данные для входа в учетную запись попадут к злоумышленникам.

Вместе с тем наши специалисты продолжают выявлять мошеннические сайты, нацеленные на русскоязычных пользователей. Среди них по-прежнему распространены сайты, предлагающие потенциальным жертвам якобы бесплатное участие в лотерее. На них сообщается, что пользователи получают «в подарок» лотерейный билет, который в итоге оказывается «выигрышным». Для «получения» приза от жертв требуется указать данные банковской карты и заплатить некую комиссию или пошлину за «перевод» несуществующего выигрыша на их банковский счет.

Пример одного из таких мошеннических сайтов представлен ниже. Вначале он имитирует регистрацию «бесплатного» лотерейного билета, а затем демонстрирует якобы онлайн-трансляцию розыгрыша:

Пользователь «выигрывает» 314 906 рублей, но для «получения» выигрыша он должен предоставить данные банковской карты. За «перевод» денег от него требуется заплатить «пошлину» в размере 501 рубля:

Также популярными среди мошенников остаются поддельные ресурсы интернет-магазинов — например, электроники и бытовой техники. Злоумышленники заманивают потенциальных жертв «скидками», «купонами» и различными «акциями», предлагая приобрести популярные товары по сниженным ценам. При оформлении «заказа» на таких сайтах пользователям обычно предлагается оплатить его через интернет-банк или банковской картой. Однако наши специалисты отмечают, что мошенники начали прибегать и к Системе быстрых платежей — СБП.

На скриншотах ниже показан пример одного из поддельных сайтов, который имитирует интернет-ресурс торговой сети электроники:

Потенциальная жертва оформляет заказ «товара», на который якобы предоставляется скидка:

В качестве одного из способов оплаты «заказа» предлагается воспользоваться СБП:

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, во II квартале 2024 года на защищаемых устройствах чаще всего обнаруживались рекламные троянские программы Android.HiddenAds. За ними расположились вредоносные приложения Android.FakeApp. Третьими по числу детектирований стали шпионские трояны Android.Spy.

Вместе с тем в каталоге Google Play были вновь обнаружены всевозможные угрозы. Среди них — очередные трояны Android.FakeApp, нежелательная программа Program.FakeMoney.11, а также троян Android.Harly.87, который подписывал пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью во II квартале:

  • рекламные троянские приложения Android.HiddenAds остались наиболее активными угрозами,
  • в каталоге Google Play вновь были выявлены угрозы.

Более подробно о вирусной обстановке для мобильных устройств во II квартале 2024 года читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14869&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности за 2023 год
Понедельник, 13 Мая 2024 г. 16:00 + в цитатник

13 мая 2024 года

В 2023 году одними из самых активных угроз вновь стали троянские приложения Trojan.AutoIt, созданные с использованием скриптового языка AutoIt. Они распространяются в составе других вредоносных приложений и затрудняют их обнаружение. Также наблюдалась высокая активность рекламных троянских программ Trojan.BPlug и различных вредоносных скриптов. В почтовом трафике чаще всего встречались вредоносные скрипты, а также фишинговые документы. Кроме того, злоумышленники активно распространяли вредоносные программы, эксплуатирующие уязвимости документов Microsoft Office. Часть распространяемых по электронной почте угроз пришлась на различные троянские приложения.

По сравнению с предыдущим годом, в 2023 снизилось число обращений пользователей за расшифровкой файлов. При этом также наблюдалось снижение количества детектирований банковских троянских программ.

Минувший год запомнился рядом событий в сфере информационной безопасности. Весной наши специалисты зафиксировали атаку Android-троянов, которые заражают смарт-телевизоры и приставки с Android TV. Летом вирусные аналитики «Доктор Веб» выявили трояна, предназначенного для кражи криптовалют. Он скрывался в некоторых пиратских сборках Windows 10 и при заражении компьютеров инфицировал системный EFI-раздел. Уже осенью мы сообщили об атаке шпионских троянских приложений на иранских пользователей Android. Эти вредоносные программы похищали персональные данные и деньги жертв. Кроме того, наша компания предупредила о распространении вредоносных плагинов для сервера обмена сообщениями Openfire. Они эксплуатировали одну из уязвимостей в ПО Openfire и выполняли различные команды злоумышленников.

Среди мобильных угроз наибольшее распространение получили рекламные троянские приложения, вредоносные программы-шпионы, а также нежелательное рекламное ПО. При этом в каталоге Google Play было выявлено множество новых вредоносных приложений с почти полумиллиардным суммарным числом установок. Также наши специалисты обнаружили очередных троянов — похитителей криптовалют, нацеленных не только на пользователей ОС Android, но и на владельцев устройств под управлением iOS.

Интернет-аналитики компании «Доктор Веб» продолжили выявлять фишинговые интернет-ресурсы. Популярностью среди мошенников вновь пользовались поддельные сайты банков, интернет-магазинов, нефтегазовых компаний.

Главные тенденции года

  • Широкое распространение троянов, созданных с использованием скриптового языка AutoIt
  • Широкое распространение вредоносных программ, демонстрирующих рекламу
  • Снижение числа инцидентов с троянскими программами-вымогателями
  • Появление новых семейств банковских троянов
  • Появление множества новых угроз в каталоге Google Play
  • Высокая активность интернет-мошенников
  • Преобладание вредоносных скриптов и фишинговых документов во вредоносном почтовом трафике

Наиболее интересные события 2023 года

В мае 2023 года компания «Доктор Веб» рассказала о троянском модуле Android.Spy.SpinOk, который предлагался разработчикам Android-игр и программ в качестве маркетингового инструмента, но при этом обладал шпионской функциональностью. Он собирал информацию о хранящихся на устройствах файлах и мог передавать их злоумышленникам, а также был способен подменять и загружать содержимое буфера обмена на удаленный сервер. Кроме того, он мог демонстрировать рекламу. Наши вирусные аналитики выявили этот модуль в более чем ста приложениях, загруженных из Google Play свыше 421 000 000 раз. После выхода соответствующей публикации разработчик SpinOk обратился в компанию «Доктор Веб» с целью проверки и устранения причин классификации модуля как вредоносного. Впоследствии он был обновлен до версии 2.4.2, в которой троянская функциональность отсутствовала.

В июне наши специалисты обнаружили вредоносное приложение Trojan.Clipper.231 для кражи криптовалюты. Оно было встроено в ряд пиратских сборок Windows 10 и при заражении компьютеров проникало в системный EFI-раздел. Стилер подменял адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На момент обнаружения злоумышленникам с его помощью удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.

Уже в июле компания «Доктор Веб» выявила атаку на пользователей Windows, в ходе которой применялась модульная троянская программа-загрузчик Trojan.Fruity.1. С ее помощью злоумышленники в зависимости от своих целей могли заражать компьютеры различными типами вредоносных приложений. При этом киберпреступники предприняли ряд мер для повышения шансов атаки на успех. Например, Trojan.Fruity.1 распространялся в составе специально подготовленных установщиков популярных программ, которые загружались с вредоносных сайтов, а процесс заражения целевых систем благодаря модульной архитектуре трояна был многоступенчатым. Кроме того, для запуска компонентов Trojan.Fruity.1 использовались безобидные приложения, а при заражении системы выполнялась попытка обойти антивирусную защиту.

В начале сентября наша компания опубликовала исследование бэкдора Android.Pandora.2, который атаковал преимущественно испаноязычных пользователей. Различные модификации этого трояна заражают смарт-телевизоры и приставки с Android TV, куда попадают через скомпрометированные версии прошивок, а также при установке троянских версий ПО для нелегального просмотра видео онлайн. Массовые случаи атак с участием Android.Pandora.2 фиксировались в марте 2023 года. Первые модификации этой троянской программы были добавлены в вирусную базу Dr.Web еще в июле 2017 года.

Чуть позже мы сообщили о троянах семейства Android.Spy.Lydia, главной целью которых были иранские пользователи Android. Эти вредоносные программы предоставляли злоумышленникам удаленный доступ к инфицированным устройствам, обладали шпионской функциональностью и применялись для кражи персональной информации и денег.

А в конце сентября компания «Доктор Веб» предупредила о распространении вредоносных плагинов JSP.BackDoor.8 для сервера обмена сообщениями Openfire — они эксплуатировали уязвимость CVE-2023-32315 в этом продукте. Данная уязвимость позволяла хакерам получать доступ к файловой системе зараженных серверов и использовать их в составе ботнета. Троянские плагины специалисты вирусной лаборатории «Доктор Веб» обнаружили в ходе расследования атаки трояна-шифровальщика на инфраструктуру одного из клиентов нашей компании. Именно с помощью такого плагина на сервер с установленным уязвимым ПО Openfire и была совершена атака энкодера. Плагины JSP.BackDoor.8 являются созданными на языке Java бэкдорами, позволяющими выполнять ряд команд в виде GET- и POST-запросов, которые отправляют злоумышленники. С их помощью атакующие также могут получать информацию о скомпрометированном сервере — например, сведения о сетевых подключениях, IP-адресе, пользователях и версии ядра системы.

Вирусная обстановка

Анализ статистики детектирований антивируса Dr.Web за 2023 год показал увеличение общего числа обнаруженных угроз на 12,27% по сравнению с 2022 годом. Число уникальных угроз при этом возросло на 21,70%. Наиболее заметную активность проявили троянские приложения, которые распространяются в составе других вредоносных программ с целью затруднить их обнаружение. Кроме того, пользователи часто сталкивались с рекламными троянами и всевозможными вредоносными скриптами.

Trojan.BPlug.3814
Trojan.BPlug.4087
Детектирование вредоносных компонентов браузерного расширения WinSafe. Эти компоненты представляют собой сценарии JavaScript, которые демонстрируют навязчивую рекламу в браузерах.
Trojan.AutoIt.1224
Trojan.AutoIt.1131
Trojan.AutoIt.1124
Trojan.AutoIt.1122
Trojan.AutoIt.1147
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
BAT.Hosts.187
Вредоносный скрипт, написанный на языке командного интерпретатора ОС Windows. Модифицирует файл hosts, добавляя в него определенный список доменов.
Trojan.Hosts.51189
Троянская программа, которая изменяет содержимое файла hosts на компьютерах под управлением ОС Windows.
BAT.Starter.457
Вредоносный скрипт, написанный на языке командного интерпретатора ОС Windows. Предназначен для запуска различных вредоносных приложений на целевых компьютерах.

В почтовом трафике в 2023 году наиболее распространенными угрозами стали вредоносные скрипты и фишинговые документы, которые часто представляют собой поддельные формы ввода учетных данных. Такие документы имитируют авторизацию на популярных сайтах и передают злоумышленникам вводимые жертвами данные. Широкое распространение вновь получили и вредоносные программы, эксплуатирующие уязвимости документов Microsoft Office.

JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
PDF.Phisher.458
PDF.Phisher.455
PDF.Phisher.474
PDF.Phisher.456
PDF.Phisher.486
PDF.Phisher.463
PDF-документы, используемые в фишинговых email-рассылках.
Exploit.CVE-2018-0798.4
Эксплойт для использования уязвимостей в ПО Microsoft Office, позволяющий выполнить произвольный код.
LNK.Starter.56
Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.

Шифровальщики

По сравнению с 2022, в 2023 году в вирусную лабораторию «Доктор Веб» поступило на 28,84% меньше запросов от пользователей, пострадавших от троянских приложений-шифровальщиков. На следующем графике представлена динамика регистрации запросов на расшифровку файлов:

Наиболее распространенные шифровальщики в 2023 году:

Trojan.Encoder.26996 (21,35% обращений пользователей)
Шифровальщик, известный как STOP Ransomware. Он пытается получить приватный ключ с удаленного сервера, а в случае неудачи пользуется зашитым. Это один из немногих троянов-вымогателей, который шифрует данные поточным алгоритмом Salsa20.
Trojan.Encoder.3953 (18,87% обращений пользователей)
Шифровальщик, имеющий несколько различных версий и модификаций. Для шифрования файлов применяет алгоритм AES-256 в режиме CBC.
Trojan.Encoder.35534 (6,00% обращений пользователей)
Шифровальщик, также известный как Mimic. При поиске целевых файлов для шифрования троян использует библиотеку everything.dll легитимной программы Everything, предназначенной для мгновенного поиска файлов на Windows-компьютерах.
Trojan.Encoder.34027 (2,18% обращений пользователей)
Шифровальщик, также известный как TargetCompany или Tohnichi. Для шифрования файлов использует алгоритмы AES-128, Curve25519 и ChaCha20.
Trojan.Encoder.35209 (2,01% обращений пользователей)
Шифровальщик, известный как Conti (один из вариантов трояна — Trojan.Encoder.33413). Для шифрования файлов применяет алгоритм AES-256.

Сетевое мошенничество

В 2023 году интернет-аналитики компании «Доктор Веб» наблюдали высокую активность мошенников и обнаружили множество фишинговых сайтов. Наиболее востребованной среди злоумышленников стала финансовая тематика: около 60% выявленных нежелательных интернет-ресурсов имитировали настоящие сайты кредитных организаций. Распространенными вариантами среди них были поддельные личные кабинеты для входа в онлайн-банк и страницы с псевдоопросами. С помощью таких подделок киберпреступники пытались заполучить персональные данные пользователей и реквизиты для доступа к учетным записям в интернет-банках.

Кроме того, злоумышленники продолжили заманивать потенциальных жертв на мошеннические сайты с предложениями помочь улучшить финансовое положение. В одних случаях им предлагалось заработать на инвестициях в сервисах, якобы имеющих отношение к крупным нефтегазовым компаниям. В других — получить доступ к неким автоматизированным торговым платформам, якобы гарантирующим высокую прибыль. Популярностью вновь пользовались и вариации с «получением» социальных выплат от государства. Фишинговая схема на таких сайтах сводится к тому, что пользователи после ответа на ряд простых вопросов должны указать персональные данные для регистрации учетной записи, а в случае с якобы получением тех или иных выплат — еще и заплатить «комиссию» за перевод на их банковский счет в действительности несуществующих денег.

На скриншотах ниже показаны примеры мошеннических сайтов финансовой тематики. В первом случае пользователям якобы от имени крупной российской нефтегазовой компании предлагается получить доступ к «инвестиционной платформе». Во втором — к инвестиционному сервису, якобы имеющему отношение к одному из европейских банков. В третьем — к псевдоторговой «автоматизированной системе», известной под именами Quantum UI, Quantum System и т. п.

Распространенными вновь были фишинговые схемы, связанные со всевозможными «акциями», «бонусами» и «подарками». Мошенники заманивали потенциальных жертв на поддельные веб-сайты интернет-магазинов, ритейлеров, онлайн-касс для продажи билетов и т. п., где якобы можно было принять участие в розыгрыше призов, получить подарок или бонусы, либо приобрести тот или иной товар по более выгодной цене. Злоумышленники вводили пользователей в заблуждение, пытаясь украсть у них деньги и данные банковских карт. Примеры таких мошеннических сайтов представлены на скриншотах ниже.

Поддельный сайт, имитирующий внешний вид настоящего интернет-ресурса российского магазина бытовой техники и электроники:

Мошенники предлагают потенциальным жертвам «приобрести» товар со скидкой, оплатив его банковской картой или переводом средств через онлайн-банк.

Мошеннический сайт, на котором посетителям якобы от имени интернет-магазинов предлагается принять участие в «розыгрыше призов»:

После того как потенциальная жертва «выигрывает» крупный денежный приз, для его «получения» она якобы должна заплатить комиссию за конвертацию валюты.

Мошеннический интернет-ресурс, оформленный в стиле официального сайта одного из российских интернет-магазинов:

Пользователю для участия в «розыгрыше» денежного приза предлагается ответить на несколько вопросов. После того как сайт имитирует розыгрыш приза, жертва якобы выигрывает, но для «получения» выигрыша ей необходимо заплатить «комиссию».

Фишинговый сайт, предлагающий посетителям «бесплатные» лотерейные билеты:

Якобы победивший в лотерею пользователь для получения выигрыша должен заплатить «комиссию».

Летом 2023 года активизировались мошенники, которые на различных сайтах предлагали якобы легальные услуги по восстановлению утраченных или продаже совершенно новых документов государственного образца России, стран СНГ и других государств. В ассортименте таких сайтов значились дипломы о высшем образовании, водительские удостоверения, всевозможные справки, свидетельства и т. д. Пользователи, решавшиеся прибегнуть к сомнительным сервисам, не только рисковали потерять деньги при оплате несуществующей услуги, но и могли столкнуться с утечкой своих персональных данных. Кроме того, в случае приобретения поддельного документа они нарушали закон, что в дальнейшем могло привести к проблемам с правоохранительными органами. Ниже представлены скриншоты с примерами сайтов, на которых предлагались сомнительные услуги.

Сайт, предлагающий приобрести паспорт гражданина Российской Федерации:

Сайты, предлагающие приобрести дипломы о высшем образовании, аттестаты, водительские удостоверения и другие документы:

Уже осенью интернет-аналитики «Доктор Веб» зафиксировали рассылку фишинговых писем якобы от имени налоговых органов. Эти письма содержали ссылку на сайт, где пользователям предлагалось проверить организации и предприятия на соответствие требованиям закона о персональных данных (№ 152-ФЗ «О персональных данных»). Для этого от них вначале требовалось пройти опрос, после чего указать персональные данные «для получения результатов и бесплатной консультации эксперта». После ответа на вопросы сайт запрашивал у посетителей номер телефона и email.

Вместе с тем в минувшем году наши специалисты отметили рост случаев использования мошенниками блог-платформы Telegraph. Злоумышленники публикуют в ней фишинговые записи со ссылками, ведущими на различные нежелательные сайты. При этом ссылки на сами страницы с мошенническими публикациями перед распространением предварительно преобразуются через сервисы сокращения ссылок.

Пример такой мошеннической публикации представлен на скриншоте ниже. Пользователю предлагается активировать некую учетную запись, но при нажатии на элемент с текстом «ПОДТВЕРДИТЬ» он перенаправляется на фишинговый сайт.

Для мобильных устройств

Согласно статистике детектирований Dr.Web для мобильных устройств Android, в 2023 году самыми распространенными вредоносными Android-программами стали демонстрирующие нежелательную рекламу трояны Android.HiddenAds, на долю которых пришлось 31,61% обнаруженного вредоносного ПО. При этом наиболее активной угрозой стал Android.HiddenAds.3697 — он детектировался на защищаемых устройствах в 10,72% случаев. На втором месте с долей 28,22% расположились обладающие шпионской функциональностью троянские программы Android.Spy. Среди них чаще всего выявлялся троян Android.Spy.5106 (20,80% случаев). Третьими с показателем 10,06% стали рекламные трояны Android.MobiDash.

Наиболее активной нежелательной программой оказалась Program.FakeMoney.7 (29,90% детектирований нежелательного ПО). Она предлагала пользователям заработать на выполнении различных заданий, но на самом деле не выплачивала никаких вознаграждений. Второй по распространенности (19,42% детектирований) стала Program.FakeAntiVirus.1. Она имитировала работу антивирусов, обнаруживала несуществующие угрозы и предлагала пользователям приобрести полную версию программы для «устранения» проблем. Третье место с долей 9,46% заняли приложения, которые прошли модификацию через облачный сервис CloudInject. К таким программам (антивирус Dr.Web детектирует их как Program.CloudInject.1) добавляются опасные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Как и годом ранее среди потенциально опасных программ лидирующие позиции по числу детектирований вновь заняли утилиты Tool.SilentInstaller (48,89% случаев обнаружения потенциально опасного ПО). Они позволяют запускать Android-приложения без установки и могут использоваться киберпреступниками для запуска вредоносных программ. Вторыми с долей 14,02% стали утилиты Tool.LuckyPatcher — с их помощью возможна модификация Android-приложений с добавлением в них загружаемых из интернета скриптов. На третьем месте с долей 10,14% расположились приложения, защищенные программным упаковщиком Tool.ApkProtector.

Самым распространенным семейством рекламных программ в 2023 году стало Adware.Adpush — на него пришлось 35,82% детектирований нежелательного рекламного ПО. Вторым наиболее часто встречавшимся стало семейство Adware.MagicPush с долей 9,58%. Третью строчку заняло семейство рекламных модулей Adware.Airpush, на долю которых пришлось 8,59% детектирований.

В течение минувшего года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 440 вредоносных приложений, которые суммарно были загружены по меньшей мере 428 000 000 раз. Среди обнаруженных угроз оказалось более 100 программ со встроенным троянским модулем Android.Spy.SpinOk, который обладал шпионской функциональностью. Кроме того, наша вирусная лаборатория зафиксировала свыше 300 троянских приложений Android.FakeApp, которые использовались при реализации различных мошеннических схем. Также наши специалисты выявили троянские программы Android.Proxy.4gproxy — они превращали зараженные устройства в прокси-серверы и незаметно передавали через них сторонний трафик. Среди обнаруженных угроз были рекламные трояны семейства Android.HiddenAds, вредоносная программа-шпион Android.Spy.1092.origin и похититель криптовалют Android.CoinSteal.105. Не обошлось и без появления новых представителей Android.Subscription — семейства троянов, подписывающих пользователей на платные услуги. При этом в Google Play вновь распространялись трояны Android.Joker и Android.Harly, которые также предназначены для подписки жертв на платные сервисы.

По сравнению с 2022, в 2023 году почти наполовину сократилось число детектирований банковских троянских приложений для платформы Android. Тем не менее география их атак вновь охватила множество стран. Более того, наряду с активностью известных банковских троянов вирусные аналитики компании «Доктор Веб» фиксировали появление и новых семейств, многие из которых были нацелены на российских и иранских пользователей.

Вместе с тем наши специалисты продолжили выявлять вредоносные сайты, распространяющие поддельные приложения криптокошельков для Android- и iOS-устройств с целью кражи криптовалюты.

Более подробно о вирусной обстановке для мобильных устройств в 2023 году читайте в нашем обзоре.

Перспективы и вероятные тенденции

Широкое распространение рекламных троянских приложений в 2023 году показало, что для киберпреступников одним из приоритетов по-прежнему остается получение нелегального заработка. Подтверждением этому служит и активное использование троянских программ на скриптовом языке AutoIt, которые в том числе применяются в составе троянов-майнеров для затруднения их обнаружения. В этой связи вероятно, что вредоносные программы, которые помогают вирусописателям обогащаться за счет своих жертв, останутся в арсенале киберпреступников и в 2024 году.

При этом несмотря на снижение общего числа атак с использованием банковских троянов развитие этого типа вредоносных приложений не останавливается, о чем говорит появление новых семейств. Эта тенденция, скорее всего, продолжится.

Не потеряет актуальности и сетевое мошенничество. С развитием технологий злоумышленники вместе с использованием зарекомендовавших себя схем обмана наверняка станут все чаще применять новые, в том числе задействуя нейросети.

Следует ожидать появления очередных угроз для мобильных устройств, в том числе и в официальных магазинах приложений, таких как Google Play. При этом вероятно появление новых вредоносных программ для устройств под управлением не только Android, но и других платформ, в частности, iOS.

Атака на ПО Openfire в очередной раз показала важность установки обновлений и поддержания используемых программ в актуальном состоянии. Не исключено, что в 2024 году киберпреступники предпримут новые попытки атак с применением всевозможных эксплойтов, в том числе и таргетированные атаки.

https://news.drweb.ru/show/?i=14851&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2023 год
Среда, 17 Апреля 2024 г. 04:00 + в цитатник

17 апреля 2024 года

В 2023 году самыми распространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по сравнению с предыдущим годом снизили свою активность и стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. Несмотря на то, что банковские трояны также выявлялись реже, они по-прежнему представляют серьезную опасность для пользователей по всему миру, поскольку данный тип угроз продолжает развиваться. В минувшем году было выявлено большое число новых семейств Android-банкеров, многие из них целенаправленно атаковали, например, российских и иранских пользователей.

Вместе с тем сохранялась высокая активность мошенников — те использовали всевозможные вредоносные приложения, с помощью которых реализовывали разнообразные мошеннические схемы.

В очередной раз киберпреступники не оставили без внимания и каталог Google Play. В течение года вирусная лаборатория «Доктор Веб» обнаружила в нем более 400 троянских программ, которые суммарно были загружены по меньшей мере 428 000 000 раз.

Кроме того, наши специалисты выявили очередные троянские программы, предназначенные для кражи криптовалют, при этом злоумышленников вновь интересовали владельцы устройств не только под управлением Android, но и операционной системы iOS.

ТЕНДЕНЦИИ ПРОШЕДШЕГО ГОДА

  • Рост активности рекламных троянских программ
  • Снижение активности банковских троянских приложений
  • Появление новых семейств Android-банкеров, целью которых были пользователи из России и Ирана
  • Появление множества новых угроз в каталоге Google Play
  • Сохранение высокой активности мошенников
  • Появление новых троянских программ для кражи криптовалют у пользователей устройств под управлением операционных систем Android и iOS

Наиболее интересные события 2023 года

В мае прошлого года компания «Доктор Веб» выявила в Google Play более 100 приложений с программным модулем SpinOk, который позиционировался как специализированная маркетинговая платформа для встраивания в Android-игры и программы. Этот инструмент предназначался для удержания пользователей в приложениях с помощью мини-игр, системы заданий и якобы розыгрышей призов. Однако модуль обладал шпионской функциональностью и потому был добавлен в вирусную базу Dr.Web как Android.Spy.SpinOk. Он собирал информацию о хранящихся на Android-устройствах файлах и мог передавать их злоумышленникам, а также подменять и загружать содержимое буфера обмена на удаленный сервер. Кроме того, модуль демонстрировал рекламу в виде баннеров, примеры которых показаны ниже.

В общей сложности найденные приложения с Android.Spy.SpinOk были загружены более 421 000 000 раз. После обращения в нашу компанию разработчик SpinOk внес исправления в модуль, вследствие чего актуальная на тот момент версия платформы 2.4.2 уже не содержала троянской функциональности.

В начале прошлого сентября компания «Доктор Веб» опубликовала исследование бэкдора Android.Pandora.2, который нацелен преимущественно на испаноязычных пользователей. Массовые случаи атак с его участием фиксировались в марте 2023 года. Первые модификации этой троянской программы были добавлены в вирусную базу антивируса Dr.Web еще в июле 2017 года. Android.Pandora.2 и его различные модификации заражают смарт-телевизоры и приставки с Android TV, попадая на них через скомпрометированные версии прошивок, а также при установке троянских версий программ для нелегального просмотра видео онлайн. Примеры сайтов, распространяющих бэкдора, показаны ниже:

Троян создает ботнет из зараженных устройств и способен по команде злоумышленников проводить DDoS-атаки различных типов. Также он может выполнять ряд других действий — например, устанавливать собственные обновления и заменять системный файл hosts. Проведенный нашими специалистами анализ показал, что при создании трояна вирусописатели использовали наработки авторов Linux.Mirai, взяв за основу часть его кода. В свою очередь, Linux.Mirai с 2016 года широко применяется для заражения устройств «интернета вещей» (IoT-устройств) и проведения DDoS-атак на различные веб-сайты.

В том же месяце вирусные аналитики «Доктор Веб» сообщили о случаях распространения многофункциональных троянов-шпионов Android.Spy.Lydia, нацеленных на иранских пользователей. Представители этого семейства маскируются под финансовую платформу для онлайн-торговли и по команде атакующих способны выполнять различные вредоносные действия. Например, перехватывать и отправлять СМС, собирать сведения о контактах в телефонной книге, похищать содержимое буфера обмена, загружать фишинговые сайты и т. д. Трояны Android.Spy.Lydia могут применяться во всевозможных мошеннических схемах и использоваться для кражи персональных данных. Кроме того, с их помощью злоумышленники могут похищать деньги своих жертв.

В конце сентября наша компания предупредила об участившихся случаях мошенничества с применением программ для удаленного администрирования мобильных устройств, с помощью которых злоумышленники получали полный контроль над Android-устройствами. Притворяясь сотрудниками поддержки кредитных организаций, киберпреступники сообщали потенциальным жертвам о «подозрительной активности» с их банковскими счетами и предлагали найти и загрузить в Google Play то или иное «приложение поддержки банка». На самом деле этой программой был инструмент для удаленного доступа к рабочему столу, чаще всего — RustDesk Remote Desktop. После блокировки этой утилиты в Google Play злоумышленники стали распространять ее через мошеннические сайты. При этом в некоторых случаях для большей убедительности они модифицировали программу, заменяя ее имя и значок на соответствующие тому или иному банку. Такие троянские версии программы детектируются как Android.FakeApp.1426.

Вместе с тем в 2023 году специалисты «Доктор Веб» продолжили выявлять вредоносные сайты, через которые киберпреступники распространяли поддельные приложения криптокошельков для Android- и iOS-устройств с целью кражи криптовалюты.

Статистика

В 2023 году наиболее распространенными Android-угрозами вновь стали вредоносные программы - на их долю пришлось 86,71% от общего числа детектирований антивируса Dr.Web. На втором месте с долей в 5,80% расположились рекламные приложения. Третьими по распространенности стали потенциально опасные программы - они выявлялись на защищаемых устройствах в 5,74% случаев. В 1,75% случаев пользователи сталкивались с нежелательными программами.

Распределение угроз по типу на основе данных статистики детектирований Dr.Web для мобильных устройств Android наглядно представлено на следующей диаграмме:

Вредоносные приложения

Самыми распространенными вредоносными Android-приложениями стали рекламные трояны семейства Android.HiddenAds. По сравнению с 2022 годом их доля в общем объеме выявленных антивирусом Dr.Web вредоносных программ возросла на 4,72 п. п. и составила 31,61%.

Наиболее активным представителем семейства стал Android.HiddenAds.3697 - он обнаруживался на защищаемых устройствах в 10,72% случаев. Различные варианты этой вредоносной программы на протяжении нескольких лет остаются лидерами по числу детектирований. Например, в 2021 году распространение получила модификация Android.HiddenAds.1994, а в 2022-м - Android.HiddenAds.3018. Вместе с Android.HiddenAds.3697 в 2023 году наши специалисты выявили ряд других версий этого трояна. Среди них - Android.HiddenAds.3597, Android.HiddenAds.3831, Android.HiddenAds.3851 и Android.HiddenAds.3956. Не исключено, что со временем одна из них также сможет занять лидирующие позиции.

Вторыми по распространенности стали обладающие шпионской функциональностью трояны семейства Android.Spy. По сравнению с 2022 годом их доля в общем объеме выявленных антивирусом Dr.Web вредоносных программ снизилась на 14,01 п. п. и составила 28,22%. Наиболее активным среди них был Android.Spy.5106 - на него пришлось 20,80% всех детектирований вредоносного ПО. А с учетом более ранних вариантов трояна, Android.Spy.4498 и Android.Spy.4837, его доля составила 24,32% - почти четверть случаев обнаружения.

На третьем месте расположились рекламные трояны семейства Android.MobiDash. По сравнению с годом ранее их доля в суммарном объеме детектирований вредоносного ПО выросла на 5,25 п. п. до 10,06%.

В 2023 году продолжилось снижение активности вредоносных приложений, предназначенных для загрузки и установки других программ, а также способных выполнять произвольный код. Так, доля детектирований троянов Android.DownLoader уменьшилась на 1,58 п. п. до 2,18%, Android.Triada - на 0,99 п. п. до 2,14% и Android.RemoteCode - на 0,01 п. п. до 2,83%. Доля детектирований Android.Mobifun сократилась на 0,33 п. п. до 0,25%, а Android.Xiny - на 0,21 п. п. до 0,27%.

В то же время возросло число атак с использованием вредоносных программ-подделок Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. В минувшем году их доля в общем объеме выявленного антивирусом Dr.Web вредоносного ПО возросла на 0,85 п. п. до 1,83%.

В 2023 году снизилась активность троянских программ-вымогателей Android.Locker. Их доля в общем объеме детектирований вредоносного ПО уменьшилась с 1,50% до 1,15%. При этом наблюдалось увеличение количества детектирований Android.Packed - вредоносных программ различного типа, защищенных программными упаковщиками. Число их обнаружений увеличилось на 5,22 п. п. до 7,98%.

Десять наиболее часто детектируемых вредоносных приложений в 2023 году представлены на иллюстрации ниже:

Android.Spy.5106
Android.Spy.4498
Детектирование различных вариантов троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.3697
Android.HiddenAds.3558
Android.HiddenAds.3831
Android.HiddenAds.3597
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Packed.57083
Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.
Android.MobiDash.7783
Android.MobiDash.7802
Троянские программы, показывающие надоедливую рекламу. Они представляют собой программные модули, которые разработчики ПО встраивают в приложения.
Android.Pandora.7
Детектирование вредоносных приложений, скачивающих и устанавливающих троянскую программу-бэкдор Android.Pandora.2. Такие загрузчики злоумышленники часто встраивают в приложения для Smart TV, ориентированные на испаноязычных пользователей.

Нежелательное ПО

Самой распространенной нежелательной программой в 2023 году стала Program.FakeMoney.7 - на нее пришлось 29,90% или почти треть от общего числа детектирований угроз этого типа. Она относится к семейству приложений, которые предлагают пользователям заработать на выполнении различных заданий, но в итоге не выплачивают никаких реальных вознаграждений.

Лидер 2022 года - программа Program.FakeAntiVirus.1 - спустя год опустилась на второе место с долей в 19,42% детектирований. Это приложение имитирует работу антивирусов, обнаруживает несуществующие угрозы и предлагает владельцам Android-устройств купить полную версию для «исправления» якобы выявленных проблем.

На третьем месте с долей в 9,46% расположились программы, которые модифицируются через облачный сервис CludInject - антивирус Dr.Web детектирует такие приложения как Program.CloudInject.1. В процессе модификации к ним добавляются опасные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Как и годом ранее, в 2023-м пользователи часто сталкивались с программами, позволяющими следить за их действами и собирать о них различную информацию. Злоумышленники могут применять подобные приложения для незаконной слежки за владельцами Android-устройств. На защищаемых Dr.Web устройствах среди такого ПО чаще всего обнаруживались Program.SecretVideoRecorder.1.origin (3,84% случаев), Program.wSpy.1.origin (3,24% случаев), Program.SecretVideoRecorder.2.origin (2,25% случаев), Program.wSpy.3.origin (1,68% случаев), Program.SnoopPhone.1.origin (1,11% случаев), Program.Reptilicus.8.origin (0,98% случаев) и Program.WapSniff.1.origin (0,83% случаев).

Десять наиболее часто детектируемых нежелательных приложений в 2023 году представлены на следующей диаграмме:

Program.FakeMoney.7
Program.FakeMoney.8
Program.FakeMoney.3
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin
Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.wSpy.1.origin
Program.wSpy.3.origin
Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.SnoopPhone.1.origin
Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение и выполнять аудиозапись окружения.

Потенциально опасные программы

В 2023 году наиболее часто детектируемыми потенциально опасными программами вновь стали утилиты Tool.SilentInstaller, позволяющие запускать Android-приложения без их установки. Они не являются вредоносными, однако злоумышленники могут применять их для запуска вредоносного ПО. На них пришлось 48,89% или почти половина детектирований потенциально опасных приложений. При этом по сравнению с 2022 годом их доля снизилась на 17,94 п. п. Вторыми по распространенности стали представители семейства утилит Tool.LuckyPatcher, с помощью которых возможна модификация Android-программ с добавлением в них загружаемых из интернета скриптов. На долю этих инструментов пришлось 14,02% случаев обнаружения потенциально опасного ПО. На третьем месте расположились защищенные упаковщиком Tool.ApkProtector программы - число их детектирований увеличилось на 5,33 п. п. до 10,14%.

При этом увеличилось и количество детектирований приложений, защищенных другими семействами программных упаковщиков. Так, доля представителей семейства Tool.Packer возросла с 3,58% до 4,74%, а доля представителей семейства Tool.Ultima - с 0,05% до 1,04%.

Другим распространенным потенциально опасным ПО стала утилита NP Manager. Она предназначена для модификации Android-приложений и обхода в них проверки цифровой подписи с помощью встраиваемого в них модуля. Измененные таким образом программы антивирус Dr.Web детектирует как Tool.NPMod. Доля подобных приложений составила 4,81%.

В то же время программы, модифицированные с использованием утилиты-обфускатора Tool.Obfuscapk, выявлялись на защищаемых устройствах реже - их доля по сравнению с 2022 годом снизилась с 5,01% до 3,22%.

Десять наиболее распространенных потенциально опасных приложений, обнаруженных на Android-устройствах в 2023 году, представлены на иллюстрации ниже.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
Tool.SilentInstaller.17.origin
Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.LuckyPatcher.1.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.ApkProtector.16.origin
Tool.ApkProtector.10.origin
Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.
Tool.NPMod.1
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.Packer.3.origin
Детектирование Android-программ, код которых зашифрован и обфусцирован утилитой NP Manager.
Tool.Obfuscapk.1
Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.

Рекламные приложения

Самым популярным рекламным ПО в 2023 году стало семейство встраиваемых в Android-программы рекламных модулей Adware.Adpush, на которые пришлось более трети детектирований — 35,82% (по сравнению с 2022 годом их доля снизилась на 24,88 п. п.). Вторыми по распространенности оказались представители нового семейства Adware.MagicPush с долей в 9,58%. На третьем месте с показателем 8,59% (доля увеличилась на 3,24 п. п.) расположились модули Adware.Airpush.

Среди лидеров также были представители семейств Adware.ShareInstall, доля которых увеличилась с 0,06% до 5,04%, Adware.Fictus (рост с 2,58% до 4,41%), Adware.Leadbolt (рост с 3,31% до 4,37%), Adware.Jiubang (рост с 2,83% до 3,22%) и Adware.Youmi (рост с 0,06% до 2,20%).

В то же время модули Adware.SspSdk, которые годом ранее занимали вторую строчку, в 2023 году не попали даже в первую десятку самых распространенных семейств. На них пришлось 1,49% выявленного на защищаемых Android-устройствах рекламного ПО.

Десять наиболее распространенных рекламных приложений, обнаруженных на Android-устройствах в 2023 году, представлены на следующей диаграмме:

Adware.ShareInstall.1.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.MagicPush.1
Adware.MagicPush.3
Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы отображается реклама.
Adware.Fictus.1
Adware.Fictus.1.origin
Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.AdPush.36.origin
Adware.AdPush.39.origin
Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin
Adware.Airpush.24.origin
Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.Jiubang.2
Рекламный модуль, встраиваемый в Android-программы. Он демонстрирует баннеры с объявлениями поверх окон других приложений.

Угрозы в Google Play

В 2023 году вирусная лаборатория компании «Доктор Веб» обнаружила в каталоге Google Play свыше 440 вредоносных приложений, которые в общей сложности были загружены не менее 428 434 576 раз. Наряду с множеством программ со встроенным троянским модулем Android.Spy.SpinOk, отмеченных в одном из предыдущих разделов обзора, наши специалисты выявили сотни троянов семейства Android.FakeApp. Применяемые киберпреступниками при реализации различных мошеннических схем, эти вредоносные приложения распространялись под видом самого разнообразного ПО. При определенных условиях они действительно могли предоставлять обещанную функциональность, но их основной задачей была загрузка целевых сайтов по команде удаленного сервера.

Многие из этих троянов злоумышленники выдавали за программы финансовой тематики - обучающие пособия и справочники, программы для ведения домашней бухгалтерии, инструменты для доступа к биржевой информации и торговле, приложения для прохождения специализированных опросов и т. п.

Такие программы-подделки могли загружать мошеннические сайты, на которых потенциальным жертвам якобы от имени известных компаний предлагалось заработать на инвестициях, торговле криптовалютами, а в некоторых случаях - даже получить «в подарок» акции компаний или некие выплаты от государства. Для «доступа» к той или иной услуге пользователи вначале должны были ответить на несколько вопросов, после чего предоставить персональные данные.

Ниже представлены примеры загружаемых этими троянами мошеннических сайтов. В первом случае злоумышленники предлагали пользователям получить доступ к некой инвестиционной платформе, якобы имеющей отношение к крупной российской нефтегазовой компании. Во втором - мошенники якобы от имени Центрального банка Российской Федерации предлагали «начать зарабатывать на цифровом рубле».

Часть программ-подделок распространялась под видом игр - они могли загружать сайты онлайн-казино и букмекеров.

Примеры работы таких троянских приложений в качестве игр:

Примеры загружаемых ими сайтов букмекерских контор и онлайн-казино:

Другие трояны Android.FakeApp распространялись под видом программ спортивной тематики, в том числе - официального ПО легальных букмекерских контор, всевозможных справочников по различным видам спорта, приложений с информацией о матчах, программ для чтения спортивных новостей и т. д.:

Они могли работать и как безобидное ПО (при этом их функциональность могла отличаться от заявленной), и загружать различные интернет-ресурсы.

Ниже представлены примеры работы этих троянов в качестве безобидных приложений: два из них запустились как игры, а третий продемонстрировал таблицу с информацией о футбольных матчах.

Эти же программы позднее стали загружать сайты, предлагающие воспользоваться услугами букмекеров:

Некоторые приложения-подделки пользователи устанавливали, думая, что те являются программами для поиска вакансий:

Подобные варианты троянов Android.FakeApp демонстрируют потенциальным жертвам поддельные списки вакансий, которые загружаются с мошеннических сайтов. Когда пользователи пытаются откликнуться на одно из «объявлений», им либо предлагается связаться с «работодателем» через мессенджеры — например, WhatsApp или Telegram, либо указать персональные данные в специальной форме — якобы для составления и отправки резюме.

В то же время в 2023 году тематика программ-подделок Android.FakeApp, которые загружали мошеннические интернет-ресурсы, продолжила расширяться. Так, на фоне многолетних попыток киберпреступников заманить пользователей на фиктивные финансовые сайты наши специалисты отметили появление вариантов троянов, которые выдавались за юридические приложения — например, справочники. Они якобы могли помочь жертвам «инвестиционных» мошенников вернуть утраченные деньги. На самом деле эти приложения загружали очередные мошеннические сайты, работающие по уже известной схеме. Их посетители должны были ответить на несколько вопросов, после чего оставить персональные данные — в данном случае «для получения бесплатной консультации с юристом».

Пример сайта «юридической помощи», через который жертвы мошенников в сфере инвестиций якобы могли проконсультироваться с юристом и получить шанс вернуть утраченные деньги:

Вирусная лаборатория компании «Доктор Веб» в 2023 году также выявила в Google Play ряд других вредоносных программ. В их числе были трояны нового семейства Android.Proxy.4gproxy, которые превращали зараженные устройства в прокси-серверы и незаметно передавали через них сторонний трафик. В эти вредоносные программы была встроена утилита 4gproxy (добавлена в вирусную базу Dr.Web как потенциально опасное ПО Tool.4gproxy), которая позволяет использовать Android-устройства в качестве прокси-сервера. Она не является вредоносной и может применяться в безобидных целях. Однако в случае с троянами Android.Proxy.4gproxy работа с прокси выполнялась без участия пользователей и их явного согласия.

Кроме того, наши специалисты обнаружили несколько новых рекламных троянов семейства Android.HiddenAds - Android.HiddenAds.3785, Android.HiddenAds.3781, Android.HiddenAds.3786 и Android.HiddenAds.3787. После установки на Android-устройства они пытались скрыться от пользователей, подменяя свои значки на домашнем экране прозрачной версией и заменяли их названия на пустые. При этом они также могли выдавать себя за браузер Google Chrome, для чего использовали копию его значка для замены своих собственных. При нажатии на такой видоизмененный значок трояны вводили жертв в заблуждение, запуская браузер и одновременно продолжая работать в фоновом режиме. Тем самым они не только снижали свою заметность, но и имели больше шансов на длительную активность: если по какой-либо причине их работа остановилась бы, пользователи могли их перезапустить, думая, что запускают именно браузер. Подобная функциональность встречалась, например, и в трояне Android.HiddenAds.3766, который также распространялся через Google Play.

Другой выявленной угрозой стала троянская программа-шпион Android.Spy.1092.origin, созданная на базе утилиты дистанционного контроля (RAT) AhMyth Android Rat. Она распространялась под видом приложения Sim Analyst, с помощью которого пакистанские пользователи якобы могли находить информацию о других абонентах по номерам их телефонов.

Стандартная версия шпионской утилиты AhMyth Android Rat предоставляет широкую функциональность. Например, она позволяет отслеживать местоположение устройства, фотографировать через встроенную камеру и записывать окружение через микрофон, перехватывать СМС, а также получать информацию о звонках и контактах в телефонной книге. Однако поскольку распространяемые через Google Play приложения имеют ограничение доступа к ряду чувствительных функций, у найденной нашими вирусными аналитиками версии шпиона возможности оказались скромнее. Он мог отслеживать местоположение устройства, похищать содержимое уведомлений, различные медиафайлы, такие как фото и видео, а также файлы, которые были переданы через мессенджеры и хранились локально на устройстве.

Также наши специалисты обнаружили в Google Play троянскую программу Android.CoinSteal.105, предназначенную для кражи криптовалют. Злоумышленники пытались выдать ее за официальное приложение криптобиржи P2B, P2B official, распространяя под схожим именем — P2B Trade: Realize The P2Pb2b.

На первом изображении ниже — страница поддельной программы, на втором — оригинала.

Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности в феврале 2024 года
Понедельник, 01 Апреля 2024 г. 13:00 + в цитатник

1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 года показал рост общего числа обнаруженных угроз на 1,26% по сравнению с январем. При этом число уникальных угроз снизилось на 0,78%. Лидирующие позиции по количеству детектирований вновь заняли различные рекламные трояны и нежелательные рекламные программы. Кроме того, высокую активность сохранили вредоносные приложения, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике чаще всего выявлялись вредоносные скрипты, фишинговые документы, а также программы, которые эксплуатируют уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов снизилось на 7,02% по сравнению с предыдущим месяцем. Наиболее часто виновниками атак становились трояны-шифровальщики Trojan.Encoder.3953 (18,27% инцидентов), Trojan.Encoder.37369 (9,14% инцидентов) и Trojan.Encoder.26996 (8,12% инцидентов).

На Android-устройствах наиболее часто вновь детектировались рекламные трояны семейства Android.HiddenAds, активность которых значительно возросла.

Главные тенденции февраля

  • Рост общего числа обнаруженных угроз
  • Преобладание вредоносных скриптов и фишинговых документов во вредоносном почтовом трафике
  • Снижение числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
  • Рост числа детектирований рекламных троянских приложений Android.HiddenAds на защищаемых устройствах

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы февраля:

Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.BPlug.3814
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Trojan.StartPage1.62722
Вредоносная программа, подменяющая стартовую страницу в настройках браузера.
Adware.Siggen.33194
Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Статистика вредоносных программ в почтовом трафике

JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
HTML.FishForm.365
Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.
Trojan.PackedNET.2511
Вредоносное ПО, написанное на VB.NET и защищенное программным упаковщиком.
Exploit.CVE-2018-0798.4
Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
W97M.DownLoader.2938
Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Шифровальщики

В феврале 2024 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 7,02% по сравнению с январем.

Наиболее распространенные энкодеры февраля:

Trojan.Encoder.3953 — 18.27%
Trojan.Encoder.35534 — 9.14%
Trojan.Encoder.26996 — 8.12%
Trojan.Encoder.29750 — 0.51%
Trojan.Encoder.37400 — 0.51%

Опасные сайты

В феврале 2024 года интернет-аналитики компании «Доктор Веб» продолжили выявлять нежелательные сайты различной тематики. Так, популярностью среди злоумышленников стали пользоваться сайты, информирующие потенциальных жертв о доступности для них неких денежных переводов. Для «получения» этих средств пользователи должны заплатить «комиссию» за межбанковский перевод. Ссылки на подобные сайты распространяются в том числе через блог-платформу Telegraph.

Ниже представлен пример такой публикации. Потенциальным жертвам предлагается в течение 24 часов «забрать» вознаграждение, якобы полученное после участия в опросе интернет-магазинов:

При нажатии на ссылку «ОФОРМИТЬ ВЫПЛАТУ» пользователь перенаправляется на мошеннический сайт некой «Международной Системы Платежей и Переводов», где ему якобы доступно получение обещанной выплаты:

Для «получения» денег пользователь вначале должен указать персональные данные - имя и адрес электронной почты, а затем заплатить «комиссию» через Систему быстрых платежей (СБП) за «перевод» ему несуществующего вознаграждения. При этом в качестве способа оплаты «комиссии» мошенники указывают перевод денег по номеру банковской карты через онлайн-банк, в то время как СБП предусматривает переводы только по номеру мобильного телефона. В данном случае злоумышленники могут целенаправленно спекулировать на набирающем в России популярность способе перевода денег в расчете на низкую финансовую грамотность пользователей. Если жертва согласится заплатить «комиссию», она переведет собственные деньги на подконтрольную мошенникам банковскую карту. В то же время нельзя исключать, что в попытке украсть у пользователей деньги злоумышленники в будущем действительно станут использовать СБП.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в феврале 2024 года на защищаемых устройствах наиболее часто вновь выявлялись троянские программы Android.HiddenAds, демонстрирующие нежелательную рекламу. Их активность по сравнению с январем возросла на 73,26%. При этом рекламные троянские программы другого семейства, Android.MobiDash, атаковали пользователей на 58,85% реже.

Число детектирований шпионских троянов Android.Spy снизилось на 27,33%, а банковских троянов - на 18,77%. В то же время вредоносные программы-вымогатели Android.Locker выявлялись на 29,85% чаще.

Наиболее заметные события, связанные с «мобильной» безопасностью в феврале:

  • значительный рост активности рекламных троянских программ Android.HiddenAds,
  • снижение числа атак банковских троянов и шпионских троянских приложений,
  • рост числа атак вредоносных программ-вымогателей.

Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14839&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности для мобильных устройств в феврале 2024 года
Понедельник, 01 Апреля 2024 г. 09:00 + в цитатник

1 апреля 2024 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в феврале 2024 года значительно возросла активность рекламных троянских программ из семейства Android.HiddenAds - на 73,26% по сравнению с январем. В то же время пользователи на 58,85% реже сталкивались с другим семейством рекламных троянов, Android.MobiDash.

Активность банковских троянов различных семейств снизилась на 18,77%, а шпионских троянских приложений Android.Spy - на 27,33%. При этом число детектирований вредоносных программ-вымогателей Android.Locker увеличилось на 29,85%.

ГЛАВНЫЕ ТЕНДЕНЦИИ ФЕВРАЛЯ

  • Значительный рост активности рекламных троянских программ семейства Android.HiddenAds
  • Снижение числа атак банковских троянов и шпионских вредоносных приложений
  • Увеличение числа детектирований вредоносных программ-вымогателей на защищаемых устройствах

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3956
Android.HiddenAds.3851
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106
Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.Aegis.1
Android.HiddenAds.Aegis.4.origin
Троянские программы, которые скрывают свое присутствие на Android-устройствах и показывают надоедливую рекламу. Они отличаются от других представителей семейства Android.HiddenAds рядом признаков. Например, эти трояны способны самостоятельно запускаться после установки. Кроме того, в них реализован механизм, позволяющий их сервисам оставаться постоянно запущенными. В ряде случаев в них также могут быть задействованы скрытые функции ОС Android.
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin
Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.TrackView.1.origin
Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin
Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Tool.NPMod.1
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Adware.ModAd.1
Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты, например - онлайн-казино и букмекеров, сайты для взрослых.
Adware.Adpush.21846
Adware.AdPush.39.origin
Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin
Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.ShareInstall.1.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

Dr.Web Mobile Security

Ваш Android нуждается в защите.

Используйте Dr.Web

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14834&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности для мобильных устройств в январе 2024 года
Пятница, 29 Марта 2024 г. 21:00 + в цитатник

29 марта 2024 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в январе 2024 года пользователи чаще всего сталкивались с рекламными троянскими приложениями Android.HiddenAds. По сравнению с декабрем 2023 года они выявлялись на защищаемых устройствах на 54,45% чаще. При этом активность другого популярного семейства рекламных троянских программ, Android.MobiDash, практически не изменилась, увеличившись всего на 0,9%.

Число атак банковских троянов различных семейств возросло на 17,04%, шпионских троянских программ Android.Spy - на 11,16%, а вредоносных программ-вымогателей Android.Locker - на незначительные 0,92%.

Вместе с тем наши специалисты выявили очередные угрозы в каталоге Google Play. Среди них - новое семейство нежелательных рекламных модулей Adware.StrawAd, а также троянские программы семейства Android.FakeApp. Последние злоумышленники используют для реализации всевозможных мошеннических схем.

ГЛАВНЫЕ ТЕНДЕНЦИИ ЯНВАРЯ

  • Рекламные троянские программы Android.HiddenAds остались лидерами по числу детектирований на защищаемых устройствах
  • Возросла активность многих семейств вредоносных Android-приложений
  • В каталоге Google Play были выявлены очередные угрозы

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3851
Android.HiddenAds.3831
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106
Android.Spy.4498
Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.MobiDash.7805
Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin
Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.FakeMoney.7
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.TrackView.1.origin
Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Tool.NPMod.1
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Adware.StrawAd.1
Детектирование Android-приложений, в которые встроен нежелательный рекламный модуль Adware.StrawAd.1.origin. При разблокировке экрана Android-устройств этот модуль показывает объявления от различных поставщиков рекламных услуг.
Adware.AdPush.39.origin
Adware.Adpush.21846
Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin
Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.ShareInstall.1.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.

Угрозы в Google Play

В начале января 2024 года вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play ряд игр со встроенной в них нежелательной рекламной платформой Adware.StrawAd.1.origin:

  • Crazy Sandwich Runner
  • Purple Shaker Master
  • Poppy Punch Playtime, Meme Cat Killer
  • Toiletmon Camera Playtime
  • Finger Heart Matching
  • Toilet Monster Defense
  • Toilet Camera Battle
  • Toimon Battle Playground

Эта платформа представляет собой специализированный программный модуль, который в зашифрованном виде хранится в каталоге с ресурсами программ-носителей. При разблокировке экрана он может показывать объявления от различных поставщиков рекламных услуг. Антивирус Dr.Web детектирует приложения с Adware.StrawAd.1.origin как представителей семейства Adware.StrawAd.

Также в течение января наши специалисты обнаружили ряд вредоносных программ-подделок из семейства Android.FakeApp. Так, троян Android.FakeApp.1579 скрывался в приложении Pleasant Collection, которое маскировалось под программу для чтения комиксов.

Его единственной задачей, однако, была загрузка мошеннических интернет-ресурсов. Среди них могли быть сайты, якобы позволяющие получить доступ к тем или иным играм, в том числе - категории «для взрослых». Пример одного из них показан ниже.

В данном случае потенциальной жертве перед «началом» игры предлагалось ответить на несколько вопросов, после чего указать персональные данные, а затем и данные банковской карты - якобы для проверки возраста.

Среди выявленных представителей семейства Android.FakeApp вновь оказались и программы, распространявшиеся под видом игр. Они были добавлены в вирусную базу антивируса Dr.Web как Android.FakeApp.1573, Android.FakeApp.1574, Android.FakeApp.1575, Android.FakeApp.1577 и Android.FakeApp.32.origin.

При определенных условиях такие подделки могли загружать сайты онлайн-казино и букмекерских контор. Пример их работы в качестве игр:

Пример одного из загруженных ими сайтов:

Загрузка сайтов онлайн-казино и букмекеров была задачей и нескольких других троянов. Так, Android.FakeApp.1576 скрывался в программе для обучения макияжу Contour Casino Glam и в инструменте для создания мемов Fortune Meme Studio. А Android.FakeApp.1578 располагался в приложении-фонарике с именем Lucky Flash Casino Light.

После установки они работали как безобидные приложения, но через некоторое время могли начать загружать целевые сайты.

Кроме того, злоумышленники распространяли различные варианты троянов Android.FakeApp.1564 и Android.FakeApp.1580 под видом финансовых приложений, справочников, программ для участия в опросах и другого ПО.

Эти программы-подделки загружали мошеннические сайты финансовой тематики, на которых потенциальным жертвам якобы от имени известных компаний предлагались различные услуги. Например, пользователи «могли» стать инвесторами или повысить свою финансовую грамотность. Для «доступа» к той или иной услуге от них требовалось пройти опрос и зарегистрировать учетную запись, указав персональные данные.

Примеры загружаемых сайтов:

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

Dr.Web Mobile Security

Ваш Android нуждается в защите.

Используйте Dr.Web

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14833&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности в январе 2024 года
Пятница, 29 Марта 2024 г. 11:00 + в цитатник

29 марта 2024 года

Анализ статистики детектирований антивируса Dr.Web в январе 2024 года показал рост общего числа обнаруженных угроз на 95,66% по сравнению с декабрем 2023 года. Число уникальных угроз при этом возросло на 2,15%. Чаще всего детектировались нежелательное рекламное ПО и рекламные троянские приложения, а также вредоносные программы, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике наиболее часто выявлялись вредоносные скрипты и фишинговые документы.

Число обращений пользователей за расшифровкой файлов увеличилось на 22,84% по сравнению с предыдущим месяцем. Чаще всего жертвы троянских программ-шифровальщиков вновь сталкивались с Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.37369 - на их долю пришлось 17,98%, 12,72% и 3,51% зафиксированных инцидентов соответственно.

В январе специалисты компании «Доктор Веб» выявили новое семейство нежелательных рекламных модулей Adware.StrawAd в ряде программ, которые распространялись через каталог Google Play. Там же наши специалисты обнаружили множество новых троянских приложений семейства Android.FakeApp, применяемых злоумышленниками в мошеннических целях.

Главные тенденции января

  • Рост общего числа обнаруженных угроз
  • Рост числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
  • Появление очередных угроз в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы января:

Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.BPlug.3814
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Adware.Siggen.33194
Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Adware.SweetLabs.5
Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Статистика вредоносных программ в почтовом трафике

JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
Exploit.CVE-2018-0798.4
Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
Trojan.Inject4.30867
Троянская программа, предназначенная для внедрения вредоносного кода в процессы других приложений.
Trojan.Siggen24.7712
Детектирование вредоносных программ с различной функциональностью.
LNK.Starter.56
Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.

Шифровальщики

В январе 2024 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 22,84% по сравнению с декабрем прошлого года.

Наиболее распространенные энкодеры января:

Trojan.Encoder.26996 — 17.98%
Trojan.Encoder.3953 — 12.72%
Trojan.Encoder.37369 — 3.51%
Trojan.Encoder.35534 — 3.51%
Trojan.Encoder.30356 — 2.63%

Опасные сайты

В течение первого месяца 2024 года интернет-аналитики компании «Доктор Веб» выявили очередные мошеннические сайты финансовой тематики, предлагающие потенциальным жертвам стать инвесторами или заработать при помощи тех или иных якобы прибыльных платформ. Злоумышленники выдают подобные сайты за официальные интернет-порталы известных компаний, среди которых - кредитные организации и компании нефтегазового сектора. Для этого мошенники копируют или используют похожие логотипы, названия и цветовое оформление.

На таких сайтах посетителям часто предлагается ответить на несколько вопросов, а затем предоставить персональные данные для доступа к «сервису» - имя и фамилию, номер телефона, адрес электронной почты и т. д. Все эти конфиденциальные сведения могут поступать третьим лицам и в дальнейшем использоваться в том числе в незаконных целях.

На скриншоте ниже показан пример одного из таких мошеннических сайтов. Посетителю сообщается, что каждый житель России якобы может получать от 150 000 рублей ежемесячно. Чтобы «начать зарабатывать», от него требуется указать контактные данные.

Далее для «доступа» к инвестиционной платформе, якобы созданной в честь 100-летия СССР, пользователю предлагается пройти опрос и вновь указать персональные данные:

В конце сайт сообщает жертве о необходимости дождаться звонка «сотрудника»:

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в январе 2024 года пользователи чаще всего сталкивались с рекламными троянскими программами Android.HiddenAds, активность которых возросла 54,45%. Число атак всевозможных банковских троянов и шпионских троянских программ Android.Spy также повысилось - на 17,04% и 11,16% соответственно. При этом активность троянов-вымогателей Android.Locker наоборот снизилась - на 0,92%.

В каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили очередные троянские приложения из семейства Android.FakeApp. Кроме того, в нем были найдены программы со встроенным нежелательным модулем Adware.StrawAd, который принадлежит новому семейству.

Наиболее заметные события, связанные с «мобильной» безопасностью в январе:

  • рост активности рекламных троянских программ Android.HiddenAds,
  • рост числа атак банковских троянов и шпионских троянских приложений,
  • снижение числа атак вредоносных программ-вымогателей,
  • появление новых вредоносных и рекламных программ в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14838&lng=ru&c=9
Комментарии (0)
Нравится

Исследование целевой атаки на российское предприятие машиностроительного сектора
Понедельник, 11 Марта 2024 г. 12:00 + в цитатник

Скачать в PDF

11 марта 2024 года

Введение

В октябре 2023 года в компанию «Доктор Веб» обратилось российское предприятие машиностроительного сектора с подозрением на присутствие ВПО на одном из своих компьютеров. Наши специалисты расследовали этот инцидент и установили, что пострадавшая компания столкнулась с целевой атакой. В ходе ее проведения злоумышленники рассылали по электронной почте фишинговые сообщения с прикрепленной вредоносной программой, отвечающей за первоначальное заражение системы и установку в нее других вредоносных инструментов.

Целью этой атаки был сбор чувствительной информации о сотрудниках, получение данных об инфраструктуре компании и ее внутренней сети. Кроме того, мы зафиксировали факт выгрузки данных с зараженного компьютера - как в виде хранившихся на компьютере файлов, так и в виде снимков экрана, созданных во время работы ВПО.

Общие сведения об атаке и используемые инструменты

В начале октября 2023 года злоумышленники отправили на электронный адрес пострадавшей компании несколько фишинговых писем с темой «расследования» неких уголовных дел по уклонению от уплаты налогов. Письма отправлялись якобы от имени следователя Следственного Комитета Российской Федерации и содержали два вложения. Первым был защищенный паролем zip-архив. Он скрывал в себе вредоносную программу, при запуске которой начиналось заражение системы. Вторым был pdf-документ, который не являлся вредоносным. Он содержал фишинговый текст о том, что вся информация об «уголовном деле» находится в архиве, и побуждал открыть вредоносную программу из него.

Самое первое фишинговое письмо содержало архив Трeбoвaниe 19098 Cлед ком РФ от 02.10.23 ПАРОЛЬ - 123123123.zip. В свою очередь, расположенная в нем троянская программа скрывалась в файле Перечень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные.exe.

Одним из последних отправленных сообщений стало следующее:

#drweb

К нему был прикреплен фишинговый pdf-документ Требование следователя, уклонение от уплаты налогов (запрос в рамках УД).pdf и zip-архив Трeбoвaниe 19221 СК РФ от 11.10.2023 ПАРОЛЬ - 123123123.zip с таким содержимым:

#drweb

Как и в более ранних сообщениях, пароль для извлечения файлов из архива атакующие указали и в его названии, и в имени документа Пароль для открытия 123123123.odt. Сам этот документ, как и файлы Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.pdf и СК РФ.png, не являлись вредоносными.

В этом архиве находилось две копии вредоносной программы: Перечень предприятий, уклонение от уплаты налогов, а также дополнительные материалы.exe и Дополнительные материалы, перечень вопросов, накладные и первичные документы.exe.

Во всех случаях распространяемым злоумышленниками вредоносным приложением был Trojan.Siggen21.39882. Эта вредоносная программа, известная как WhiteSnake Stealer, продается в теневом сегменте интернета (Даркнете) и используется для кражи учетных записей от различного ПО, а также других данных. Кроме того, она может загружать и устанавливать на атакуемые компьютеры другие вредоносные приложения. В рассматриваемой целевой атаке ей отводилась роль первой ступени заражения. Получив соответствующие команды, вредоносная программа собрала и передала злоумышленникам информацию о конфигурации профилей Wi-Fi-сетей инфицированной системы, а также пароли доступа к ним. Затем она запустила SSH-прокси-сервер и установила в систему вторую ступень.

Второй ступенью и одновременно главным инструментом злоумышленников стала вредоносная программа-бэкдор JS.BackDoor.60 - через нее проходило основное взаимодействие между атакующими и зараженным компьютером. Одной из особенностей бэкдора является то, что он использует собственный фреймворк на языке JavaScript. Троян состоит из основного обфусцированного тела, а также вспомогательных модулей, которые благодаря специфике архитектуры вредоносной программы одновременно являются и ее частью, и задачами, которые та исполняет через общие с ними JavaScript-функции. Новые задачи поступают трояну с управляющего сервера и фактически превращают его в многокомпонентную угрозу с расширяемой функциональностью, что позволяет применять его в качестве мощного инструмента кибершпионажа.

Интересен и механизм, с помощью которого JS.BackDoor.60 обеспечивал возможность своего автозапуска. Наряду с одним из традиционных способов - внесением необходимых изменений в реестр Windows - троян особым образом модифицировал файлы ярлыков (.lnk). Для этого он проверял содержимое ряда системных каталогов, включая каталог рабочего стола и панели задач, и всем найденным в них ярлыкам, кроме Explorer.lnk или Проводник.lnk, целевым приложением для запуска назначал wscript.exe. При этом для его запуска указывались специальные аргументы, одним из которых был альтернативный поток данных (ADS), в который записывалось тело бэкдора. В результате изменений модифицированные ярлыки вначале запускали JS.BackDoor.60, а уже после - исходные программы.

На протяжении всей атаки злоумышленники активно направляли бэкдору различные команды и с его помощью похитили с зараженного компьютера содержимое десятков каталогов, которые содержали как личные, так и корпоративные данные. Кроме того, мы зафиксировали факт создания трояном снимков экрана (скриншотов).

Дополнительным инструментом слежки в рассматриваемой атаке стала вредоносная программа BackDoor.SpyBotNET.79, которая использовалась для аудиопрослушивания и записи разговоров через подключенный к зараженному компьютеру микрофон. Этот троян записывал аудио только в том случае, если фиксировал определенную интенсивность звука - в частности, характерную для голоса.

При этом атакующие пытались также заразить систему трояном-загрузчиком Trojan.DownLoader46.24755, однако из-за возникшей ошибки сделать это им не удалось.

Хронология атаки представлена на следующей схеме:

#drweb

Хронология получения задач трояном JS.BackDoor.60:

#drweb

Проведенный нашими специалистами анализ не показал однозначную причастность к данной атаке какой-либо из ранее известных APT-группировок.

Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.Siggen21.39882

Подробнее о JS.BackDoor.60

Подробнее о BackDoor.SpyBotNET.79

Подробнее о Trojan.DownLoader46.24755

Заключение

Использование вредоносных инструментов, которые доступны в качестве услуги на коммерческой основе (MaaS - Malware as a Service), таких как Trojan.Siggen21.39882, позволяет даже относительно неопытным злоумышленникам совершать весьма чувствительные атаки как на бизнес, так и на государственные структуры. В свою очередь, социальная инженерия по-прежнему представляет серьезную угрозу. Это относительно простой, но эффективный способ обойти выстроенную защиту, который могут использовать как опытные, так и начинающие киберпреступники. В связи с этим особенно важно обеспечивать защиту всей инфраструктуры предприятий, в том числе рабочих станций и шлюзов электронной почты. Кроме того, рекомендуется проводить периодический инструктаж сотрудников по теме информационной безопасности и знакомить их с актуальными цифровыми угрозами. Все эти меры помогут снизить вероятность возникновения киберинцидентов, а также минимизировать ущерб от атак.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14823&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности для мобильных устройств в декабре 2023 года
Вторник, 30 Января 2024 г. 07:00 + в цитатник

30 января 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в декабре 2023 года наиболее активными вредоносными приложениями вновь стали рекламные троянские программы Android.HiddenAds. Однако пользователи сталкивались с ними на 53,89% реже по сравнению с месяцем ранее. Кроме того, снизилось число атак банковских троянских программ и шпионских приложений - на 0,88% и 10,83% соответственно.

В течение последнего месяца минувшего года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play очередные вредоносные программы-подделки из семейства Android.FakeApp, применяемые в различных мошеннических схемах. Также наши специалисты выявили очередные сайты, через которые злоумышленники распространяли поддельные приложения криптокошельков.

ГЛАВНЫЕ ТЕНДЕНЦИИ ДЕКАБРЯ

  • На защищаемых устройствах чаще всего обнаруживались рекламные троянские программы из семейства Android.HiddenAds
  • Снизилась активность банковских троянов и вредоносных приложений-шпионов
  • В каталоге Google Play были выявлены новые вредоносные программы
  • Продолжили выявляться сайты, распространяющие фальшивые приложения криптокошельков для устройств под управлением как ОС Android, так и iOS

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106
Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.3831
Android.HiddenAds.3851
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7805
Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.Click.1751
Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая - для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin
Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.FakeMoney.7
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.SecretVideoRecorder.1.origin
Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Tool.NPMod.1
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.1.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.ApkProtector.16.origin
Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.
Adware.ShareInstall.1.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.Adpush.21846
Adware.AdPush.39.origin
Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin
Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.Fictus.1.origin
Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Угрозы в Google Play

В декабре 2023 года специалисты компании «Доктор Веб» обнаружили в каталоге Google Play новые троянские программы из семейства Android.FakeApp. Например, Android.FakeApp.1564 злоумышленники распространяли под видом приложения, позволяющего вести учет долгов. Троян Android.FakeApp.1563 скрывался в программе для прохождения опросов. А Android.FakeApp.1569 мошенники выдавали за инструмент, помогающий повысить продуктивность и выработать полезные привычки.

Все эти программы-подделки загружали мошеннические сайты финансовой тематики, которые копировали дизайн настоящих сайтов банков, новостных агентств и других известных организаций. Кроме того, в их оформлении использовались соответствующие названия и логотипы. На таких мошеннических интернет-ресурсах пользователям предлагалось стать инвесторами, пройти обучение финансовой грамотности, получить финансовую помощь и т. д. При этом требовалось указать персональные данные - якобы для регистрации учетной записи и получения доступа к соответствующим сервисам.

Примеры загружаемых троянами поддельных сайтов:

А вредоносные приложения Android.FakeApp.1566, Android.FakeApp.1567 и Android.FakeApp.1568 распространялись под видом игр:

Вместо запуска игр они могли загружать сайты букмекеров и онлайн-казино, как показано на примере ниже.

Работа одной из этих троянских программ в игровом режиме:

Один из загруженных ей сайтов:

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

Dr.Web Mobile Security

Ваш Android нуждается в защите.

Используйте Dr.Web

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14796&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности в декабре 2023 года
Вторник, 30 Января 2024 г. 06:00 + в цитатник

30 января 2023 года

Анализ статистики детектирований антивируса Dr.Web в декабре 2023 года показал рост общего числа обнаруженных угроз на 40,87% по сравнению с ноябрем. Число уникальных угроз также увеличилось - на 24,55%. По количеству детектирований вновь лидировали рекламные троянские и нежелательные приложения, а также вредоносные программы, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике чаще всего выявлялись фишинговые документы различных форматов.

Число обращений пользователей за расшифровкой файлов снизилось на 27,95% по сравнению с предыдущим месяцем. Чаще всего жертвы троянских программ-шифровальщиков сталкивались с Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.37369, на долю которых пришлось 21,76%, 20,73% и 4,14% зафиксированных инцидентов соответственно.

В декабре специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередные вредоносные программы. Кроме того, были выявлены новые сайты, через которые злоумышленники распространяли поддельные приложения криптокошельков для ОС Android и iOS.

Главные тенденции декабря

  • Рост общего числа обнаруженных угроз
  • Доминирование фишинговых документов во вредоносном почтовом трафике
  • Снижение числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
  • Обнаружение новых вредоносных приложений в каталоге Google Play
  • Продолжающееся распространение поддельных криптокошельков для мобильных устройств

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы декабря:

Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Adware.Siggen.33194
Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Adware.SweetLabs.5
Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.
Trojan.BPlug.3814
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

W97M.Phishing.44
W97M.Phishing.88
W97M.Phishing.85
Фишинговые документы Microsoft Word, которые нацелены на пользователей, желающих стать инвесторами. Они содержат ссылки, ведущие на мошеннические сайты.
PDF.Phisher.642
PDF-документы, используемые в фишинговых email-рассылках.
JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Шифровальщики

В декабре 2023 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 27,95% по сравнению с ноябрем.

Наиболее распространенные энкодеры декабря:

Trojan.Encoder.26996 — 21.76%
Trojan.Encoder.3953 — 20.73%
Trojan.Encoder.37369 — 4.14%
Trojan.Encoder.34790 — 3.63%
Trojan.Encoder.30356 — 3.11%

Опасные сайты

В декабре 2023 года интернет-аналитики компании «Доктор Веб» продолжили выявлять мошеннические сайты инвестиционной тематики, якобы имеющие отношение к нефтегазовым компаниям, банкам и другим организациям. Посетителям таких сайтов предлагается указать персональные данные для регистрации учетной записи и получения доступа к тем или иным финансовым сервисам.

В период новогодних праздников злоумышленники соответствующим образом скорректировали эту схему обмана: они привлекали потенциальных жертв «подарками» и «специальными условиями». Например, на одном из мошеннических сайтов посетителям «в честь наступающего нового года» предлагался бесплатный доступ к некой инвестиционной платформе:

А на другом сайте - якобы при поддержке правительства Российской Федерации и одной крупной нефтегазовой компании - всех граждан «ждали» социальные выплаты:

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в декабре пользователей чаще всего атаковали рекламные троянские программы Android.HiddenAds. В то же время активность этих вредоносных приложений снизилась по сравнению с предыдущим месяцем. Также снизилось число атак банковских троянов и вредоносных программ-шпионов.

В течение декабря вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные программы-подделки из семейства Android.FakeApp. Кроме того, наши специалисты обнаружили новые сайты, которые злоумышленники используют для распространения поддельных приложений криптокошельков для устройств на базе ОС Android и iOS.

Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:

  • снижение активности рекламных троянских программ Android.HiddenAds,
  • снижение активности банковских троянов и шпионских троянских приложений,
  • обнаружение новых вредоносных программ в каталоге Google Play,
  • обнаружение новых сайтов, через которые распространяются поддельные приложения криптокошельков.

Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14795&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности для мобильных устройств в ноябре 2023 года
Четверг, 21 Декабря 2023 г. 07:00 + в цитатник

21 декабря 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в ноябре 2023 года пользователи реже сталкивались с рекламными троянскими приложениями семейств Android.HiddenAds и Android.MobiDash. Активность первых снизилась на четверть (25,03%), вторых — более чем на треть (35,87%). Кроме того, на защищаемых устройствах реже обнаруживались банковские трояны и вредоносные программы-шпионы — на 3,53% и 17,10% соответственно.

Вместе с тем злоумышленники вновь распространяли вредоносные программы через каталог Google Play. Наши специалисты выявили в нем более двух десятков троянских программ семейства Android.FakeApp, используемых в мошеннических целях, а также очередного трояна, подписывающего владельцев Android-устройств на платные услуги.

ГЛАВНЫЕ ТЕНДЕНЦИИ НОЯБРЯ

  • Снижение активности рекламных троянских программ
  • Снижение активности банковских троянов и вредоносных приложений-шпионов
  • Распространение новых вредоносных программ через каталог Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3831
Android.HiddenAds.3697
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7805
Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.Spy.5106
Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.Spy.5864
С помощью этой вирусной записи антивирус Dr.Web обнаруживает троянскую программу, которая скрывается в ряде сторонних модификаций мессенджера WhatsApp. Злоумышленники используют эту вредоносную программу для слежки за пользователями. Например, они могут искать файлы на устройствах жертв и загружать их на удаленный сервер, собирать данные из телефонной книги, получать информацию о зараженном устройстве, выполнять аудиозапись окружения с целью прослушивания и т. д.
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin
Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.FakeMoney.7
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.TrackView.1.origin
Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Tool.NPMod.1
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Adware.ShareInstall.1.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.AdPush.36.origin
Adware.AdPush.39.origin
Adware.Adpush.21846
Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin
Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В ноябре вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play очередные вредоносные программы из семейства Android.FakeApp. Некоторые из них распространялись под видом программ финансовой тематики — обучающих и справочных приложений, домашних бухгалтерий, инструментов для доступа к инвестиционным сервисам и т. п. Среди них — Android.FakeApp.1497, Android.FakeApp.1498, Android.FakeApp.1499, Android.FakeApp.1526, Android.FakeApp.1527 и Android.FakeApp.1536. Их основной задачей является загрузка мошеннических сайтов, где пользователям предлагается стать инвесторами. Для этого те должны указать свои персональные данные.

Еще одна программа-подделка, Android.FakeApp.1496, скрывалась в приложении-справочнике с доступом к правовой информации. Она могла загружать сайт, через который жертвы мошенников в сфере инвестиций якобы могли получить правовую помощь и вернуть утраченные деньги.

Сайт, который загружала эта троянская программа, представлен ниже. Посетитель должен ответить на несколько вопросов, после чего заполнить форму для «получения бесплатной «консультации с юристом».

Другие программы-подделки злоумышленники вновь выдавали за игры. Например, Android.FakeApp.1494, Android.FakeApp.1503, Android.FakeApp.1504, Android.FakeApp.1533 и Android.FakeApp.1534. В ряде случаев они действительно работают как игры, однако их основная функция — загрузка сайтов онлайн-казино и букмекерских контор.

Примеры работы этих троянов в качестве игр:

Пример загруженного одним из них букмекерского сайта:

Также наши специалисты обнаружили очередную вредоносную программу, предназначенную для подключения пользователей к платным сервисам. Злоумышленники распространяли ее под видом приложения Air Swipes для управления Android-устройствами при помощи жестов.

При запуске этот троян загружает сайт партнерского сервиса, через который оформляется подписка:

Если жертва запускает программу при отключенном доступе в интернет или если целевой сайт недоступен, программа выдает себя за обещанное приложение, но никакой полезной функциональности не предоставляет, сообщая об ошибке. Антивирус Dr.Web детектирует это троянское приложение как Android.Subscription.21.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

Dr.Web Mobile Security

Ваш Android нуждается в защите.

Используйте Dr.Web

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14777&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности в ноябре 2023 года
Четверг, 21 Декабря 2023 г. 05:00 + в цитатник

21 декабря 2023 года

Анализ статистики детектирований антивируса Dr.Web в ноябре 2023 года показал снижение общего числа обнаруженных угроз на 18,09% по сравнению с октябрем. Число уникальных угроз при этом также снизилось — на 13,79%. Чаще всего детектировались нежелательные рекламные программы и рекламные трояны, а также вредоносные приложения, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике преобладали фишинговые документы, вредоносные скрипты, программы, которые эксплуатируют уязвимости документов Microsoft Office, а также различные загрузчики, скачивающие другие вредоносные приложения на атакуемые компьютеры.

Число обращений пользователей за расшифровкой файлов увеличилось на 6,98% по сравнению с предыдущим месяцем. Чаще всего жертвы вредоносных программ-шифровальщиков сталкивались с Trojan.Encoder.3953 — на него пришлось 21,70% всех зафиксированных инцидентов. В 21,20% случаев пользователей атаковал Trojan.Encoder.26996, он опустился на второе место. Третьим вновь стал Trojan.Encoder.35534 с долей 8,94%.

В ноябре вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play новые вредоносные приложения. Среди них — более 20 программ-подделок, которые использовались в мошеннических целях, а также троян, который подписывал владельцев Android-устройств на платные услуги.

Главные тенденции ноября

  • Снижение общего числа обнаруженных угроз
  • Преобладание фишинговых документов во вредоносном почтовом трафике
  • Рост числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
  • Появление новых вредоносных приложений в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы ноября:

Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Adware.SweetLabs.5
Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.
Adware.Siggen.33194
Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Trojan.BPlug.3814
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
W97M.Phishing.44
W97M.Phishing.53
W97M.Phishing.63
Фишинговые документы Microsoft Word, которые нацелены на пользователей, желающих стать инвесторами. Они содержат ссылки, ведущие на мошеннические сайты.
Exploit.CVE-2018-0798.4
Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

Шифровальщики

В ноябре число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 6,98% по сравнению с октябрем.

Наиболее распространенные энкодеры ноября:

Trojan.Encoder.3953 — 21.70%
Trojan.Encoder.26996 — 21.20%
Trojan.Encoder.35534 — 8.94%
Trojan.Encoder.37369 — 3.40%
Trojan.Encoder.35067 — 2.98%

Опасные сайты

В ноябре 2023 года интернет-аналитики компании «Доктор Веб» не зафиксировали значимых изменений в активности кибермошенников. Злоумышленники по-прежнему пытались заманить потенциальных жертв на всевозможные сайты-подделки. Наиболее популярными среди них остаются мошеннические сайты инвестиционной тематики, а также интернет-ресурсы, предлагающие «бесплатные» лотерейные билеты и участие в «розыгрыше» призов.

В первом случае пользователям предлагается стать инвесторами, для чего они должны указать свои персональные данные. Во втором — участие в так называемых бесплатных лотереях и онлайн-конкурсах для всех пользователей всегда заканчиваются выигрышем, для получения которого якобы необходимо оплатить комиссию.

Пример фишингового сайта, где посетителю предлагается стать инвестором:

Пример мошеннического сайта, на котором имитируется розыгрыш лотереи:

Пользователь якобы выиграл 314 906 рублей и может приступить к получению выигрыша:

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в ноябре на защищаемых устройствах реже обнаруживались рекламные троянские программы Android.HiddenAds и Android.MobiDash. Кроме того, пользователи реже сталкивались с банковскими троянами и вредоносными программами-шпионами.

В минувшем месяце специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых вредоносных приложений из семейства Android.FakeApp, которые злоумышленники применяли в различных мошеннических схемах. Кроме того, был обнаружен троян Android.Subscription.21 — он подписывал пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

  • снижение активности рекламных троянских программ,
  • снижение активности банковских троянов и шпионских троянских приложений,
  • появление новых вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14778&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2023 года
Среда, 22 Ноября 2023 г. 21:00 + в цитатник

22 ноября 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в октябре 2023 года наиболее часто на защищаемых устройствах обнаруживались рекламные трояны семейства Android.HiddenAds. По сравнению с прошлым месяцем их активность возросла на 46,16%. Количество атак вторых по распространенности рекламных троянов семейства Android.MobiDash также увеличилось — на 7,07%. Кроме того, пользователи чаще сталкивались со шпионскими вредоносными приложениями и банковскими троянами — на 18,27% и 10,73% соответственно.

В течение октября специалисты компании «Доктор Веб» выявили очередные угрозы в каталоге Google Play. Среди них — десятки разнообразных программ-подделок семейства Android.FakeApp, которые злоумышленники используют в мошеннических целях, а также троянские приложения Android.Proxy.4gproxy, превращающие Android-устройства в прокси-серверы.

ГЛАВНЫЕ ТЕНДЕНЦИИ ОКТЯБРЯ

  • Рост активности рекламных троянских программ
  • Рост активности шпионских и банковских троянских программ
  • Появление множества новых вредоносных приложений в каталоге Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3831
Android.HiddenAds.3697
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.4498
Android.Spy.5106
Детектирование различных вариантов троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.MobiDash.7804
Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.7
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.wSpy.3.origin
Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.SecretVideoRecorder.1.origin
Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Tool.LuckyPatcher.1.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.WAppBomber.1.origin
Android-утилита для массовой рассылки сообщений в мессенждере WhatsApp. Для работы ей требуется доступ к списку контактов из телефонной книги пользователя.
Adware.ShareInstall.1.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.MagicPush.1
Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы отображается реклама.
Adware.AdPush.39.origin
Adware.AdPush.36.origin
Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin
Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В октябре 2023 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 50 вредоносных приложений. Среди них — трояны Android.Proxy.4gproxy.1, Android.Proxy.4gproxy.2, Android.Proxy.4gproxy.3 и Android.Proxy.4gproxy.4, которые превращали зараженные устройства в прокси-серверы и незаметно передавали через них сторонний трафик. Различные модификации первого трояна распространялись под видом игры Photo Puzzle, программы Sleepify для борьбы с бессонницей и инструмента Rizzo The AI chatbot для работы с чат-ботом. Второй скрывался в приложении для просмотра прогноза погоды Premium Weather Pro. Третий был внедрен в программу — записную книжку Turbo Notes. Четвертого злоумышленники распространяли под видом приложения Draw E для создания изображений при помощи нейросети.

В эти вредоносные программы интегрирована утилита 4gproxy (детектируется Dr.Web как Tool.4gproxy), которая позволяет использовать Android-устройства в качестве прокси-сервера. Сама по себе она не является вредоносной и может применяться в безобидных целях. Однако в случае с указанными троянами работа с прокси выполняется без участия пользователей и их явного согласия.

Вместе с тем наши специалисты выявили десятки новых троянских программ семейства Android.FakeApp, часть которых вновь распространялась под видом финансовых приложений (например, Android.FakeApp.1459, Android.FakeApp.1460, Android.FakeApp.1461, Android.FakeApp.1462, Android.FakeApp.1472, Android.FakeApp.1474 и Android.FakeApp.1485). Их главная задача — загрузка мошеннических веб-сайтов, на которых потенциальным жертвам предлагается стать инвесторами. Злоумышленники запрашивают у пользователей персональные данные и приглашают их вложить деньги в якобы выгодные финансовые проекты или инструменты.

Прочие программы-подделки (Android.FakeApp.1433, Android.FakeApp.1444, Android.FakeApp.1450, Android.FakeApp.1451, Android.FakeApp.1455, Android.FakeApp.1457, Android.FakeApp.1476 и другие) в очередной раз были замаскированы под различные игры. При определенных условиях вместо запуска игр они загружали сайты онлайн-казино или букмекеров.

Примеры работы этих троянских приложений в качестве игр:

Примеры загружаемых ими сайтов онлайн-казино и букмекерских контор:

Аналогичную задачу выполнял и троян Android.FakeApp.1478 — он скрывался в программе для чтения новостей и публикаций спортивной тематики и мог загружать сайты букмекеров.

Кроме того, были обнаружены новые троянские программы, якобы помогающие владельцам Android-устройств найти работу. Одна из них называлась Rixx (Android.FakeApp.1468), другая — Catalogue (Android.FakeApp.1471). При запуске эти вредоносные приложения демонстрируют поддельный список вакансий. Когда потенциальные жертвы пытаются откликнуться на одно из объявлений, им предлагается указать персональные данные в специальной форме или связаться с «работодателем» через мессенджеры — например, WhatsApp или Telegram.

Ниже представлен пример работы одной из этих вредоносных программ. Троян демонстрирует фишинговую форму под видом окна для составления резюме или предлагает обратиться к «работодателю» через мессенджер.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

Dr.Web Mobile Security

Ваш Android нуждается в защите.

Используйте Dr.Web

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

https://news.drweb.ru/show/?i=14775&lng=ru&c=9
Комментарии (0)
Нравится

«Доктор Веб»: обзор вирусной активности в октябре 2023 года
Пятница, 17 Ноября 2023 г. 14:49 + в цитатник

22 ноября 2023 года

Анализ статистики детектирований антивируса Dr.Web в октябре 2023 года показал снижение общего числа обнаруженных угроз на 49,73% по сравнению с сентябрем. Число уникальных угроз при этом увеличилось на 12,50%. По-прежнему наиболее часто обнаруживались рекламные трояны и нежелательные рекламные приложения. В почтовом трафике вновь преобладали вредоносные скрипты, фишинговые документы и приложения, которые эксплуатируют уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов увеличилось на 11,48% по сравнению с предыдущим месяцем. Самым активным энкодером октября стал Trojan.Encoder.26996 с долей 22,54% зафиксированных инцидентов. Вторым стал Trojan.Encoder.3953 — на него пришлось 15,49% обращений. Третье место с долей 7,51% занял Trojan.Encoder.35534.

В течение октября специалисты компании «Доктор Веб» обнаружили в каталоге Google Play десятки вредоносных приложений. Среди них — троянские программы, превращавшие Android-устройства в прокси-серверы, а также приложения-подделки, которые злоумышленники использовали в мошеннических целях.

Главные тенденции октября

  • Снижение общего числа обнаруженных угроз
  • Рост числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
  • Появление множества новых вредоносных приложений в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы октября:

Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Adware.Siggen.33194
Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Adware.SweetLabs.5
Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.
Trojan.BPlug.3814
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

Статистика вредоносных программ в почтовом трафике

JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
W97M.Phishing.46
Фишинговые документы Microsoft Word, которые нацелены на пользователей, желающих стать инвесторами. Они содержат ссылки, ведущие на мошеннические сайты.
Exploit.CVE-2018-0798.4
Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
JS.Packed.105
Зашифрованный JS-сценарий, в котором скрывается бэкдор JS.BackDoor.49. Этот бэкдор выполняет команды управляющего сервера, способен запускать исполняемые файлы и библиотеки, а также имеет функцию кейлоггера.
W97M.DownLoader.2938
Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Шифровальщики

В октябре число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 11,48% по сравнению с сентябрем.

Шифровальщики

Наиболее распространенные энкодеры октября:

Опасные сайты

В октябре 2023 года были выявлены очередные сайты, которые мошенники для привлечения внимания потенциальных жертв оформляют в стиле известных интернет-магазинов. Их посетители якобы могут принять участие в розыгрыше денежных призов. Для этого им предлагается пройти опрос и сыграть в игру, которая на самом деле является симуляцией, — мнимая победа в ней заранее запрограммирована. Чтобы «получить» приз, пользователи должны заплатить «комиссию» за перевод денег на свой банковский счет. Никаких выплат жертвы злоумышленников после этого не получают. Наоборот, они переводят мошенникам собственные деньги, а также рискуют раскрыть данные банковских карт.

Примеры таких сайтов:

Опасные сайты Опасные сайты

При «розыгрыше» приза посетитель якобы выиграл 249 740 рублей:

Опасные сайты

Форма для оплаты «комиссии» за получение несуществующего выигрыша:

Опасные сайты

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в октябре пользователей чаще всего атаковали рекламные троянские приложения Android.HiddenAds. Кроме того, по сравнению с прошлым месяцем возросла активность банковских троянов и шпионских вредоносных программ.

В течение октября специалисты «Доктор Веб» выявили свыше 50 вредоносных приложений в каталоге Google Play. Среди них — трояны Android.Proxy.4gproxy, которые превращали зараженные устройства в прокси-серверы, а также мошеннические программы Android.FakeApp.

Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:

  • рост активности рекламных троянских программ,
  • рост активности банковских и шпионских троянских приложений,
  • обнаружение новых вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14774&lng=ru&c=9

Поиск сообщений в rss_drweb_about_virs
Страницы: [30] 29 28 ..
.. 1 Календарь

О проекте