4 декабря 2014 года

Компания «Доктор Веб» сообщает о появлении нового банковского троянца, атакующего южнокорейских пользователей Android. Данная вредоносная программа, внесенная в вирусную базу Dr.Web под именем Android.BankBot.35.origin, представляет весьма серьезную угрозу: она пытается заменить настоящие приложения типа «банк-клиент» их поддельными копиями, способна по команде злоумышленников отправлять и блокировать СМС-сообщения, красть конфиденциальную информацию, а также загружать дополнительные модули, расширяющие ее функционал.

Android.BankBot.35.origin распространяется злоумышленниками в составе другой вредоносной программы, внесенной в вирусную базу как Android.MulDrop.46.origin. Данный троянец представляет собой дроппера и может быть загружен пользователями под видом различных приложений. В настоящий момент специалистам компании «Доктор Веб» известны случаи, когда Android.MulDrop.46.origin выдается киберпреступниками за популярный веб-браузер, однако выбор образа для маскировки этой вредоносной программы ограничивается лишь фантазией вирусописателей.

После того как дроппер установлен на Android-смартфон или планшет, он может быть инициализирован как самим владельцем мобильного устройства (при нажатии на созданный троянцем ярлык), так и автоматически – при очередной разблокировке экрана или загрузке операционной системы. Если Android.MulDrop.46.origin был запущен пользователем, вредоносная программа запрашивает у него доступ к функциям администратора мобильного устройства, после чего удаляет свой ярлык. В дальнейшем троянец функционирует в качестве системного сервиса и становится «невидимым» для владельца мобильного устройства.

Вслед за успешной инициализацией дроппер извлекает хранящийся в его ресурсах исполняемый dex-файл троянца Android.BankBot.35.origin, который затем загружается в оперативную память при помощи класса DexClassLoader, позволяющего Android-приложениям (в данном случае – дропперу Android.MulDrop.46.origin) без участия пользователя и предварительной установки запускать дополнительные программные модули. Получив управление, Android.BankBot.35.origin переходит в ждущий режим и периодически проверяет наличие на инфицированном устройстве ряда приложений типа «банк-клиент», принадлежащих нескольким южнокорейским кредитным организациям. Если одна из этих программ обнаруживается, троянец загружает с удаленного узла соответствующее ей приложение-имитацию, после чего пытается установить его вместо оригинала. Для этого Android.BankBot.35.origin демонстрирует на экране зараженного устройства сообщение с призывом выполнить инсталляцию якобы новой версии банковского клиента. Если пользователь согласится на установку этого «обновления», троянец инициализирует стандартный системный процесс удаления настоящего приложения, после чего приступит к инсталляции подделки.

Каждое из загружаемых Android.BankBot.35.origin поддельных банковских приложений представляет собой не что иное, как модификацию троянца Android.Banker.46.origin. Эта вредоносная программа позволяет киберпреступникам получить доступ к управлению банковскими счетами южнокорейских пользователей, что может привести к незапланированным финансовым операциям и даже потере всех их денежных средств. Чтобы похитить всю необходимую конфиденциальную информацию, Android.Banker.46.origin имитирует интерфейс настоящих приложений типа «банк-клиент» и запрашивает у своих жертв ввод таких данных как логин и пароль от учетной записи онлайн-банкинга, номер счета и банковской карты, сведения об используемом цифровом сертификате, обеспечивающим безопасные транзакции, а также другие секретные сведения.

Пример имитации банковского приложения, реализуемой троянцем Android.Banker.46.origin

Наряду с заменой настоящих приложений системы «банк-клиент» их троянскими копиями Android.BankBot.35.origin способен также совершать и другие нежелательные для пользователей действия. В частности, по команде с управляющего сервера вредоносная программа может:

• отправить СМС-сообщение с заданным текстом на указанный номер;
• включить или выключить передатчик Wi-Fi;
• загрузить на сервер данные из телефонной книги (в том числе сохраненные на SIM-карте телефонные номера);
• загрузить с удаленного узла и запустить заданный злоумышленниками dex-файл.

Для запуска загруженного dex-файла троянец задействует соответствующий функционал дроппера Android.MulDrop.46.origin, используемый для инициализации самого Android.BankBot.35.origin. Таким образом, эта вредоносная программа реализует модульную архитектуру и, в зависимости от потребностей создавших ее вирусописателей, способна значительно расширить свои возможности.

Помимо кражи сведений о контактах пользователя, в процессе своей работы троянец также может передать на управляющий сервер и другую конфиденциальную информацию, например, номер телефона жертвы, название модели инфицированного мобильного устройства, сведения о версии операционной системы, типе используемой мобильной и Wi-Fi-сети и некоторые другие данные. Кроме того, Android.BankBot.35.origin способен перехватывать и удалять СМС-сообщения, поступающие с определенных номеров, информация о которых хранятся в черном списке троянца.

Примечательно, что данная вредоносная программа обладает весьма интересным механизмом самозащиты. Так, если троянец фиксирует на зараженном смартфоне или планшете запуск популярного южнокорейского антивируса, Android.BankBot.35.origin блокирует его инициализацию и возвращает пользователя к главному экрану операционной системы. Аналогичная блокировка распространяется и на стандартный системный менеджер приложений, а также функцию управления администраторами устройства, поэтому, если защита троянца активирована, пользователи зараженных смартфонов и планшетов фактически лишаются возможности управлять всеми установленными программами. Вместе с тем, подобный защитный механизм не срабатывает, если в системе все еще присутствует хотя бы один из оригинальных банковских клиентов, которые вредоносная программа не успела заменить, либо если троянец не получил доступ к функциям администратора мобильного устройства.

Чтобы не стать жертвой вредоносных программ, владельцы мобильных Android-устройств должны избегать установки приложений, полученных не из каталога Google Play. Кроме того, им рекомендуется установить надежное защитное ПО. Антивирус Dr.Web для Android и Антивирус Dr.Web для Android Light успешно обнаруживают и нейтрализуют описанных троянцев, поэтому для пользователей данных продуктов они не представляют опасности.

Подробности о троянце

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/vXAkG-k4KcY/

4 декабря 2014 года

Компания «Доктор Веб» сообщает о появлении нового банковского троянца, атакующего южнокорейских пользователей Android. Данная вредоносная программа, внесенная в вирусную базу Dr.Web под именем Android.BankBot.35.origin, представляет весьма серьезную угрозу: она пытается заменить настоящие приложения типа «банк-клиент» их поддельными копиями, способна по команде злоумышленников отправлять и блокировать СМС-сообщения, красть конфиденциальную информацию, а также загружать дополнительные модули, расширяющие ее функционал.

Android.BankBot.35.origin распространяется злоумышленниками в составе другой вредоносной программы, внесенной в вирусную базу как Android.MulDrop.46.origin. Данный троянец представляет собой дроппера и может быть загружен пользователями под видом различных приложений. В настоящий момент специалистам компании «Доктор Веб» известны случаи, когда Android.MulDrop.46.origin выдается киберпреступниками за популярный веб-браузер, однако выбор образа для маскировки этой вредоносной программы ограничивается лишь фантазией вирусописателей.

После того как дроппер установлен на Android-смартфон или планшет, он может быть инициализирован как самим владельцем мобильного устройства (при нажатии на созданный троянцем ярлык), так и автоматически – при очередной разблокировке экрана или загрузке операционной системы. Если Android.MulDrop.46.origin был запущен пользователем, вредоносная программа запрашивает у него доступ к функциям администратора мобильного устройства, после чего удаляет свой ярлык. В дальнейшем троянец функционирует в качестве системного сервиса и становится «невидимым» для владельца мобильного устройства.

Вслед за успешной инициализацией дроппер извлекает хранящийся в его ресурсах исполняемый dex-файл троянца Android.BankBot.35.origin, который затем загружается в оперативную память при помощи класса DexClassLoader, позволяющего Android-приложениям (в данном случае – дропперу Android.MulDrop.46.origin) без участия пользователя и предварительной установки запускать дополнительные программные модули. Получив управление, Android.BankBot.35.origin переходит в ждущий режим и периодически проверяет наличие на инфицированном устройстве ряда приложений типа «банк-клиент», принадлежащих нескольким южнокорейским кредитным организациям. Если одна из этих программ обнаруживается, троянец загружает с удаленного узла соответствующее ей приложение-имитацию, после чего пытается установить его вместо оригинала. Для этого Android.BankBot.35.origin демонстрирует на экране зараженного устройства сообщение с призывом выполнить инсталляцию якобы новой версии банковского клиента. Если пользователь согласится на установку этого «обновления», троянец инициализирует стандартный системный процесс удаления настоящего приложения, после чего приступит к инсталляции подделки.

Каждое из загружаемых Android.BankBot.35.origin поддельных банковских приложений представляет собой не что иное, как модификацию троянца Android.Banker.46.origin. Эта вредоносная программа позволяет киберпреступникам получить доступ к управлению банковскими счетами южнокорейских пользователей, что может привести к незапланированным финансовым операциям и даже потере всех их денежных средств. Чтобы похитить всю необходимую конфиденциальную информацию, Android.Banker.46.origin имитирует интерфейс настоящих приложений типа «банк-клиент» и запрашивает у своих жертв ввод таких данных как логин и пароль от учетной записи онлайн-банкинга, номер счета и банковской карты, сведения об используемом цифровом сертификате, обеспечивающим безопасные транзакции, а также другие секретные сведения.

Пример имитации банковского приложения, реализуемой троянцем Android.Banker.46.origin

Наряду с заменой настоящих приложений системы «банк-клиент» их троянскими копиями Android.BankBot.35.origin способен также совершать и другие нежелательные для пользователей действия. В частности, по команде с управляющего сервера вредоносная программа может:

• отправить СМС-сообщение с заданным текстом на указанный номер;
• включить или выключить передатчик Wi-Fi;
• загрузить на сервер данные из телефонной книги (в том числе сохраненные на SIM-карте телефонные номера);
• загрузить с удаленного узла и запустить заданный злоумышленниками dex-файл.

Для запуска загруженного dex-файла троянец задействует соответствующий функционал дроппера Android.MulDrop.46.origin, используемый для инициализации самого Android.BankBot.35.origin. Таким образом, эта вредоносная программа реализует модульную архитектуру и, в зависимости от потребностей создавших ее вирусописателей, способна значительно расширить свои возможности.

Помимо кражи сведений о контактах пользователя, в процессе своей работы троянец также может передать на управляющий сервер и другую конфиденциальную информацию, например, номер телефона жертвы, название модели инфицированного мобильного устройства, сведения о версии операционной системы, типе используемой мобильной и Wi-Fi-сети и некоторые другие данные. Кроме того, Android.BankBot.35.origin способен перехватывать и удалять СМС-сообщения, поступающие с определенных номеров, информация о которых хранятся в черном списке троянца.

Примечательно, что данная вредоносная программа обладает весьма интересным механизмом самозащиты. Так, если троянец фиксирует на зараженном смартфоне или планшете запуск популярного южнокорейского антивируса, Android.BankBot.35.origin блокирует его инициализацию и возвращает пользователя к главному экрану операционной системы. Аналогичная блокировка распространяется и на стандартный системный менеджер приложений, а также функцию управления администраторами устройства, поэтому, если защита троянца активирована, пользователи зараженных смартфонов и планшетов фактически лишаются возможности управлять всеми установленными программами. Вместе с тем, подобный защитный механизм не срабатывает, если в системе все еще присутствует хотя бы один из оригинальных банковских клиентов, которые вредоносная программа не успела заменить, либо если троянец не получил доступ к функциям администратора мобильного устройства.

Чтобы не стать жертвой вредоносных программ, владельцы мобильных Android-устройств должны избегать установки приложений, полученных не из каталога Google Play. Кроме того, им рекомендуется установить надежное защитное ПО. Антивирус Dr.Web для Android и Антивирус Dr.Web для Android Light успешно обнаруживают и нейтрализуют описанных троянцев, поэтому для пользователей данных продуктов они не представляют опасности.

Подробности о троянце

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/rmdYwlxMWxM/

26 ноября 2014 года

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца, предназначенного для заражения смартфонов и планшетов под управлением ОС Android. Данная вредоносная программа, внесенная в вирусную базу под именем Android.BankBot.34.origin, способна красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов своих жертв.

Начать свою вредоносную деятельность Android.BankBot.34.origin может только после установки в систему самим владельцем мобильного устройства. Поэтому с целью увеличения вероятности инсталляции и запуска троянца потенциальными жертвами авторы Android.BankBot.34.origin распространяют его под видом системного обновления и снабжают ярлыком одной из популярных программ. Стоит отметить, что выбор приложения для имитации всецело зависит от фантазии вирусописателей и может быть абсолютно любым. После установки троянец размещает свой ярлык на главном экране, при этом он может соседствовать рядом с ярлыком оригинальной программы, если она уже присутствует в системе. Таким образом, неопытные пользователи могут спутать приложения и случайно запустить троянца вместо настоящего ПО. Если же владелец зараженного мобильного устройства не активирует вредоносное приложение после его установки самостоятельно, запуск троянца все равно произойдет, т. к. в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении операционной системы.

Вслед за своей инициализацией Android.BankBot.34.origin запрашивает у жертвы доступ к функциям администратора мобильного устройства, которые в некоторой степени позволяют вредоносному приложению затруднить его деинсталляцию. Кроме того, троянец удаляет созданный им ранее ярлык в случае если запуск Android.BankBot.34.origin производился самим владельцем смартфона или планшета. После этого троянец приступает непосредственно к вредоносной деятельности.

Фактически, Android.BankBot.34.origin способен реализовать на зараженном Android-устройстве два сценария атаки. Первый сценарий напрямую зависит от поведения самого пользователя и задействуется, когда тот пытается запустить одно из интересующих злоумышленников приложений. Если владелец инфицированного троянцем смартфона или планшета запустит подобную программу, Android.BankBot.34.origin отобразит поверх ее интерфейса фишинговое диалоговое окно с полями для ввода конфиденциальной информации – логина и пароля, номера телефона или сведений о кредитной карте. При этом для каждого из этих приложений троянец весьма правдоподобно имитирует соответствующую форму запроса, что говорит о желании вирусописателей вызвать как можно меньше подозрений у своих жертв. Подобным образом киберпреступники атакуют следующие мобильные приложения:

• Google Play;
• Google Play Music;
• Gmail;
• WhatsApp;
• Viber;
• Instagram;
• Skype;
• «ВКонтакте»;
• «Одноклассники»;
• Facebook;
• Twitter.

В конечном итоге вся введенная жертвой информация передается троянцем на управляющий сервер.

Реализация второго сценария атаки, напротив, не зависит от совершаемых пользователем действий и происходит только в соответствии с указаниями злоумышленников, поступающими от удаленного узла. В частности, по команде с управляющего сервера Android.BankBot.34.origin может исполнить следующие операции:

• начать или остановить перехват входящих и исходящих СМС;
• выполнить USSD-запрос;
• внести в черный список определенный номер, сообщения с которого будут скрываться от пользователя (по умолчанию в списке содержатся сервисные номера ряда телефонных операторов, системы мобильного банкинга известного российского банка, а также популярной платежной платформы);
• очистить список блокируемых номеров;
• передать на сервер информацию об установленных на устройстве приложениях;
• выполнить отправку СМС-сообщения;
• передать на сервер идентификатор вредоносной программы;
• отобразить на экране диалоговое окно или сообщение в соответствии с полученными с управляющего сервера параметрами (например, в команде может задаваться текст, предназначенный для демонстрации на экране, количество полей для ввода данных и т. п.).

Примечательно, что адрес основного управляющего сервера Android.BankBot.34.origin расположен в анонимной сети Tor, а соединение по соответствующему защищенному протоколу обеспечивается за счет использования в троянце кода официального клиента для подключения к сетевым ресурсам с псевдодоменом .onion. Подобный прием обеспечивает авторам вредоносных приложений высокую степень защищенности и все чаще начинает встречаться в Android-троянцах.

Благодаря тому, что Android.BankBot.34.origin способен незаметно для владельца зараженного мобильного устройства отправлять и перехватывать СМС-сообщения, киберпреступники могут использовать эту вредоносную программу в качестве банковского троянца для похищения денежных средств со счетов своих жертв при помощи управляющих СМС-команд мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, воспользовавшись USSD-командами и переведя определенную сумму на свой телефонный номер. При этом список атакуемых мобильных операторов и кредитных организаций практически никак не ограничен и всецело зависит от текущих потребностей создателей вредоносной программы. В частности, наибольшему риску подвержены клиенты тех банков и платежных систем, которые предлагают услугу управления счетом посредством СМС-сообщений, а также абоненты операторов мобильной связи, предоставляющих функцию мобильного перевода со счетов телефонов.

Более того, способность троянца вывести на экран мобильного устройства любое сообщение или диалоговое окно произвольной формы и содержания открывает перед киберпреступниками практически неограниченные возможности по совершению самых разнообразных атак. Например, похитив у пользователя аутентификационные данные для доступа к учетной записи одной из социальных сетей, злоумышленники могут изменить пароль доступа к ней и отдать вредоносной программе команду на демонстрацию сообщения вида «Ваша учетная запись заблокирована, для разблокировки выполните денежный перевод на номер 1234». Также создатели Android.BankBot.34.origin могут «приказать» троянцу от имени банка вывести на экран запрос ввода пароля для доступа к учетной записи онлайн-банкинга жертвы и получить контроль над всеми ее счетами. Таким образом, реализуемый этой вредоносной программой функционал представляет весьма серьезную опасность для владельцев мобильных Android-устройств.

Во избежание заражения устройств данным троянцем специалисты компании «Доктор Веб» рекомендуют пользователям не устанавливать приложения, полученные из сомнительных источников, а также по возможности запретить загрузку программ, минуя каталог Google Play. Кроме того, при установке приложений необходимо обращать внимание на функции, доступ к которым они запрашивают: если программа вызывает у вас сомнения, лучше отказаться от ее инсталляции.

Запись для детектирования Android.BankBot.34.origin оперативно внесена в вирусную базу компании «Доктор Веб», поэтому пользователи Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light надежно защищены от действий этого троянца.

Подробности о троянце

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/ORVpfg694-k/

26 ноября 2014 года

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца, предназначенного для заражения смартфонов и планшетов под управлением ОС Android. Данная вредоносная программа, внесенная в вирусную базу под именем Android.BankBot.34.origin, способна красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов своих жертв.

Начать свою вредоносную деятельность Android.BankBot.34.origin может только после установки в систему самим владельцем мобильного устройства. Поэтому с целью увеличения вероятности инсталляции и запуска троянца потенциальными жертвами авторы Android.BankBot.34.origin распространяют его под видом системного обновления и снабжают ярлыком одной из популярных программ. Стоит отметить, что выбор приложения для имитации всецело зависит от фантазии вирусописателей и может быть абсолютно любым. После установки троянец размещает свой ярлык на главном экране, при этом он может соседствовать рядом с ярлыком оригинальной программы, если она уже присутствует в системе. Таким образом, неопытные пользователи могут спутать приложения и случайно запустить троянца вместо настоящего ПО. Если же владелец зараженного мобильного устройства не активирует вредоносное приложение после его установки самостоятельно, запуск троянца все равно произойдет, т. к. в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении операционной системы.

Вслед за своей инициализацией Android.BankBot.34.origin запрашивает у жертвы доступ к функциям администратора мобильного устройства, которые в некоторой степени позволяют вредоносному приложению затруднить его деинсталляцию. Кроме того, троянец удаляет созданный им ранее ярлык в случае если запуск Android.BankBot.34.origin производился самим владельцем смартфона или планшета. После этого троянец приступает непосредственно к вредоносной деятельности.

Фактически, Android.BankBot.34.origin способен реализовать на зараженном Android-устройстве два сценария атаки. Первый сценарий напрямую зависит от поведения самого пользователя и задействуется, когда тот пытается запустить одно из интересующих злоумышленников приложений. Если владелец инфицированного троянцем смартфона или планшета запустит подобную программу, Android.BankBot.34.origin отобразит поверх ее интерфейса фишинговое диалоговое окно с полями для ввода конфиденциальной информации – логина и пароля, номера телефона или сведений о кредитной карте. При этом для каждого из этих приложений троянец весьма правдоподобно имитирует соответствующую форму запроса, что говорит о желании вирусописателей вызвать как можно меньше подозрений у своих жертв. Подобным образом киберпреступники атакуют следующие мобильные приложения:

• Google Play;
• Google Play Music;
• Gmail;
• WhatsApp;
• Viber;
• Instagram;
• Skype;
• «ВКонтакте»;
• «Одноклассники»;
• Facebook;
• Twitter.

В конечном итоге вся введенная жертвой информация передается троянцем на управляющий сервер.

Реализация второго сценария атаки, напротив, не зависит от совершаемых пользователем действий и происходит только в соответствии с указаниями злоумышленников, поступающими от удаленного узла. В частности, по команде с управляющего сервера Android.BankBot.34.origin может исполнить следующие операции:

• начать или остановить перехват входящих и исходящих СМС;
• выполнить USSD-запрос;
• внести в черный список определенный номер, сообщения с которого будут скрываться от пользователя (по умолчанию в списке содержатся сервисные номера ряда телефонных операторов, системы мобильного банкинга известного российского банка, а также популярной платежной платформы);
• очистить список блокируемых номеров;
• передать на сервер информацию об установленных на устройстве приложениях;
• выполнить отправку СМС-сообщения;
• передать на сервер идентификатор вредоносной программы;
• отобразить на экране диалоговое окно или сообщение в соответствии с полученными с управляющего сервера параметрами (например, в команде может задаваться текст, предназначенный для демонстрации на экране, количество полей для ввода данных и т. п.).

Примечательно, что адрес основного управляющего сервера Android.BankBot.34.origin расположен в анонимной сети Tor, а соединение по соответствующему защищенному протоколу обеспечивается за счет использования в троянце кода официального клиента для подключения к сетевым ресурсам с псевдодоменом .onion. Подобный прием обеспечивает авторам вредоносных приложений высокую степень защищенности и все чаще начинает встречаться в Android-троянцах.

Благодаря тому, что Android.BankBot.34.origin способен незаметно для владельца зараженного мобильного устройства отправлять и перехватывать СМС-сообщения, киберпреступники могут использовать эту вредоносную программу в качестве банковского троянца для похищения денежных средств со счетов своих жертв при помощи управляющих СМС-команд мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, воспользовавшись USSD-командами и переведя определенную сумму на свой телефонный номер. При этом список атакуемых мобильных операторов и кредитных организаций практически никак не ограничен и всецело зависит от текущих потребностей создателей вредоносной программы. В частности, наибольшему риску подвержены клиенты тех банков и платежных систем, которые предлагают услугу управления счетом посредством СМС-сообщений, а также абоненты операторов мобильной связи, предоставляющих функцию мобильного перевода со счетов телефонов.

Более того, способность троянца вывести на экран мобильного устройства любое сообщение или диалоговое окно произвольной формы и содержания открывает перед киберпреступниками практически неограниченные возможности по совершению самых разнообразных атак. Например, похитив у пользователя аутентификационные данные для доступа к учетной записи одной из социальных сетей, злоумышленники могут изменить пароль доступа к ней и отдать вредоносной программе команду на демонстрацию сообщения вида «Ваша учетная запись заблокирована, для разблокировки выполните денежный перевод на номер 1234». Также создатели Android.BankBot.34.origin могут «приказать» троянцу от имени банка вывести на экран запрос ввода пароля для доступа к учетной записи онлайн-банкинга жертвы и получить контроль над всеми ее счетами. Таким образом, реализуемый этой вредоносной программой функционал представляет весьма серьезную опасность для владельцев мобильных Android-устройств.

Во избежание заражения устройств данным троянцем специалисты компании «Доктор Веб» рекомендуют пользователям не устанавливать приложения, полученные из сомнительных источников, а также по возможности запретить загрузку программ, минуя каталог Google Play. Кроме того, при установке приложений необходимо обращать внимание на функции, доступ к которым они запрашивают: если программа вызывает у вас сомнения, лучше отказаться от ее инсталляции.

Запись для детектирования Android.BankBot.34.origin оперативно внесена в вирусную базу компании «Доктор Веб», поэтому пользователи Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light надежно защищены от действий этого троянца.

Подробности о троянце

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/A9Iy7yrI_FU/

25 ноября 2014 года

Компания «Доктор Веб» сообщает об успешном создании алгоритма расшифровки файлов, пострадавших от действия троянца-шифровальщика Trojan.Encoder.398. Благодаря разработанному в ходе исследовательских работ инструментарию теперь полное восстановление данных, зашифрованных одной из модификаций этого опасного троянца, возможно примерно в 90% случаев. На сегодняшний день разработчик антивирусов Dr.Web является единственной компанией, способной расшифровать такие файлы.

Троянец-шифровальщик Trojan.Encoder.398 написан на языке Delphi и по ряду признаков представляет собой усовершенствованную версию вредоносной программы Trojan.Encoder.225. Ключи для шифрования файлов пользователя Trojan.Encoder.398 получает с сервера злоумышленников. Запустившись на атакуемом компьютере, троянец копирует себя в одну из системных папок с именем ID.exe, где ID — серийный номер жесткого диска. Затем Trojan.Encoder.398 демонстрирует на экране сообщение о повреждении архива и запускает собственную копию, которая определяет и отправляет на принадлежащий злоумышленникам сервер серийный номер жесткого диска зараженной машины. В ответ троянец получает от удаленного узла конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов, после чего начинается сама процедура шифрования.

В настоящий момент специалистам «Доктор Веб» известно несколько модификаций Trojan.Encoder.398, способных использовать до 18 различных алгоритмов шифрования. Троянец может зашифровывать файлы со следующими расширениями: .odt, *.ods, *.odp, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.zip, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md, *.dds.

Для связи злоумышленники обычно используют следующие адреса электронной почты: mrcrtools@aol.com, back_files@aol.com, backyourfile@aol.com, vernut2014@qq.com, yourfiles2014@yahoo.com, restorefiles2014@yahoo.fr, filescrypt2014@foxmail.com и некоторые другие.

До недавнего времени расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.398, считалась невозможной, однако начиная с мая 2014 года специалисты компании «Доктор Веб» проводили серьезную научно-исследовательскую работу по созданию эффективных алгоритмов расшифровки. Наконец, эти усилия принесли свои плоды: на сегодняшний день «Доктор Веб» является единственной компанией, специалисты которой с вероятностью в 90% способны восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398 с дополнительным расширением *.filescrypt2014@foxmail.com_*.

Следует отметить, что в последнее время в Интернете появилось множество предложений о платной расшифровке пострадавших от действия шифровальщиков файлов, однако достоверно установлено, что большинство лиц, предлагающих подобного рода услуги, все равно обращается за помощью в службу технической поддержки компании «Доктор Веб». Обращаем ваше внимание на то, что компания «Доктор Веб» осуществляет расшифровку файлов бесплатно для пользователей своих лицензионных продуктов. Таким образом, сетевые мошенники фактически предлагают жертвам троянца приобрести услугу, которую можно получить на безвозмездной основе. По крайней мере, требуемая ими сумма вознаграждения значительно превышает стоимость лицензии на антивирусные продукты Dr.Web, приобретая которую, пользователь получает надежную защиту своих персональных компьютеров и мобильных устройств.

Если вы стали жертвой этой вредоносной программы, воспользуйтесь следующими рекомендациями:

• обратитесь с соответствующим заявлением в полицию;
• ни в коем случае не пытайтесь переустановить операционную систему;
• не удаляйте никакие файлы на вашем компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в службу технической поддержки поддержки компании «Доктор Веб» (эта услуга бесплатна);
• к тикету приложите зашифрованный троянцем .DOC-файл;
• дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Проделанная специалистами компании «Доктор Веб» работа открывает новые перспективы в борьбе с троянцами-шифровальщиками и позволяет надеяться, что в будущем все больше жертв подобных вредоносных программ получат возможность вернуть свои файлы, пострадавшие от действия энкодеров.

Чтобы троянец не испортил файлы, используйте защиту от потери данных

Только в Dr.Web Security Space версии 9 и 10

Подробнее о шифровальщиках

Что делать если..

Видео о настройке

Бесплатная расшифровка

http://feedproxy.google.com/~r/drweb/viruses/~3/Obx11q-rgGk/

25 ноября 2014 года

Компания «Доктор Веб» сообщает об успешном создании алгоритма расшифровки файлов, пострадавших от действия троянца-шифровальщика Trojan.Encoder.398. Благодаря разработанному в ходе исследовательских работ инструментарию теперь полное восстановление данных, зашифрованных одной из модификаций этого опасного троянца, возможно примерно в 90% случаев. На сегодняшний день разработчик антивирусов Dr.Web является единственной компанией, способной расшифровать такие файлы.

Троянец-шифровальщик Trojan.Encoder.398 написан на языке Delphi и по ряду признаков представляет собой усовершенствованную версию вредоносной программы Trojan.Encoder.225. Ключи для шифрования файлов пользователя Trojan.Encoder.398 получает с сервера злоумышленников. Запустившись на атакуемом компьютере, троянец копирует себя в одну из системных папок с именем ID.exe, где ID — серийный номер жесткого диска. Затем Trojan.Encoder.398 демонстрирует на экране сообщение о повреждении архива и запускает собственную копию, которая определяет и отправляет на принадлежащий злоумышленникам сервер серийный номер жесткого диска зараженной машины. В ответ троянец получает от удаленного узла конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов, после чего начинается сама процедура шифрования.

В настоящий момент специалистам «Доктор Веб» известно несколько модификаций Trojan.Encoder.398, способных использовать до 18 различных алгоритмов шифрования. Троянец может зашифровывать файлы со следующими расширениями: .odt, *.ods, *.odp, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.zip, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md, *.dds.

Для связи злоумышленники обычно используют следующие адреса электронной почты: mrcrtools@aol.com, back_files@aol.com, backyourfile@aol.com, vernut2014@qq.com, yourfiles2014@yahoo.com, restorefiles2014@yahoo.fr, filescrypt2014@foxmail.com и некоторые другие.

До недавнего времени расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.398, считалась невозможной, однако начиная с мая 2014 года специалисты компании «Доктор Веб» проводили серьезную научно-исследовательскую работу по созданию эффективных алгоритмов расшифровки. Наконец, эти усилия принесли свои плоды: на сегодняшний день «Доктор Веб» является единственной компанией, специалисты которой с вероятностью в 90% способны восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398 с дополнительным расширением *.filescrypt2014@foxmail.com_*.

Следует отметить, что в последнее время в Интернете появилось множество предложений о платной расшифровке пострадавших от действия шифровальщиков файлов, однако достоверно установлено, что большинство лиц, предлагающих подобного рода услуги, все равно обращается за помощью в службу технической поддержки компании «Доктор Веб». Обращаем ваше внимание на то, что компания «Доктор Веб» осуществляет расшифровку файлов бесплатно для пользователей своих лицензионных продуктов. Таким образом, сетевые мошенники фактически предлагают жертвам троянца приобрести услугу, которую можно получить на безвозмездной основе. По крайней мере, требуемая ими сумма вознаграждения значительно превышает стоимость лицензии на антивирусные продукты Dr.Web, приобретая которую, пользователь получает надежную защиту своих персональных компьютеров и мобильных устройств.

Если вы стали жертвой этой вредоносной программы, воспользуйтесь следующими рекомендациями:

• обратитесь с соответствующим заявлением в полицию;
• ни в коем случае не пытайтесь переустановить операционную систему;
• не удаляйте никакие файлы на вашем компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в службу технической поддержки поддержки компании «Доктор Веб» (эта услуга бесплатна);
• к тикету приложите зашифрованный троянцем .DOC-файл;
• дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Проделанная специалистами компании «Доктор Веб» работа открывает новые перспективы в борьбе с троянцами-шифровальщиками и позволяет надеяться, что в будущем все больше жертв подобных вредоносных программ получат возможность вернуть свои файлы, пострадавшие от действия энкодеров.

Чтобы троянец не испортил файлы, используйте защиту от потери данных

Только в Dr.Web Security Space версии 9 и 10

Подробнее о шифровальщиках

Что делать если..

Видео о настройке

Бесплатная расшифровка

http://feedproxy.google.com/~r/drweb/viruses/~3/yHRa8jBtIDI/

20 ноября 2014 года

Специалисты компании «Доктор Веб» исследовали опасного Linux-троянца, обладающего способностью заражать компьютеры и различные устройства, работающие под управлением ОС семейства Linux. Данная вредоносная программа, добавленная в базы под именем Linux.BackDoor.Fgt.1, предназначена для организации массовых DDoS-атак.

После своего запуска на инфицированном устройстве троянец Linux.BackDoor.Fgt.1 проверяет наличие подключения к Интернету, обращаясь к одному из серверов Google, и, если соединение удалось установить, определяет IP и MAC-адрес инфицированного устройства. Затем Linux.BackDoor.Fgt.1 пытается связаться с командным сервером, адрес которого «зашит» в теле самого троянца, отправляя ему сведения о версии вредоносной программы. В ответ Linux.BackDoor.Fgt.1 ожидает получения блока данных, содержащих команду для выполнения на инфицированном устройстве. Если от управляющего сервера пришла команда PING, троянец отправляет на управляющий сервер ответ PONG и продолжает функционировать на инфицированном устройстве. При получении команды DUP Linux.BackDoor.Fgt.1 завершает свою работу.

Троянец обладает специальной функцией, с использованием которой он в течение одного цикла осуществляет сканирование 256 удаленных IP-адресов, выбранных случайным образом, при этом цикл запускается по команде злоумышленников. В процессе генерации IP-адресов Linux.BackDoor.Fgt.1 проверяет, не попадают ли они в диапазоны, которые используются для адресации внутри локальных сетей, — такие адреса игнорируются. В случае неудачи при попытке установки соединения Linux.BackDoor.Fgt.1 отправляет информацию об этом на принадлежащий злоумышленникам управляющий сервер. Если же связь установлена, вредоносная программа пытается соединиться с портом удаленного узла, используемым службой Telnet, и получить от атакуемой машины запрос логина. Отправив на удаленный узел логин из заранее сформированного списка, Linux.BackDoor.Fgt.1 выполняет анализ поступающих от него откликов. Если среди них встречается запрос для ввода пароля, троянец пытается выполнить авторизацию методом перебора паролей по списку. В случае успеха Linux.BackDoor.Fgt.1 отсылает на управляющий сервер IP-адрес, логин и пароль устройства, к которому удалось подобрать аутентификационные данные, а на атакуемый узел направляется команда загрузки специального скрипта. Тот, в свою очередь, скачивает из Интернета и запускает во взломанной системе исполняемый файл самого троянца Linux.BackDoor.Fgt.1. Примечательно, что на принадлежащем вирусописателям сервере имеется значительное количество исполняемых файлов Linux.BackDoor.Fgt.1, скомпилированных для разных версий и дистрибутивов Linux, в том числе для встраиваемых систем с архитектурой MIPS и SPARC-серверов. Таким образом, троянец может инфицировать не только подключенные к Интернету серверы и рабочие станции под управлением Linux, но и другие устройства, например, маршрутизаторы.

Linux.BackDoor.Fgt.1 способен выполнять целый ряд поступающих от злоумышленников команд, среди которых можно перечислить следующие:

• запрос IP-адреса инфицированного устройства;
• запуск или остановка цикла сканирования;
• атака на заданный узел типа DNS Amplification;
• атака на заданный узел типа UDP Flood;
• атака на заданный узел типа SYN Flood;
• прекращение DDoS-атаки;
• завершение работы троянца.

Запись для троянской программы Linux.BackDoor.Fgt.1, позволяющая выявлять и удалять данную угрозу, добавлена в вирусные базы Dr.Web, поэтому антивирусные продукты компании «Доктор Веб» для ОС Linux надежно защищают пользователей данной операционной системы от опасности заражения их устройств.

http://feedproxy.google.com/~r/drweb/viruses/~3/qDgybL_DDEc/

20 ноября 2014 года

Специалисты компании «Доктор Веб» исследовали опасного Linux-троянца, обладающего способностью заражать компьютеры и различные устройства, работающие под управлением ОС семейства Linux. Данная вредоносная программа, добавленная в базы под именем Linux.BackDoor.Fgt.1, предназначена для организации массовых DDoS-атак.

После своего запуска на инфицированном устройстве троянец Linux.BackDoor.Fgt.1 проверяет наличие подключения к Интернету, обращаясь к одному из серверов Google, и, если соединение удалось установить, определяет IP и MAC-адрес инфицированного устройства. Затем Linux.BackDoor.Fgt.1 пытается связаться с командным сервером, адрес которого «зашит» в теле самого троянца, отправляя ему сведения о версии вредоносной программы. В ответ Linux.BackDoor.Fgt.1 ожидает получения блока данных, содержащих команду для выполнения на инфицированном устройстве. Если от управляющего сервера пришла команда PING, троянец отправляет ответ PONG и продолжает функционировать на инфицированном устройстве. При получении команды DUP Linux.BackDoor.Fgt.1 завершает свою работу.

Троянец обладает специальной функцией, с использованием которой он в течение одного цикла осуществляет сканирование 256 удаленных IP-адресов, выбранных случайным образом, при этом цикл запускается по команде злоумышленников. В процессе генерации IP-адресов Linux.BackDoor.Fgt.1 проверяет, не попадают ли они в диапазоны, которые используются для адресации внутри локальных сетей, — такие адреса игнорируются. В случае неудачи при попытке установки соединения Linux.BackDoor.Fgt.1 отправляет информацию об этом на принадлежащий злоумышленникам управляющий сервер. Если же связь установлена, вредоносная программа пытается соединиться с портом удаленного узла, используемым службой Telnet, и получить от атакуемой машины запрос логина. Отправив на удаленный узел логин из заранее сформированного списка, Linux.BackDoor.Fgt.1 выполняет анализ поступающих от него откликов. Если среди них встречается запрос для ввода пароля, троянец пытается выполнить авторизацию методом перебора паролей по списку. В случае успеха Linux.BackDoor.Fgt.1 отсылает на управляющий сервер IP-адрес, логин и пароль устройства, к которому удалось подобрать аутентификационные данные, а на атакуемый узел направляется команда загрузки специального скрипта. Тот, в свою очередь, скачивает из Интернета и запускает во взломанной системе исполняемый файл самого троянца Linux.BackDoor.Fgt.1. Примечательно, что на принадлежащем вирусописателям сервере имеется значительное количество исполняемых файлов Linux.BackDoor.Fgt.1, скомпилированных для разных версий и дистрибутивов Linux, в том числе для встраиваемых систем с архитектурой MIPS и SPARC-серверов. Таким образом, троянец может инфицировать не только подключенные к Интернету серверы и рабочие станции под управлением Linux, но и другие устройства, например, маршрутизаторы.

Linux.BackDoor.Fgt.1 способен выполнять целый ряд поступающих от злоумышленников команд, среди которых можно перечислить следующие:

• запрос IP-адреса инфицированного устройства;
• запуск или остановка цикла сканирования;
• атака на заданный узел типа DNS Amplification;
• атака на заданный узел типа UDP Flood;
• атака на заданный узел типа SYN Flood;
• прекращение DDoS-атаки;
• завершение работы троянца.

Запись для троянской программы Linux.BackDoor.Fgt.1, позволяющая выявлять и удалять данную угрозу, добавлена в вирусные базы Dr.Web, поэтому антивирусные продукты компании «Доктор Веб» для ОС Linux надежно защищают пользователей данной операционной системы от опасности заражения их устройств.

Подробности об угрозе

http://feedproxy.google.com/~r/drweb/viruses/~3/a8TrriwpWL0/

19 ноября 2014 года

Компания «Доктор Веб» предупреждает пользователей о распространении нового троянца, заражающего мобильные Android-устройства и выполняющего на них различные действия по команде злоумышленников. Главная опасность этой вредоносной программы заключается в том, что она способна похищать деньги с банковских счетов пользователей, причем жертвами подобных атак могут стать клиенты сразу нескольких российских кредитных организаций.

Обнаруженная специалистами компании «Доктор Веб» Android-угроза, внесенная в вирусную базу как Android.BankBot.33.origin, представляет собой бота, способного выполнять различные команды злоумышленников. Этот троянец распространяется киберпреступниками под видом различных приложений и может быть установлен на смартфон или планшет только его владельцем (при этом в настройках операционной системы должна быть разрешена установка программ из сторонних источников).

Будучи запущенной, вредоносная программа пытается получить права администратора мобильного устройства, для чего настойчиво демонстрирует соответствующее системное уведомление и фактически не позволяет потенциальной жертве отказаться от выполнения запрошенного действия. После успешного получения системных привилегий Android.BankBot.33.origin, в зависимости от модификации, может вывести на экран сообщение об ошибке, либо отобразить интерфейс приложения, под прикрытием которого и распространялся троянец. В обоих случаях бот удаляет созданный им ранее ярлык, «прячась» таким образом от неопытных пользователей.

Затем троянец устанавливает соединение с удаленным узлом и загружает на него ряд сведений о зараженном мобильном устройстве. В частности, Android.BankBot.33.origin передает на сервер следующие данные:

• IMEI-идентификатор;
• IMSI-идентификатор;
• текущее время, установленное в системе;
• номер мобильного телефона;
• версия троянца;
• SID-идентификатор;
• версия ОС;
• модель устройства;
• производитель устройства;
• версия SDK системы;
• идентификатор троянца.

В ответ сервер отправляет боту список команд, которые тот должен исполнить. Android.BankBot.33.origin может выполнить следующие действия:

• установить время следующего соединения с командным центром;
• изменить адрес командного центра;
• занести в конфигурационный файл список номеров, сообщения с которых будут скрываться от пользователя;
• занести в конфигурационный файл список номеров, сообщения с которых будут пересылаться на управляющий сервер;
• убрать из конфигурационного файла список номеров, сообщения с которых будут скрываться от пользователя;
• убрать из конфигурационного файла список номеров, сообщения c которых будут пересылаться на управляющий сервер;
• отправить СМС-сообщение с заданным текстом на указанный в команде номер;
• загрузить и попытаться установить приложение (необходимо подтверждение пользователя);
• попытаться удалить заданное в команде приложение (необходимо подтверждение пользователя);
• вывести в область уведомлений сообщение с заданным в команде текстом;
• открыть в браузере заданный в команде веб-адрес;
• отправить на управляющий сервер список контактов;
• отправить на управляющий сервер список установленных приложений.

Главная опасность этого вредоносного приложения заключается в том, что оно способно функционировать в качестве банковского троянца и выполнять незаконные операции с денежными средствами владельцев Android-устройств. Так, Android.BankBot.33.origin пытается получить информацию о текущем балансе банковского счета, либо списке подключенных к мобильному телефону пользователя банковских карт. Для этого бот отправляет соответствующий СМС-запрос в системы мобильного банкинга сразу нескольких российских кредитных организаций, а также одной из популярных платежных систем. Если троянец получит ответ, то при помощи специально сформированных СМС-команд он попытается автоматически вывести доступные денежные средства на принадлежащий злоумышленникам счет. При этом жертва может долгое время оставаться в неведении о произошедшей краже, т. к. Android.BankBot.33.origin способен перехватить и заблокировать СМС-уведомления о совершенных операциях.

Также вредоносная программа вполне может помочь киберпреступникам похитить аутентификационные данные учетной записи онлайн-банкинга пользователя, загрузив в браузере зараженного устройства имитирующий внешний вид настоящего интернет-портала банка мошеннический веб-сайт, где жертве будет предложено ввести конфиденциальные сведения для входа. В результате такой атаки могут быть скомпрометированы все банковские счета владельца зараженного Android-устройства, что может стать причиной серьезных финансовых потерь.

Запись для детектирования этого троянца внесена в вирусную базу компании «Доктор Веб», поэтому для пользователей Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light он не представляет угрозы.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/qIFC403MQWk/

19 ноября 2014 года

Компания «Доктор Веб» предупреждает пользователей о распространении нового троянца, заражающего мобильные Android-устройства и выполняющего на них различные действия по команде злоумышленников. Главная опасность этой вредоносной программы заключается в том, что она способна похищать деньги с банковских счетов пользователей, причем жертвами подобных атак могут стать клиенты сразу нескольких российских кредитных организаций.

Обнаруженная специалистами компании «Доктор Веб» вредоносная программа, внесенная в вирусную базу как Android.BankBot.33.origin, представляет собой троянца, способного выполнять на мобильных Android-устройствах различные команды злоумышленников. Вредоносное приложение распространяется киберпреступниками под видом самых разнообразных программ, при этом число возможных вариантов ограничивается лишь фантазией вирусописателей. Стоит отметить, что троянец может быть инсталлирован на смартфон или планшет только его владельцем, для чего в настройках операционной системы должна быть разрешена установка программ из сторонних источников.

Чтобы Android.BankBot.33.origin начал свою работу, пользователь должен самостоятельно запустить его, нажав на соответствующий ярлык, созданный вредоносным приложением. Чтобы увеличить шансы на запуск троянца, в ряде случаев злоумышленники снабжают его ярлык значком той или иной популярной программы, которая известна пользователям и которой те доверяют. Таким образом, даже в случае если на устройстве уже установлена настоящая версия приложения, под видом которого распространяется Android.BankBot.33.origin, потенциальные жертвы могут ошибочно принять ярлык троянца за ярлык легитимного ПО и запустить вредоносное приложение. На приведенной ниже иллюстрации показан пример ярлыков, которые Android.BankBot.33.origin создает после установки на целевое устройство.

Будучи запущенной, эта вредоносная программа пытается получить права администратора мобильного устройства, для чего настойчиво демонстрирует соответствующее системное уведомление и фактически не позволяет потенциальной жертве отказаться от выполнения запрошенного действия. После успешного получения системных привилегий Android.BankBot.33.origin, в зависимости от модификации, может вывести на экран сообщение об ошибке, либо отобразить интерфейс приложения, под прикрытием которого и распространялся троянец. В обоих случаях троянец удаляет созданный им ранее ярлык, «прячась» таким образом от неопытных пользователей.

Затем вредоносная программа устанавливает соединение с удаленным узлом и загружает на него ряд сведений о зараженном мобильном устройстве. В частности, Android.BankBot.33.origin передает на сервер следующие данные:

• IMEI-идентификатор;
• IMSI-идентификатор;
• текущее время, установленное в системе;
• номер мобильного телефона;
• версия троянца;
• SID-идентификатор;
• версия ОС;
• модель устройства;
• производитель устройства;
• версия SDK системы;
• идентификатор троянца.

В ответ сервер отправляет троянцу список команд, которые тот должен исполнить. Android.BankBot.33.origin может выполнить следующие действия:

• установить время следующего соединения с командным центром;
• изменить адрес командного центра;
• занести в конфигурационный файл список номеров, сообщения с которых будут скрываться от пользователя;
• занести в конфигурационный файл список номеров, сообщения с которых будут пересылаться на управляющий сервер;
• убрать из конфигурационного файла список номеров, сообщения с которых будут скрываться от пользователя;
• убрать из конфигурационного файла список номеров, сообщения c которых будут пересылаться на управляющий сервер;
• отправить СМС-сообщение с заданным текстом на указанный в команде номер;
• загрузить и попытаться установить приложение (необходимо подтверждение пользователя);
• попытаться удалить заданное в команде приложение (необходимо подтверждение пользователя);
• вывести в область уведомлений сообщение с заданным в команде текстом;
• открыть в браузере заданный в команде веб-адрес;
• отправить на управляющий сервер список контактов;
• отправить на управляющий сервер список установленных приложений.

Главная опасность этого вредоносного приложения заключается в том, что оно способно функционировать в качестве банковского троянца и выполнять незаконные операции с денежными средствами владельцев Android-устройств. Так, Android.BankBot.33.origin пытается получить информацию о текущем балансе банковского счета, либо списке подключенных к мобильному телефону пользователя банковских карт. Для этого троянец отправляет соответствующий СМС-запрос в системы мобильного банкинга сразу нескольких российских кредитных организаций, а также одной из популярных платежных систем. Если вредоносная программа получит ответ, то при помощи специально сформированных СМС-команд она попытается автоматически вывести доступные денежные средства на принадлежащий злоумышленникам счет. При этом жертва может долгое время оставаться в неведении о произошедшей краже, т. к. Android.BankBot.33.origin способен перехватить и заблокировать СМС-уведомления о совершенных операциях.

Также вредоносная программа вполне может помочь киберпреступникам похитить аутентификационные данные учетной записи онлайн-банкинга пользователя, загрузив в браузере зараженного устройства имитирующий внешний вид настоящего интернет-портала банка мошеннический веб-сайт, где жертве будет предложено ввести конфиденциальные сведения для входа. В результате такой атаки могут быть скомпрометированы все банковские счета владельца зараженного Android-устройства, что может стать причиной серьезных финансовых потерь.

Запись для детектирования этого троянца внесена в вирусную базу компании «Доктор Веб», поэтому для пользователей Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light он не представляет угрозы.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/riMAQdzl9UA/

11 ноября 2014 года

Массовая отправка содержащих ссылку на загрузку вредоносной программы СМС-сообщений становится все более популярным методом распространения современных Android-угроз. Подобный механизм доставки троянцев на мобильные устройства киберпреступники применяют не только при организации спам-рассылок, но и внедряют в создаваемые ими вредоносные приложения, наделяя их функционалом СМС-червей. Одна из таких вредоносных программ, обнаруженная специалистами компании «Доктор Веб» в начале ноября, представляет собой опасного бота, способного по команде злоумышленников отправлять СМС, удалять установленные программы и файлы пользователей, красть конфиденциальную информацию, атаковать веб-сайты и выполнять на зараженном устройстве множество других нежелательных действий.

Внесенная в вирусную базу Dr.Web под именем Android.Wormle.1.origin, новая Android-угроза представляет собой многофункционального бота, обладающего широкими возможностями. После установки троянец не создает ярлык на главном экране операционной системы и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system.

Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников. Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging – сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google.

Данный троянец обладает чрезвычайно обширным функционалом. В частности, бот способен выполнить следующие действия:

• отправить СМС-сообщение с заданным текстом на один или несколько номеров, указанных в команде;
• разослать СМС-сообщение c заданным текстом по всем номерам из телефонной книги;
• занести в черный список определенный телефонный номер, чтобы заблокировать поступающие с него СМС-сообщения, а также звонки;
• выполнить USSD-запрос (номер, с которого планируется получить ответ на произведенный запрос, заносится в черный список в соответствии с отданной командой – это сделано для того, чтобы заблокировать получение пользователем ответных сообщений);
• переслать на управляющий сервер информацию обо всех полученных СМС-сообщениях, а также совершенных звонках;
• включить диктофонную запись, либо остановить ее, если запись уже ведется;
• получить информацию об учетных записях, привязанных к зараженному устройству;
• получить информацию обо всех установленных приложениях;
• получить информацию о списке контактов;
• получить информацию о мобильном операторе;
• получить информацию об установленной версии ОС;
• получить информацию о стране, в которой зарегистрирована SIM-карта;
• получить информацию о телефонном номере жертвы;
• удалить указанное в команде приложение (для этого троянец демонстрирует специально сформированное диалоговое окно, призванное заставить пользователя выполнить удаление);
• получить информацию о хранящихся на карте памяти файлах и каталогах;
• загрузить на управляющий сервер zip-архив, содержащий указанный в команде файл или каталог;
• удалить заданный файл или каталог;
• удалить все хранящиеся на устройстве СМС-сообщения;
• выполнить DDoS-атаку на указанный в команде веб-ресурс;
• установить связь с управляющим сервером, используя специальные параметры;
• изменить адрес управляющего сервера;
• очистить черный список номеров.

Таким образом, Android.Wormle.1.origin позволяет киберпреступникам решать самые разные задачи, начиная с рассылки платных СМС-сообщений и кражи конфиденциальных данных и заканчивая организацией DDoS-атак на различные веб-сайты. Кроме того, функционал вредоносной программы позволяет злоумышленникам получить доступ к банковским счетам пользователей, поэтому данный бот может использоваться и в качестве банковского троянца, что расширяет сферу его применения.

Android.Wormle.1.origin реализует функционал СМС-червя, распространяясь среди владельцев Android-устройств при помощи СМС-сообщений, содержащих ссылку на загрузку копии вредоносной программы. Например, такие сообщения могут иметь следующий вид:

«Я тебя люблю http://[]app.ru/*number*», где «number» – номер получателя СМС.

Подобные сообщения рассылаются по всем телефонным номерам из книги контактов пользователей, поэтому за короткий промежуток времени Android.Wormle.1.origin способен заразить большое число мобильных устройств, значительно увеличив размер созданной киберпреступниками бот-сети. Полученная специалистами компании «Доктор Веб» статистика показывает, что на данный момент вредоносная программа успела инфицировать более 14 000 Android-смартфонов и планшетов, принадлежащих пользователям из более чем 20 стран. Наибольшее число – 12 946 (или 91,49%) инфицированных троянцем мобильных устройств находится в России, далее с заметным отставанием следуют устройства из Украины (0,88%), США (0,76%), Беларуси (0,51%), Казахстана (0,25%), Узбекистана (0,21%), а также Таджикистана (0,15%). Географическое распределение созданного Android.Wormle.1.origin «мобильного» ботнета представлено на следующей иллюстрации:

Специалисты компании «Доктор Веб» продолжают наблюдать за развитием ситуации. Запись для детектирования этой угрозы была оперативно внесена вирусную базу, поэтому пользователи Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light надежно защищены от данного троянца.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/p9lC667diSA/

11 ноября 2014 года

Массовая отправка содержащих ссылку на загрузку вредоносной программы СМС-сообщений становится все более популярным методом распространения современных Android-угроз. Подобный механизм доставки троянцев на мобильные устройства киберпреступники применяют не только при организации спам-рассылок, но и внедряют в создаваемые ими вредоносные приложения, наделяя их функционалом СМС-червей. Одна из таких вредоносных программ, обнаруженная специалистами компании «Доктор Веб» в начале ноября, представляет собой опасного бота, способного по команде злоумышленников отправлять СМС, удалять установленные программы и файлы пользователей, красть конфиденциальную информацию, атаковать веб-сайты и выполнять на зараженном устройстве множество других нежелательных действий.

Внесенная в вирусную базу Dr.Web под именем Android.Wormle.1.origin, новая Android-угроза представляет собой многофункционального бота, обладающего широкими возможностями. После установки троянец не создает ярлык на главном экране операционной системы и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system.

Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников. Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging – сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google.

Данный троянец обладает чрезвычайно обширным функционалом. В частности, бот способен выполнить следующие действия:

• отправить СМС-сообщение с заданным текстом на один или несколько номеров, указанных в команде;
• разослать СМС-сообщение c заданным текстом по всем номерам из телефонной книги;
• занести в черный список определенный телефонный номер, чтобы заблокировать поступающие с него СМС-сообщения, а также звонки;
• выполнить USSD-запрос (номер, с которого планируется получить ответ на произведенный запрос, заносится в черный список в соответствии с отданной командой – это сделано для того, чтобы заблокировать получение пользователем ответных сообщений);
• переслать на управляющий сервер информацию обо всех полученных СМС-сообщениях, а также совершенных звонках;
• включить диктофонную запись, либо остановить ее, если запись уже ведется;
• получить информацию об учетных записях, привязанных к зараженному устройству;
• получить информацию обо всех установленных приложениях;
• получить информацию о списке контактов;
• получить информацию о мобильном операторе;
• получить информацию об установленной версии ОС;
• получить информацию о стране, в которой зарегистрирована SIM-карта;
• получить информацию о телефонном номере жертвы;
• удалить указанное в команде приложение (для этого троянец демонстрирует специально сформированное диалоговое окно, призванное заставить пользователя выполнить удаление);
• получить информацию о хранящихся на карте памяти файлах и каталогах;
• загрузить на управляющий сервер zip-архив, содержащий указанный в команде файл или каталог;
• удалить заданный файл или каталог;
• удалить все хранящиеся на устройстве СМС-сообщения;
• выполнить DDoS-атаку на указанный в команде веб-ресурс;
• установить связь с управляющим сервером, используя специальные параметры;
• изменить адрес управляющего сервера;
• очистить черный список номеров.

Таким образом, Android.Wormle.1.origin позволяет киберпреступникам решать самые разные задачи, начиная с рассылки платных СМС-сообщений и кражи конфиденциальных данных и заканчивая организацией DDoS-атак на различные веб-сайты. Кроме того, функционал вредоносной программы позволяет злоумышленникам получить доступ к банковским счетам пользователей, поэтому данный бот может использоваться и в качестве банковского троянца, что расширяет сферу его применения.

Android.Wormle.1.origin реализует функционал СМС-червя, распространяясь среди владельцев Android-устройств при помощи СМС-сообщений, содержащих ссылку на загрузку копии вредоносной программы. Например, такие сообщения могут иметь следующий вид:

«Я тебя люблю http://[]app.ru/*number*», где «number» – номер получателя СМС.

Подобные сообщения рассылаются по всем телефонным номерам из книги контактов пользователей, поэтому за короткий промежуток времени Android.Wormle.1.origin способен заразить большое число мобильных устройств, значительно увеличив размер созданной киберпреступниками бот-сети. Полученная специалистами компании «Доктор Веб» статистика показывает, что на данный момент вредоносная программа успела инфицировать более 14 000 Android-смартфонов и планшетов, принадлежащих пользователям из более чем 20 стран. Наибольшее число – 12 946 (или 91,49%) инфицированных троянцем мобильных устройств находится в России, далее с заметным отставанием следуют устройства из Украины (0,88%), США (0,76%), Беларуси (0,51%), Казахстана (0,25%), Узбекистана (0,21%), а также Таджикистана (0,15%). Географическое распределение созданного Android.Wormle.1.origin «мобильного» ботнета представлено на следующей иллюстрации:

Специалисты компании «Доктор Веб» продолжают наблюдать за развитием ситуации. Запись для детектирования этой угрозы была оперативно внесена вирусную базу, поэтому пользователи Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light надежно защищены от данного троянца.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/vWtI-Wfj8uw/

7 ноября 2014 года

Специалисты компании «Доктор Веб» обнаружили нового троянца, встроенного непосредственно в образ операционной системы целого ряда мобильных устройств под управлением Android. Вредоносное приложение, получившее имя Android.Becu.1.origin, способно загружать, устанавливать и удалять программы без ведома пользователей, а также может блокировать поступающие с определенных номеров СМС-сообщения.

Данная вредоносная программа представляет собой комплексную угрозу, состоящую из нескольких тесно взаимодействующих друг с другом модулей. Основным компонентом Android.Becu.1.origin является apk-файл с именем Cube_CJIA01.apk, который располагается непосредственно в системном каталоге и имеет цифровую подпись самой операционной системы, что дает ему неограниченные полномочия и позволяет выполнять все действия без вмешательства пользователя. Кроме того, расположение этого приложения непосредственно в прошивке мобильного устройства значительно затрудняет его удаление стандартными методами.

Троянец начинает свою вредоносную деятельность при каждом включении зараженного устройства, а также при получении его владельцем новых СМС-сообщений. Как только наступает одно из этих событий, Android.Becu.1.origin в соответствии со своим конфигурационным файлом загружает с удаленного сервера блок зашифрованных данных, который после расшифровки сохраняется под именем uac.apk в рабочем каталоге троянца и запускается в оперативной памяти при помощи класса DexClassLoader. Вслед за этим троянец запускает свой второй компонент uac.dex, хранящийся в том же рабочем каталоге. Оба этих модуля отвечают за основной вредоносный функционал данной Android-угрозы, а именно – возможность скрытно загружать, устанавливать и удалять те или иные приложения по команде управляющего сервера.

После успешной активации данных компонентов вредоносная программа проверяет наличие в системе своего третьего модуля, находящегося в пакете com.zgs.ga.pack, который в случае отсутствия загружается и устанавливается на устройство. Данный модуль регистрирует зараженный смартфон или планшет на сервере злоумышленников, предоставляя им информацию об активных копиях Android.Becu.1.origin. Если один или несколько модулей троянца будут удалены пользователем, основной файл вредоносного приложения восстановит их, повторив процесс инсталляции.

Помимо выполнения своего основного предназначения – незаметной работы с приложениями – троянец также может блокировать все поступающие с определенных номеров СМС-сообщения.

На данный момент специалистам компании «Доктор Веб» известно о присутствии данной угрозы на целом ряде моделей популярных Android-устройств бюджетного ценового сегмента. Среди них – UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 и многие другие. Наиболее вероятным вектором заражения этих устройств троянцем Android.Becu.1.origin является распространение в Интернете модифицированных злоумышленниками файлов-прошивок, которые загружают сами пользователи, а также установка таких образов операционной системы недобросовестными поставщиками смартфонов и планшетов, участвующими в преступной схеме.

Поскольку Android.Becu.1.origin расположен непосредственно внутри самой операционной системы, его полное удаление стандартными методами весьма проблематично, поэтому наиболее простым и безопасным способом борьбы с троянцем является его «заморозка» в меню управления приложениями. Для этого необходимо найти основной файл троянца в списке установленных программ (пакет com.cube.activity) и нажать на кнопку «Отключить». В результате вредоносное приложение станет неактивным и не сможет продолжить свою работу. После этого потребуется выполнить удаление вспомогательных компонентов троянца (пакеты com.system.outapi и com.zgs.ga.pack), которые могли быть установлены им ранее.

Более радикальными способами противодействия Android.Becu.1.origin являются ручное удаление его основного компонента при наличии root-доступа, а также установка заведомо «чистого» образа операционной системы, которая повлечет за собой потерю всей сохраненной информации. Обе эти процедуры сопряжены с определенной опасностью повреждения работоспособности устройства, поэтому должны выполняться только опытными пользователями на свой страх и риск и сопровождаться созданием резервной копии важных данных.

Антивирусные продукты Dr.Web для Android и Dr.Web для Android Light успешно детектируют данную Android-угрозу, поэтому пользователям рекомендуется выполнить полную проверку своих мобильных устройств на наличие троянца Android.Becu.1.origin и его компонентов.

Подробные сведения об угрозе

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/Z5Nc0SvYDCo/

7 ноября 2014 года

Специалисты компании «Доктор Веб» обнаружили нового троянца, встроенного непосредственно в образ операционной системы целого ряда мобильных устройств под управлением Android. Вредоносное приложение, получившее имя Android.Becu.1.origin, способно загружать, устанавливать и удалять программы без ведома пользователей, а также может блокировать поступающие с определенных номеров СМС-сообщения.

Данная вредоносная программа представляет собой комплексную угрозу, состоящую из нескольких тесно взаимодействующих друг с другом модулей. Основным компонентом Android.Becu.1.origin является apk-файл с именем Cube_CJIA01.apk, который располагается непосредственно в системном каталоге и имеет цифровую подпись самой операционной системы, что дает ему неограниченные полномочия и позволяет выполнять все действия без вмешательства пользователя. Кроме того, расположение этого приложения непосредственно в прошивке мобильного устройства значительно затрудняет его удаление стандартными методами.

Троянец начинает свою вредоносную деятельность при каждом включении зараженного устройства, а также при получении его владельцем новых СМС-сообщений. Как только наступает одно из этих событий, Android.Becu.1.origin в соответствии со своим конфигурационным файлом загружает с удаленного сервера блок зашифрованных данных, который после расшифровки сохраняется под именем uac.apk в рабочем каталоге троянца и запускается в оперативной памяти при помощи класса DexClassLoader. Вслед за этим троянец запускает свой второй компонент uac.dex, хранящийся в том же рабочем каталоге. Оба этих модуля отвечают за основной вредоносный функционал данной Android-угрозы, а именно – возможность скрытно загружать, устанавливать и удалять те или иные приложения по команде управляющего сервера.

После успешной активации данных компонентов вредоносная программа проверяет наличие в системе своего третьего модуля, находящегося в пакете com.zgs.ga.pack, который в случае отсутствия загружается и устанавливается на устройство. Данный модуль регистрирует зараженный смартфон или планшет на сервере злоумышленников, предоставляя им информацию об активных копиях Android.Becu.1.origin. Если один или несколько модулей троянца будут удалены пользователем, основной файл вредоносного приложения восстановит их, повторив процесс инсталляции.

Помимо выполнения своего основного предназначения – незаметной работы с приложениями – троянец также может блокировать все поступающие с определенных номеров СМС-сообщения.

На данный момент специалистам компании «Доктор Веб» известно о присутствии данной угрозы на целом ряде моделей популярных Android-устройств бюджетного ценового сегмента. Среди них – UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 и многие другие. Наиболее вероятным вектором заражения этих устройств троянцем Android.Becu.1.origin является распространение в Интернете модифицированных злоумышленниками файлов-прошивок, которые загружают сами пользователи, а также установка таких образов операционной системы недобросовестными поставщиками смартфонов и планшетов, участвующими в преступной схеме.

Поскольку Android.Becu.1.origin расположен непосредственно внутри самой операционной системы, его полное удаление стандартными методами весьма проблематично, поэтому наиболее простым и безопасным способом борьбы с троянцем является его «заморозка» в меню управления приложениями. Для этого необходимо найти основной файл троянца в списке установленных программ (пакет com.cube.activity) и нажать на кнопку «Отключить». В результате вредоносное приложение станет неактивным и не сможет продолжить свою работу. После этого потребуется выполнить удаление вспомогательных компонентов троянца (пакеты com.system.outapi и com.zgs.ga.pack), которые могли быть установлены им ранее.

Более радикальными способами противодействия Android.Becu.1.origin являются ручное удаление его основного компонента при наличии root-доступа, а также установка заведомо «чистого» образа операционной системы, которая повлечет за собой потерю всей сохраненной информации. Обе эти процедуры сопряжены с определенной опасностью повреждения работоспособности устройства, поэтому должны выполняться только опытными пользователями на свой страх и риск и сопровождаться созданием резервной копии важных данных.

Антивирусные продукты Dr.Web для Android и Dr.Web для Android Light успешно детектируют данную Android-угрозу, поэтому пользователям рекомендуется выполнить полную проверку своих мобильных устройств на наличие троянца Android.Becu.1.origin и его компонентов.

Подробные сведения об угрозе

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/2DyTWGP3mtY/

31 октября 2014 года

Осень 2014 года наверняка запомнится поклонникам многопользовательских компьютерных игр появлением значительного количества угроз, специально созданных злоумышленниками для похищения и последующей перепродажи различных игровых предметов, артефактов и инвентаря. «Под ударом» оказались пользователи таких игр, как Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Заметно активизировались и мошенники, промышляющие обманом сетевых игроков с использованием традиционных методов. Также в октябре специалисты компании «Доктор Веб» обнаружили значительное количество новых угроз как для ОС Microsoft Windows, так и для мобильной платформы Google Android.

Вирусная обстановка

Ситуация с вредоносными программами, детектируемыми на компьютерах пользователей с использованием лечащей утилиты Dr.Web CureIt!, по сравнению с предыдущими месяцами практически никак не изменилась: лидирующие позиции среди выявленных вредоносных программ по-прежнему занимают рекламные плагины для браузеров семейства Trojan.BPlug, а также установщик рекламных приложений Trojan.Packed.24524. В целом, как и прежде, рекламные троянцы оккупируют первые строки рейтинга среди прочих вредоносных программ, обнаруженных Dr.Web CureIt! в октябре.

Несколько иную картину демонстрируют серверы статистики Dr.Web: среди вредоносных программ в октябре, как и ранее, лидирует установщик рекламных приложений Trojan.Packed.24524 — количество обнаруженных экземпляров в текущем месяце снизилось по сравнению с предыдущим на 0,15%. Кроме того, в лидеры неожиданно пробился бэкдор BackDoor.Andromeda.404, количество обнаружений которого составляет 0.34% от общего числа выявленных в октябре вредоносных программ. Этот троянец способен выполнять поступающие на инфицированный компьютер команды и загружать с принадлежащих злоумышленникам серверов другие опасные приложения. Среди «популярных» троянцев октября также оказался Trojan.LoadMoney.336 — приложение-загрузчик, способное устанавливать на компьютер пользователя другие программы, в том числе различные нежелательные рекламные утилиты. А вот число обнаружений бэкдора BackDoor.IRC.NgrBot.42 осталось практически неизменным, уменьшившись по сравнению с сентябрьскими показателями всего лишь на 0,02%. Также в октябре компьютеры пользователей согласно данным сервера статистики Dr.Web нередко «навещали» рекламные троянцы Trojan.Zadved.4 и Trojan.Triosir.13.

В почтовом трафике в течение октября чаще всего обнаруживался бэкдор-загрузчик BackDoor.Andromeda.404 (2,22%), банковский троянец Trojan.PWS.Panda.5676 (0,97%) и еще одна модификация безусловного лидера этого своеобразного рейтинга — BackDoor.Andromeda.519 (0,88%). Следует отметить, что в октябре злоумышленники довольно часто использовали массовые почтовые рассылки для распространения банковских троянцев и вредоносных программ, предназначенных для хищения паролей, а также прочей конфиденциальной информации пользователей: помимо уже упомянутого выше Trojan.PWS.Panda.5676 в сообщениях электронной почты детектировались Trojan.PWS.Panda.655, Trojan.PWS.Stealer.13025 и Trojan.PWS.Stealer.13259, число обнаружений которых в совокупности достигло 2,04% от общего количества угроз, выявленных в почтовом трафике в октябре.

Что касается ботнетов, за деятельностью которых продолжают следить специалисты компании «Доктор Веб», то и здесь за минувший месяц также не произошло каких-либо кардинальных изменений. Так, в первой из двух отслеживаемых подсетей ботнета Win32.Rmnet.12 средняя ежесуточная активность в октябре составила 251 500 обращавшихся к управляющим серверам инфицированных ПК, во второй подсети этот показатель составляет 379 000. Средняя ежесуточная активность бот-сети, созданной злоумышленниками с использованием файлового вируса Win32.Sector, составляет порядка 57 000 зараженных узлов. Продолжает функционировать и ботнет BackDoor.Flashback.39 — в течение октября было зафиксировано в среднем 16 530 ежесуточных обращений к управляющим серверам зараженных этим троянцем Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X.

Ранее компания «Доктор Веб» сообщила о распространении троянской программы для Linux, добавленного в вирусные базы под именем Linux.BackDoor.Gates. Согласно данным, полученным вирусными аналитиками компании «Доктор Веб», в октябре ботнет Linux.BackDoor.Gates продолжил свою деятельность — географическое распределение DDoS-атак, реализованных с использованием этого троянца, показано на следующей иллюстрации:

«Опасные игры» для пользователей Steam

Известно, что многие современные многопользовательские компьютерные игры — это самые настоящие виртуальные миры, которые приносят своим разработчикам миллионные доходы. В таких вселенных имеются свои традиции и законы, правила поведения и собственные экономические модели, позволяющие добывать, обменивать и даже продавать за вполне реальные деньги различные игровые предметы. В середине сентября 2014 года специалистами компании «Доктор Веб» был обнаружен и исследован троянец Trojan.SteamBurglar.1, воровавший с целью последующей перепродажи такие артефакты у пользователей Steam — игровой платформы, разработанной компанией Valve и позволяющей загружать из Интернета игровые приложения, активировать их, получать обновления и знакомиться с различными новостями игрового мира.

Однако одной лишь этой угрозой деятельность злоумышленников, решивших нажиться на поклонниках онлайн-игр, не ограничилась: в октябре вирусные аналитики «Доктор Веб» выявили нового троянца с почти аналогичным функционалом — Trojan.SteamLogger.1, который помимо воровства игровых предметов мог фиксировать и передавать злоумышленникам сведения о нажатиях клавиш на инфицированном компьютере, то есть, выполнял функции кейлоггера. Под угрозой оказались поклонники игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2.

Запустившись на зараженном компьютере, Trojan.SteamLogger.1 демонстрирует на экране атакованного компьютера изображение нескольких игровых предметов и в это же самое время развивает бурную вредоносную деятельность в инфицированной системе.

Передав злоумышленникам информацию о зараженной машине, троянец ожидает момента авторизации игрока в Steam, затем извлекает информацию об аккаунте пользователя (наличие SteamGuard, steam-id, security token) и также отправляет эти данные преступникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Если в настройках Steam отключена автоматическая авторизация, троянец запускает в отдельном потоке кейлоггер — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.

Для поиска инвентаря и ценных игровых предметов Trojan.SteamLogger.1 использует фильтры по ключевым словам "Mythical", "Legendary", "Arcana", "Immortal", "DOTA_WearableType_Treasure_Key", "Container", "Supply Crate". То есть, вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. При этом Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи. Для реализации похищенных ключей от сундуков из игры Dota 2 вирусописатели даже создали специальный интернет-магазин:

Более подробную информацию об этой вредоносной программе можно получить, ознакомившись с нашей обзорной статьей.

Но только лишь распространением вредоносных программ приемы злоумышленников, решивших хорошенько нажиться на поклонниках компьютерных игр, не ограничиваются: они используют множество иных методов. Официально торговля аккаунтами запрещена администрацией большинства игровых серверов, однако полностью остановить куплю-продажу учетных записей это не помогло. Приобретая аккаунт на игровом сервере, покупатель стремится получить не просто персонажа с максимальным количеством различных «навыков» и баллов опыта, но также игровую амуницию, доспехи, ездовых животных (иногда довольно редких), набор умений и профессий, доступных для данного героя, иные игровые артефакты и возможности. Чем их больше, тем выше стоимость аккаунта, которая в некоторых случаях может превышать 20 000 рублей.

Кибермошенники применяют различные способы обмана доверчивых игроков: например, известно, что выставленный ими на продажу игровой аккаунт может быть возвращен злоумышленникам по первому обращению в службу технической поддержки. Если же выяснится, что учетная запись в нарушение правил была продана, ее просто заблокируют.

Также мошенники с помощью системы личных сообщений могут рассылать от имени игрока фишинговые ссылки — например, публикуя информацию об «акции от разработчика игры», требующей зарегистрироваться на стороннем сайте со своим логином и паролем, или рекламируя программы для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы.

Существуют и иные способы обмануть поклонников онлайн-игр, активно используемые киберпреступниками. Вы можете узнать о них, прочитав опубликованную на сайте компании «Доктор Веб» подробную статью.

Угрозы для Android

В прошедшем месяце пользователям мобильных устройств вновь угрожало большое количество вредоносных Android-приложений. Например, в начале октября был обнаружен троянец Android.Selfmite.1.origin, который распространялся злоумышленниками в модифицированном ими официальном приложении-клиенте социальной сети Google+ и применялся для незаконного заработка. В частности, эта вредоносная программа могла разместить на главном экране операционной системы несколько ярлыков, ведущих, в зависимости от географического расположения пользователей, на различные веб-сайты, задействованные в партнерских программах. Также троянец мог «рекламировать» те или иные приложения из каталога Google Play, открывая в нем соответствующие разделы. Кроме того, Android.Selfmite.1.origin был способен отправить СМС-сообщения по всем контактам, найденным в телефонной книге зараженного мобильного устройства. Эти СМС рассылались в неограниченном количестве и, в зависимости от поступившей от управляющего сервера команды, могли содержать ссылку, ведущую как на очередной рекламный сайт, так и на продвигаемые мошенниками приложения, в том числе и на копию самого троянца.

Продолжили появляться и новые троянцы-вымогатели. Одна из таких вредоносных программ, получившая по классификации компании «Доктор Веб» имя Android.Locker.54.origin, по своему основному вредоносному функционалу ничем не отличалась от многих других представителей подобных угроз: попадая на мобильное устройство, она обвиняла пользователя в просмотре незаконных порнографических материалов и блокировала экран, требуя оплатить выкуп. Главная особенность этого вымогателя заключается в том, что он способен рассылать всем контактам пользователя СМС-сообщения, содержащие ссылку на загрузку копии вредоносного приложения, что могло существенно увеличить масштабы распространения троянца.

Еще одной Android-угрозой, распространявшейся среди пользователей ОС Android в октябре, стала вредоносная программа Android.Dialer.7.origin, являющаяся представителем весьма редкого в настоящее время класса вредоносных программ-дозвонщиков. Попадая на мобильное устройство, этот троянец без ведома его владельца совершал звонок на заданный киберпреступниками платный номер, в результате чего со счета абонента списывалась определенная денежная сумма. Подробнее об этой угрозе рассказано в соответствующей публикации.

Вновь под ударом оказались и пользователи ОС Android из Южной Кореи: в октябре специалисты «Доктор Веб» зафиксировали более 160 спам-кампаний, направленных на распространение различных Android-троянцев при помощи нежелательных СМС. Одна из применявшихся киберпреступниками угроз, внесенная в вирусную базу под именем Android.BankBot.29.origin, являлась очередным представителем распространенных банковских троянцев, осуществляющих кражу конфиденциальных сведений клиентов южнокорейских кредитных организаций. Как и другие подобные вредоносные приложения, Android.BankBot.29.origin запрашивает доступ к функциям администратора мобильного устройства, чтобы затруднить свое удаление из системы. Однако реализация данного процесса у нового троянца выглядит весьма необычно, т. к. соответствующий системный диалог «прячется» под интерфейсом вредоносного приложения, в результате чего пользователи могут вовсе не заметить, что предоставили Android.BankBot.29.origin расширенные права.

В целом же в прошедшем месяце южнокорейские пользователи наиболее часто могли столкнуться с такими угрозами как Android.BankBot.27.origin, Android.MulDrop.36.origin, Android.SmsSpy.78.origin, Android.Spy.40.origin, Android.MulDrop.21.origin и Android.BankBot.29.origin.

Полезные ссылки

• Актуальная статистика по вирусным угрозам
• Пробные версии антивирусных программ Dr.Web
  • для дома
  • для бизнеса
• Наши новости
• Вирусная энциклопедия

Давайте дружить! Присоединяйтесь к нашим группам в социальных сетях:

http://feedproxy.google.com/~r/drweb/viruses/~3/nYwHg1sEX9g/

31 октября 2014 года

Осень 2014 года наверняка запомнится поклонникам многопользовательских компьютерных игр появлением значительного количества угроз, специально созданных злоумышленниками для похищения и последующей перепродажи различных игровых предметов, артефактов и инвентаря. «Под ударом» оказались пользователи таких игр, как Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Заметно активизировались и мошенники, промышляющие обманом сетевых игроков с использованием традиционных методов. Также в октябре специалисты компании «Доктор Веб» обнаружили значительное количество новых угроз как для ОС Microsoft Windows, так и для мобильной платформы Google Android.

Вирусная обстановка

Ситуация с вредоносными программами, детектируемыми на компьютерах пользователей с использованием лечащей утилиты Dr.Web CureIt!, по сравнению с предыдущими месяцами практически никак не изменилась: лидирующие позиции среди выявленных вредоносных программ по-прежнему занимают рекламные плагины для браузеров семейства Trojan.BPlug, а также установщик рекламных приложений Trojan.Packed.24524. В целом, как и прежде, рекламные троянцы оккупируют первые строки рейтинга среди прочих вредоносных программ, обнаруженных Dr.Web CureIt! в октябре.

Несколько иную картину демонстрируют серверы статистики Dr.Web: среди вредоносных программ в октябре, как и ранее, лидирует установщик рекламных приложений Trojan.Packed.24524 — количество обнаруженных экземпляров в текущем месяце снизилось по сравнению с предыдущим на 0,15%. Кроме того, в лидеры неожиданно пробился бэкдор BackDoor.Andromeda.404, количество обнаружений которого составляет 0.34% от общего числа выявленных в октябре вредоносных программ. Этот троянец способен выполнять поступающие на инфицированный компьютер команды и загружать с принадлежащих злоумышленникам серверов другие опасные приложения. Среди «популярных» троянцев октября также оказался Trojan.LoadMoney.336 — приложение-загрузчик, способное устанавливать на компьютер пользователя другие программы, в том числе различные нежелательные рекламные утилиты. А вот число обнаружений бэкдора BackDoor.IRC.NgrBot.42 осталось практически неизменным, уменьшившись по сравнению с сентябрьскими показателями всего лишь на 0,02%. Также в октябре компьютеры пользователей согласно данным сервера статистики Dr.Web нередко «навещали» рекламные троянцы Trojan.Zadved.4 и Trojan.Triosir.13.

В почтовом трафике в течение октября чаще всего обнаруживался бэкдор-загрузчик BackDoor.Andromeda.404 (2,22%), банковский троянец Trojan.PWS.Panda.5676 (0,97%) и еще одна модификация безусловного лидера этого своеобразного рейтинга — BackDoor.Andromeda.519 (0,88%). Следует отметить, что в октябре злоумышленники довольно часто использовали массовые почтовые рассылки для распространения банковских троянцев и вредоносных программ, предназначенных для хищения паролей, а также прочей конфиденциальной информации пользователей: помимо уже упомянутого выше Trojan.PWS.Panda.5676 в сообщениях электронной почты детектировались Trojan.PWS.Panda.655, Trojan.PWS.Stealer.13025 и Trojan.PWS.Stealer.13259, число обнаружений которых в совокупности достигло 2,04% от общего количества угроз, выявленных в почтовом трафике в октябре.

Что касается ботнетов, за деятельностью которых продолжают следить специалисты компании «Доктор Веб», то и здесь за минувший месяц также не произошло каких-либо кардинальных изменений. Так, в первой из двух отслеживаемых подсетей ботнета Win32.Rmnet.12 средняя ежесуточная активность в октябре составила 251 500 обращавшихся к управляющим серверам инфицированных ПК, во второй подсети этот показатель составляет 379 000. Средняя ежесуточная активность бот-сети, созданной злоумышленниками с использованием файлового вируса Win32.Sector, составляет порядка 57 000 зараженных узлов. Продолжает функционировать и ботнет BackDoor.Flashback.39 — в течение октября было зафиксировано в среднем 16 530 ежесуточных обращений к управляющим серверам зараженных этим троянцем Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X.

Ранее компания «Доктор Веб» сообщила о распространении троянской программы для Linux, добавленного в вирусные базы под именем Linux.BackDoor.Gates. Согласно данным, полученным вирусными аналитиками компании «Доктор Веб», в октябре ботнет Linux.BackDoor.Gates продолжил свою деятельность — географическое распределение DDoS-атак, реализованных с использованием этого троянца, показано на следующей иллюстрации:

«Опасные игры» для пользователей Steam

Известно, что многие современные многопользовательские компьютерные игры — это самые настоящие виртуальные миры, которые приносят своим разработчикам миллионные доходы. В таких вселенных имеются свои традиции и законы, правила поведения и собственные экономические модели, позволяющие добывать, обменивать и даже продавать за вполне реальные деньги различные игровые предметы. В середине сентября 2014 года специалистами компании «Доктор Веб» был обнаружен и исследован троянец Trojan.SteamBurglar.1, воровавший с целью последующей перепродажи такие артефакты у пользователей Steam — игровой платформы, разработанной компанией Valve и позволяющей загружать из Интернета игровые приложения, активировать их, получать обновления и знакомиться с различными новостями игрового мира.

Однако одной лишь этой угрозой деятельность злоумышленников, решивших нажиться на поклонниках онлайн-игр, не ограничилась: в октябре вирусные аналитики «Доктор Веб» выявили нового троянца с почти аналогичным функционалом — Trojan.SteamLogger.1, который помимо воровства игровых предметов мог фиксировать и передавать злоумышленникам сведения о нажатиях клавиш на инфицированном компьютере, то есть, выполнял функции кейлоггера. Под угрозой оказались поклонники игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2.

Запустившись на зараженном компьютере, Trojan.SteamLogger.1 демонстрирует на экране атакованного компьютера изображение нескольких игровых предметов и в это же самое время развивает бурную вредоносную деятельность в инфицированной системе.

Передав злоумышленникам информацию о зараженной машине, троянец ожидает момента авторизации игрока в Steam, затем извлекает информацию об аккаунте пользователя (наличие SteamGuard, steam-id, security token) и также отправляет эти данные преступникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Если в настройках Steam отключена автоматическая авторизация, троянец запускает в отдельном потоке кейлоггер — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.

Для поиска инвентаря и ценных игровых предметов Trojan.SteamLogger.1 использует фильтры по ключевым словам "Mythical", "Legendary", "Arcana", "Immortal", "DOTA_WearableType_Treasure_Key", "Container", "Supply Crate". То есть, вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. При этом Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи. Для реализации похищенных ключей от сундуков из игры Dota 2 вирусописатели даже создали специальный интернет-магазин:

Более подробную информацию об этой вредоносной программе можно получить, ознакомившись с нашей обзорной статьей.

Но только лишь распространением вредоносных программ приемы злоумышленников, решивших хорошенько нажиться на поклонниках компьютерных игр, не ограничиваются: они используют множество иных методов. Официально торговля аккаунтами запрещена администрацией большинства игровых серверов, однако полностью остановить куплю-продажу учетных записей это не помогло. Приобретая аккаунт на игровом сервере, покупатель стремится получить не просто персонажа с максимальным количеством различных «навыков» и баллов опыта, но также игровую амуницию, доспехи, ездовых животных (иногда довольно редких), набор умений и профессий, доступных для данного героя, иные игровые артефакты и возможности. Чем их больше, тем выше стоимость аккаунта, которая в некоторых случаях может превышать 20 000 рублей.

Кибермошенники применяют различные способы обмана доверчивых игроков: например, известно, что выставленный ими на продажу игровой аккаунт может быть возвращен злоумышленникам по первому обращению в службу технической поддержки. Если же выяснится, что учетная запись в нарушение правил была продана, ее просто заблокируют.

Также мошенники с помощью системы личных сообщений могут рассылать от имени игрока фишинговые ссылки — например, публикуя информацию об «акции от разработчика игры», требующей зарегистрироваться на стороннем сайте со своим логином и паролем, или рекламируя программы для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы.

Существуют и иные способы обмануть поклонников онлайн-игр, активно используемые киберпреступниками. Вы можете узнать о них, прочитав опубликованную на сайте компании «Доктор Веб» подробную статью.

Угрозы для Android

В прошедшем месяце пользователям мобильных устройств вновь угрожало большое количество вредоносных Android-приложений. Например, в начале октября был обнаружен троянец Android.Selfmite.1.origin, который распространялся злоумышленниками в модифицированном ими официальном приложении-клиенте социальной сети Google+ и применялся для незаконного заработка. В частности, эта вредоносная программа могла разместить на главном экране операционной системы несколько ярлыков, ведущих, в зависимости от географического расположения пользователей, на различные веб-сайты, задействованные в партнерских программах. Также троянец мог «рекламировать» те или иные приложения из каталога Google Play, открывая в нем соответствующие разделы. Кроме того, Android.Selfmite.1.origin был способен отправить СМС-сообщения по всем контактам, найденным в телефонной книге зараженного мобильного устройства. Эти СМС рассылались в неограниченном количестве и, в зависимости от поступившей от управляющего сервера команды, могли содержать ссылку, ведущую как на очередной рекламный сайт, так и на продвигаемые мошенниками приложения, в том числе и на копию самого троянца.

Продолжили появляться и новые троянцы-вымогатели. Одна из таких вредоносных программ, получившая по классификации компании «Доктор Веб» имя Android.Locker.54.origin, по своему основному вредоносному функционалу ничем не отличалась от многих других представителей подобных угроз: попадая на мобильное устройство, она обвиняла пользователя в просмотре незаконных порнографических материалов и блокировала экран, требуя оплатить выкуп. Главная особенность этого вымогателя заключается в том, что он способен рассылать всем контактам пользователя СМС-сообщения, содержащие ссылку на загрузку копии вредоносного приложения, что могло существенно увеличить масштабы распространения троянца.

Еще одной Android-угрозой, распространявшейся среди пользователей ОС Android в октябре, стала вредоносная программа Android.Dialer.7.origin, являющаяся представителем весьма редкого в настоящее время класса вредоносных программ-дозвонщиков. Попадая на мобильное устройство, этот троянец без ведома его владельца совершал звонок на заданный киберпреступниками платный номер, в результате чего со счета абонента списывалась определенная денежная сумма. Подробнее об этой угрозе рассказано в соответствующей публикации.

Вновь под ударом оказались и пользователи ОС Android из Южной Кореи: в октябре специалисты «Доктор Веб» зафиксировали более 160 спам-кампаний, направленных на распространение различных Android-троянцев при помощи нежелательных СМС. Одна из применявшихся киберпреступниками угроз, внесенная в вирусную базу под именем Android.BankBot.29.origin, являлась очередным представителем распространенных банковских троянцев, осуществляющих кражу конфиденциальных сведений клиентов южнокорейских кредитных организаций. Как и другие подобные вредоносные приложения, Android.BankBot.29.origin запрашивает доступ к функциям администратора мобильного устройства, чтобы затруднить свое удаление из системы. Однако реализация данного процесса у нового троянца выглядит весьма необычно, т. к. соответствующий системный диалог «прячется» под интерфейсом вредоносного приложения, в результате чего пользователи могут вовсе не заметить, что предоставили Android.BankBot.29.origin расширенные права.

В целом же в прошедшем месяце южнокорейские пользователи наиболее часто могли столкнуться с такими угрозами как Android.BankBot.27.origin, Android.MulDrop.36.origin, Android.SmsSpy.78.origin, Android.Spy.40.origin, Android.MulDrop.21.origin и Android.BankBot.29.origin.

Полезные ссылки

• Актуальная статистика по вирусным угрозам
• Пробные версии антивирусных программ Dr.Web
  • для дома
  • для бизнеса
• Наши новости
• Вирусная энциклопедия

Давайте дружить! Присоединяйтесь к нашим группам в социальных сетях:

http://feedproxy.google.com/~r/drweb/viruses/~3/-7kiQXHdnTg/

30 октября 2014 года

На протяжении последних 3 месяцев специалисты компании «Доктор Веб» продолжали фиксировать новые атаки злоумышленников, направленные на южнокорейских пользователей мобильных Android-устройств. Как и прежде, для заражения их смартфонов и планшетов киберпреступники широко применяли рассылку нежелательных СМС-сообщений, в которых содержалась ссылка на загрузку вредоносного приложения, при этом главная цель вирусописателей – доступ к банковским счетам жертв – осталась неизменной.

Полученная в 3-м квартале 2014 года статистика свидетельствует о том, что южнокорейские пользователи ОС Android все еще остаются желанной целью для киберпреступников: с июля по сентябрь специалисты компании «Доктор Веб» зафиксировали 338 различных спам-кампаний, организованных с целью заражения мобильных Android-устройств жителей Южной Кореи.

Зафиксированные в 3 квартале 2014 года
случаи атак на южнокорейских пользователей Android с использованием СМС-спама

По сравнению со 2-м кварталом текущего года за последние 3 месяца количество подобных атак снизилось почти на 40%, однако это едва ли может стать радостной новостью для пользователей, т. к. большая часть обнаруженных вредоносных приложений, как и раньше, принадлежала к различным семействам банковских троянцев и троянцев-шпионов. Так, на долю вредоносных программ семейства Android.Banker пришлось 26,11%, Android.SmsBot – 21,07%, Android.BankBot – 18,69%, Android.SmsSpy – 8,61% и Android.Spy – 3,26% от всех зафиксированных угроз. Кроме того, существенный объем – 22,26% – составили троянцы-дропперы семейства Android.MulDrop, используемые киберпреступниками в качестве носителей для других вредоносных программ, которые в большинстве отмеченных случаев представляли собой все тех же банковских троянцев. Это свидетельствует о том, что основное внимание злоумышленников, которые при помощи СМС-спама распространяют Android-троянцев в Южной Корее, по-прежнему сфокусировано на краже конфиденциальной информации владельцев Android-устройств, получении доступа к их банковским счетам и проведении незаконных операций с денежными средствами.

Семейства Android-троянцев, распространяемых при помощи СМС-спама
среди южнокорейских пользователей в 3-м квартале 2014 года

Вместе с использованием вредоносных приложений в качестве контейнеров для доставки других троянцев на Android-устройства южнокорейских пользователей злоумышленники все чаще стали применять и другие приемы, которые мешают потенциальным жертвам распознать угрозу и снижают вероятность ее обнаружения антивирусными программами. Одной из таких методик, продолжающих набирать популярность в киберкриминальной среде, является защита троянцев специализированными упаковщиками, шифрующими их компоненты, а также использование различных вариантов обфускации, которая приводит к похожему результату, «запутывая» код вредоносных программ. Примерами использования подобной защиты для сокрытия вредоносного приложения от взора антивирусного ПО служат несколько новых модификаций троянца Android.SmsSpy.71.origin, известного специалистам компании «Доктор Веб» с января 2014 года. Эта вредоносная программа перехватывает СМС-сообщения, крадет информацию о контактах пользователя, способна блокировать звонки, а также по команде злоумышленников выполнить СМС-рассылку по выборочным или же всем имеющимся в телефонной книге номерам. Как и многие другие южнокорейские Android-угрозы, изначально эта вредоносная программа распространялась злоумышленниками без каких-либо технических ухищрений, однако со временем она становилась все более защищенной. Так, обнаруженные в сентябре новые модификации Android.SmsSpy.71.origin уже находились под защитой весьма сложного упаковщика и распространялись при помощи троянцев-дропперов, внесенных в вирусную базу под именами Android.MulDrop.6 и Android.MulDrop.7.

Однако подобными методами арсенал киберпреступников вовсе не ограничивается. В ответ на внедряемые в ОС Android новые защитные механизмы вирусописатели добавляют в свои разработки новый функционал, позволяющий обходить эти преграды. Например, обнаруженная в сентябре вредоносная программа Android.SmsBot.174.origin, которая является ботом, выполняющим команды злоумышленников, скрывает от пользователя поступающие звонки, а также СМС, используя интересный механизм для блокировки последних. В ОС Android, начиная с версии 4.4, полное управление короткими сообщениями одновременно доступно лишь для одного приложения. Если программа не является менеджером сообщений по умолчанию, она все еще может скрыть уведомление о поступившем СМС, однако само сообщение будет сохранено в списке входящих и доступно пользователю. Чтобы помешать этому, Android.SmsBot.174.origin пытается назначить себя в качестве стандартного менеджера сообщений, запрашивая у пользователя соответствующее разрешение. В случае успеха троянец получает возможность полноценно блокировать не только входящие звонки, но также и СМС, которые могут поступать, в том числе, и от кредитных организаций, при этом способность бота отправлять различные сообщения по команде злоумышленников в итоге делает троянца серьезной угрозой для пользователей.

В целом за последние 3 месяца злоумышленники использовали более 20 различных вредоносных приложений для атак на южнокорейских пользователей Android, при этом наиболее распространенными угрозами стали такие троянцы как Android.Banker.28.origin, Android.SmsBot.121.origin, Android.SmsSpy.78.origin, Android.MulDrop.20.origin и Android.BankBot.27.origin.

Вредоносные программы, распространявшиеся при помощи СМС-спама
среди южнокорейских пользователей в 3-м квартале 2014 года

Как уже отмечалось ранее, все эти троянцы распространялись среди южнокорейских владельцев Android-устройств при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносной программы. Чтобы заставить пользователей установить Android-угрозу на мобильное устройство, киберпреступники вновь активно применяли социальную инженерию – тематика большинства рассылаемых ими сообщений затрагивала те или иные «житейские» вопросы. Например, на поддельные уведомления о судьбе почтовых отправлений пришлось 36,09% мошеннических СМС, на сообщения от имени суда или полиции – 23,37%, на фиктивные уведомления о проведении мероприятий по гражданской обороне – 23,97%, а на ненастоящие приглашения на свадьбу – 12,13% СМС соответственно. Кроме того, кибермошенники эксплуатировали и другие «горячие» темы, например, рассылали поддельные сообщения от имени банков, популярных веб-сервисов и т. п., однако на долю таких сообщений в общей сложности пришлось мене 5% от всех зафиксированных в Южной Корее случаев спам-рассылок.

Тематика нежелательных СМС-сообщений, применявшихся при распространении
вредоносных программ в Южной Корее

Почти в 80% случаев указываемый в СМС-сообщениях адрес веб-сайта, с которого происходила загрузка вредоносного приложения, маскировался при помощи специализированных сервисов по созданию коротких ссылок. В общей сложности киберпреступники воспользовались услугами 41 онлайн-службы по сокращению веб-адресов, а самыми популярными среди них стали han.gl, cut.do, me2.do, ka.do, twr.kr и zcc.kr.

Наиболее популярные онлайн-сервисы по сокращению ссылок,
использованные злоумышленниками в 3-м квартале 2014 года

Как и ранее, большинство распространяемых в Южной Корее Android-троянцев по-прежнему располагалось на серверах известных облачных сервисов хранения данных: подобный вариант хостинга злоумышленники выбирали в 89% случаев. В 3-м квартале текущего года наиболее востребованным среди киберпреступников стали такие площадки как Dropbox, Copy, CloudApp, Ge.tt, при этом сервис Dropbox вновь оказался самым популярным. Остальная же часть вредоносных приложений хранилась на собственных сайтах злоумышленников, созданных специально для заражения мобильных устройств южнокорейских пользователей.

Облачные сервисы хранения данных, на которых размещались троянцы,
распространяемые среди Android-пользователей Южной Кореи

Онлайн-площадки, выступающие в качестве хостинга
для распространяемых среди южнокорейских пользователей Android-угроз

Сохраняющийся повышенный интерес злоумышленников к получению доступа к конфиденциальной информации и банковским счетам южнокорейских пользователей свидетельствует о том, что в обозримом будущем киберпреступники продолжат совершать попытки заражения мобильных устройств жителей Южной Кореи. Постоянно совершенствуемые вредоносные программы и новые технические приемы вирусописателей могут быть со временем применены и против владельцев Android-устройств из других стран, поэтому для обеспечения безопасности пользователям следует соблюдать внимательность и осторожность, а также установить надежное антивирусное ПО.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/Cilf5US91dY/

30 октября 2014 года

На протяжении последних 3 месяцев специалисты компании «Доктор Веб» продолжали фиксировать новые атаки злоумышленников, направленные на южнокорейских пользователей мобильных Android-устройств. Как и прежде, для заражения их смартфонов и планшетов киберпреступники широко применяли рассылку нежелательных СМС-сообщений, в которых содержалась ссылка на загрузку вредоносного приложения, при этом главная цель вирусописателей – доступ к банковским счетам жертв – осталась неизменной.

Полученная в 3-м квартале 2014 года статистика свидетельствует о том, что южнокорейские пользователи ОС Android все еще остаются желанной целью для киберпреступников: с июля по сентябрь специалисты компании «Доктор Веб» зафиксировали 338 различных спам-кампаний, организованных с целью заражения мобильных Android-устройств жителей Южной Кореи.

Зафиксированные в 3 квартале 2014 года
случаи атак на южнокорейских пользователей Android с использованием СМС-спама

По сравнению со 2-м кварталом текущего года за последние 3 месяца количество подобных атак снизилось почти на 40%, однако это едва ли может стать радостной новостью для пользователей, т. к. большая часть обнаруженных вредоносных приложений, как и раньше, принадлежала к различным семействам банковских троянцев и троянцев-шпионов. Так, на долю вредоносных программ семейства Android.Banker пришлось 26,11%, Android.SmsBot – 21,07%, Android.BankBot – 18,69%, Android.SmsSpy – 8,61% и Android.Spy – 3,26% от всех зафиксированных угроз. Кроме того, существенный объем – 22,26% – составили троянцы-дропперы семейства Android.MulDrop, используемые киберпреступниками в качестве носителей для других вредоносных программ, которые в большинстве отмеченных случаев представляли собой все тех же банковских троянцев. Это свидетельствует о том, что основное внимание злоумышленников, которые при помощи СМС-спама распространяют Android-троянцев в Южной Корее, по-прежнему сфокусировано на краже конфиденциальной информации владельцев Android-устройств, получении доступа к их банковским счетам и проведении незаконных операций с денежными средствами.

Семейства Android-троянцев, распространяемых при помощи СМС-спама
среди южнокорейских пользователей в 3-м квартале 2014 года

Вместе с использованием вредоносных приложений в качестве контейнеров для доставки других троянцев на Android-устройства южнокорейских пользователей злоумышленники все чаще стали применять и другие приемы, которые мешают потенциальным жертвам распознать угрозу и снижают вероятность ее обнаружения антивирусными программами. Одной из таких методик, продолжающих набирать популярность в киберкриминальной среде, является защита троянцев специализированными упаковщиками, шифрующими их компоненты, а также использование различных вариантов обфускации, которая приводит к похожему результату, «запутывая» код вредоносных программ. Примерами использования подобной защиты для сокрытия вредоносного приложения от взора антивирусного ПО служат несколько новых модификаций троянца Android.SmsSpy.71.origin, известного специалистам компании «Доктор Веб» с января 2014 года. Эта вредоносная программа перехватывает СМС-сообщения, крадет информацию о контактах пользователя, способна блокировать звонки, а также по команде злоумышленников выполнить СМС-рассылку по выборочным или же всем имеющимся в телефонной книге номерам. Как и многие другие южнокорейские Android-угрозы, изначально эта вредоносная программа распространялась злоумышленниками без каких-либо технических ухищрений, однако со временем она становилась все более защищенной. Так, обнаруженные в сентябре новые модификации Android.SmsSpy.71.origin уже находились под защитой весьма сложного упаковщика и распространялись при помощи троянцев-дропперов, внесенных в вирусную базу под именами Android.MulDrop.6 и Android.MulDrop.7.

Однако подобными методами арсенал киберпреступников вовсе не ограничивается. В ответ на внедряемые в ОС Android новые защитные механизмы вирусописатели добавляют в свои разработки новый функционал, позволяющий обходить эти преграды. Например, обнаруженная в сентябре вредоносная программа Android.SmsBot.174.origin, которая является ботом, выполняющим команды злоумышленников, скрывает от пользователя поступающие звонки, а также СМС, используя интересный механизм для блокировки последних. В ОС Android, начиная с версии 4.4, полное управление короткими сообщениями одновременно доступно лишь для одного приложения. Если программа не является менеджером сообщений по умолчанию, она все еще может скрыть уведомление о поступившем СМС, однако само сообщение будет сохранено в списке входящих и доступно пользователю. Чтобы помешать этому, Android.SmsBot.174.origin пытается назначить себя в качестве стандартного менеджера сообщений, запрашивая у пользователя соответствующее разрешение. В случае успеха троянец получает возможность полноценно блокировать не только входящие звонки, но также и СМС, которые могут поступать, в том числе, и от кредитных организаций, при этом способность бота отправлять различные сообщения по команде злоумышленников в итоге делает троянца серьезной угрозой для пользователей.

В целом за последние 3 месяца злоумышленники использовали более 20 различных вредоносных приложений для атак на южнокорейских пользователей Android, при этом наиболее распространенными угрозами стали такие троянцы как Android.Banker.28.origin, Android.SmsBot.121.origin, Android.SmsSpy.78.origin, Android.MulDrop.20.origin и Android.BankBot.27.origin.

Вредоносные программы, распространявшиеся при помощи СМС-спама
среди южнокорейских пользователей в 3-м квартале 2014 года

Как уже отмечалось ранее, все эти троянцы распространялись среди южнокорейских владельцев Android-устройств при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносной программы. Чтобы заставить пользователей установить Android-угрозу на мобильное устройство, киберпреступники вновь активно применяли социальную инженерию – тематика большинства рассылаемых ими сообщений затрагивала те или иные «житейские» вопросы. Например, на поддельные уведомления о судьбе почтовых отправлений пришлось 36,09% мошеннических СМС, на сообщения от имени суда или полиции – 23,37%, на фиктивные уведомления о проведении мероприятий по гражданской обороне – 23,97%, а на ненастоящие приглашения на свадьбу – 12,13% СМС соответственно. Кроме того, кибермошенники эксплуатировали и другие «горячие» темы, например, рассылали поддельные сообщения от имени банков, популярных веб-сервисов и т. п., однако на долю таких сообщений в общей сложности пришлось мене 5% от всех зафиксированных в Южной Корее случаев спам-рассылок.

Тематика нежелательных СМС-сообщений, применявшихся при распространении
вредоносных программ в Южной Корее

Почти в 80% случаев указываемый в СМС-сообщениях адрес веб-сайта, с которого происходила загрузка вредоносного приложения, маскировался при помощи специализированных сервисов по созданию коротких ссылок. В общей сложности киберпреступники воспользовались услугами 41 онлайн-службы по сокращению веб-адресов, а самыми популярными среди них стали han.gl, cut.do, me2.do, ka.do, twr.kr и zcc.kr.

Наиболее популярные онлайн-сервисы по сокращению ссылок,
использованные злоумышленниками в 3-м квартале 2014 года

Как и ранее, большинство распространяемых в Южной Корее Android-троянцев по-прежнему располагалось на серверах известных облачных сервисов хранения данных: подобный вариант хостинга злоумышленники выбирали в 89% случаев. В 3-м квартале текущего года наиболее востребованным среди киберпреступников стали такие площадки как Dropbox, Copy, CloudApp, Ge.tt, при этом сервис Dropbox вновь оказался самым популярным. Остальная же часть вредоносных приложений хранилась на собственных сайтах злоумышленников, созданных специально для заражения мобильных устройств южнокорейских пользователей.

Облачные сервисы хранения данных, на которых размещались троянцы,
распространяемые среди Android-пользователей Южной Кореи

Онлайн-площадки, выступающие в качестве хостинга
для распространяемых среди южнокорейских пользователей Android-угроз

Сохраняющийся повышенный интерес злоумышленников к получению доступа к конфиденциальной информации и банковским счетам южнокорейских пользователей свидетельствует о том, что в обозримом будущем киберпреступники продолжат совершать попытки заражения мобильных устройств жителей Южной Кореи. Постоянно совершенствуемые вредоносные программы и новые технические приемы вирусописателей могут быть со временем применены и против владельцев Android-устройств из других стран, поэтому для обеспечения безопасности пользователям следует соблюдать внимательность и осторожность, а также установить надежное антивирусное ПО.

Защитите ваше Android-устройство с помощью Dr.Web

http://feedproxy.google.com/~r/drweb/viruses/~3/fzoy5hyiVHQ/

28 октября 2014 года

Осень 2014 года оказалась весьма богатой на вредоносные программы, угрожающие поклонникам компьютерных игр: в сентябре компания «Доктор Веб» уже сообщала о появлении троянца Trojan.SteamBurglar.1, воровавшего ценные игровые предметы у пользователей Dota 2. По всей видимости, злоумышленники решили не останавливаться на достигнутом — вирусные аналитики «Доктор Веб» исследовали образец новой вредоносной программы с очень похожими функциональными возможностями, получившей наименование Trojan.SteamLogger.1. Эта программа может нанести серьезный ущерб поклонникам сразу нескольких популярных многопользовательских игр.

Данный троянец предназначен для похищения ценных артефактов у пользователей игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Также он обладает функциями кейлоггера, то есть способен фиксировать и передавать злоумышленникам нажатия клавиш на инфицированном компьютере. Можно предположить, что, как и его предшественник, Trojan.SteamLogger.1 распространяется на специализированных форумах или в чате Steam под видом предложения о продаже или обмене игровых предметов.

Вредоносная программа состоит из трех функциональных модулей: первый из них — дроппер — расшифровывает хранящиеся внутри него основной и сервисный модули, при этом сервисный модуль он сохраняет во временную папку под именем Update.exe и запускает его на исполнение, а основной загружает в память зараженного компьютера с использованием одного из системных методов. Затем сервисный модуль скачивает с сайта злоумышленников и сохраняет во временную папку картинку, которую сразу же выводит на экран инфицированного ПК:

Сервисный модуль проверяет наличие подпапки Common Files\Steam\ в директории, используемой по умолчанию для установки программ в Windows, и создает таковую при ее отсутствии. Затем этот модуль копирует себя в данную папку под именем SteamService.exe, устанавливает для собственного приложения атрибуты «системный» и «скрытый», после чего прописывает путь к указанному файлу в ветви системного реестра, отвечающей за автозагрузку программ, и запускает его на исполнение. Вслед за этим сервисный модуль отправляет прямой запрос на сайт злоумышленников, а в случае неполучения ответной команды «ОК» пытается установить соединение с управляющим центром через один из прокси-серверов, список которых хранится в теле троянца. На командный сервер Trojan.SteamLogger.1 передает сведения об инфицированном компьютере, такие как версия операционной системы, ее разрядность, а также уникальный идентификатор вредоносной программы, вычисляемый на основе серийного номера жесткого диска, на котором располагается логический раздел С. Помимо этого Trojan.SteamLogger.1 может получить от злоумышленников команду на обновление сервисного модуля.

После того, как основной модуль троянца Trojan.SteamLogger.1 будет запущен и инициализирован, он ищет в памяти зараженного компьютера процесс с именем Steam и проверяет, вошел ли пользователь в свою учетную запись. Если нет, вредоносная программа ожидает момента авторизации игрока, затем извлекает информацию об аккаунте пользователя Steam (наличие SteamGuard, steam-id, security token) и передает эти данные злоумышленникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Всю собранную информацию троянец отправляет на сервер злоумышленников, затем проверяет, включена ли в настройках Steam автоматическая авторизация, и, если она отключена, в отдельном потоке запускает кейлоггер — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.

Для поиска инвентаря и ценных игровых предметов Trojan.SteamLogger.1 использует фильтры по ключевым словам "Mythical", "Legendary", "Arcana", "Immortal", "DOTA_WearableType_Treasure_Key", "Container", "Supply Crate". То есть, вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. При этом Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи.

Trojan.SteamLogger.1 угрожает, прежде всего, пользователям игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2, однако этот троянец легко может быть модифицирован для хищения артефактов и инструментария для других игр. Все похищенные виртуальные предметы он пересылает на один из игровых аккаунтов киберпреступников, сведения о которых получает с управляющего сервера. Затем злоумышленники пытаются реализовать самую дешевую часть похищенного — ключи от сундуков из игры Dota 2 — с использованием специально созданного ими для этих целей интернет-магазина. Как вирусописатели реализуют остальные игровые предметы, на данный момент остается не до конца ясным.

Сигнатура троянца Trojan.SteamLogger.1 добавлена в вирусные базы Dr.Web, поэтому пользователи антивирусных программ производства компании «Доктор Веб» надежно защищены от этой угрозы.

Подробности об угрозе

http://feedproxy.google.com/~r/drweb/viruses/~3/OLIcuoYKA8M/