3 апреля 2019 года

В марте вирусные аналитики компании «Доктор Веб» завершили исследование троянца, угрожавшего игрокам Counter-Strike 1.6. Среди главных угроз марта наблюдается динамика по сравнению с цифрами прошлого месяца. К примеру, активность Trojan.MulDrop8.60634 снизилась почти в три раза, а число таких угроз, как Trojan.Packed.24060 и Adware.OpenCandy.243, резко возросло за последний месяц. Также в базу нерекомендуемых и вредоносных сайтов было добавлено меньше доменных имен, чем в прошлом месяце, а в техническую поддержку «Доктор Веб» поступило больше запросов на расшифровку данных.

Угроза месяца

В марте аналитики «Доктор Веб» опубликовали подробное исследование троянца Belonard, использующего уязвимости нулевого дня в Steam-клиенте игры Counter-Strike 1.6. Попав на компьютер жертвы, троянец менял файлы клиента и создавал игровые прокси-серверы для заражения других пользователей. Количество вредоносных серверов CS 1.6, созданных троянцем Belonard, достигло 39% от числа всех официальных серверов, зарегистрированных в Steam. Теперь все модули троянца Belonard успешно определяются антивирусом Dr.Web и не угрожают нашим пользователям.

Подробнее о троянце

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

Trojan.Packed.24060

Устанавливает вредоносные расширения для браузеров, перенаправляющие с результатов выдачи в поисковых системах на другие сайты.

Adware.Softobase.12

Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.

Adware.OpenCandy.243

Семейство приложений, предназначенных для установки различного ПО. Программы данного семейства используются разработчиками бесплатных приложений в целях монетизации.

Adware.Ubar.13

Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Trojan.Starter.7394

Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.

Снизилось количество угроз от:

Trojan.MulDrop8.60634

Устанавливает других троянцев в систему. Все устанавливаемые компоненты содержатся в самом теле Trojan.MulDrop.

Adware.Downware.19283

Программа-установщик, обычно распространяется с пиратским контентом. При установке может менять настройки браузеров и устанавливать другие нежелательные программы.

Статистика вредоносных программ в почтовом трафике

Exploit.ShellCode.69

Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.

W97M.DownLoader.2938

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Exploit.Rtf.CVE2012-0158

Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.

Trojan.SpyBot.699

Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов

JS.DownLoader.1225

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Trojan.PWS.Stealer.23680

Семейство троянцев, предназначенных для хищения с инфицированного компьютера паролей и другой конфиденциальной информации.

Шифровальщики

В марте в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

• Trojan.Encoder.858 — 28,39%;
• Trojan.Encoder.18000 — 9,54%;
• Trojan.Encoder.27210 — 4,25%;
• Trojan.Encoder.11464 — 4,14%;
• Trojan.Encoder.11539 — 4,14%;
• Trojan.Encoder.567 — 2,76%;
• Trojan.Archivelock — 2,34%.

Опасные сайты

В течение марта 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 270 227 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце в каталоге Google Play были выявлены новые вредоносные программы. Среди них — очередные троянцы семейства Android.FakeApp, которые распространяются под видом программ для онлайн-заработка. Они загружают веб-сайты, где владельцам мобильных устройств предлагается ответить на вопросы «компаний-спонсоров». За участие в опросах злоумышленники обещают потенциальным жертвам вознаграждение. Чтобы получить его, пользователям якобы необходимо оплатить комиссию за денежный перевод или же для подтверждения своей личности. На самом деле никакого вознаграждения нет, и пользователи отправляют деньги мошенникам.

Также были обнаружены новые троянцы Android.HiddenAds. Они постоянно показывают рекламные баннеры поверх окон других программ и системного интерфейса и мешают работе с Android-устройствами.

Кроме того, злоумышленники продолжили распространять банковских троянцев. Об одном из них наша компания сообщила во второй половине марта. Вредоносная программа, известная под именем Flexnet, похищает деньги с банковских счетов и баланса мобильных телефонов пользователей.

В конце месяца вирусные аналитики раскрыли детали уязвимости популярного Android-браузера UC Browser, который способен скачивать плагины в обход серверов Google Play. Злоумышленники могли использовать эту функцию для распространения троянцев.

Наиболее заметные события, связанные с «мобильной» безопасностью в марте:

• обнаружение уязвимости в браузере UC Browser;
• распространение вредоносных программ в Google Play;
• распространение банковских троянцев.

Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре.

3 апреля 2019 года

В марте компания «Доктор Веб» рассказала об уязвимости в мобильном браузере UC Browser, который способен скачивать новые модули со стороннего сервера. Злоумышленники могли использовать эту функцию для заражения Android-смартфонов и планшетов. Кроме того, вирусные аналитики поделились сведениями о троянце Flexnet, который крал деньги с банковских карт и счетов мобильных телефонов. В течение месяца в каталоге Google Play были выявлены очередные вредоносные приложения.

Мобильная угроза месяца

В конце марта компания «Доктор Веб» рассказала об уязвимости в Android-браузере UC Browser, которую обнаружили наши вирусные аналитики. Эта программа загружала дополнительные плагины в обход серверов Google Play, нарушая правила каталога этого ПО. Злоумышленники могли вмешаться в процесс скачивания плагинов и сделать так, чтобы вместо них браузер загружал и запускал вредоносные файлы. Опасности подверглись свыше 500 000 000 пользователей мобильных устройств. Детали этой уязвимости описаны в нашей вирусной библиотеке.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Android.Backdoor.2080

Троянцы, которые выполняют команды злоумышленников и позволяют им контролировать зараженные мобильные устройства.

Android.RemoteCode.197.origin

Вредоносное приложение, предназначенное для загрузки и выполнения произвольного кода.

Android.HiddenAds.659

Android.HiddenAds.261.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1

Adware.Jiubang.2

Adware.Toofan.1.origin

Adware.Gexin.3.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.VirtualApk.1.origin

Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки.

Android-банкеры

Злоумышленники продолжают распространять банковских троянцев, созданных на основе исходного кода вредоносного приложения Android.ZBot. Один из них — троянец Flexnet. Он крадет деньги с банковских карт, а также может оплачивать различные сервисы, используя счета мобильных телефонов жертв. Например, с помощью этого троянца киберпреступники способны пополнять баланс игр, оплачивать услуги хостинг-провайдеров и переводить средства на собственные мобильные телефоны. Подробнее о банкере Flexnet рассказано в новостной публикации на нашем сайте.

Угрозы в Google Play

В марте в каталоге Google Play вновь были обнаружены различные вредоносные программы. Среди них — троянцы Android.FakeApp.152 и Android.FakeApp.162, которые загружают мошеннические сайты. На них пользователям за вознаграждение предлагается пройти опросы. Для получения денег потенциальным жертвам якобы необходимо выполнить некий проверочный платеж. На самом деле никакой проверки нет — пользователи лишь переводят средства мошенникам и не получают обещанную награду.

Кроме того, вирусные аналитики выявили очередных троянцев семейства Android.HiddenAds, например Android.HiddenAds.1133, Android.HiddenAds.1134, Android.HiddenAds.1052 и Android.HiddenAds.379.origin. Об аналогичных вредоносных программах наша компания сообщала в феврале. Эти троянцы распространяются под видом полезных приложений — фото- и видеоредакторов, фильтров для камеры, фонариков, спортивного ПО и т. п.

После установки и запуска они скрывают свои значки и начинают постоянно показывать рекламу поверх других программ и интерфейса операционной системы, мешая нормальной работе с Android-устройствами.

Пользователям Android-устройств угрожают троянцы, которые распространяются не только через вредоносные сайты, но и через официальный каталог ПО Google Play. Для защиты смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.

1 марта 2019 года

Последний зимний месяц этого года для пользователей Android-устройств оказался неспокойным. В середине февраля специалисты компании «Доктор Веб» обнаружили в каталоге Google Play порядка 40 троянцев семейства Android.HiddenAds. Злоумышленники распространяли их при помощи рекламы в популярных социальных сетях и онлайн-сервисах. Кроме того, владельцам Android-смартфонов и планшетов угрожали троянцы Android.FakeApp, которых киберпреступники применяли в мошеннических схемах, троянцы-загрузчики, а также другие вредоносные и нежелательные приложения.

Мобильная угроза месяца

В прошедшем месяце вирусные аналитики «Доктор Веб» выявили в каталоге Google Play 39 троянцев семейства Android.HiddenAds, Злоумышленники активно рекламировали троянцев в популярных онлайн-сервисах с многомиллионной аудиторией, таких как YouTube и WhatsApp. Киберпреступники предлагали установить мощные программы для редактирования фотографий и видео, однако на самом деле владельцы смартфонов и планшетов инсталлировали троянцев с минимальным набором функций. Жертвами злоумышленников стали порядка 10 000 000 пользователей.

Эти троянцы постоянно показывали рекламу, перекрывая баннерами интерфейс других программ и даже самой операционной системы. В результате работать с зараженными устройствами становилось очень неудобно.

Подробнее об этих вредоносных приложениях рассказано в новостной публикации на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Android.Backdoor.2080

Троянцы, которые выполняют команды злоумышленников и позволяют им контролировать зараженные мобильные устройства.

Android.RemoteCode.197.origin

Вредоносное приложение, предназначенное для загрузки и выполнения произвольного кода.

Android.HiddenAds.261.origin

Android.HiddenAds.659

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1

Adware.Patacore.1.origin

Adware.Patacore.168

Adware.Jiubang.2

Adware.Toofan.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

Наряду с троянцами Android.HiddenAds в Google Play были найдены и другие вредоносные программы. Среди них — очередные троянцы семейства Android.FakeApp, такие как Android.FakeApp.155, Android.FakeApp.154, Android.FakeApp.158. Интернет-жулики использовали их для мошенничества. Пользователям предлагалось установить приложения для прохождения онлайн-опросов, за которые якобы положено большое денежное вознаграждение. Троянцы загружали веб-сайты с такими «опросами», где после ответа на несколько простых вопросов у потенциальных жертв запрашивался некий проверочный платеж. Он якобы был необходим для перевода средств участнику опроса. Если пользователи соглашались на оплату, никакого вознаграждения они не получали.

Также владельцам Android-устройств угрожал троянец Android.RemoteCode.2958, который загружал другие вредоносные программы. Он распространялся под видом безобидных игр и приложений и скачивал из Интернета произвольный код.

Другой троянец, получивший имя Android.Proxy.4, использовал зараженные устройства в качестве прокси-серверов, перенаправляя через них сетевой трафик киберпреступников. Как и другие вредоносные программы, он скрывался во внешне безобидных и полезных приложениях.

Кроме того, в вирусную базу Dr.Web была добавлена запись для детектирования приложений со встроенным нежелательным модулем Adware.Sharf.2. Он показывал рекламу, которая перекрывала окна программ и системный интерфейс. Вирусные аналитики «Доктор Веб» обнаружили Adware.Sharf.2 в различных программах — диктофоне, GPS-компасе и сканере QR-кодов.

А в нескольких играх скрывались другие нежелательные рекламные модули, получившие по классификации Dr.Web имена Adware.Patacore.2 и Adware.Patacore.168. Они также показывали надоедливые баннеры.

В каталоге Google Play выявляются все новые вредоносные и нежелательные приложения, поэтому владельцам мобильных Android-устройств необходимо устанавливать программы только от известных и проверенных разработчиков. Кроме того, следует обращать внимание на отзывы других пользователей. Для защиты смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.

1 марта 2019 года

В феврале статистика серверов Dr.Web зарегистрировала снижение количества уникальных угроз на 9.73% по сравнению с прошлым месяцем. Активность вирусного программного обеспечения оказалась не сильно выше уровня декабря 2018, но среди некоторых угроз наблюдалась небольшая динамика. К примеру, JS.Miner.28, активность которого выросла в январе, продолжил расти и окончательно вытеснил своего конкурента JS.Miner.11. Троянец Trojan.Starter.7394 вырос на 14.29% процентов по сравнению с январем, а Trojan.DownLoader26.28109 снизил свою активность почти в три раза. Кроме того, в базу нерекомендуемых и вредоносных сайтов было добавлено на 1.68% меньшее доменов, а в техническую поддержку «Доктор Веб» поступило меньше запросов на расшифровку данных.

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

Adware.Softobase.12

Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.

Adware.Ubar.13

Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Trojan.Starter.7394

Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.

Adware.Downware.19283

Программа-установщик, обычно распространяется с пиратским контентом. При установке может менять настройки браузеров и устанавливать другие нежелательные программы.

Trojan.MulDrop8.60634

Устанавливает других троянцев в систему. Все устанавливаемые компоненты содержатся в самом теле Trojan.MulDrop.

Снизилось количество угроз от:

Trojan.Encoder.11432

Известен так же как WannaCry. Блокирует доступ к данным с помощью шифрования. Для разблокировки требует перечислить деньги на счет разработчика. Массово поразил устройства по всему миру в мае 2017 года.

Trojan.DownLoader26.28109

Загружает и выполняет вредоносные программы без согласия пользователя.

Статистика вредоносных программ в почтовом трафике

JS.DownLoader.1225

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

W97M.DownLoader.2938

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Exploit.ShellCode.69

Еще один вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.

Exploit.Rtf.CVE2012-0158

Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.

JS.Miner.28

Майнер под названием «CryptoLoot». Представляет собой написанный на языке JavaScript сценарий. Предназначен для скрытого майнинга в браузере и используется как альтернатива CoinHive.

Trojan.PWS.Stealer.23680

Семейство троянцев, предназначенных для хищения с инфицированного компьютера паролей и другой конфиденциальной информации.

Шифровальщики

В феврале в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

• Trojan.Encoder.858 — 31.39%;
• Trojan.Encoder.18000 — 10.18%;
• Trojan.Encoder.11464 — 4.67%;
• Trojan.Encoder.11539 — 4.67%;
• Trojan.Encoder.567 — 2.34%;
• Trojan.Encoder.25814 — 2.34%.

Опасные сайты

В течение февраля 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 288 159 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» выявили множество вредоносных и нежелательных программ для ОС Android. В середине февраля вирусные аналитики зафиксировали рекламную кампанию, которою злоумышленники организовали для распространения троянцев Android.HiddenAds. В рекламе на популярных онлайн-ресурсах Instagram и YouTube потенциальным жертвам предлагалось установить программы для редактирования фотографий и видео. Однако в этих приложениях скрывались троянцы.

В течение февраля в вирусную базу было добавлено несколько новых записей для детектирования вредоносных приложений семейства Android.FakeApp. Эти троянцы загружали мошеннические веб-сайты, на которых пользователям за вознаграждение предлагалось пройти опросы. Для получения денег потенциальные жертвы должны были оплатить комиссию за перевод или выполнить некий проверочный платеж для подтверждения своей личности. Если они соглашались на это, то фактически отдавали мошенникам свои деньги и не получали никакого обещанного вознаграждения.

Кроме того, вирусописатели распространяли троянца Android.RemoteCode.2958, который скачивал на Android-устройства другие вредоносные приложения. Был выявлен троянец Android.Proxy.4, превращавший зараженные смартфоны и планшеты в прокси-серверы. Также вирусная база Dr.Web пополнилась записями для детектирования программ с нежелательным рекламным модулем Adware.Sharf.2 и новыми представителями семейства Adware.Patacore.

Наиболее заметное событие, связанное с «мобильной» безопасностью в феврале:

• распространение вредоносных программ в Google Play.

Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.

1 февраля 2019 года

В уходящем месяце владельцам Android-устройств угрожало множество вредоносных программ. В начале января вирусные аналитики «Доктор Веб» исследовали троянца Android.Spy.525.origin, предназначенного для кибершпионажа. Позднее были обнаружены очередные рекламные троянцы, которые получили имена Android.HiddenAds.361.origin и Android.HiddenAds.356.origin. В течение месяца наши специалисты обнаружили несколько новых кликеров семейства Android.Click, которых вирусописатели выдавали за официальные приложения букмекерских контор. Кроме того, киберпреступники распространяли троянцев-загрузчиков семейства Android.DownLoader, скачивавших на смартфоны и планшеты Android-банкеров.

Мобильная угроза месяца

В начале января в вирусную базу Dr.Web была добавлена запись для детектирования троянца-шпиона Android.Spy.525.origin. Он распространялся через каталог Google Play под видом полезных приложений, а также с использованием принадлежащего злоумышленникам вредоносного сайта, при посещении которого потенциальные жертвы перенаправлялись на популярный файлообменный ресурс MediaFire, где хранилась копия троянца.

По команде управляющего сервера Android.Spy.525.origin мог отслеживать местоположение зараженного смартфона или планшета, красть СМС-переписку, информацию о телефонных звонках, данные из телефонной книги, хранящиеся на устройстве файлы, а также показывать фишинговые окна.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.

Android.RemoteCode.197.origin

Вредоносное приложение, предназначенное для загрузки и выполнения произвольного кода.

Android.HiddenAds.261.origin

Android.HiddenAds.659

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.Mobifun.4

Троянец, который загружает различные приложения.

Adware.Zeus.1

Adware.AdPush.29.origin

Adware.Patacore.1.origin

Adware.Patacore.168

Adware.Jiubang.2

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

Помимо Android.Spy.525.origin, в январе в Google Play были обнаружены и другие угрозы. В начале месяца вирусная база Dr.Web пополнилась записями для детектирования троянцев Android.HiddenAds.361.origin и Android.HiddenAds.356.origin. Эти вредоносные программы представляли собой модификации Android.HiddenAds.343.origin, о котором наша компания сообщала в декабрьском обзоре 2018 года. Android.HiddenAds.361.origin и Android.HiddenAds.356.origin распространялись под видом полезных программ. После запуска они скрывали свои значки и начинали показывать рекламу.

Кроме того, вирусные аналитики исследовали множество загрузчиков. Киберпреступники выдавали их за полезные программы, такие как конвертеры валют, официальные банковские приложения и другое ПО. Эти троянцы получили имена Android.DownLoader.4063, Android.DownLoader.855.origin, Android.DownLoader.857.origin, Android.DownLoader.4102 и Android.DownLoader.4107. Они скачивали и пытались установить на мобильные устройства Android-банкеров, предназначенных для кражи конфиденциальной информации и денег со счетов клиентов кредитных учреждений.

Одним из загружаемых банковских троянцев был Android.BankBot.509.origin, являвшийся модификацией Android.BankBot.495.origin. О нем наша компания сообщала в декабре прошлого года. Этот банкер использовал специальные возможности (Accessibility Service), с помощью которых самостоятельно управлял установленными приложениями, нажимая на кнопки и элементы меню. Другой троянец, получивший имя Android.BankBot.508.origin, показывал фишинговые окна и пытался украсть логины, пароли и другую персональную информацию. Кроме того, он перехватывал СМС-сообщения с кодами подтверждения финансовых операций.

В конце января специалисты «Доктор Веб» обнаружили очередных троянцев-кликеров семейства Android.Click. Среди них — Android.Click.651, Android.Click.664, Android.Click.665 и Android.Click.670. Злоумышленники распространяли их под видом официальных программ букмекерских контор. Эти вредоносные приложения могли по команде управляющего сервера загружать любые веб-сайты, что представляет серьезную опасность.

Специалисты компании «Доктор Веб» продолжают отслеживать «мобильную» вирусную обстановку и оперативно добавлять в вирусную базу Dr.Web записи для детектирования и удаления вредоносных и нежелательных программ. Благодаря этому смартфоны и планшеты с установленными на них продуктами Dr.Web для Android находятся под надежной защитой.

1 февраля 2019 года

Ушедший 2018 год выдался интересным для сферы информационной безопасности. Но, как и ожидалось, к концу года наступило затишье. Киберпреступники если не ушли в спячку, то ослабили на время активность. Однако несмотря на ожидаемое спокойствие в период новогодних праздников, наша статистика зафиксировала несколько интересных и немного тревожных тенденций января.

В середине месяца владельцев криптовалют атаковал троянец, распространявшийся под видом полезной программы. По сравнению с прошлым месяцем на 28% увеличилось количество устройств, зараженных Trojan.Winlock.14244. Кроме того, через почту было отправлено на 50% больше вредоносных файлов, использующих уязвимость Microsoft Office.

Угроза месяца

В январе аналитики «Доктор Веб» обнаружили троянца в программе для отслеживания курса криптовалют. Вредоносная программа распространялась вместе с утилитой и устанавливала на зараженные устройства других троянцев. Используя эти программы, хакеры получали возможность красть личные данные пользователей, в том числе пароли от кошельков криптовалют.

Подробнее о троянце.

По данным серверов статистики «Доктор Веб»

Растущие угрозы этого месяца:

Trojan.Winlock.14244

Блокирует или ограничивает доступ пользователя к операционной системе и её основным функциям. Для разблокировки системы требует перечислить деньги на счет разработчиков троянца.

Adware.Downware.19283

Программа-установщик, обычно распространяется с пиратским контентом. При установке может менять настройки браузеров и устанавливать другие нежелательные программы.

Trojan.DownLoader26.28109

Загружает и выполняет вредоносные программы без согласия пользователя.

Trojan.Encoder.11432

Известен так же как WannaCry. Блокирует доступ к данным с помощью шифрования. Для разблокировки требует перечислить деньги на счет разработчика. Массово поразил устройства по всему миру в мае 2017 года.

Снизилось количество угроз от:

Trojan.Starter.7394

Троянец, предназначенный для запуска другого вредоносного ПО на устройстве пользователя.

Trojan.MulDrop8.60634

Устанавливает других троянцев в систему. Все устанавливаемые компоненты содержатся в самом теле Trojan.MulDrop.

Trojan.Zadved.1313

Рекламное ПО. Подменяет поисковую выдачу, перенаправляет пользователя на сайты рекламодателей и показывает назойливую рекламу.

Статистика вредоносных программ в почтовом трафике

Выросло число заражений:

JS.DownLoader.1225

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Exploit.Rtf.CVE2012-0158

Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.

W97M.DownLoader.2938

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Exploit.ShellCode.69

Еще один вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.

Trojan.PWS.Stealer.23680

Семейство троянцев, предназначенных для хищения с инфицированного компьютера паролей и другой конфиденциальной информации.

Возросла активность следующих угроз:

Trojan.Nanocore.23

Этот опасный троянец с удаленным доступом заразил почти в 4 раза больше устройств, чем в прошлом месяце. Он позволяет хакерам удаленно контролировать зараженный компьютер, в том числе включить камеру и микрофон на устройстве, если они доступны.

JS.Miner.28

Сценарий, написанный на языке JavaScript. Предназначен для скрытого майнинга в браузере. Используется как альтернатива CoinHive.

Сократилось использование такого вредоносного ПО как:

Trojan.Fbng.8

Троянец, также известный как FormBook. Предназначен для кражи персональных данных с зараженного устройства. Может получать команды с сервера разработчика.

Trojan.Encoder.26375

Представитель семейства троянцев-вымогателей. Шифрует файлы на компьютере и требует от жертвы выкуп за расшифровку.

JS.Miner.11

Группа сценариев, написанных на языке JavaScript. Тоже предназначены для скрытого майнинга в браузере. Используют популярный майнер — CoinHive.

Активность Trojan.SpyBot.699 незначительно снизилась в декабре, но он продолжает оставаться актуальным в последние три месяца. Этот банковский троянец позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.

Шифровальщики

В январе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

• Trojan.Encoder.858 — 26.32%
• Trojan.Encoder.11464 — 12.63%
• Trojan.Encoder.11539 — 7.72%
• Trojan.Encoder.25574 — 1.58%
• Trojan.Encoder.567 — 5.96%
• Trojan.Encoder.5342 — 0.88%

Опасные сайты

В течение января 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 293 012 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

На протяжении всего января в каталоге Google Play было обнаружено множество вредоносных программ. Среди них — загрузчики семейства Android.DownLoader, которые скачивали на мобильные устройства Android-банкеров. Также злоумышленники распространяли троянцев Android.HiddenAds.361.origin и Android.HiddenAds.356.origin — после запуска они скрывали свои значки и начинали показывать рекламу. В конце месяца вирусные аналитики выявили несколько новых троянцев-кликеров семейства Android.Click, способных по команде управляющего сервера загружать любые веб-сайты. Кроме того, пользователям угрожал троянец-шпион Android.Spy.525.origin, который похищал конфиденциальную информацию.

Наиболее заметные события, связанные с «мобильной» безопасностью в январе:

• выявление в Google Play множества новых вредоносных программ;
• распространение троянца-шпиона.

Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.

28 декабря 2018 года

Уходящий год был отмечен широким распространением троянцев-майнеров, предназначенных для добычи криптовалют без ведома пользователей. Подобные вредоносные программы угрожали не только пользователям Microsoft Windows, но также владельцам различных устройств, работающих под управлением ОС семейства Linux. Не утратили своих позиций и энкодеры, шифрующие файлы на зараженных компьютерах и требующие выкуп за их расшифровку: в феврале и апреле специалисты «Доктор Веб» выявили двух новых представителей этого семейства, один из которых, несмотря на заверения вирусописателей, был неспособен восстановить поврежденные файлы даже в случае уплаты жертвой вознаграждения.

В конце марта 2018 года был исследован троянец Trojan.PWS.Stealer.23012, распространявшийся на сайте YouTube. Он был написан на языке Python и предназначен для хищения с зараженного устройства файлов и другой конфиденциальной информации. Проведенное аналитиками «Доктор Веб» расследование позволило выявить создателя этой вредоносной программы и нескольких ее модификаций. Благодаря еще одному расследованию был установлен злоумышленник, похищавший личную информацию у пользователей игровой платформы Steam при помощи специально созданного для этих целей троянца Trojan.PWS.Steam.13604. Деятельность другого сетевого преступника, промышлявшего в сфере криптовалют и заработавшего на обмане интернет-пользователей десятки тысяч долларов, специалисты «Доктор Веб» детально изучили в октябре.

В течение всего года проявляли активность кибермошенники, завлекавшие своих жертв на поддельные сайты и досаждавшие им массовыми почтовыми рассылками. Если в начале года сетевые жулики отправляли почтовые сообщения от имени компании Mail.Ru Group, пытаясь завладеть логинами и паролями пользователей почтового сервиса, то весной они активно рассылали письма с предложениями получить несуществующие денежные компенсации. Летом спамеры тревожили администраторов доменов, представляясь сотрудниками компании-регистратора «Региональный Сетевой Информационный Центр» (RU-CENTER). Их целью было получить деньги за продление регистрации доменных имен, принадлежащих потенциальным жертвам.

В 2018 году вирусописатели не обошли своим вниманием и пользователей мобильных устройств, работающих под управлением Google Android. Еще в январе специалисты по информационной безопасности обнаружили в каталоге Google Play зараженные игры, которые в совокупности были скачаны более 4 500 000 раз. Чуть позже был выявлен Android-майнер, способный заразить 8% различных «умных» устройств, таких как телевизоры, телеприставки, роутеры и иные приспособления, относящиеся к миру «Интернета вещей».

В течение всего года вирусные аналитики предупреждали пользователей о распространении банковских троянцев для ОС Android, обладающих широчайшим диапазоном функциональных возможностей. Кроме того, был обнаружен целый ряд подделок под популярные Android-приложения, которые злоумышленники использовали в целях фишинга. Некоторые мобильные троянцы подписывали своих жертв на различные платные услуги, другие зарабатывали с помощью «невидимой» рекламы, третьи загружали на зараженное устройство другое вредоносное ПО.

Наиболее интересные события 2018 года

В феврале 2018 года был обнаружен новый троянец-шифровальщик, добавленный в вирусные базы Dr.Web под именем Trojan.Encoder.24384. Эта вредоносная программа собирает информацию о запущенных на зараженном устройстве антивирусах и умеет завершать работающие приложения по заранее составленному вирусописателями списку. Троянец шифрует файлы на фиксированных, съемных и сетевых дисках, за исключением ряда служебных и системных папок.

Другой энкодер, получивший известность под именем Trojan.Encoder.25129, при запуске пытался определить географическое положение жертвы по IP-адресу сетевого интерфейса ее устройства. Вирусописатели предусмотрели отмену шифрования для IP-адресов из России, Беларуси или Казахстана (а также если в настройках операционной системы установлены русский язык и российские региональные параметры), однако из-за допущенной в коде троянца ошибки это условие не соблюдалось и шифрование выполнялось в любом случае. После завершения своей вредоносной деятельности троянец показывал на экране требование выкупа.

К сожалению, упомянутая выше ошибка была не единственной в коде этого энкодера: благодаря еще одной оплошности вирусописателей расшифровать поврежденные троянцем файлы оказались не в состоянии даже его авторы. Этот факт еще раз подтверждает важность своевременного резервного копирования всех актуальных для пользователей файлов.

В конце марта аналитики «Доктор Веб» исследовали троянца-шпиона Trojan.PWS.Stealer.23012, написанного на Python и предназначенного для хищения конфиденциальных данных. Вредоносная программа, как и несколько ее модификаций, распространялась через сайт популярного видеохостинга YouTube с помощью ссылок в описаниях видеороликов. Ролики были посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений и активно рекламировались в Twitter.

Спустя месяц с небольшим наши специалисты смогли вычислить и автора этих троянцев. Вредоносная программа и ее модификации воровали сохраненные пароли и файлы cookies браузеров, основанных на Chromium, информацию из мессенджера Telegram, FTP-клиента FileZilla, изображения и офисные документы по заранее заданному списку. Одна из модификаций троянца активно рекламировалась на различных Telegram-каналах. Благодаря тому, что логины и пароли от облачных хранилищ, в которые загружались архивы с украденными файлами, были «зашиты» в тело самих троянцев, вирусные аналитики «Доктор Веб» вычислили и автора этих вредоносных программ, и всех его клиентов. Этому расследованию была посвящена опубликованная на нашем сайте статья.

Другое расследование наших аналитиков, результаты которого были обнародованы в конце мая, посвящено автору троянцев-шпионов, похищавших личные данные у пользователей игровой платформы Steam. Этот злоумышленник использовал сразу несколько способов криминального заработка: мошеннические «рулетки» (своеобразные аукционы, на которые пользователи могут выставить различные игровые предметы), где всегда выигрывают созданные мошенником программы-боты, и аренда вредоносных программ для всех желающих. Для распространения троянцев киберпреступник использовал методы социальной инженерии и поддельные сайты.

О принципах работы троянцев-шпионов Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278, а также об их создателе мы подробно рассказали в своей статье.

Летом аналитики «Доктор Веб» предупредили пользователей о появлении троянца-майнера Trojan.BtcMine.2869, который для своего распространения применял те же методы, что и нашумевший шифровальщик Trojan.Encoder.12544, известный под наименованиями Petya, Petya.A, ExPetya и WannaCry-2. Троянец проникал на компьютеры своих жертв с помощью механизма обновления программы «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе. В период с 24 мая по 4 июля 2018 года майнер успел заразить более 2700 компьютеров.

В сентябре специалисты компании «Доктор Веб» обнаружили банковского троянца Trojan.PWS.Banker1.28321, распространявшегося под видом приложения Adobe Reader и угрожавшего клиентам бразильских кредитных организаций.

При попытке открыть в браузере страницу интернет-банка ряда бразильских финансовых организаций троянец незаметно подменял ее, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просил указать проверочный код авторизации из полученного от банка СМС-сообщения. Эту информацию троянец передавал злоумышленникам. Вирусные аналитики выявили более 340 уникальных образцов Trojan.PWS.Banker1.28321, а также обнаружили 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов. Более подробно об этой вредоносной программе мы рассказали в опубликованной на нашем сайте обзорной статье.

Еще одно проведенное нашими аналитиками расследование, завершившееся в середине октября, было посвящено деятельности киберпреступника, промышлявшего на рынке криптовалют. Злоумышленник использовал целый арсенал вредоносных программ, таких как стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony и многие другие. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Среди них — поддельная криптовалютная биржа, пул устройств для майнинга криптовалюты Dogecoin, который якобы сдается в аренду по очень выгодным ценам, и партнерская программа, предлагавшая вознаграждение за просмотр сайтов в Интернете.

Еще один проект того же автора — онлайн-лотереи, призом в которых служит определенная сумма в криптовалюте Dogecoin. Лотереи устроены таким образом, что выиграть в них стороннему участнику невозможно, заработать на этом может только сам организатор розыгрыша. Среди других начинаний сетевого мошенника — партнерская программа, предлагающая выплату вознаграждения в Dogecoin за просмотр веб-страниц с рекламой (под видом необходимого для такой работы плагина с сайта киберпреступника загружается троянец), и традиционный фишинг. Более подробно обо всех этих видах мошенничества мы рассказали читателям в нашей публикации.

В ноябре была обнаружена вредоносная программа Trojan.Click3.27430, накручивавшая посещаемость веб-сайтов. Троянец маскировался под программу DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса.

Согласно информации, которую удалось собрать аналитикам «Доктор Веб», на сегодняшний день от этого троянца пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются 2013 годом. Более полные сведения об этом инциденте изложены в размещенном на нашем сайте новостном материале.

Вирусная обстановка

По данным серверов статистики «Доктор Веб» в 2018 году на компьютерах чаще всего обнаруживались написанные на JavaScript вредоносные сценарии, предназначенные для встраивания постороннего содержимого в веб-страницы и добычи криптовалют, а также троянцы-шпионы и вредоносные загрузчики.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.SpyBot.699

Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.Encoder.567

Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

JS.Miner

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

VBS.BtcMine

Семейство сценариев на языке VBS, предназначенных для скрытой добычи (майнинга) криптовалют.

В анализе почтового трафика наблюдается схожая картина, однако во вложениях в сообщения электронной почты намного чаще встречаются троянцы-шпионы:

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.SpyBot.699

Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

JS.Miner

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Троянцы-шифровальщики

По сравнению с предыдущим годом, в 2018-м число обращений в службу технической поддержки компании «Доктор Веб» от пользователей, файлы которых оказались зашифрованы троянцами-энкодерами, снизилось. Незначительный всплеск количества пострадавших от шифровальщиков отмечался в период с мая по август, минимальное количество обращений было зафиксировано в январе, максимальное — в ноябре.

Согласно статистике, чаще всего на устройства проникал энкодер Trojan.Encoder.858, вторым по количеству заражений стал Trojan.Encoder.11464, третье место занимает Trojan.Encoder.567.

Наиболее распространенные шифровальщики в 2018 году:

• Trojan.Encoder.858 — 19,83% обращений;
• Trojan.Encoder.11464 — 9,64% обращений;
• Trojan.Encoder.567 — 5,08% обращений;
• Trojan.Encoder.11539 — 4,79% обращений;
• Trojan.Encoder.25574 — 4,46% обращений.

Вредоносные программы для Linux

Среди вредоносных программ для операционных систем семейства Linux в 2018 году чаще всего проявляли себя майнеры, предназначенные для добычи криптовалют. Первые подобные атаки на работающие под управлением Linux серверы были зафиксированы вирусными аналитиками «Доктор Веб» в начале мая 2018 года. Киберпреступники соединялись с сервером по протоколу SSH, подбирали логин и пароль методом их перебора по словарю (bruteforce) и после успешной авторизации на сервере отключали утилиту iptables, управляющую работой межсетевого экрана. Затем злоумышленники загружали на атакованный сервер утилиту-майнер и файл конфигурации для нее. Чуть позже они начали использовать для этих целей вредоносные программы. Так, в августе вирусные аналитики обнаружили троянца Linux.BtcMine.82, написанного на языке Go. Он представлял собой дроппер, который устанавливал на зараженное устройство содержащийся в нем майнер.

Исследовав сервер, с которого загружалась эта вредоносная программа, наши специалисты обнаружили там аналогичных по своим функциям троянцев для Microsoft Windows. Более подробную информацию об этом инциденте можно получить, ознакомившись с опубликованной на нашем сайте статьей.

В ноябре был выявлен еще один Linux-майнер, получивший наименование Linux.BtcMine.174. Он представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Этот троянец состоит из нескольких модулей и умеет отключать работающие на зараженном устройстве антивирусные программы, а также заражать другие устройства в сети. Кроме того, он скачивает и устанавливает на инфицированной машине одну из версий троянца Linux.BackDoor.Gates.9, предназначенного для выполнения поступающих от злоумышленников команд и осуществления DDoS-атак. Об этой вредоносной программе мы также рассказывали в соответствующей новостной публикации.

Опасные и нерекомендуемые сайты

Базы Родительского (Офисного) контроля и веб-антивируса SpIDer Gate регулярно пополняются новыми адресами нерекомендуемых и потенциально опасных сайтов. Среди них — мошеннические и фишигновые ресурсы, а также страницы, с которых распространяется вредоносное ПО. Динамика пополнения этих баз в уходящем году показана на представленной ниже диаграмме.

Сетевое мошенничество

Мошенничество в Интернете — весьма распространенный вид криминального бизнеса, и в 2018 году сетевые жулики отнюдь не ушли на заслуженный отдых. Еще в самом начале марта была зафиксирована массовая рассылка фишинговых писем якобы от имени компании Mail.Ru Group. Целью злоумышленников было получение учетных данных пользователей почтового сервера Mail.Ru, для чего киберпреступники использовали поддельный веб-сайт, повторяющий своим оформлением эту популярную почтовую службу.

В мае мы рассказали нашим читателям об очередной схеме сетевого мошенничества, в которой жулики использовали обещания щедрых социальных выплат. При помощи спама и массовых СМС-рассылок жертв завлекали на специально созданные сайты, на которых сообщалось о якобы существующей возможности получить компенсацию за переплату предоставляемых населению коммунальных, медицинских услуг или услуг обязательного страхования. Для получения выплаты мошенники требовали перевести на их счет небольшую сумму. Разумеется, никаких денежных компенсаций обманутым пользователям после такой оплаты не предоставлялось.

Специалисты компании «Доктор Веб» выявили более 110 подобных сайтов, созданных сетевыми мошенниками в период с февраля по май 2018 года. А в августе злоумышленники стали рассылать письма администратором доменов, зарегистрированных в компании «Региональный Сетевой Информационный Центр» (RU-CENTER). Жулики предлагали оплатить продление доменов, срок делегирования которых подходил к концу, при этом вместо официальных реквизитов RU-CENTER они предлагали сделать перевод на собственный кошелек в электронной платежной системе «Яндекс.Деньги».

Мошенники часто рассылают электронные письма от имени известных компаний — не минула эта участь и популярный интернет-магазин Aliexpress. Жулики отправляли его постоянным покупателям сообщения с предложением посетить специальный интернет-магазин с многочисленными скидками и подарками.

В действительности «магазин» представлял собой страницу со ссылками на различные мошеннические торговые площадки, продававшие некачественные товары или товары по завышенным ценам. Вопрос о том, как злоумышленникам удалось раздобыть базу с контактами реальных покупателей Aliexpress, до сих пор остается открытым.

Для мобильных устройств

В уходящем году пользователям Android-устройств угрожало множество вредоносных программ. Среди них были банковские троянцы, с помощью которых злоумышленники пытались украсть деньги жителей России, Турции, Бразилии, Испании, Германии, Франции и других государств. Весной вирусные аналитики обнаружили троянца Android.BankBot.344.origin — он распространялся под видом универсального банковского приложения и атаковал клиентов российских кредитных организаций. Android.BankBot.344.origin запрашивал у потенциальной жертвы логин и пароль от личного кабинета в системе онлайн-банкинга, а также номер банковской карты, и передавал полученные данные злоумышленникам.

В ноябре специалисты «Доктор Веб» исследовали вредоносную программу Android.Banker.2876, предназначенную для европейских пользователей Android-устройств. Она перехватывала СМС, крала информацию о номере телефона и другие конфиденциальные сведения.

А уже в декабре был выявлен троянец Android.BankBot.495.origin, атаковавший бразильских пользователей. Он пытался получить доступ к специальным возможностям (Accessibility Service) ОС Android, с использованием которых считывал содержимое окон банковских приложений и самостоятельно управлял ими, нажимая на кнопки меню. Также Android.BankBot.495.origin показывал мошеннические формы поверх атакуемых программ и предлагал жертве ввести аутентификационные данные.

На протяжении всего года вирусописатели активно распространяли Android-банкеров, созданных на основе опубликованного в открытом доступе исходного кода троянца Android.BankBot.149.origin. Среди них были вредоносные программы Android.BankBot.250.origin и Android.BankBot.325.origin, не только способные красть конфиденциальную информацию, но и позволявшие злоумышленникам получать дистанционный доступ к зараженным устройствам.

Многие банкеры попадали на устройства благодаря троянцам-загрузчикам, таким как Android.DownLoader.753.origin, Android.DownLoader.768.origin и Android.DownLoader.772.origin. Киберпреступники выдавали их за полезные программы, которые на самом деле скачивали и пытались установить банковских троянцев. Подобные загрузчики использовались для распространения других вредоносных приложений – например, троянцев-шпионов Android.Spy.409.origin и Android.Spy.443.origin, а также рекламных троянцев Android.HiddenAds.710 и Android.HiddenAds.728, о которых компания «Доктор Веб» сообщала в августе.

В 2018 году владельцам Android-устройств снова угрожали троянцы семейства Android.RemoteCode, способные скачивать из Интернета и запускать произвольный код. Одного из них, получившего имя Android.RemoteCode.127.origin, вирусные аналитики обнаружили в феврале. Android.RemoteCode.127.origin загружал вспомогательные модули, которые также скачивали и запускали другие вредоносные плагины, способные выполнять различные действия. Чтобы снизить вероятность обнаружения компонентов этого троянца, злоумышленники зашифровали их и скрыли в изображениях.

Другой троянец этого семейства, добавленный в вирусную базу Dr.Web как Android.RemoteCode.152.origin, загружал и запускал рекламные модули. Они создавали невидимые баннеры, на которые и нажимал Android.RemoteCode.152.origin, принося киберпреступникам доход.

Для получения незаконного заработка сетевые мошенники применяли и другие вредоносные программы. Среди них были троянцы-майнеры, такие как Android.CoinMine.15. Он заражал различные устройства под управлением ОС Android — роутеры, телеприставки, медиаплееры, «умные» телевизоры и т. п. Android.CoinMine.15 распространялся как сетевой червь, проникая на оборудование с открытым портом 5555, который используется отладчиком ADB (Android Device Bridge).

Осенью специалисты «Доктор Веб» обнаружили троянца-клипера Android.Clipper.1.origin, подменявшего в буфере обмена номера электронных кошельков популярных платежных систем «Яндекс.Деньги», Qiwi и Webmoney (R и Z), а также криптовалют Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH и Blackcoin. При копировании номера одного из них в буфер обмена Android.Clipper.1.origin заменял его на номер вирусописателей, из-за чего невнимательные пользователи рисковали перевести деньги злоумышленникам.

Вирусописатели активно применяли троянцев и в мошеннических кампаниях. Популярной схемой сетевых жуликов в 2018 году было обещание вознаграждения за прохождение опросов. При запуске такие троянцы показывали на экране созданные злоумышленниками веб-страницы, где потенциальным жертвам предлагалось ответить на несколько вопросов. Для получения денег от пользователей требовалась некая проверочная или иная оплата, однако после отправки средств владельцы зараженных устройств не получали ничего. Также популярностью пользовались вредоносные программы-кликеры, которые загружали сайты с рекламой и автоматически нажимали на расположенные на них объявления. Более детально об этих случаях наша компания рассказывала в соответствующей статье.

Другой тип мошенничества заключался в подписке владельцев Android-смартфонов и планшетов на дорогостоящие услуги. Троянцы, такие как Android.Click.245.origin, загружали веб-сайты, на которых жертвам предлагалось скачать различное ПО. Для этого у них запрашивались номера телефонов, на которые приходили коды подтверждения. Однако в некоторых случаях подписка происходила и вовсе автоматически. Этот тип мошенничества освещался в нашем новостном материале.

В уходящем году были выявлены очередные случаи заражения Android-прошивок. Об одном из них мы сообщали в марте. Вирусные аналитики обнаружили троянца Android.Triada.231 в прошивках более 40 моделей мобильных устройств. Злоумышленники встроили эту вредоносную программу в одну из системных библиотек на уровне исходного кода. Android.Triada.231 начинал работу автоматически при каждом включении зараженных смартфонов и планшетов. При старте он внедрялся в системный процесс Zygote, ответственный за запуск остальных процессов, в результате чего проникал во все из них и мог выполнять вредоносные действия без участия пользователя. Основная функция Android.Triada.231 — незаметное скачивание, установка и удаление программ.

Перспективы и вероятные тенденции

Несмотря на то, в что в 2018 году не случилось серьезных вирусных эпидемий, в будущем вполне возможны новые волны массового распространения различных угроз. По-прежнему будет расти число вредоносных сценариев, написанных на различных интерпретируемых языках. При этом подобные скрипты будут угрожать не только устройствам под управлением Microsoft Windows, но и другим платформам, прежде всего — Linux.

Будут появляться новые троянцы-майнеры, предназначенные для добычи криптовалют с использованием аппаратных ресурсов инфицированных устройств. Не ослабнет интерес злоумышленников и к «Интернету вещей»: троянцы для «умных устройств» существуют уже сейчас, но в недалеком будущем их количество наверняка вырастет.

Имеются все основания полагать, что в 2019 году вирусописатели будут создавать и распространять новых троянцев для мобильной платформы Google Android. Тенденции уходящего года показывают, что среди мобильных вредоносных программ скорее всего будут преобладать рекламные и банковские троянцы.

Также вряд ли снизится число мошеннических почтовых рассылок: сетевые жулики будут изобретать все новые и новые способы обмана интернет-пользователей. Как бы то ни было, в наступающем году определенно появятся новые угрозы информационной безопасности, а значит, очень важно обеспечить своим устройствам надежную и современную антивирусную защиту.

28 декабря 2018 года

В начале декабря бразильских пользователей Android-устройств атаковал банковский троянец, распространявшийся через Google Play. Кроме того, в течение месяца в этом официальном каталоге ПО для Android были выявлены другие вредоносные приложения. В конце декабря специалисты «Доктор Веб» обнаружили новую версию коммерческой шпионской программы, собирающей большой объем конфиденциальной информации.

Мобильная угроза месяца

В начале декабря вирусные аналитики исследовали банковского троянца Android.BankBot.495.origin, атаковавшего клиентов бразильских кредитных учреждений. Эта вредоносная программа пыталась получить доступ к специальным возможностям (Accessibility Service) ОС Android, с использованием которых она самостоятельно управляла банковскими программами, считывала содержимое их окон и передавала злоумышленникам конфиденциальную информацию. Кроме того, Android.BankBot.495.origin показывал фишинговые окна поверх приложений и обманом получал от жертв пароли, логины, данные банковских карт и другие секретные сведения.

Подробнее об этом троянце рассказано в опубликованной на сайте компании «Доктор Веб» новости.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.

Android.HiddenAds.261.origin

Android.HiddenAds.659

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.DownLoader.573.origin

Троянец, загружающий другие вредоносные приложения.

Android.Mobifun.4

Троянец, который загружает различные приложения.

Adware.Zeus.1

Adware.Patacore.1.origin

Adware.Adpush.2514

Adware.AdPush.29.origin

Adware.Jiubang.2

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

В течение месяца в Google Play было выявлено множество вредоносных и нежелательных программ. Среди них — рекламные троянцы Android.HiddenAds.343.origin и Android.HiddenAds.847, распространявшиеся под видом игр и полезных приложений. После запуска они скрывали свой значок с главного экрана и начинали показывать рекламу.

Также были выявлены программы со встроенными нежелательными модулями Adware.Patacore и Adware.HiddenAds. Они демонстрировали рекламу даже тогда, когда содержащее их ПО не было запущено. В общей сложности такие программы установили свыше 5 300 000 пользователей.

Злоумышленники вновь распространяли мошеннические приложения. В вирусную базу Dr.Web были добавлены записи для детектирования троянцев Android.FakeApp.149, Android.FakeApp.151 и Android.FakeApp.152. Эти вредоносные программы загружали веб-страницы, на которых потенциальным жертвам предлагалось за вознаграждение ответить на вопросы. Для получения «оплаты» от пользователя требовалось выполнить проверочный платеж, однако после перевода средств киберпреступникам владельцы зараженных устройств не получали ничего.

Кроме того, вирусные аналитики обнаружили троянца Android.Proxy.4.origin, которого вирусописатели использовали для перенаправления трафика через смартфоны и планшеты их владельцев. Android.Proxy.4.origin скрывался в безобидных на первый взгляд играх.

Кибершпионаж

Среди выявленных в декабре потенциально опасных программ оказалась новая версия коммерческого шпиона Program.Spyzie.1.origin, который позволяет следить за пользователями Android-устройств. Он перехватывает содержимое СМС и сообщений электронной почты, отслеживает телефонные звонки, историю посещений веб-браузера, координаты зараженного смартфона или планшета, получает доступ к переписке в популярных программах для онлайн-общения, а также крадет другую информацию.

Пользователям ОС Android угрожают различные вредоносные и нежелательные программы, которые распространяются как при помощи веб-сайтов, так и через каталог Google Play. Кроме того, злоумышленники могут инсталлировать их самостоятельно, если получат физический доступ к мобильным устройствам. Для защиты смартфонов и планшетов их владельцам следует установить антивирусные продукты Dr.Web для Android.

28 декабря 2018 года

Последний месяц 2018 года не был отмечен какими-либо заметными событиями в сфере информационной безопасности. Среди обнаруживаемых на компьютерах и в почте вредоносных программ по-прежнему лидируют опасные сценарии, написанные на языке JavaScript. Значительная их часть предназначена для загрузки на инфицированное устройство другого вредоносного ПО и добычи криптовалют с использованием аппаратных ресурсов зараженного компьютера. Как и в ноябре, на жестких дисках часто обнаруживается Trojan.SpyBot.699 — многокомпонентный банковский троянец. С его помощью киберпреступники могут удаленно выполнять на компьютере различные команды и запускать другие вредоносные приложения.

По данным серверов статистики «Доктор Веб»

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Trojan.SpyBot.699

Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.

JS.Miner

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

VBS.DownLoader

Семейство вредоносных сценариев, написанных на языке VBS. Загружают и устанавливают на компьютер другие вредоносные программы.

Статистика вредоносных программ в почтовом трафике

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Trojan.SpyBot.699

Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.

W97M.DownLoader

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

JS.Miner

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Шифровальщики

В декабре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 22.34% обращений;
• Trojan.Encoder.11464 — 11.71% обращений;
• Trojan.Encoder.11539 — 10.17% обращений;
• Trojan.Encoder.25574 — 5.08% обращений;
• Trojan.Encoder.567 — 4.93% обращений;
• Trojan.Encoder.5342 — 1.54% обращений.

Опасные сайты

В течение декабря 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 257 197 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В декабре специалисты «Доктор Веб» обнаружили в каталоге Google Play вредоносное приложение Android.BankBot.495.origin, предназначенное для бразильских пользователей. Оно похищало конфиденциальную банковскую информацию и могло самостоятельно управлять другими программами благодаря специальным возможностям (Accessibility Service) ОС Android. Помимо этого, в Google Play были выявлены рекламные троянцы семейств Adware.HiddenAds и Adware.Patacore и другие вредоносные и нежелательные приложения. Также вирусные аналитики обнаружили новую версию коммерческой шпионской программы Program.Spyzie.1.origin, которая позволяла злоумышленникам следить за владельцами мобильных устройств.

Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:

• распространение банковского троянца, атаковавшего пользователей Бразилии;
• обнаружение новой версии опасной программы, предназначенной для кибершпионажа;
• выявление в Google Play множества вредоносных и нежелательных программ.

Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.

28 декабря 2018 года

В уходящем году владельцам мобильных устройств под управлением ОС Android вновь угрожало большое число вредоносных и нежелательных программ, многие из которых распространялись через официальный каталог приложений Google Play. При этом заметно усилилась начавшаяся в 2017 году тенденция использования различных приемов маскировки и сокрытия троянцев для снижения вероятности их обнаружения.

Одной из главных угроз для пользователей смартфонов и планшетов за последние 12 месяцев стали Android-банкеры, атаковавшие клиентов кредитных организаций по всему миру. Кроме того, серьезную опасность представляли вредоносные программы, способные скачивать из Интернета и запускать произвольный код.

Вирусописатели активно распространяли троянцев, применявшихся в мошеннических схемах, а также задействовали другие вредоносные приложения, с помощью которых получали незаконный доход. Кроме того, злоумышленники снова пытались заработать «мобильной» добычей криптовалют и даже использовали троянцев-клиперов для подмены номеров электронных кошельков в буфере обмена Android-устройств.

Актуальной осталась проблема заражения прошивок смартфонов и планшетов на этапе их производства. Один из случаев внедрения троянца в образ операционной системы Android вирусные аналитики компании «Доктор Веб» выявили весной — тогда были скомпрометированы свыше 40 моделей мобильных устройств.

Также в течение года пользователям угрожали вредоносные приложения, использовавшиеся для кибершпионажа.

Наиболее интересные события

В начале года специалисты по информационной безопасности зафиксировали распространение троянца-майнера Android.CoinMine.15, заражавшего «умные» телевизоры, роутеры, телеприставки и другие устройства под управлением ОС Android. Он проникал на оборудование с использованием отладчика ADB (Android Device Bridge). Для этого Android.CoinMine.15 случайным образом генерировал IP-адреса и пытался подключиться к открытому порту 5555. В случае успеха троянец устанавливал на доступное устройство свою копию вместе со вспомогательными файлами, среди которых были и приложения-майнеры для добычи криптовалюты Monero (XMR).

В марте компания «Доктор Веб» рассказала о новом случае обнаружения троянца Android.Triada.231 в прошивках более 40 моделей Android-смартфонов и планшетов. Неустановленные злоумышленники встроили Android.Triada.231 в одну из системных библиотек на уровне исходного кода, тогда как другие представители семейства Android.Triada обычно распространяются как отдельные приложения. Троянец внедряется в системный процесс Zygote, ответственный за старт программ. В результате Android.Triada.231 заражает остальные процессы и может скрыто выполнять вредоносные действия – например, загружать, устанавливать и удалять ПО без участия пользователя. Более подробные сведения о проведенном специалистами «Доктор Веб» расследовании этого случая доступны в соответствующем информационном материале.

Злоумышленники все чаще используют разнообразные методы, позволяющие уменьшить вероятность обнаружения вредоносных и нежелательных программ. В 2018 году эта тенденция сохранилась. Один из популярных способов снизить заметность — применение приложений-загрузчиков. Благодаря им троянцы и другое опасное ПО дольше остаются вне поля зрения антивирусов и вызывают меньше подозрений у потенциальных жертв. С помощью таких загрузчиков киберпреступники могут распространять вредоносное ПО различного типа – например троянцев-шпионов.

В апреле в каталоге Google Play был обнаружен загрузчик Android.DownLoader.3557, который скачивал на устройства и под видом важных плагинов предлагал пользователям установить вредоносные программы Android.Spy.443.origin и Android.Spy.444.origin. Они отслеживали местоположение зараженного смартфона или планшета, получали информацию обо всех доступных файлах, могли пересылать злоумышленникам документы жертвы, отправлять и красть СМС-сообщения, похищать данные из телефонной книги, записывать видео, прослушивать окружение при помощи встроенного в устройство микрофона, перехватывать телефонные звонки и совершать другие действия.

В августе в Google Play был найден загрузчик Android.DownLoader.784.origin, скачивавший троянца, предназначенного для кибершпионажа. Он получил имя Android.Spy.409.origin. Вирусописатели распространяли Android.DownLoader.784.origin под видом приложения Zee Player, которое позволяло скрывать хранящиеся в памяти мобильных устройств фотографии и видео. Программа была полностью работоспособной, поэтому у жертв злоумышленников не было причин заподозрить какой-либо подвох.

Однако все чаще троянцы-загрузчики используются для распространения Android-банкеров. В июле в Google Play был найден Android.DownLoader.753.origin, которого вирусописатели выдавали за финансовые приложения. Некоторые из них для большей убедительности действительно выполняли заявленные функции. Android.DownLoader.753.origin скачивал и пытался установить различных банковских троянцев, похищавших конфиденциальные данные.

Позднее было выявлено несколько аналогичных вредоносных программ, которые также проникли в Google Play. Одна из них получила имя Android.DownLoader.768.origin — киберпреступники распространяли ее под видом официального ПО корпорации Shell. Другая, добавленная в вирусную базу Dr.Web как Android.DownLoader.772.origin, скрывалась под маской полезных утилит. Оба троянца также использовались для скачивания и установки Android-банкеров.

Загрузчики применяются для заражения мобильных устройств и другим вредоносным ПО. В октябре вирусные аналитики обнаружили в каталоге Google Play троянца Android.DownLoader.818.origin, распространявшегося под видом VPN-клиента. Позже специалисты «Доктор Веб» выявили несколько его модификаций, которые скрывались в поддельных играх и получили имена Android.DownLoader.819.origin и Android.DownLoader.828.origin. Они предназначались для установки рекламных троянцев.

Все большее распространение получают многокомпонентные вредоносные приложения. Каждый из их модулей отвечает за выполнение определенных функций, что позволяет злоумышленникам при необходимости расширять возможности троянцев. Кроме того, такой механизм работы на зараженных мобильных устройствах снижает вероятность выявления угрозы. Вирусописатели способны оперативно обновлять эти плагины и добавлять к ним новые, оставляя основного троянца с минимальным набором функций и делая его менее заметным.

Подобный «комбайн» специалисты «Доктор Веб» обнаружили в феврале — он получил имя Android.RemoteCode.127.origin. Троянец, которого установили свыше 4 500 000 пользователей, незаметно скачивал и запускал вредоносные модули, выполнявшие разнообразные действия. Один из исследованных плагинов Android.RemoteCode.127.origin загружал собственное обновление, скрытое в обычном, на первый взгляд, изображении. Такой способ маскировки вредоносных объектов известен как стеганография. Он знаком специалистам по информационной безопасности уже давно, однако применяется вирусописателями редко.

После расшифровки и запуска модуль скачивал еще одно изображение, в котором скрывался другой плагин, загружавший и запускавший троянца Android.Click.221.origin. Тот незаметно открывал веб-сайты и нажимал на расположенные на них элементы — ссылки и баннеры, — накручивая счетчики посещений и зарабатывая деньги за рекламные «клики».

Примеры изображений с зашифрованными в них модулями Android.RemoteCode.127.origin:

Подробнее об этом троянце рассказано в новостном материале на нашем сайте.

Android.RemoteCode.152.origin — еще один многокомпонентный троянец, способный загружать и выполнять произвольный код. Его установили более 6 500 000 пользователей. Эта вредоносная программа незаметно скачивала и запускала вспомогательные модули, среди которых были рекламные плагины. С их помощью троянец создавал невидимые баннеры с объявлениями и нажимал на них, принося вирусописателям прибыль.

В августе аналитики «Доктор Веб» исследовали троянца-клипера Android.Clipper.1.origin, а также его модификацию Android.Clipper.2.origin. Эта вредоносная программа подменяла в буфере обмена номера электронных кошельков платежных систем «Яндекс.Деньги», Qiwi и Webmoney (R и Z), а также криптовалют Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH и Blackcoin. Вирусописатели распространяли троянца под видом известных и безобидных приложений.

При копировании номера электронного кошелька в буфер обмена Android.Clipper.1.origin перехватывал его и передавал на управляющий сервер. В ответ вредоносная программа получала информацию о номере кошелька злоумышленников, на который троянец заменял номер в буфере обмена. В результате, если пользователь не замечал подмену, он переводил деньги на счет киберпреступников. Подробная информация об Android.Clipper.1.origin доступна в новостной публикации на сайте компании «Доктор Веб».

Вирусная обстановка в сегменте мобильных устройств

Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, в 2018 году на Android-устройствах чаще всего обнаруживались рекламные троянцы, вредоносные программы, скачивающие опасное и ненужное ПО, а также троянцы, выполняющие по команде злоумышленников различные действия.

Android.Backdoor.682.origin

Троянец, выполняющий по команде киберпреступников вредоносные действия.

Android.Mobifun.4

Представители семейства троянцев, предназначенных для показа навязчивой рекламы.

Android.HiddenAds

Представители семейства троянцев, предназначенных для показа навязчивой рекламы.

Android.DownLoader.573.origin

Вредоносная программа, выполняющая загрузку заданных вирусописателями приложений.

Android.Packed.15893

Детектирование троянцев, защищенных программным упаковщиком.

Android.Xiny.197

Троянец, основная задача которого — загрузка и удаление приложений.

Android.Altamob.1.origin

Вредоносная программа, выполняющая загрузку заданных вирусописателями приложений.

Среди нежелательных и потенциально опасных приложений, обнаруженных на Android-устройствах в течение года, самыми распространенными оказались модули, показывающие рекламу. Кроме того, на смартфонах и планшетах детектировались программы, предназначенные для загрузки и установки различного ПО.

Adware.Zeus.1

Adware.Altamob.1.origin

Adware.Jiubang

Adware.Adtiming.1.origin

Adware.Adpush.601

Adware.SalmonAds.3.origin

Adware.Gexin.2.origin

Нежелательные модули, которые разработчики ПО и вирусописатели встраивают в приложения для показа агрессивной рекламы.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программы, предназначенные для загрузки и установки других приложений.

Банковские троянцы

Банковские троянцы по-прежнему представляют серьезную опасность для владельцев мобильных устройств. Эти вредоносные приложения похищают логины и пароли доступа к учетным записям клиентов кредитных организаций, информацию о банковских картах и другие конфиденциальные данные, которые могут использоваться для кражи денег. В течение последних 12 месяцев антивирусные продукты Dr.Web для Android обнаруживали таких троянцев на смартфонах и планшетах свыше 110 000 раз. Динамика детектирования Android-банкеров показана на следующем графике:

Когда в конце 2016 года авторы банковского троянца Android.BankBot.149.origin опубликовали его исходный код, специалисты компании «Доктор Веб» спрогнозировали появление множества вредоносных программ, созданных на его основе. Это предположение оказалось верным: вирусописатели активно приступили к производству похожих банкеров, одновременно совершенствуя их и добавляя новые функции. Одним из таких троянцев, которые злоумышленники распространяли в 2018 году, был Android.BankBot.250.origin, а также его обновленная и еще более опасная версия Android.BankBot.325.origin. Этот банкер, известный под именем Anubis, является многофункциональным вредоносным приложением. Оно не только крадет конфиденциальные данные и деньги пользователей, но и способно выполнять множество команд. Кроме того, с его помощью киберпреступники могут получать дистанционный доступ к зараженным устройствам, применяя Android.BankBot.325.origin как утилиту удаленного администрирования. С деталями исследования этого троянца можно ознакомиться в соответствующем материале на нашем сайте.

В марте специалисты «Доктор Веб» обнаружили в Google Play троянца Android.BankBot.344.origin, скрывавшегося в приложении под названием «ВСЕБАНКИ – Все банки в одном месте». Злоумышленники выдавали его за универсальное приложение для работы с системами онлайн-банкинга нескольких российских кредитных организаций.

При запуске Android.BankBot.344.origin предлагал потенциальной жертве войти в уже существующую банковскую учетную запись, указав логин и пароль, либо зарегистрироваться, предоставив сведения о банковской карте. Вводимая информация передавалась кибержуликам, после чего те могли украсть деньги со скомпрометированного счета.

Осенью вирусные аналитики исследовали банкера Android.Banker.2876, который также распространялся через каталог Google Play и атаковал клиентов кредитных учреждений Испании, Франции и Германии. Он отображал фишинговое окно и предлагал потенциальной жертве указать ее номер телефона, после чего передавал его вирусописателям. Затем Android.Banker.2876 начинал перехватывать СМС-сообщения и отправлял их содержимое злоумышленникам. Благодаря этому те могли получать одноразовые коды подтверждения финансовых операций и красть деньги пользователей.

Вскоре наши специалисты выявили в Google Play троянца Android.BankBot.495.origin, предназначенного для пользователей из Бразилии. Android.BankBot.495.origin задействовал специальные возможности ОС Android. С их помощью он считывал содержимое окон работающих приложений, передавал злоумышленникам конфиденциальные данные, а также самостоятельно нажимал на кнопки и управлял атакованными программами. Кроме того, троянец показывал мошеннические окна, в которых запрашивал логины, пароли, номера кредитных карт и другую секретную информацию.

Мошенничество

Проводя мошеннические кампании, киберпреступники все чаще используют вредоносные программы для мобильных Android-устройств. В 2018 году было выявлено множество таких троянцев. Об одном из них — Android.Click.245.origin — компания «Доктор Веб» рассказывала в апреле. Он распространялся под видом известных приложений, однако занимался лишь загрузкой мошеннических веб-страниц. На них потенциальным жертвам предлагалось скачать то или иное ПО, указав для этого номер мобильного телефона. После ввода номера жертве приходило СМС-сообщение с кодом подтверждения, который был якобы необходим для завершения загрузки приложения. Однако вводя полученный код на сайте, пользователь подписывался на платную услугу. Если же владелец зараженного устройства был подключен к Интернету через мобильную сеть, при нажатии на поддельную кнопку загрузки оформление дорогостоящей услуги происходило автоматически с использованием технологии Wap-Click. Пример таких веб-сайтов показан ниже:

На протяжении года наши специалисты находили в Google Play и других троянцев, способных по команде управляющего сервера загружать любые веб-страницы. Среди них были Android.Click.415, Android.Click.416, Android.Click.417, Android.Click.246.origin, Android.Click.248.origin, Android.Click.458 и ряд других. Они также распространялись под видом полезных программ — сборников рецептов, различных пособий, голосовых помощников, игр и даже букмекерских приложений.

Кроме того, злоумышленники активно распространяли Android-троянцев семейства Android.FakeApp, которые загружали мошеннические сайты с размещенными на них поддельными опросами. Пользователям предлагалось ответить на несколько простых вопросов, за что кибержулики обещали солидное денежное вознаграждение. Для получения оплаты от потенциальной жертвы требовалось выполнить некий проверочный или иной платеж. Однако после перевода средств мошенникам владелец зараженного устройства не получал никаких денег.

В течение года вирусные аналитики обнаружили десятки мошеннических приложений Android.FakeApp и Android.Click, которые в общей сложности установили не менее 85 000 владельцев Android-смартфонов и планшетов. Более детально о некоторых из этих троянцев компания «Доктор Веб» рассказывала в отдельном информационном материале.

Перспективы и тенденции

В следующем году пользователи мобильных устройств вновь столкнутся с атаками банковских троянцев, а вирусописатели продолжат улучшать их функционал. Вполне вероятно, что все большее число Android-банкеров будет становиться универсальными вредоносными программами, способными выполнять широкий спектр задач.

Возрастет число мошеннических приложений и рекламных троянцев. Также вирусописатели не оставят попыток заработать на добыче криптовалют, используя вычислительные мощности Android-устройств. Нельзя исключать очередных случаев заражения прошивок.

Киберпреступники будут совершенствовать способы обхода антивирусов, встроенных в операционную систему Android новых ограничений и защитных механизмов. Не исключено появление руткитов и троянцев, способных обходить эти барьеры. Возможно возникновение вредоносных программ с новыми принципами работы и способами получения конфиденциальной информации. Например, использование датчиков мобильного устройства и слежение за движениями глаз для получения информации о набираемом тексте. Кроме того, в новых вредоносных приложениях злоумышленники могут применять алгоритмы машинного обучения и другие методы искусственного интеллекта.

30 ноября 2018 года

В последнем осеннем месяце этого года вирусные аналитики «Доктор Веб» выявили нового банковского троянца для ОС Android. Он распространялся через каталог Google Play и атаковал клиентов европейских кредитных организаций. Кроме того, в течение ноября в Google Play были обнаружены другие троянцы, а также нежелательные программы.

Мобильная угроза месяца

В середине ноября специалисты компании «Доктор Веб» выявили банковского троянца Android.Banker.2876, который угрожал клиентам нескольких европейских кредитных организаций. Он крал конфиденциальную информацию, а также перехватывал и отправлял СМС-сообщения.

Особенности Android.Banker.2876:

• распространялся через каталог Google Play;
• имитировал банковские приложения испанских, французских и немецких кредитных организаций;
• скрывал свой значок из списка приложений главного экрана;
• содержал встроенную игру, которую запускал после закрытия своего окна пользователем.

Подробнее об этом троянце рассказано в соответствующей новостной публикации на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.

Android.Mobifun.4

Троянец, который загружает различные приложения.

Android.HiddenAds.288.origin

Троянец, предназначенный для показа навязчивой рекламы. Распространяется под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают его в системный каталог.

Android.DownLoader.573.origin

Троянец, загружающий другие вредоносные приложения.

Android.RemoteCode.183.origin

Вредоносная программа, предназначенная для загрузки и выполнения произвольного кода.

Adware.Zeus.1

Adware.Adpush.2514

Adware.Patacore.1.origin

Adware.Avazu.5.origin

Adware.Gexin.2.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

В начале ноября вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play приложения со встроенными в них нежелательными рекламными модулями Adware.HiddenAds.7.origin и Adware.HiddenAds.8.origin. Они показывали рекламу даже тогда, когда содержащие их программы не использовались.

Позднее специалисты «Доктор Веб» выявили в Google Play очередных троянцев семейства Android.FakeApp, добавленных в вирусную базу Dr.Web как Android.FakeApp.138, Android.FakeApp.139 и Android.FakeApp.144. Они скрывались в приложениях, которые якобы позволяли получать деньги за участие в опросах. При запуске вредоносные программы загружали мошеннические веб-сайты, где потенциальной жертве предлагалось ответить на несколько вопросов. После этого для получения обещанного «вознаграждения» от пользователя требовалось оплатить некую комиссию за перевод средств, конвертацию валюты или за иную придуманную злоумышленниками процедуру. Если владелец зараженного устройства соглашался на оплату, запрашиваемая сумма оседала в карманах сетевых жуликов, а жертва мошенничества не получала ничего.

Кроме того, под видом различных утилит злоумышленники распространяли троянца-загрузчика Android.DownLoader.832.origin. Он скачивал другие вредоносные приложения и пытался установить их.

Каталог Google Play остается одним из самых безопасных источников приложений для смартфонов и планшетов под управлением ОС Android, однако киберпреступникам по-прежнему удается распространять через него вредоносные программы. Для защиты мобильных устройств пользователям следует установить антивирусные продукты Dr.Web для Android.

30 ноября 2018 года

Последний осенний месяц 2018 года был отмечен сразу несколькими интересными событиями в сфере информационной безопасности. В ноябре специалисты «Доктор Веб» исследовали троянца-майнера для Linux, способного удалять работающие на зараженном устройстве антивирусные программы. Вскоре был обнаружен троянец-кликер для ОС Windows, который отличается любопытным способом проникновения на компьютеры потенциальных жертв. Не снижается интерес вирусописателей и к мобильной платформе Android – в ноябре были обнаружены и добавлены в вирусные базы Dr.Web новые вредоносные программы для этой ОС.

Угроза месяца

Троянец, добавленный в вирусные базы Dr.Web под именем Trojan.Click3.27430, представляет собой вредоносную программу, предназначенную для накрутки посещаемости различных веб-сайтов. Распространяется он под видом приложения DynDNS, позволяющего привязать субдомен к компьютеру, не имеющему статического IP-адреса. Для распространения троянца злоумышленники создали специальный веб-сайт.

С этого сайта загружается архив, содержащий исполняемый файл setup.exe, который на самом деле представляет собой загрузчик. Он, в свою очередь, скачивает из Интернета другой файл, маскирующийся под ARJ-архив. На самом деле файл представляет собой дроппер, который устанавливает в систему троянца и настоящее приложение DynDNS. Если впоследствии пользователь решит деинсталлировать его с зараженного компьютера, будет удалена только сама программа DynDNS, а Trojan.Click3.27430 по-прежнему останется в системе и продолжит свою вредоносную деятельность. Более подробная информация об этом троянце и принципах его работы изложена в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

Trojan.SpyBot.699

Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

JS.Miner

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.MulDrop

Представитель семейства троянцев, предназначенных для установки на инфицированный компьютер других вредоносных программ.

Trojan.Encoder.11432

Червь-шифровальщик, также известный под именем WannaCry.

Статистика вредоносных программ в почтовом трафике

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Trojan.SpyBot.699

Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.

JS.Miner

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Encoder.26375

Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Шифровальщики

В ноябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 32.15% обращений;
• Trojan.Encoder.11464 — 11.17% обращений;
• Trojan.Encoder.11539 — 10.80% обращений;
• Trojan.Encoder.25574 — 4.91% обращений;
• Trojan.Encoder.567 — 1.35% обращений;
• Trojan.Encoder.10700 — 1.35% обращений.

Опасные сайты

Среди прочих опасных и нерекомендуемых сайтов отдельную категорию составляют фишинговые интернет-ресурсы. Фишинг — это разновидность сетевого мошенничества, конечной целью которого является хищение у жертвы конфиденциальной информации – например, логинов и паролей от различных интернет-сервисов и учетных данных для авторизации в социальных сетях. Для этого злоумышленники создают поддельные сайты, имитирующие оформление настоящих интернет-ресурсов, и всевозможными методами завлекают туда пользователей. Впоследствии киберпреступники могут использовать полученную информацию для рассылки рекламных сообщений, в целях мошенничества или шантажа.

В ноябре специалисты «Доктор Веб» зафиксировали несколько случаев подобных мошеннических рассылок. Киберпресупники отправляли пользователям письма якобы от имени администраторов их почтового сервиса. В послании сообщалось, что от пользователя поступил запрос на деактивацию его почтового ящика, и, чтобы отменить его, нужно перейти по предложенной в письме ссылке.

Ссылка вела на фишинговый сайт, содержащий форму для ввода логина и пароля от электронного почтового ящика потенциальной жертвы. Какие бы данные ни ввел посетитель мошеннической страницы, ему демонстрировалось сообщение об ошибке, в то время как указанная им информация незамедлительно передавалась злоумышленникам. Специалисты «Доктор Веб» выявили несколько таких фишинговых сайтов, их адреса были добавлены в базы нерекомендуемых интернет-ресурсов SpIDer Gate.

В течение ноября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 231 074 интернет-адреса.

Вредоносные программы для ОС Linux

Linux.BtcMine.174 — далеко не первый из известных аналитикам «Доктор Веб» троянцев для Linux, использующих ресурсы зараженного компьютера для добычи криптовалют. Эта вредоносная программа интересна своей способностью искать и удалять установленные на инфицированном устройстве антивирусы.

Троянец представляет собой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Он состоит из нескольких компонентов, которые скачивает с принадлежащего злоумышленникам сервера. После успешной установки на устройство вредоносный сценарий скачивает из Интернета одну из версий троянца Linux.BackDoor.Gates.9, предназначенного для организации DDoS-атак и способного выполнять поступающие от злоумышленников команды.

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы. Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий он использует набор эксплойтов. Затем вредоносная программа пытается отыскать работающие сервисы антивирусных программ, завершить их, а потом с помощью пакетных менеджеров удаляет их файлы и директорию, в которой был установлен антивирусный продукт. Помимо этого троянец скачивает и запускает на инфицированном устройстве руткит, собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их. Более подробные сведения об этой вредоносной программе изложены в опубликованной на нашем сайте обзорной статье.

Другие события в сфере информационной безопасности

Согласно статистике, собранной серверами «Доктор Веб» на зараженных компьютерах и в почтовом трафике, одной из наиболее распространенных в ноябре вредоносных программ является Trojan.SpyBot.699. Она распространяется хакерской группировкой «RTM» и представляет собой многомодульного банковского троянца.

Вредоносные функции Trojan.SpyBot.699 сосредоточены в динамической библиотеке с внутренним именем core.dll, которую он загружает в память устройства. Троянец регистрирует себя в автозагрузке Windows, все передаваемые на управляющий сервер данные вредоносная программа шифрует.

По команде злоумышленников Trojan.SpyBot.699 может загружать, сохранять на диск и запускать исполняемые файлы, скачивать и запускать программы без сохранения, загружать в память динамические библиотеки, самообновляться, устанавливать цифровые сертификаты в системное хранилище и выполнять иные поступающие извне команды.

Эта вредоносная программа умеет искать банковские клиенты среди запущенных процессов, в именах открытых окон и среди хранящихся на дисках файлов. Также троянец ищет информацию о системах «банк-клиент» в файлах cookies браузеров. Получив нужные сведения, злоумышленники с помощью Trojan.SpyBot.699 и загружаемых им модулей могут детально исследовать атакуемую систему, обеспечить постоянное присутствие в ней других троянцев, внедрять вредоносное ПО в бухгалтерские программы и программы «банк-клиент». Конечной целью киберпреступников является хищение денег с банковских счетов жертвы. Антивирусные продукты Dr.Web успешно детектируют и удаляют Trojan.SpyBot.699 и известные на сегодняшний день вредоносные модули, которые злоумышленники используют совместно с этим троянцем.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем ноябре вирусные аналитики «Доктор Веб» выявили троянца Android.Banker.2876, который распространялся через каталог Google Play. Злоумышленники использовали его для кражи конфиденциальных данных клиентов нескольких европейских банков. Кроме того, в Google Play были найдены прочие угрозы. Среди них – загрузчик Android.DownLoader.832.origin. Он скачивал и пытался установить другие вредоносные программы. Также наши специалисты обнаружили троянцев семейства Android.FakeApp, которых кибермошенники использовали для незаконного заработка. Кроме того, были выявлены приложения со встроенными рекламными модулями Adware.HiddenAds.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

• распространение вредоносных и нежелательных приложений в Google Play.

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.

31 октября 2018 года

В октябре компания «Доктор Веб» обнародовала результаты расследования деятельности одного из сетевых мошенников. Жертвами киберпреступника стали более 10 000 человек, которые потеряли в общей сложности не менее $24 000.

В течение месяца злоумышленники продолжали рассылать письма, в которых вымогали у пользователей деньги под угрозой компрометации их персональных данных. По всей видимости, в руки злоумышленников попало несколько баз данных с регистрационной информацией, содержащий адреса электронной почты и пароли. По этим адресам вымогатели и рассылали сообщения о том, что им известен пароль жертвы, и на их компьютерах якобы установлена вредоносная программа. Чтобы личная жизнь получателя не стала достоянием общественности, киберпреступники требовали выкуп в криптовалюте биткойн, эквивалентный сумме от 500 до 850 долларов США.

Жулики активно используют несколько биткойн-кошельков, и, судя по информации на сайте blockchain.com, несколько жертв уже купилось на угрозы мошенников.

В последнее время этот способ вымогательства крайне популярен среди киберпреступников: они массово рассылают письма с различными угрозами, но с ограниченным количеством сочетаний адреса электронной почты и пароля. Разумеется, никаких вирусов и троянцев для добычи этих сведений вымогатели не использовали, а чтобы обезопасить себя от подобных посягательств, пользователям достаточно всего лишь сменить используемые пароли.

Угроза месяца

Специалисты компании «Доктор Веб» провели масштабное расследование, результатами которого поделились с читателями в уходящем октябре. Предметом внимания вирусных аналитиков стала деятельность киберпреступника, скрывающегося под псевдонимами Investimer, Hyipblock и Mmpower. Для достижения своих целей он использовал широчайший набор вредоносных программ, включающий различные стилеры, загрузчики, бэкдоры и троянца-майнера со встренным модулем для подмены содержимого буфера обмена.

Специализировался Investimer на мошенничестве в сфере криптовалют. Ассортимент применяемых им способов подпольного заработка весьма велик: он создавал поддельные сайты криптовалютных бирж, ферм для майнинга, партнерских программ по выплате вознаграждений за просмотр рекламы и онлайн-лотерей.

В целом используемая киберпреступником схема обмана такова. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает троянца, который по команде злоумышленника устанавливает на компьютер другие вредоносные программы. Такие программы (в основном троянцы-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой жулик затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.

Аналитики «Доктор Веб» полагают, что общее количество пользователей, пострадавших от противоправной деятельности Investimer’а, превышает 10 000 человек. Ущерб, нанесенный злоумышленником своим жертвам, наши специалисты оценивают в более чем 23 000 долларов США. К этому следует добавить более 182 000 в криптовалюте Dogecoin, что по нынешнему курсу составляет еще порядка 900 долларов. Более подробная информация об этом расследовании представлена в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.SpyBot.699

Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.Encoder.11432

Червь-шифровальщик, также известный под именем WannaCry.

Статистика вредоносных программ в почтовом трафике

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

W97M.DownLoader

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Trojan.Encoder.26375

Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.SpyBot.699

Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.

Шифровальщики

В октябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 20,04% обращений;
• Trojan.Encoder.11464 — 11.67% обращений;
• Trojan.Encoder.567 — 6.23% обращений;
• Trojan.Encoder. 25574 — 5.84% обращений;
• Trojan.Encoder.1539 — 4.86% обращений;
• Trojan.Encoder.5342 — 1.75% обращений.

Опасные сайты

В течение октября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 156 188 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В начале октября в вирусные базы Dr.Web была добавлена запись для детектирования Android-банкера Android.BankBot.1781. Он способен скачивать и запускать вспомогательные модули, а также компилировать и выполнять получаемый от злоумышленников код, написанный на C#. Позже специалисты «Доктор Веб» выявили в официальном каталоге приложений для ОС Android несколько троянцев. Среди них были вредоносные программы Android.FakeApp.125 и Android.Click.245.origin, которые загружали и демонстрировали мошеннические веб-сайты.

В конце месяца в Google Play были найдены троянцы-загрузчики Android.DownLoader.818.origin и Android.DownLoader.819.origin. Они скачивали на мобильные устройства и пытались установить других Android-троянцев. Также вирусные аналитики исследовали вредоносные приложения Android.RemoteCode.192.origin и Android.RemoteCode.193.origin, распространявшиеся под видом безобидного ПО. Троянцы показывали рекламу, могли загружать вспомогательные модули и открывать заданные злоумышленниками видео, размещенные на портале YouTube. Тем самым они «накручивали» счетчик просмотров и повышали популярность видеороликов.

Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:

• выявление в Google Play вредоносных приложений;
• распространение опасного банковского троянца, способного компилировать и выполнять вредоносный код «на лету».

Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.

31 октября 2018 года

В октябре специалисты по информационной безопасности обнаружили Android-троянца, способного выполнять полученные с удаленного сервера скрипты, написанные на языке C#, а также скачивать и запускать вредоносные модули. Кроме того, в течение уходящего месяца в каталоге Google Play были вновь выявлены вредоносные приложения.

Мобильная угроза месяца

В октябре специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца-загрузчика Android.DownLoader.818.origin, распространявшегося под видом VPN-клиента. Вредоносная программа скачивала на мобильные устройства и пыталась установить рекламного троянца. Позже вирусные аналитики выявили модификации этого загрузчика, которые получили имена Android.DownLoader.819.origin и Android.DownLoader.828.origin. Злоумышленники выдавали их за различные игры.

Особенности троянцев:

• пытаются получить права администратора мобильного устройства, чтобы затруднить свое удаление;
• скрывают значок приложения из списка установленных программ главного экрана операционной системы;
• загружают и предлагают пользователю установить других троянцев, которые маскируются под системное ПО.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Android.Backdoor.1521

Троянские программы, которые выполняют команды злоумышленников и позволяют им контролировать зараженные мобильные устройства.

Android.HiddenAds.261.origin

Android.HiddenAds.288.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.DownLoader.573.origin

Троянец, загружающий другие вредоносные приложения.

Adware.Zeus.1

Adware.Gexin.2.origin

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Aesads.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянцы в Google Play

В начале месяца специалисты «Доктор Веб» обнаружили в каталоге Google Play троянца Android.FakeApp.125. Он распространялся под видом программы, с помощью которой пользователи якобы могли заработать деньги, отвечая на простые вопросы. В действительности же Android.FakeApp.125 по команде управляющего сервера загружал и показывал потенциальным жертвам мошеннические веб-сайты.

Позже вирусные аналитики выявили троянца Android.Click.245.origin, которого киберпреступники выдавали за популярную игру «Клевер», принадлежащую социальной сети «ВКонтакте». Как и Android.FakeApp.125, Android.Click.245.origin загружал страницы мошеннических веб-порталов и демонстрировал их пользователям.

В конце октября аналитики «Доктор Веб» исследовали вредоносные программы Android.RemoteCode.192.origin и Android.RemoteCode.193.origin. Они скрывались в 18 безобидных, на первый взгляд, программах — сканерах штрих-кодов, ПО для навигации, менеджерах загрузок файлов и различных играх, которые в общей сложности установили как минимум 1 600 000 владельцев Android-смартфонов и планшетов. Эти троянцы показывали рекламу, могли скачивать и запускать вредоносные модули, а также открывать заданные злоумышленниками видео на портале YouTube, искусственно увеличивая их популярность.

Помимо этого, в вирусную базу Dr.Web были добавлены записи для детектирования вредоносных программ Android.DownLoader.3897, Android.DownLoader.826.origin и Android.BankBot.484.origin. Они загружали на мобильные устройства и пытались установить банковских троянцев.

Прочие угрозы

Среди обнаруженных в октябре вредоносных программ для мобильных устройств оказался Android-банкер Android.BankBot.1781, имеющий модульную архитектуру. По команде управляющего сервера он мог загружать различные троянские плагины, а также скачивать и выполнять написанные на языке C# скрипты. Android.BankBot.1781 похищал информацию о банковских картах, мог красть СМС-сообщения и другую конфиденциальную информацию.

Злоумышленники распространяют вредоносные программы для мобильных Android-устройств как через каталог приложений Google Play, так и с применением мошеннических или взломанных веб-сайтов. Для защиты смартфонов и планшетов пользователям следует установить антивирусные продукты Dr.Web для Android.

28 сентября 2018 года

Сентябрь 2018 года был отмечен распространением банковского троянца, угрожавшего клиентам бразильских кредитных организаций. Специалисты «Доктор Веб» выявили более 300 уникальных образцов этой вредоносной программы, а также порядка 120 интернет-площадок, с которых банкер загружал собственные компоненты. Также в уходящем месяце был выявлен ряд новых опасных приложений для мобильной платформы Android.

Угроза месяца

Банковские троянцы, предназначенные для хищения денежных средств клиентов кредитных организаций, чрезвычайно распространены во всем мире. Новый банкер, исследованный в сентябре вирусными аналитиками «Доктор Веб» и получивший наименование Trojan.PWS.Banker1.28321, ориентирован на жителей Бразилии. На сегодняшний день известно 340 уникальных образцов Trojan.PWS.Banker1.28321, а также 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы.

Троянец распространяется под видом приложения для просмотра PDF-документов Adobe Reader. Он заражает компьютеры под управлением Microsoft Windows, в настройках которых в качестве основного установлен португальский язык. Все вредоносные функции Trojan.PWS.Banker1.28321 сосредоточены в зашифрованной и упакованной в архив динамической библиотеке, которую банкер скачивает с принадлежащих злоумышленникам сайтов.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, троянец незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Затем эта информация передается злоумышленникам. Подробнее об этом инциденте мы рассказали в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Trojan.SpyBot.699

Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.

Trojan.PWS.Stealer.1932

Представитель семейства троянцев для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.

Статистика вредоносных программ в почтовом трафике

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

W97M.DownLoader

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Шифровальщики

В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.567 — 16,94% обращений;
• Trojan.Encoder.858 — 12,71% обращений;
• Trojan.Encoder.11464 — 10,68% обращений;
• Trojan.Encoder.25574 — 4,79% обращений;
• Trojan.Encoder.24249 — 4,42% обращений;
• Trojan.Encoder.11539 — 1,84% обращений.

Опасные сайты

В течение сентября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 271 605 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» вновь зафиксировали распространение в каталоге Google Play троянцев семейства Android.Click. Многие из них представляли собой программы, которые злоумышленники выдавали за официальные приложения букмекерских контор. Эти троянцы по команде управляющего сервера открывают веб-сайты букмекерских фирм, однако в любой момент могут загрузить любые веб-страницы, в том числе мошеннические. Кроме того, в каталог Google Play в очередной раз проникла вредоносная программа Android.Click.265.origin, которая распространялась под видом официального ПО от известных компаний. Android.Click.265.origin загружает сайты с премиум-услугами и автоматически нажимает на расположенную на них кнопку подтверждения подписки на дорогостоящий сервис.

Также среди выявленных в сентябре вредоносных программ, обнаруженных в официальном каталоге ПО для ОС Android, были банковские троянцы, такие как Android.Banker.2855, Android.Banker.2856 и Android.Banker.283.origin. Они скрывались в безобидных, на первый взгляд, программах.

Помимо этого, в первом осеннем месяце 2018 года киберпреступники распространяли опасного троянца Android.Spy.460.origin, который использовался для кибершпионажа. Среди прочих угроз, выявленных в сентябре, были новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Эти приложения следят за СМС-перепиской, историей телефонных звонков, определяют местоположение мобильных устройств, копируют список контактов из телефонной книги на удаленный сервер, могут красть историю посещения из веб-браузера и похищать другую персональную информацию пользователей.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

• обнаружение в Google Play вредоносных приложений;
• распространение троянца-шпиона;
• выявление новой коммерческой программы, предназначенной для слежки за пользователями мобильных Android-устройств.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

28 сентября 2018 года

Сентябрь 2018 года был отмечен распространением банковского троянца, угрожавшего клиентам бразильских кредитных организаций. Специалисты «Доктор Веб» выявили более 300 уникальных образцов этой вредоносной программы, а также порядка 120 интернет-площадок, с которых банкер загружал собственные компоненты. Также в уходящем месяце был выявлен ряд новых опасных приложений для мобильной платформы Android.

Угроза месяца

Банковские троянцы, предназначенные для хищения денежных средств клиентов кредитных организаций, чрезвычайно распространены во всем мире. Новый банкер, исследованный в сентябре вирусными аналитиками «Доктор Веб» и получивший наименование Trojan.PWS.Banker1.28321, ориентирован на жителей Бразилии. На сегодняшний день известно 340 уникальных образцов Trojan.PWS.Banker1.28321, а также 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы.

Троянец распространяется под видом приложения для просмотра PDF-документов Adobe Reader. Он заражает компьютеры под управлением Microsoft Windows, в настройках которых в качестве основного установлен португальский язык. Все вредоносные функции Trojan.PWS.Banker1.28321 сосредоточены в зашифрованной и упакованной в архив динамической библиотеке, которую банкер скачивает с принадлежащих злоумышленникам сайтов.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, троянец незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Затем эта информация передается злоумышленникам. Подробнее об этом инциденте мы рассказали в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Trojan.SpyBot.699

Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.

Trojan.PWS.Stealer.1932

Представитель семейства троянцев для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.

Статистика вредоносных программ в почтовом трафике

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

W97M.DownLoader

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Шифровальщики

В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.567 — 16,94% обращений;
• Trojan.Encoder.858 — 12,71% обращений;
• Trojan.Encoder.11464 — 10,68% обращений;
• Trojan.Encoder.25574 — 4,79% обращений;
• Trojan.Encoder.24249 — 4,42% обращений;
• Trojan.Encoder.11539 — 1,84% обращений.

Опасные сайты

В течение сентября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 271 605 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» вновь зафиксировали распространение в каталоге Google Play троянцев семейства Android.Click. Многие из них представляли собой программы, которые злоумышленники выдавали за официальные приложения букмекерских контор. Эти троянцы по команде управляющего сервера открывают веб-сайты букмекерских фирм, однако в любой момент могут загрузить любые веб-страницы, в том числе мошеннические. Кроме того, в каталог Google Play в очередной раз проникла вредоносная программа Android.Click.265.origin, которая распространялась под видом официального ПО от известных компаний. Android.Click.265.origin загружает сайты с премиум-услугами и автоматически нажимает на расположенную на них кнопку подтверждения подписки на дорогостоящий сервис.

Также среди выявленных в сентябре вредоносных программ, обнаруженных в официальном каталоге ПО для ОС Android, были банковские троянцы, такие как Android.Banker.2855, Android.Banker.2856 и Android.Banker.283.origin. Они скрывались в безобидных, на первый взгляд, программах.

Помимо этого, в первом осеннем месяце 2018 года киберпреступники распространяли опасного троянца Android.Spy.460.origin, который использовался для кибершпионажа. Среди прочих угроз, выявленных в сентябре, были новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Эти приложения следят за СМС-перепиской, историей телефонных звонков, определяют местоположение мобильных устройств, копируют список контактов из телефонной книги на удаленный сервер, могут красть историю посещения из веб-браузера и похищать другую персональную информацию пользователей.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

• обнаружение в Google Play вредоносных приложений;
• распространение троянца-шпиона;
• выявление новой коммерческой программы, предназначенной для слежки за пользователями мобильных Android-устройств.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

31 августа 2018 года

В августе 2018 года специалисты компании «Доктор Веб» обнаружили троянца для ОС Android, способного подменять номера электронных кошельков в буфере обмера. Кроме того, вирусные аналитики выявили в каталоге Google Play множество троянцев, которых злоумышленники использовали в различных мошеннических схемах незаконного заработка. Также в течение месяца в официальном каталоге программ для ОС Android было зафиксировано несколько новых Android-банкеров и троянцев-загрузчиков, скачивавших на мобильные устройства другое вредоносное ПО. Помимо этого, в августе специалисты по информационной безопасности обнаружили опасного троянца-шпиона, которого вирусописатели могли встраивать в безобидные программы и распространять таким образом под видом оригинальных приложений.

Мобильная угроза месяца

В начале уходящего месяца вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.Clipper.1.origin, который отслеживает буфер обмена и подменяет копируемые в него номера электронных кошельков популярных платежных систем и криптовалют. Вредоносную программу «интересуют» номера кошельков Qiwi, Webmoney, «Яндекс.Деньги», Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin. Когда пользователь копирует один из них в буфер обмена, троянец перехватывает его и передает на управляющий сервер. В ответ Android.Clipper.1.origin получает информацию о номере кошелька злоумышленников, на который заменяет номер жертвы. В результате владелец зараженного устройства рискует перевести деньги на счет вирусописателей. Подробнее об этом троянце рассказано в новостной публикации, размещенной на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства

Android.HiddenAds

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Jiubang.2

Adware.Patacore.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянцы в Google Play

В августе в каталоге Google Play было выявлено множество вредоносных программ. На протяжении всего месяца вирусные аналитики компании «Доктор Веб» отслеживали распространение в нем троянцев семейства Android.Click. Наши специалисты обнаружили 127 таких вредоносных приложений, которые злоумышленники выдавали за официальные программы букмекерских контор.

При запуске эти троянцы показывают пользователю заданный управляющим сервером веб-сайт. На момент обнаружения все выявленные представители семейства Android.Click открывали интернет-порталы букмекерских фирм. Однако в любой момент они способны получить команду на загрузку произвольного сайта, который может распространять другое вредоносное ПО или использоваться в фишинг-атаках.

Еще одним троянцем-кликером, обнаруженным в августе в Google Play, стал Android.Click.265.origin. Злоумышленники использовали его для подписки пользователей на дорогостоящие мобильные услуги. Вирусописатели распространяли эту вредоносную программу под видом официального приложения для работы с интернет-магазином «Эльдорадо».

Троянец Android.Click.248.origin, известный вирусным аналитикам «Доктор Веб» с апреля, в августе вновь появился в каталоге Google Play. Как и ранее, он распространялся под видом известного ПО. Android.Click.248.origin загружает мошеннические сайты, на которых предлагается скачать различные программы или сообщается о некоем выигрыше. Для получения приза или скачивания приложения у потенциальной жертвы запрашивается номер мобильного телефона, на который приходит код подтверждения. После ввода этого кода владелец мобильного устройства подписывается на дорогостоящую услугу. При этом, если Android-смартфон или планшет подключен к Интернету через мобильное соединение, подписка на платный сервис выполняется автоматически сразу после того, как киберпреступники получают номер.

Более подробную информацию об этих троянцах-кликерах можно получить, прочитав соответствующую новостную публикацию на нашем сайте.

В конце августа вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца Android.FakeApp.110, которого сетевые жулики использовали для незаконного заработка. Эта вредоносная программа загружала мошеннический сайт, на котором потенциальной жертве предлагалось за вознаграждение пройти опрос. После ответа на все вопросы требовалось выполнить некий идентификационный платеж в размере 100-200 рублей. Однако после перевода денег мошенникам никакой оплаты пользователь не получал.

Среди вредоносных программ, обнаруженных в каталоге Google Play в августе, оказались очередные Android-банкеры. Один из них получил имя Android.Banker.2843. Он распространялся под видом официального приложения одной из турецких кредитных организаций. Android.Banker.2843 крал логины и пароли для доступа к банковской учетной записи пользователя и передавал их злоумышленникам.

Другой банковский троянец, добавленный в вирусную базу Dr.Web как Android.Banker.2855, вирусописатели распространяли под видом различных сервисных утилит. Эта вредоносная программа извлекала из своих файловых ресурсов и запускала троянца Android.Banker.279.origin, который похищал банковские аутентификационные данные пользователей.

Некоторые модификации Android.Banker.2855 пытались скрыть свое присутствие на мобильном устройстве, показывая после запуска поддельное сообщение об ошибке и удаляя свой значок из списка приложений на главном экране.

Другой Android-банкер, получивший имя Android.BankBot.325.origin, скачивался на зараженные смартфоны и планшеты троянцем Android.DownLoader.772.origin. Злоумышленники распространяли эту вредоносную программу-загрузчик через каталог Google Play под видом полезных приложений – например, оптимизатора работы аккумулятора.

Кроме того, вирусные аналитики «Доктор Веб» выявили в Google Play загрузчика Android.DownLoader.768.origin, распространявшегося под видом приложения от корпорации Shell. Android.DownLoader.768.origin скачивал на мобильные устройства различных банковских троянцев.

Также в августе в Google Play был найден троянец-загрузчик, добавленный в вирусную базу Dr.Web как Android.DownLoader.784.origin. Он был встроен в приложение под названием Zee Player, позволявшее скрывать хранящиеся в памяти мобильных устройств фотографии и видео.

Android.DownLoader.784.origin загружал троянца Android.Spy.409.origin, которого злоумышленники могли использовать для кибершпионажа.

Android-шпион

В августе вирусная база Dr.Web пополнилась записью для детектирования троянца Android.Spy.490.origin, предназначенного для кибершпионажа. Злоумышленники могут встраивать его в любые безобидные приложения и распространять их модифицированные копии под видом оригинального ПО, не вызывая подозрений у пользователей. Android.Spy.490.origin способен отслеживать СМС-переписку и местоположение зараженного смартфона или планшета, перехватывать и записывать телефонные разговоры, передавать на удаленный сервер информацию обо всех совершенных звонках, а также снятые владельцем мобильного устройства фотографии и видео.

Каталог приложений Google Play является самым безопасным источником программ для устройств под управлением ОС Android. Однако злоумышленникам по-прежнему удается распространять через него различные вредоносные программы. Для защиты Android-смартфонов и планшетов пользователям следует установить антивирусные продукты Dr.Web для Android.

31 августа 2018 года

В августе специалисты «Доктор Веб» зафиксировали распространение троянцев-майнеров, предназначенных для добычи криптовалют без ведома пользователей. Подобные программы были предназначены как для устройств под управлением Windows, так и для Linux-устройств. В течение последнего летнего месяца киберпреступники рассылали мошеннические письма администраторам освобождающихся доменов в надежде обманным путем завладеть их деньгами. Кроме того, в августе вирусные базы Dr.Web пополнились новыми записями для Android-троянцев.

Угроза месяца

Вредоносную программу, добавленную в вирусные базы под именем Linux.BtcMine.82, злоумышленники начали использовать еще в июне. Этот троянец написан на языке Go и представляет собой дроппер, в теле которого хранится упакованный майнер. Дроппер сохраняет его на диск и запускает, после чего майнер приступает к добыче криптовалюты Monero (XMR). На принадлежащем злоумышленникам сервере аналитики «Доктор Веб» обнаружили еще несколько майнеров для ОС Windows.

Все выявленные аналитиками вредоносные программы были добавлены в вирусные базы Dr.Web. Более подробную информацию об этом инциденте можно получить из новостного материала, опубликованного на нашем сайте.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Encoder.11432

Червь-шифровальщик, также известный под именем WannaCry.

Trojan.BtcMine

Семейство вредоносных программ, которые втайне от пользователя применяют вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют, например Bitcoin.

Win32.HLLW.Shadow

Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера и запускать исполняемые файлы.

Статистика вредоносных программ в почтовом трафике

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.Encoder.567, Trojan.Encoder.25843

Энкодеры, шифрующие файлы на компьютере и требующие у жертвы выкуп за расшифровку.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Inject

Семейство троянцев, встраивающих вредоносный код в процессы других программ.

Шифровальщики

В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 20,00% обращений;
• Trojan.Encoder.11464 — 14,23% обращений;
• Trojan.Encoder.25574 — 9,24% обращений;
• Trojan.Encoder.567 — 3,46% обращений;
• Trojan.Encoder.24249 — 3,45% обращений;
• Trojan.Encoder.10700 — 2,50% обращений.

Опасные сайты

В августе активизировались кибермошенники, целью которых на этот раз стали администраторы освобождающихся доменов, ранее пользовавшиеся услугами регистратора «Региональный Сетевой Информационный Центр» (RU-CENTER). В середине месяца они стали получать по электронной почте сообщения якобы от имени этой компании. В письмах содержалось напоминание об окончании оплаченного периода регистрации доменного имени. Злоумышленники утверждали, что администратор должен оплатить услугу продления домена в течение одного рабочего дня с момента получения письма, иначе этот домен будет исключен из реестра.

Ссылка в письме вела на взломанный веб-сайт, адрес которого был добавлен в базы нерекомендуемых интернет-ресурсов Офисного и Родительского контроля. Установленный там сценарий перенаправлял получателя письма на страницу платежной системы Яндекс.Деньги, позволяющую перевести денежные средства на электронный кошелек мошенников. Подробнее об этой рассылке мы рассказали в опубликованной на нашем сайте статье.

Также в августе многие пользователи Интернета получали электронные письма, в которых сетевые жулики сообщали получателю его пароль, ранее использованный при регистрации на одном из сайтов, либо комбинацию логина и пароля. Авторы сообщения утверждали, что они якобы разместили вирус на одном из порносайтов, и при его посещении включили камеру устройства, с помощью которой записали видеоролик с участием получателя письма. Чтобы избежать рассылки этого ролика по списку адресов, будто бы скопированному из адресной книги потенциальной жертвы, ей предлагалось заплатить выкуп в биткойнах, эквивалентный нескольким тысячам долларов США.

Разумеется, подобные сообщения являются пустой угрозой: по всей видимости, в руки злоумышленников попала база данных зарегистрированных пользователей, похищенная с одного или нескольких интернет-ресурсов. Чтобы не попадаться в руки мошенников, специалисты «Доктор Веб» рекомендуют чаще менять пароли и не использовать одинаковые учетные данные для регистрации на разных сайтах.

В течение августа 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 538 480 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В августе 2018 года вирусные аналитики компании «Доктор Веб» обнаружили троянца-клиппера Android.Clipper.1.origin, подменяющего номера электронных кошельков в буфере обмена зараженных Android-устройств. Помимо этого, в каталоге Google Play было выявлено множество различных вредоносных программ. Среди них – банковские троянцы Android.Banker.2843 и Android.Banker.2855, распространявшиеся под видом безобидных приложений. Кроме того, киберпреступники пытались заразить мобильные устройства пользователей при помощи троянцев-загрузчиков Android.DownLoader.768.origin, Android.DownLoader.772.origin и Android.DownLoader.784.origin, которые скачивали на смартфоны и планшеты различные вредоносные приложения. Также в течение уходящего месяца специалисты компании «Доктор Веб» обнаружили в Google Play большое число троянцев семейства Android.Click. Злоумышленники использовали их в мошеннических целях и зарабатывали с их помощью деньги. Еще один троянец, созданный для мошенничества, получил имя Android.FakeApp.110. Он также распространялся через каталог Google Play. Среди выявленных в августе вредоносных программ оказался опасный троянец-шпион Android.Spy.490.origin, которого вирусописатели могли встраивать в любые приложения и распространять их под видом оригиналов.

Наиболее заметные события, связанные с «мобильной» безопасностью в августе:

• обнаружение троянца-клиппера, способного подменять номера электронных кошельков в буфере обмена Android-устройств;
• обнаружение множества вредоносных программ в каталоге Google Play;
• распространение банковских троянцев;
• выявление опасного троянца-шпиона.

Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.

31 июля 2018 года

В июле 2018 года злоумышленники вновь распространяли опасный Android-бэкдор Android.Backdoor.554.origin, который известен вирусным аналитикам компании «Доктор Веб» еще с апреля 2017 года. Этот троянец шпионил за пользователями и позволял киберпреступникам дистанционно управлять зараженными смартфонами и планшетами. Android.Backdoor.554.origin скрывал в себе Windows-червя, которого копировал на подключенную к мобильному устройству карту памяти для последующего заражения компьютеров под управлением ОС Windows. Кроме того, в уходящем месяце злоумышленники продолжили атаковать владельцев Android-смартфонов и планшетов с использованием банковских троянцев. Один из них, получивший имя Android.Banker.2746, был доступен для загрузки в Google Play. Ряд других банковских троянцев загружала на мобильные устройства вредоносная программа Android.DownLoader.753.origin, которая также была доступна в официальном каталоге программ ОС Android. Кроме того, в течение июля киберпреступники распространяли прочих банковских троянцев для ОС Android. Среди них был Android.BankBot.279.origin, которого вирусописатели выдавали за полезные приложения. Также в июле вирусные аналитики «Доктор Веб» обнаружили несколько новых коммерческих программ-шпионов, получивших имена Program.Shadspy.1.origin и Program.AppSpy.1.origin.

Мобильная угроза месяца

В июле специалисты по информационной безопасности зафиксировали очередную атаку бэкдора Android.Backdoor.554.origin на пользователей Android-смартфонов и планшетов. Этот троянец распространялся под видом новых версий известных программ для онлайн-общения, таких как WhatsApp и Telegram, а также системных и других важных обновлений.

Android.Backdoor.554.origin выполнял команды злоумышленников, а также позволял киберпреступникам контролировать зараженное мобильное устройство и шпионить за его владельцем. Троянец отслеживал местоположение Android-смартфона или планшета, перехватывал переписку в популярных программах обмена сообщениями, получал доступ к звонкам и СМС, крал информацию о контактах из телефонной книги и выполнял другие вредоносные действия. Кроме того, этот бэкдор скрывал в своих файловых ресурсах Windows-червя, получившего имя Win32.HLLW.Siggen.10482. После заражения мобильного устройства Android.Backdoor.554.origin копировал червя на карту памяти, помещая его в каталоги с изображениями. При этом исполняемый файл Win32.HLLW.Siggen.10482, имеющий расширение .pif, получал имя директории, в которой он размещался. В результате при последующем открытии или копировании этих каталогов на компьютер для просмотра изображений пользователь рисковал запустить червя.

На следующей иллюстрации показан список директорий, в которые троянец Android.Backdoor.554.origin помещал Win32.HLLW.Siggen.10482:

Примеры успешного копирования исполняемого файла червя в каталоги с изображениями на карте памяти инфицированного Android-устройства:

По данным антивирусных продуктов Dr.Web для Android

Android.Altamob.1.origin

Троянская рекламная платформа, которая незаметно загружает и запускает вредоносные модули.

Android.HiddenAds.288.origin

Android.HiddenAds.524

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.Mobifun.4

Троянец, загружающий другие вредоносные приложения.

Android.Xiny.197

Троянец, предназначенный для незаметной загрузки и установки других вредоносных приложений.

Adware.SalmonAds.3.origin

Adware.Altamob.1.origin

Adware.Appalytic.1.origin

Adware.Adtiming.1.origin

Adware.Jiubang.2

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Банковские троянцы

В уходящем месяце специалисты по информационной безопасности обнаружили в каталоге Google Play троянца, по классификации компании «Доктор Веб» получившего имя Android.DownLoader.753.origin. Эта вредоносная программа распространялась под видом финансовых приложений. Некоторые ее модификации действительно выполняли заявленные функции, в то время как остальные были бесполезны и лишь предлагали установить настоящее банковское ПО, загружая его страницы в программе Play Маркет.

Android.DownLoader.753.origin незаметно скачивал с удаленного сервера одного из банковских троянцев семейства Android.BankBot и пытался установить его, показывая стандартный диалог инсталляции.

В середине июля специалисты «Доктор Веб» проанализировали Android-банкера, получившего имя Android.Banker.2746. Вирусописатели распространяли этого троянца через каталог Google Play, выдавая вредоносную программу за официальное банковское приложение.

С его помощью они пытались получить доступ к учетным записям клиентов одной из турецких кредитных организаций. Android.Banker.2746 показывал поддельное окно ввода логина и пароля и перехватывал СМС с одноразовыми проверочными кодами.

Среди банковских троянцев, атаковавших пользователей в уходящем месяце, была вредоносная программа Android.BankBot.279.origin. Киберпреступники распространяли ее с использованием мошеннических веб-сайтов. При посещении одного из них с мобильного устройства троянец загружался под видом безобидных и полезных программ, таких как проигрыватель Adobe Flash Player, программы для онлайн-общения, клиенты для подключения к VPN-сервисам и другое ПО. Android.BankBot.279.origin отслеживал запуск установленных на смартфоне или планшете банковских приложений и показывал поверх их окон фишинговую форму ввода логина и пароля для доступа к учетной записи пользователя. Кроме того, банкер мог менять pin-код разблокировки экрана и блокировать зараженное устройство.

Примеры сайтов, с которых на Android-смартфоны и планшеты скачивался Android.BankBot.279.origin:

Программы-шпионы

В уходящем месяце специалисты «Доктор Веб» обнаружили несколько новых коммерческих программ-шпионов. Одна из них получила имя Program.AppSpy.1.origin. Она отслеживает местоположение зараженного устройства, прослушивает телефонные звонки и перехватывает СМС-сообщения. Другая программа для кибершпионажа была добавлена в вирусную базу Dr.Web как Program.Shadspy.1.origin. Это приложение обладает обширным функционалом. Program.Shadspy.1.origin отслеживает СМС-переписку, телефонные звонки, местоположение устройства, выполняет запись окружения с использованием встроенного микрофона, копирует историю посещения сайтов из веб-браузера, информацию о запланированных событиях из календаря пользователя, может делать снимки при помощи камеры смартфона или планшета, а также выполнять ряд других действий. Кроме того, при наличии root-полномочий Program.Shadspy.1.origin может перехватывать переписку в программах Facebook и WhatsApp.

Банковские троянцы представляют серьезную опасность для владельцев мобильных устройств. Злоумышленники продолжают распространять эти вредоносные программы не только с помощью мошеннических сайтов, но и через официальный каталог программ Google Play. Для защиты от этих и других Android-троянцев пользователям следует установить антивирусные продукты Dr.Web для Android.

31 июля 2018 года

В начале июля вирусные аналитики «Доктор Веб» проанализировали нового троянца-майнера, который использовал необычную схему распространения. Также в течение месяца проявляли активность спамеры, рекламировавшие мошеннические сайты. Кроме того, в июле вирусные базы Dr.Web пополнились новыми записями для вредоносных программ, ориентированных на мобильную платформу Android.

Угроза месяца

Специалисты по информационной безопасности уже сталкивались с распространением вредоносных программ при помощи механизма обновления приложений. Именно так попали к пользователям троянец-шифровальщик Trojan.Encoder.12544 (Petya, Petya.A, ExPetya и WannaCry-2) и бэкдор BackDoor.Dande. В июле в службу технической поддержки «Доктор Веб» обратился пользователь, на компьютере которого регулярно появлялось приложение для майнинга криптовалют, всякий раз удаляемое антивирусом. Проведенное аналитиками расследование показало, что виновником инцидента стала программа «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе.

Механизм обновления этой программы автоматически скачивал из Интернета и устанавливал в систему троянца-майнера Trojan.BtcMine.2869. На 9 июля специалисты «Доктор Веб» обнаружили 2700 зараженных этим троянцем компьютеров. Более подробная информация об этом инциденте изложена в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.Inject

Семейство троянцев, встраивающих вредоносный код в процессы других программ.

Шифровальщики

В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 17.69% обращений;
• Trojan.Encoder.25574 — 11.38% обращений;
• Trojan.Encoder.11464 — 8.06% обращений;
• Trojan.Encoder.567 — 5.08% обращений;
• Trojan.Encoder.5342 — 3.85% обращений;
• Trojan.Encoder.24249 — 3.33% обращений.

Опасные сайты

В июле специалисты «Доктор Веб» зафиксировали несколько массовых почтовых рассылок с рекламой различных мошеннических ресурсов. В частности, спамеры отправляли сообщения якобы от имени компании «Яндекс» с предложением подтвердить привязку почтового адреса к аккаунту на портале passport.yandex.ru. При этом ссылка, по которой мошенники предлагали перейти получателю письма, действительно вела на портал «Яндекс». А вот другая ссылка, якобы анонсировавшая получение некоего приза, приводила потенциальную жертву на сайт сетевых мошенников, требовавших оплатить за обещанный подарок небольшой денежный взнос.

В ряде других мошеннических сообщений встречались ссылки на страницы публичных сервисов, подобных Google Docs, где злоумышленники размещали веб-страницу с картинкой, имитирующей стандартную панель автоматической защиты от роботов reCAPCHA. Щелчок мышью по этой картинке перенаправлял пользователей на различные фишинговые сайты.

Адреса всех выявленных аналитиками «Доктор Веб» мошеннических ресурсов были добавлены в базы нерекомендуемых сайтов Родительского и Офисного контроля Dr.Web.

В течение июля 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 512 763 интернет-адреса.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце в каталоге Google Play было обнаружено несколько опасных вредоносных программ. Одной из них стал троянец Android.Banker.2746, который показывал поддельное окно ввода персональных данных при запуске банковских приложений. Другой троянец, получивший имя Android.DownLoader.753.origin, скачивал Android-банкеров с сервера злоумышленников, чтобы избежать обнаружения основной вредоносной программы в Google Play. Среди распространявшихся в июле троянцев были и другие банкеры. Один из них – Android.BankBot.279.origin. Он загружался на мобильные устройства при посещении мошеннических сайтов. Также в июле злоумышленники вновь распространяли вредоносное приложение-бэкдор, известное вирусным аналитикам «Доктор Веб» с апреля 2017 года. Оно шпионило за пользователями и распространяло червя, который заражал компьютеры под управлением ОС Windows. Кроме того, в уходящем месяце специалисты «Доктор Веб» обнаружили и исследовали несколько новых программ, предназначенных для кибершпионажа. Они получили имена Program.Shadspy.1.origin и Program.AppSpy.1.origin.

Наиболее заметные события, связанные с «мобильной» безопасностью в июле:

• обнаружение троянцев в каталоге Google Play;
• распространение Android-банкеров;
• распространение Android-бэкдора, которого злоумышленники использовали для заражения компьютеров под управлением Windows;
• выявление новых коммерческих программ-шпионов.

Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.

3 июля 2018 года

Первый летний месяц оказался относительно спокойным с точки зрения информационной безопасности. Во второй половине июня вирусные аналитики «Доктор Веб» зафиксировали почтовую рассылку, с использованием которой сетевые мошенники пытались обмануть пользователей Интернета. Также в течение месяца были выявлены новые вредоносные программы для мобильной платформы Android.

Угроза месяца

Во второй половине июня было зафиксировано несколько массовых почтовых рассылок, с использованием которых злоумышленники завлекали потенциальных жертв на мошеннические сайты. Помимо электронной почты киберпреступники активно использовали для рассылки спама формы обратной связи, размещенные на различных интернет-ресурсах, при этом их не останавливало даже наличие «капчи». Сообщения содержали стандартный текст о получении пользователем некой транзакции или денежного перевода. Вот несколько примеров подобных сообщений: «Здравствуйте, мы отправили платеж в размере $33,50 USD Код счета на оплату: 2478347616. Уведомляем, что на вашем балансе достаточно средств для автоматического продления», «Текущий баланс лицевого счёта равен 13 300 R. Информируем вас о зачислении оплаты по счёту № 97724 на сумму - 1 017 рублей», «Уведомляем вас о зачислении оплаты по счёту на сумму - 0 031 rub. Текущий баланс лицевого счёта равен 37 561 rub», «Детали Вашего заказа: Увеличение баланса - 2 шт. - 379. 03 $. Благодарим Вас за использование безопасной системы онлайн заказов». Примечательно, что все ссылки в подобных письмах вели на бесплатный сервис Google Docs, где злоумышленники заранее разместили PDF-документ с предложением забрать некий денежный приз.

Нажав на ссылку в этом PDF-документе, потенциальная жертва попадала на один из мошеннических сайтов, предлагавших получить некий выигрыш или вознаграждение.

Дальнейшая схема жульничества довольно-таки проста, она используется сетевыми мошенниками уже очень давно: чтобы получить предлагаемый приз, посетителю сайта требуется перевести киберпреступникам небольшую сумму, после чего никакого вознаграждения жертва, разумеется, не получает. Адреса всех выявленных аналитиками «Доктор Веб» мошеннических интернет-ресурсов были добавлены в базы нерекомендуемых сайтов Родительского и Офисного контроля.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.Dimnie.5

Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.

Статистика вредоносных программ в почтовом трафике

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Trojan.Dimnie.5

Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В июне в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 15,47% обращений;
• Trojan.Encoder.25574 — 12,31% обращений;
• Trojan.Encoder.11464 — 8,32% обращений;
• Trojan.Encoder.13671 — 5,99% обращений;
• Trojan.Encoder.24249 — 4,33% обращений;
• Trojan.Encoder.10700 — 2,32% обращений.

Опасные сайты

В течение июня 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 395 477 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В прошедшем месяце вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play большое число программ со встроенным нежелательным рекламным модулем Adware.Appalytic.1.origin. Этот модуль показывал надоедливые уведомления, предлагая загрузить различное ПО, а также самостоятельно открывал в Play Маркет страницы рекламируемых приложений. Позднее наши специалисты выявили в Google Play несколько новых троянцев семейства Android.FakeApp, которые по команде злоумышленников загружали всевозможные веб-сайты. Также в июне преступники распространяли троянца Android.Spy.461.origin, которого вирусописатели использовали для кибершпионажа. Кроме того, среди угрожавших владельцам Android-смартфонов и планшетов вредоносных программ был СМС-троянец Android.SmsSend.1989.origin, подписывавший пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в июне:

• выявление в Google Play новых Android-троянцев;
• распространение троянца-шпиона.

Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.

3 июля 2018 года

В июне 2018 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play более 30 приложений со встроенным рекламным модулем Adware.Appalytic.1.origin. Он показывал уведомления с предложением загрузить различное ПО, а также открывал в Google Play страницы рекламируемых программ. Кроме того, специалисты «Доктор Веб» обнаружили в официальном каталоге Android-приложений несколько новых троянцев семейства Android.FakeApp, по команде злоумышленников загружавших веб-сайты. Помимо этого, в прошедшем месяце под видом эротический игры киберпреступники распространяли троянца Android.Spy.461.origin, который шпионил за владельцами Android-смартфонов и планшетов. Также в июне пользователям мобильных устройств угрожал троянец Android.SmsSend.1989.origin, отправлявший платные СМС-сообщения на премиум-номера.

Мобильная угроза месяца

В начале июня специалисты «Доктор Веб» обнаружили в каталоге Google Play 37 программ, в которых находился нежелательный рекламный модуль Adware.Appalytic.1.origin. Он настойчиво предлагал загрузить и установить различные приложения и игры. Кроме того, Adware.Appalytic.1.origin самостоятельно открывал в Google Play страницы рекламируемых программ.

Пример рекламируемого приложения из каталога Google Play:

Пример уведомлений, которые показывает этот модуль:

Особенности Adware.Appalytic.1.origin:

• встроен в безобидные приложения, распространяемые через Google Play;
• получает команды через облачный сервис Firebase;
• самостоятельно открывает каталог Google Play и загружает в нем страницы рекламируемых приложений;
• отображает в панели уведомлений надоедливые сообщения с предложением скачать и установить различные программы.

По данным антивирусных продуктов Dr.Web для Android

Android.Mobifun.4

Троянец, предназначенный для загрузки других Android-приложений.

Android.HiddenAds.280.origin

Android.HiddenAds.288.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.SmsSend.1338.origin

Вредоносная программа, отправляющая СМС на платные номера.

Android.DownLoader.573.origin

Троянец, предназначенный для загрузки других вредоносных приложений.

Adware.SalmonAds.3.origin

Adware.Jiubang.2

Adware.Appalytic.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.SilentInstaller.1.origin

Потенциально опасная программа, предназначенная для незаметного запуска приложений без вмешательства пользователя.

Троянцы в Google Play

В конце июня специалисты «Доктор Веб» обнаружили в каталоге Google Play несколько новых троянцев семейства Android.FakeApp. Как и ранее, эти вредоносные программы распространялись под видом полезных приложений – в частности, ПО для прослушивания музыки из социальной сети «ВКонтакте». Троянцы, добавленные в вирусную базу Dr.Web как Android.FakeApp.89, Android.FakeApp.90, Android.FakeApp.91 и Android.FakeApp.92, по команде злоумышленников переходили по заданным ими ссылкам и загружали различные веб-сайты, среди которых были мошеннические интернет-ресурсы.

На следующих изображениях показаны страницы загрузки обнаруженных в Google Play троянцев Android.FakeApp:

Android-шпион

В июне пользователям Android-смарфонов и планшетов угрожал троянец-шпион, которого злоумышленники распространяли под видом эротической игры. Эта вредоносная программа получила имя Android.Spy.461.origin. Троянец похищал СМС-сообщения и контакты из телефонной книги, записывал окружение с использованием встроенного в мобильное устройство микрофона, получал список хранящихся на смартфоне или планшете файлов и мог загружать их на сервер злоумышленников. Кроме того, Android.Spy.461.origin крал данные из буфера обмена.

СМС-троянец

В прошедшем месяце в злоумышленники распространяли СМС-троянца Android.SmsSend.1989.origin, который отправлял сообщения на платные номера и подписывал пользователей на дорогостоящие услуги. Эта вредоносная программа скрывалась в приложении, которое киберпреступники выдавали за популярную игру Fortnite. При этом ее официальная версия для устройств под управлением ОС Android все еще находится в разработке и недоступна для игроков.

Злоумышленники по-прежнему атакуют мобильные устройства под управлением ОС Android и распространяют вредоносные и нежелательные программы не только с использованием различных веб-сайтов, но и через официальный каталог приложений Google Play. Для защиты смартфонов и планшетов пользователям необходимо установить антивирусные продукты Dr.Web для Android.

31 мая 2018 года

В мае 2018 года вирусные аналитики компании «Доктор Веб» нашли в каталоге Google Play несколько приложений, в которые был встроен троянец Android.Click.248.origin. Он загружал мошеннические веб-страницы, на которых пользователей подписывали на дорогостоящие мобильные услуги. Кроме того, в Google Play была обнаружена вредоносная программа Android.FakeApp, распространявшаяся под видом известного ПО. Она переходила по заданным злоумышленниками ссылкам и накручивала счетчик посещений веб-сайтов. Среди других угроз, встретившихся в официальном каталоге приложений ОС Android, оказались троянцы семейства Android.HiddenAds, предназначенные для показа рекламы. Также в уходящем месяце специалисты по информационной безопасности выявили троянцев Android.Spy.456.origin и Android.Spy.457.origin, которых злоумышленники использовали для кибершпионажа. А в конце мая в вирусную базу Dr.Web была добавлена запись для детектирования новой версии коммерческой программы-шпиона Program.Onespy.

Мобильная угроза месяца

В уходящем месяце специалисты «Доктор Веб» выявили в каталоге Google Play троянца Android.Click.248.origin, которого злоумышленники распространяли под видом таких известных программ как Skype и Алиса (голосовой помощник от компании «Яндекс», в действительности недоступный в виде отдельного приложения).

Троянец загружал мошеннические веб-сайты, на которых пользователей подписывали на платные услуги. Об аналогичных вредоносных приложениях компания «Доктор Веб» сообщала в апреле.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.210.origin

Android.HiddenAds.222.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.SmsSend.1338.origin

Вредоносная программа, отправляющая СМС на платные номера.

Android.Mobifun.4

Троянец, предназначенный для загрузки других Android-приложений.

Android.Xiny.1403

Троянец, предназначенный для незаметной загрузки и установки других вредоносных приложений.

Adware.Adtiming.1.origin

Adware.Jiubang.2

Adware.Adpush.601

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программы, предназначенные для незаметного запуска приложений без вмешательства пользователя.

Угрозы в Google Play

В мае в каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.FakeApp, распространявшегося под видом популярных приложений. По команде вирусописателей Android.FakeApp переходил по заданным ими ссылкам и загружал веб-сайты, накручивая счетчик их посещений.

Особенности троянца:

• создан с использованием сервиса AppsGeyser, который за несколько элементарных шагов позволяет построить простые Android-программы;
• распространялся под видом известных приложений;
• не содержал никаких полезных функций;
• выявлено 7 разработчиков, от имени которых троянец распространялся в Google Play.

Пример приложений-подделок, найденных в Google Play:

Кроме того, в мае в официальном каталоге ПО для ОС Android были обнаружены очередные представители троянцев семейства Android.HiddenAds, такие как Android.HiddenAds.267.origin и Android.HiddenAds.277.origin. Эти вредоносные программы распространялись под видом безобидных и известных приложений. Главная функция троянцев – показ рекламы.

Кибершпионаж

В уходящем месяце специалисты по информационной безопасности обнаружили несколько новых Android-троянцев, которых злоумышленники использовали для кибершпионажа. Один из них распространялся через Google Play и получил имя Android.Spy.456.origin. Вредоносная программа похищала фотографии, СМС-сообщения, а также контакты из телефонной книги зараженных мобильных устройств и загружала их на удаленный сервер киберпреступников. Другой мобильный троянец-шпион, выявленный в мае, был добавлен в вирусную базу Dr.Web как Android.Spy.457.origin. Он крал изображения и видеоролики, хранящиеся в памяти Android-смартфонов и планшетов, похищал СМС, отслеживал координаты мобильных устройств, а также мог прослушивать окружение и записывать телефонные разговоры.

В конце месяца специалисты компании «Доктор Веб» обнаружили новую версию коммерческой программы-шпиона Onespy, получившую имя Program.Onespy.3.origin. Это приложение способно перехватывать СМС-сообщения и телефонные звонки, отслеживать местоположение зараженного устройства, прослушивать окружение, красть фотографии, видео, документы и другие файлы, следить за перепиской в популярных программах для общения, таких как Skype, Viber, WhatsApp, Line, Facebook и других, а также выполнять прочие опасные действия.

Несмотря на усилия корпорации Google, злоумышленникам по-прежнему удается распространять Android-троянцев через каталог Google Play. Кроме того, вредоносные и потенциально опасные программы для мобильных устройств подстерегают пользователей и вне официального каталога приложений. Для защиты смартфонов и планшетов их владельцам следует установить антивирусные продукты Dr.Web для Android.

31 мая 2018 года

В мае компания «Доктор Веб» завершила исследование нескольких троянцев, угрожавших пользователям популярной игровой платформы Steam. Они похищали данные учетных записей поклонников компьютерных игр, а также подменяли игровые предметы при совершении сделок обмена. Также в течение последнего месяца весны было выявлено множество мошеннических сайтов, адреса которых пополнили базы нерекомендуемых интернет-ресурсов. Среди них нередко встречались веб-страницы, активно эксплуатирующие тематику грядущего Чемпионата мира по футболу 2018 года. В начале мая вирусные аналитики исследовали несколько троянцев-стилеров, кравших с зараженных устройств конфиденциальную информацию.

Угроза месяца

Создатель вредоносных программ, добавленных в вирусную базу Dr.Web под наименованиями Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278, разработал специальную схему для их распространения. От злоумышленников, пожелавших освоить незаконный заработок, не требуется ничего, кроме денег и, в некоторых случаях, домена: вирусописатель предоставляет им самого троянца, доступ к административной панели и техническую поддержку.

Заразив компьютер, Trojan.PWS.Steam.13604 отображает поддельное окно авторизации Steam. Если жертва вводит в него свои логин и пароль, троянец пытается авторизоваться с их помощью в сервисе Steam. Если эта попытка увенчалась успехом и на компьютере включен Steam Guard — система двухфакторной аутентификации для защиты учетной записи пользователя, — троянец выводит на экран поддельное окно для ввода кода авторизации. Вся эта информация отсылается на сервер злоумышленников.

Другая вредоносная программа того же автора, Trojan.PWS.Steam.15278, нацелена на хищение инвентаря в Steam. Для этого на многих обменных площадках троянец подменяет получателя игровых предметов с помощью веб-инжектов, в результате чего артефакты достаются злоумышленникам. А при обмене инвентаря с использованием официального сайта steamcommunity.com вредоносная программа подменяет отображение игровых предметов на компьютере жертвы с помощью перехвата и модификации трафика. В результате пользователю будет казаться, что он приобретает некий дорогостоящий инвентарь, в то время как в действительности в его игровой учетной записи появится совсем другой, гораздо более дешевый предмет.

Более подробную информацию о методах распространения этих троянцев и принципах их работы рассказано в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.MulDrop8.25070

Троянец-дроппер, устанавливающий в систему другие вредоносные программы.

Win32.HLLW.Shadow

Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера исполняемые файлы и запускать их.

Статистика вредоносных программ в почтовом трафике

Trojan.Dimnie.14

Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Шифровальщики

В мае в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.11464 — 15.90% обращений;
• Trojan.Encoder.858 — 11.33% обращений;
• Trojan.Encoder.24249 — 6.16% обращений;
• Trojan.Encoder.10700 — 3.78% обращений;
• Trojan.Encoder.13671 — 3.70% обращений;
• Trojan.Encoder.4592 — 2.39% обращений.

Опасные сайты

С приближением Чемпионата мира по футболу активизировались многочисленные сетевые мошенники, которые начали использовать чрезвычайно актуальную тематику мундиаля. Чтобы привлечь посетителей, жулики размещают на своих веб-страницах официальную символику Чемпионата. Они предлагают всем желающим принять участие в розыгрышах призов, якобы организованных FIFA, крупными банками и международными инвестиционными фондами.

В качестве призов мошенники обещают дорогие автомобили, значительные денежные суммы, туристические путевки на зарубежные курорты, и, конечно, же, бесплатные билеты на футбольный чемпионат. Схема, которую используют киберпреступники, в целом не нова: потенциальной жертве сообщают о крупном выигрыше, для получения которого необходимо перевести на их счет несколько сотен рублей. Несложно догадаться, что, расставшись с деньгами, никакого приза жертва мошенников не получит. В мае 2018 года специалисты «Доктор Веб» добавили в базы Родительского и Офисного контроля несколько десятков адресов подобных ресурсов, однако похожие по тематике и оформлению сайты продолжают появляться с завидной регулярностью.

В мае участились случаи распространения ссылок на мошеннические сайты с использованием СМС и сообщений в программах-мессенджерах. Жулики предлагают потенциальным жертвам получить якобы полагающуюся им компенсацию за переплату предоставляемых населению коммунальных, медицинских услуг, либо услуг обязательного страхования.

Для «проверки» возможности получить компенсацию посетителю сайта предлагается ввести в специальную форму последние цифры какого-либо документа, а также свое имя и фамилию. Какие бы данные ни указал пользователь, на сайте появляется сообщение о возможности получить выплату, для чего мошенники просят перевести им небольшую денежную сумму. Более подробно об этой популярной схеме обмана интернет-пользователей мы рассказали в нашей статье.

В течение мая 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 1 388 093 интернет-адреса.

Другие события в сфере информационной безопасности

В мае вирусные аналитики «Доктор Веб» исследовали несколько новых модификаций троянцев, похищавших конфиденциальную информацию. Один из них, получивший наименование Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в поисках сохраненных паролей и файлов cookies браузеров, основанных на Chromium. Кроме того, этот троянец ворует информацию из мессенджера Telegram, FTP-клиента FileZilla, а также копирует файлы изображений и офисных документов по заранее заданному списку. Полученные данные троянец упаковывает в архив и сохраняет его на Яндекс.Диск.

Другая модификация этого троянца-шпиона получила наименование Trojan.PWS.Stealer.23700. Она крадет пароли и файлы cookies из браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Помимо этого, троянец копирует файлы ssfn из подпапки config приложения Steam, а также данные, необходимые для доступа к учетной записи Telegram. Кроме того, шпион создает копии изображений и документов, хранящихся на Рабочем столе Windows. Всю украденную информацию он упаковывает в архив и загружает в облачное хранилище pCloud.

Третья модификация стилера получила наименование Trojan.PWS.Stealer.23732. Этот троянец состоит из нескольких компонентов. Один из них представляет собой шпионский модуль, как и его предшественники, написанный на языке Python и преобразованный в исполняемый файл. Он ворует конфиденциальную информацию. Все остальные компоненты троянца написаны на языке Go. Один из них сканирует диски в поисках папок, в которых установлены браузеры, а еще один упаковывает похищенные данные в архивы и загружает их в хранилище pCloud.

Более подробно о методах распространения этих вредоносных программ мы рассказали в опубликованной на нашем сайте статье.

Вредоносное и нежелательное ПО для мобильных устройств

В мае было выявлено немало новых вредоносных и потенциально опасных программ для мобильных устройств, многие из которых распространялись через официальный каталог программ для ОС Android. В начале месяца вирусные аналитики компании «Доктор Веб» обнаружили в Google Play троянца Android.Click.248.origin, загружавший мошеннические веб-страницы, на которых пользователей подписывали на дорогостоящие услуги. Позднее там же наши специалисты зафиксировали троянца Android.FakeApp. Он переходил по ссылкам, которые получал от вирусописателей, и загружал веб-страницы, искусственно увеличивая их посещаемость. Кроме того, в Google Play распространялись вредоносные программы семейства Android.HiddenAds, предназначенные для показа рекламы. Среди обнаруженных в мае троянцев были также и шпионы Android.Spy.456.origin и Android.Spy.457.origin, применявшиеся для слежки за пользователями. А в конце месяца вирусные аналитики «Доктор Веб» добавили в вирусную базу запись для детектирования коммерческой программы-шпиона Program.Onespy.3.origin.

Наиболее заметные события, связанные с «мобильной» безопасностью в мае:

• выявление в Google Play новых Android-троянцев;
• обнаружение новой версии потенциально опасной шпионской программы для ОС Android.

Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.

28 апреля 2018 года

В апреле 2018 года компания «Доктор Веб» зафиксировала распространение опасного банковского троянца Android.BankBot.358.origin, заразившего свыше 60 000 мобильных устройств российских пользователей. Кроме того, в течение месяца вирусные аналитики выявили большое число троянцев семейства Android.Click, которые распространялись через каталог Google Play. Помимо них в каталоге был обнаружен троянец Android.RemoteCode.152.origin – он загружал другие вредоносные модули, с их помощью создавал рекламные баннеры, а после этого нажимал на них, зарабатывая для киберпреступников. Также в Google Play была найдена потенциально опасная программа Program.PWS.2, предоставляющая доступ к заблокированному на территории России сервису Telegram, но не обеспечивающая необходимую защиту конфиденциальных данных. Среди обнаруженных в апреле вредоносных приложений для ОС Android оказались и троянцы-шпионы, такие как Android.Hidden.5078, Android.Spy.443.origin и Android.Spy.444.origin.

Мобильная угроза месяца

В прошедшем месяце компания «Доктор Веб» сообщала о распространении банковского троянца Android.BankBot.358.origin, заразившего более 60 000 Android-смартфонов и планшетов. Большинство этих устройств принадлежало российским пользователям. Главной целью Android.BankBot.358.origin были клиенты одного из крупнейших банков.

Троянец распространялся с использованием различных мошеннических СМС-сообщений, в которых пользователям предлагалось перейти по ссылке для ознакомления с информацией об объявлениях, кредитах и денежных переводах. Если потенциальная жертва нажимала на такую ссылку, она попадала на веб-сайт, с которого на мобильное устройство загружался банкер.

Для кражи денег со счетов троянец использовал СМС-команды управления мобильным банком. Поэтому, даже если на устройстве жертвы не было установлено официальное приложение для доступа к услугам одного из крупнейших банков, владельцы зараженных устройств все равно могли потерять свои деньги. В результате атаки злоумышленников под угрозой оказалось свыше 78 000 000 рублей клиентов кредитной организации. Подробнее об Android.BankBot.358.origin рассказано в публикации, подготовленной нашими специалистами.

По данным антивирусных продуктов Dr.Web для Android

Android.Mobifun.4

Троянец, предназначенный для загрузки других Android-приложений.

Android.HiddenAds.248.origin

Android.HiddenAds.253

Android.HiddenAds.210.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.Packed.15893

Детект для Android-троянцев, защищенных программным упаковщиком.

Adware.Adtiming.1.origin

Adware.Adpush.601

Adware.Jiubang.2

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программы, предназначенные для незаметного запуска приложений без вмешательства пользователя.

Угрозы в Google Play

В уходящем месяце в каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили большое число новых вредоносных программ. Среди них были различные троянцы семейства Android.Click. Например, в середине месяца вирусная база Dr.Web пополнилась записью для детектирования троянца Android.Click.245.origin, который злоумышленники от имени разработчиков Roman Zencov и Sneil распространяли под видом известных приложений.

После запуска троянец загружал заданные киберпреступниками веб-сайты, на которых пользователей обманом подписывали на дорогостоящие услуги. При этом, если устройства потенциальных жертв подключались к Интернету через мобильную сеть, подписка производилась автоматически при нажатии нескольких кнопок на этих сайтах. Подробнее об одном из таких случаев рассказано в соответствующей публикации компании «Доктор Веб».

Позже в апреле вирусные аналитики выявили в Google Play другие аналогичные вредоносные программы. Они были добавлены в вирусную базу Dr.Web как Android.Click.246.origin и Android.Click.458. Как и в случае с Android.Click.245.origin, киберпреступники также распространяли этих троянцев под видом безобидных программ. Например, скрывающиеся под именем разработчика mendozapps злоумышленники добавили в Google Play около 40 таких вредоносных приложений.

А разработчики Trinh Repasi и Vashashlaba под видом программ Viber и Авито распространяли похожего троянца Android.Click.248.origin. Эта вредоносная программа написана на языке Kotlin. Она проверяет IP-адрес зараженного устройства и, в зависимости от страны, в которой находится пользователь, получает задание на загрузку определенных веб-сайтов. Злоумышленники управляют Android.Click.248.origin через облачный сервис Firebase.

В конце месяца вирусные аналитики «Доктор Веб» выявили в Google Play троянца Android.RemoteCode.152.origin, скрывавшегося в безобидных играх. Эта вредоносная программа незаметно скачивала и запускала дополнительные модули, которые использовались для создания невидимых рекламных баннеров. Троянец самостоятельно нажимал на эти баннеры, за что вирусописатели получали вознаграждение. С информацией об Android.RemoteCode.152.origin можно ознакомиться, прочитав соответствующую новость на нашем сайте.

Кроме того, в апреле специалисты компании «Доктор Веб» обнаружили в Google Play потенциально опасную программу Program.PWS.2, которая позволяет работать с заблокированным на территории России сервисом Telegram.

Это приложение работает через один из анонимайзеров, однако никак не шифрует передаваемые логины, пароли и другие конфиденциальные данные. В результате вся персональная информация пользователей находится под угрозой. Об аналогичной опасной программе компания «Доктор Веб» уже сообщала в июне 2017 года.

Значок Program.PWS.2 и внешний вид работающего приложения показаны на изображениях ниже:

Троянцы-шпионы

В апреле были обнаружены новые троянцы-шпионы, которые крадут конфиденциальную информацию пользователей Android-смартфонов и планшетов. Один из них был добавлен в нашу вирусную базу как Android.Hidden.5078. Эта вредоносная программа похищала переписку из популярных программ для общения, таких как Viber, Facebook Messenger, WhatsApp, WeChat, Telegram, Skype, Weibo, Twitter, Line и других. При создании троянца злоумышленники использовали обфускацию кода и приемы антиотладки, чтобы избежать детектирования антивирусами и затруднить его анализ.

Другие Android-шпионы, выявленные в уходящем месяце, получили имена Android.Spy.443.origin и Android.Spy.444.origin. Их под видом модуля настроек загружал и устанавливал на мобильные устройства троянец, добавленный в вирусную базу Dr.Web как Android.DownLoader.3557. Этот загрузчик распространялся через каталог Google Play в виде программы для онлайн-общения под названием Dardesh.

При запуске Android.DownLoader.3557 предлагал потенциальной жертве установить якобы необходимый для работы программы компонент, который в действительности был одним из троянцев-шпионов.

После установки и запуска Android.Spy.443.origin и Android.Spy.444.origin начинали следить за владельцем мобильного устройства. Они отслеживали местоположение зараженного смартфона или планшета, получали информацию обо всех доступных файлах, могли пересылать злоумышленникам документы пользователя, отправлять и красть СМС-сообщения, выполнять запись окружения при помощи встроенного в устройство микрофона, записывать видео, перехватывать телефонные звонки, похищать данные из телефонной книги и выполнять другие действия.

Злоумышленники продолжают активно распространять Android-троянцев, используя не только мошеннические веб-сайты, но и каталог Google Play. Для защиты мобильных устройств от вредоносных и нежелательных приложений пользователям смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.