Dr.Web® — инновационные технологии информационной безопасности. Комплексная защита от интернет-угроз.

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение мая 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 223 952 интернет-адреса.

Апрель 2019	Май 2019	Динамика
+ 345 999	+ 223 952	- 35.27%

Вредоносное и нежелательное ПО для мобильных устройств

В последнем весеннем месяце этого года злоумышленники вновь распространяли различные вредоносные программы через каталог Google Play. В начале мая специалисты компании «Доктор Веб» выявили троянца Android.HiddenAds.1396, который постоянно показывал рекламные баннеры и перекрывал ими интерфейс других приложений и операционной системы. Позднее были обнаружены троянцы-шпионы Android.SmsSpy.10206 и Android.SmsSpy.10263 — они крали входящие СМС и передавали их злоумышленникам.

Наиболее заметное событие, связанное с «мобильной» безопасностью в мае:

появление новых вредоносных программ в Google Play.

Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающие курсы

Просветительские проекты

Брошюры

3 июня 2019 года

В уходящем месяце пользователям Android-устройств вновь угрожали вредоносные программы, которые злоумышленники распространяли через каталог Google Play. Среди них – рекламные троянцы Android.HiddenAds и троянцы-шпионы Android.SmsSpy, которые перехватывали СМС.

ГЛАВНАЯ ТЕНДЕНЦИЯ МАЯ

Распространение вредоносных приложений в Google Play

Мобильная угроза месяца

Среди обнаруженных в мае вредоносных программ были троянцы-шпионы семейства Android.SmsSpy — Android.SmsSpy.10206 и Android.SmsSpy.10263. Они распространялись через Google Play под видом банковского ПО.

После установки и запуска эти вредоносные программы пытались назначить себя СМС-менеджером по умолчанию, запрашивая соответствующее разрешение у пользователя. Если тот соглашался, Android.SmsSpy.10206 и Android.SmsSpy.10263 начинали перехватывать все входящие СМС-сообщения и передавали их на сервер злоумышленников.

Особенности вредоносных приложений:

предназначались для испаноязычных пользователей;
созданы на основе программы с открытым исходным кодом SMSdroid, в которую вирусописатели добавили троянскую функцию.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin: Троянец, который выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.
Android.RemoteCode.4411
Android.RemoteCode.197.origin: Вредоносные приложения, предназначенные для загрузки и выполнения произвольного кода.
Android.HiddenAds.261.origin
Android.HiddenAds.1102: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1
Adware.Jiubang.2
Adware.AdPush.33.origin
Adware.Toofan.1.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
Tool.VirtualApk.1.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки.

Рекламный троянец

В начале мая вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца Android.HiddenAds.1396, который распространялся под видом аудиоплеера.

Вредоносная программа действительно позволяла прослушивать музыку, однако после первого запуска скрывала свой значок, и в дальнейшем пользователь больше не мог ее запустить. Android.HiddenAds.1396 показывал надоедливые рекламные баннеры, которые мешали работе с зараженным смартфоном или планшетом.

В каталоге Google Play продолжают появляться новые вредоносные и нежелательные приложения. Для защиты Android-устройств от этих угроз следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

30 апреля 2019 года

В апреле компания «Доктор Веб» сообщила о троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей ОС Android. Они позволяли ему заражать другие программы, а также удалять и устанавливать ПО без участия пользователя. Кроме того, вирусные аналитики выявили новые модификации банковского троянца Android.Banker.180.origin, предназначенные для кражи денег у клиентов японских кредитных организаций. Были обнаружены очередные вредоносные приложения, которые распространялись через каталог Google Play. Среди них — троянцы-загрузчики Android.DownLoader, скачивавшие Android-банкеров на мобильные устройства, кликеры семейства Android.Click и стилеры Android.PWS.Instagram, похищавшие логины и пароли пользователей Instagram. Также в вирусную базу Dr.Web были добавлены записи для детектирования других вредоносных программ.

ГЛАВНЫЕ ТЕНДЕНЦИИ АПРЕЛЯ

Появление новых вредоносных приложений в каталоге Google Play
Распространение банковских троянцев

Мобильная угроза месяца

В начале апреля компания «Доктор Веб» рассказала об опасном троянце Android.InfectionAds.1, которого злоумышленники встраивают в изначально безобидные программы и распространяют через сторонние каталоги Android-приложений. Этот троянец эксплуатирует критические уязвимостей ОС Android, с использованием которых заражает apk-файлы (уязвимость CVE-2017-13156), а также самостоятельно устанавливает и удаляет программы (уязвимость CVE-2017-13315). Кроме того, Android.InfectionAds.1 показывает надоедливые рекламные баннеры, мешающие нормальной работе с зараженными устройствами. Подробная информация об этом троянце доступна в нашей вирусной библиотеке.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin: Троянец, который выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.
Android.HiddenAds.1102
Android.HiddenAds.261.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.RemoteCode.4411: Вредоносное приложение, предназначенное для загрузки и выполнения произвольного кода.
Android.DownLoader.812.origin: Троянец, загружающий другие вредоносные приложения.

Adware.Zeus.1
Adware.AdPush.33.origin
Adware.Toofan.1.origin
Adware.Jiubang.2: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
Tool.VirtualApk.1.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки.

Android-банкеры

В уходящем месяце пользователям Android-устройств вновь угрожали банковские троянцы. В конце апреля вирусные аналитики «Доктор Веб» обнаружили новые модификации вредоносной программы Android.Banker.180.origin. Они распространялись под видом ПО для отслеживания посылок (например, приложения под названием «佐川急便») и предназначались для японских пользователей. После запуска троянцы удаляют свой значок и скрываются от пользователя.

Эти модификации Android.Banker.180.origin контролируются через специально созданные страницы в социальной сети «ВКонтакте». На таких страницах в поле «Деятельность» («Activities») в зашифрованном виде располагается адрес одного из управляющих серверов банкера. Вредоносная программа ищет это поле с помощью регулярного выражения, расшифровывает адрес и подключается к серверу.

Эти версии троянца перехватывают и отправляют СМС-сообщения по команде злоумышленников, показывают фишинговые окна, способны выполнять телефонные звонки и прослушивать окружение с использованием микрофона зараженного устройства. Помимо этого, они могут управлять смартфонами и планшетами: самостоятельно включать Wi-Fi-модуль, устанавливать интернет-соединение через мобильную сеть, блокировать экран и т. д.

Кроме того, различных Android-банкеров скачивали на мобильные устройства обнаруженные в Google Play очередные загрузчики семейства Android.DownLoader, такие как Android.DownLoader.4303. Они распространялись под видом финансовых приложений.

Троянцы в Google Play

Помимо загрузчиков в каталоге Google Play были выявлены и другие троянцы, такие как Android.Click.303.origin и Android.Click.304.origin. Они распространялись под видом безобидных приложений — игр и программ для просмотра телевизионных каналов. Вирусные аналитики «Доктор Веб» обнаружили 36 таких троянцев. Их загрузили свыше 151 000 пользователей.

Эти вредоносные программы открывают невидимую активность с несколькими элементами WebView, в одном из которых загружают веб-сайт для получения от него управляющих команд. В других WebView они могут загружать различные скрипты JavaScript и заданные злоумышленниками сайты, на которых симулируют действия пользователей. Там они переходят по ссылкам и рекламным баннерам, накручивая счетчики посещений и кликов. Кроме того, нажатием на специально сформированные кнопки на этих сайтах они могут подписывать владельцев мобильных устройств на платные услуги, если мобильные операторы жертв поддерживают технологию быстрых подписок Wap-Click. Для затруднения удаления троянцы скрывают свои значки из меню главного экрана операционной системы.

В конце месяца в вирусную базу Dr.Web были добавлены записи для детектирования троянцев Android.PWS.Instagram.4 и Android.PWS.Instagram.5. Киберпреступники распространяли их под видом полезных программ для пользователей Instagram — для накрутки «лайков» и числа подписчиков, а также для повышения безопасности учетной записи. При запуске троянцы запрашивали у потенциальных жертв их логин и пароль, которые затем передавались на сервер злоумышленников.

Другие угрозы

Среди прочих вредоносных приложений, угрожавших владельцам Android-смартфонов и планшетов в апреле, был троянец Android.FakeApp.2.origin. Он скрывался в программе, якобы предоставлявшей 25 ГБ бесплатного интернет-трафика абонентам индийского мобильного оператора Jio.

Для распространения среди большего числа пользователей троянец отправлял СМС-сообщения со ссылкой на страницу загрузки своей копии на номера абонентов из телефонной книги зараженного устройства. Основное предназначение Android.FakeApp.2.origin — показ рекламных баннеров.

Среди угрожающих владельцам Android-устройств троянцев встречаются самые разные вредоносные приложения, которые распространяются через веб-сайты и официальный каталог Google Play. Для защиты смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

30 апреля 2019 года

В апреле статистика серверов Dr.Web зарегистрировала снижение числа уникальных угроз на 39.44% по сравнению с прошлым месяцем, а общее количество обнаруженных угроз снизилось на 14.96%. В почтовом трафике по-прежнему преобладает вредоносное ПО, использующее уязвимости программ Microsoft Office. Продолжает тенденцию прошлого месяца и статистика по вредоносному и нежелательному ПО: большая часть обнаруженных угроз приходится на долю вредоносных расширений для браузеров, нежелательных и рекламных программ.

Количество вредоносных и нерекомендуемых сайтов увеличилось на 28.04%. Один из таких ресурсов распространял банковского троянца и стилера вместе с программами для обработки видео и звука, о чем мы сообщили в начале месяца. Кроме того, специалисты «Доктор Веб» предупредили о фишинговой рассылке, отправленной с адресов известных иностранных компаний.

Главные тенденции апреля

Снижение активности распространения вредоносного ПО
Увеличение числа доменных имен, добавленных в базу нерекомендуемых и вредоносных сайтов

Угроза месяца

Специалисты компании «Доктор Веб» предупредили пользователей о компрометации официального сайта популярного ПО для обработки видео и звука. Хакеры заменили ссылку на скачивание, и вместе с редактором пользователи загружали опасного банковского троянца Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer). Такие троянцы предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций. Кроме того, позднее хакеры заменили Win32.Bolik.2 на другое вредоносное ПО – один из вариантов Trojan.PWS.Stealer (KPOT Stealer).

Этот троянец крадет информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ.

Подробнее об угрозе

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

Adware.Softobase.12: Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.
Adware.Ubar.13: Торрент-клиент, устанавливающий нежелательное ПО на устройство.
Trojan.Starter.7394: Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.
Adware.Downware.19283: Программа-установщик, обычно распространяется с пиратским контентом. При установке может менять настройки браузеров и устанавливать другие нежелательные программы.

Статистика вредоносных программ в почтовом трафике

Exploit.ShellCode.69: Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.
Exploit.Rtf.CVE2012-0158: Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.
JS.DownLoader.1225: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
Trojan.Encoder.26375: Представитель семейства троянцев-вымогателей. Шифрует файлы на компьютере и требует от жертвы выкуп за расшифровку.
W97M.DownLoader.2938: Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Шифровальщики

В апреле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

Trojan.Encoder.858 — 17.95%
Trojan.Encoder.18000 — 14.65%
Trojan.Encoder.11464 — 7.69%
Trojan.Archivelock — 5.49%
Trojan.Encoder.567 — 3.85%
Trojan.Encoder.11539 — 3.85%
Trojan.Encoder.25574 — 2.75%

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение апреля 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 345 999 интернет-адресов.

Март 2019	Апрель 2019	Динамика
+ 270 227	+ 345 999	+ 28.04%

Вредоносное и нежелательное ПО для мобильных устройств

В апреле компания «Доктор Веб» рассказала об опасном троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей ОС Android. Благодаря им он мог заражать apk-файлы, а также самостоятельно устанавливать и удалять программы.

В течение месяца в каталоге Google Play были выявлены новые вредоносные программы, такие как троянцы-загрузчики и кликеры, а также похитители логинов и паролей от учетных записей Instagram, получившие имена Android.PWS.Instagram.4 и Android.PWS.Instagram.5.

Кроме того, пользователям Android-смартфонов и планшетов угрожали банковские троянцы – например, новые версии Android.Banker.180.origin, а также другие вредоносные приложения.

Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:

обнаружение новых вредоносных программ в Google Play;
распространение банковских троянцев.

Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

3 апреля 2019 года

В марте вирусные аналитики компании «Доктор Веб» завершили исследование троянца, угрожавшего игрокам Counter-Strike 1.6. Среди главных угроз марта наблюдается динамика по сравнению с цифрами прошлого месяца. К примеру, активность Trojan.MulDrop8.60634 снизилась почти в три раза, а число таких угроз, как Trojan.Packed.24060 и Adware.OpenCandy.243, резко возросло за последний месяц. Также в базу нерекомендуемых и вредоносных сайтов было добавлено меньше доменных имен, чем в прошлом месяце, а в техническую поддержку «Доктор Веб» поступило больше запросов на расшифровку данных.

Главные тенденции марта

Увеличилось количество вредоносных расширений для браузеров
Выросла активность распространения рекламного ПО и нежелательных программ
Увеличилось число запросов на расшифровку данных

Угроза месяца

В марте аналитики «Доктор Веб» опубликовали подробное исследование троянца Belonard, использующего уязвимости нулевого дня в Steam-клиенте игры Counter-Strike 1.6. Попав на компьютер жертвы, троянец менял файлы клиента и создавал игровые прокси-серверы для заражения других пользователей. Количество вредоносных серверов CS 1.6, созданных троянцем Belonard, достигло 39% от числа всех официальных серверов, зарегистрированных в Steam. Теперь все модули троянца Belonard успешно определяются антивирусом Dr.Web и не угрожают нашим пользователям.

Подробнее о троянце

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

Trojan.Packed.24060: Устанавливает вредоносные расширения для браузеров, перенаправляющие с результатов выдачи в поисковых системах на другие сайты.
Adware.Softobase.12: Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.
Adware.OpenCandy.243: Семейство приложений, предназначенных для установки различного ПО. Программы данного семейства используются разработчиками бесплатных приложений в целях монетизации.
Adware.Ubar.13: Торрент-клиент, устанавливающий нежелательное ПО на устройство.
Trojan.Starter.7394: Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.

Снизилось количество угроз от:

Trojan.MulDrop8.60634: Устанавливает других троянцев в систему. Все устанавливаемые компоненты содержатся в самом теле Trojan.MulDrop.
Adware.Downware.19283: Программа-установщик, обычно распространяется с пиратским контентом. При установке может менять настройки браузеров и устанавливать другие нежелательные программы.

Статистика вредоносных программ в почтовом трафике

Exploit.ShellCode.69: Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.
W97M.DownLoader.2938: Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
Exploit.Rtf.CVE2012-0158: Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.
Trojan.SpyBot.699: Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов
JS.DownLoader.1225: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
Trojan.PWS.Stealer.23680: Семейство троянцев, предназначенных для хищения с инфицированного компьютера паролей и другой конфиденциальной информации.

Шифровальщики

В марте в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

Trojan.Encoder.858 — 28,39%;
Trojan.Encoder.18000 — 9,54%;
Trojan.Encoder.27210 — 4,25%;
Trojan.Encoder.11464 — 4,14%;
Trojan.Encoder.11539 — 4,14%;
Trojan.Encoder.567 — 2,76%;
Trojan.Archivelock — 2,34%.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение марта 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 270 227 интернет-адресов.

Февраль 2019	Март 2019	Динамика
+ 288 159	+ 270 227	- 6,63%

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце в каталоге Google Play были выявлены новые вредоносные программы. Среди них — очередные троянцы семейства Android.FakeApp, которые распространяются под видом программ для онлайн-заработка. Они загружают веб-сайты, где владельцам мобильных устройств предлагается ответить на вопросы «компаний-спонсоров». За участие в опросах злоумышленники обещают потенциальным жертвам вознаграждение. Чтобы получить его, пользователям якобы необходимо оплатить комиссию за денежный перевод или же для подтверждения своей личности. На самом деле никакого вознаграждения нет, и пользователи отправляют деньги мошенникам.

Также были обнаружены новые троянцы Android.HiddenAds. Они постоянно показывают рекламные баннеры поверх окон других программ и системного интерфейса и мешают работе с Android-устройствами.

Кроме того, злоумышленники продолжили распространять банковских троянцев. Об одном из них наша компания сообщила во второй половине марта. Вредоносная программа, известная под именем Flexnet, похищает деньги с банковских счетов и баланса мобильных телефонов пользователей.

В конце месяца вирусные аналитики раскрыли детали уязвимости популярного Android-браузера UC Browser, который способен скачивать плагины в обход серверов Google Play. Злоумышленники могли использовать эту функцию для распространения троянцев.

Наиболее заметные события, связанные с «мобильной» безопасностью в марте:

обнаружение уязвимости в браузере UC Browser;
распространение вредоносных программ в Google Play;
распространение банковских троянцев.

Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

3 апреля 2019 года

В марте компания «Доктор Веб» рассказала об уязвимости в мобильном браузере UC Browser, который способен скачивать новые модули со стороннего сервера. Злоумышленники могли использовать эту функцию для заражения Android-смартфонов и планшетов. Кроме того, вирусные аналитики поделились сведениями о троянце Flexnet, который крал деньги с банковских карт и счетов мобильных телефонов. В течение месяца в каталоге Google Play были выявлены очередные вредоносные приложения.

ГЛАВНЫЕ ТЕНДЕНЦИИ МАРТА

Обнаружение уязвимости в браузере UC Browser
Распространение банковских троянцев
Выявление новых вредоносных программ в каталоге Google Play

Мобильная угроза месяца

В конце марта компания «Доктор Веб» рассказала об уязвимости в Android-браузере UC Browser, которую обнаружили наши вирусные аналитики. Эта программа загружала дополнительные плагины в обход серверов Google Play, нарушая правила каталога этого ПО. Злоумышленники могли вмешаться в процесс скачивания плагинов и сделать так, чтобы вместо них браузер загружал и запускал вредоносные файлы. Опасности подверглись свыше 500 000 000 пользователей мобильных устройств. Детали этой уязвимости описаны в нашей вирусной библиотеке.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin
Android.Backdoor.2080: Троянцы, которые выполняют команды злоумышленников и позволяют им контролировать зараженные мобильные устройства.
Android.RemoteCode.197.origin: Вредоносное приложение, предназначенное для загрузки и выполнения произвольного кода.
Android.HiddenAds.659
Android.HiddenAds.261.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1
Adware.Jiubang.2
Adware.Toofan.1.origin
Adware.Gexin.3.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
Tool.VirtualApk.1.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки.

Android-банкеры

Злоумышленники продолжают распространять банковских троянцев, созданных на основе исходного кода вредоносного приложения Android.ZBot. Один из них — троянец Flexnet. Он крадет деньги с банковских карт, а также может оплачивать различные сервисы, используя счета мобильных телефонов жертв. Например, с помощью этого троянца киберпреступники способны пополнять баланс игр, оплачивать услуги хостинг-провайдеров и переводить средства на собственные мобильные телефоны. Подробнее о банкере Flexnet рассказано в новостной публикации на нашем сайте.

Угрозы в Google Play

В марте в каталоге Google Play вновь были обнаружены различные вредоносные программы. Среди них — троянцы Android.FakeApp.152 и Android.FakeApp.162, которые загружают мошеннические сайты. На них пользователям за вознаграждение предлагается пройти опросы. Для получения денег потенциальным жертвам якобы необходимо выполнить некий проверочный платеж. На самом деле никакой проверки нет — пользователи лишь переводят средства мошенникам и не получают обещанную награду.

Кроме того, вирусные аналитики выявили очередных троянцев семейства Android.HiddenAds, например Android.HiddenAds.1133, Android.HiddenAds.1134, Android.HiddenAds.1052 и Android.HiddenAds.379.origin. Об аналогичных вредоносных программах наша компания сообщала в феврале. Эти троянцы распространяются под видом полезных приложений — фото- и видеоредакторов, фильтров для камеры, фонариков, спортивного ПО и т. п.

После установки и запуска они скрывают свои значки и начинают постоянно показывать рекламу поверх других программ и интерфейса операционной системы, мешая нормальной работе с Android-устройствами.

Пользователям Android-устройств угрожают троянцы, которые распространяются не только через вредоносные сайты, но и через официальный каталог ПО Google Play. Для защиты смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 140 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

1 марта 2019 года

Последний зимний месяц этого года для пользователей Android-устройств оказался неспокойным. В середине февраля специалисты компании «Доктор Веб» обнаружили в каталоге Google Play порядка 40 троянцев семейства Android.HiddenAds. Злоумышленники распространяли их при помощи рекламы в популярных социальных сетях и онлайн-сервисах. Кроме того, владельцам Android-смартфонов и планшетов угрожали троянцы Android.FakeApp, которых киберпреступники применяли в мошеннических схемах, троянцы-загрузчики, а также другие вредоносные и нежелательные приложения.

ГЛАВНЫЕ ТЕНДЕНЦИИ ФЕВРАЛЯ

Выявление новых вредоносных программ в каталоге Google Play

Мобильная угроза месяца

В прошедшем месяце вирусные аналитики «Доктор Веб» выявили в каталоге Google Play 39 троянцев семейства Android.HiddenAds, Злоумышленники активно рекламировали троянцев в популярных онлайн-сервисах с многомиллионной аудиторией, таких как YouTube и WhatsApp. Киберпреступники предлагали установить мощные программы для редактирования фотографий и видео, однако на самом деле владельцы смартфонов и планшетов инсталлировали троянцев с минимальным набором функций. Жертвами злоумышленников стали порядка 10 000 000 пользователей.

Эти троянцы постоянно показывали рекламу, перекрывая баннерами интерфейс других программ и даже самой операционной системы. В результате работать с зараженными устройствами становилось очень неудобно.

Подробнее об этих вредоносных приложениях рассказано в новостной публикации на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin
Android.Backdoor.2080: Троянцы, которые выполняют команды злоумышленников и позволяют им контролировать зараженные мобильные устройства.
Android.RemoteCode.197.origin: Вредоносное приложение, предназначенное для загрузки и выполнения произвольного кода.
Android.HiddenAds.261.origin
Android.HiddenAds.659: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1
Adware.Patacore.1.origin
Adware.Patacore.168
Adware.Jiubang.2
Adware.Toofan.1.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

Наряду с троянцами Android.HiddenAds в Google Play были найдены и другие вредоносные программы. Среди них — очередные троянцы семейства Android.FakeApp, такие как Android.FakeApp.155, Android.FakeApp.154, Android.FakeApp.158. Интернет-жулики использовали их для мошенничества. Пользователям предлагалось установить приложения для прохождения онлайн-опросов, за которые якобы положено большое денежное вознаграждение. Троянцы загружали веб-сайты с такими «опросами», где после ответа на несколько простых вопросов у потенциальных жертв запрашивался некий проверочный платеж. Он якобы был необходим для перевода средств участнику опроса. Если пользователи соглашались на оплату, никакого вознаграждения они не получали.

Также владельцам Android-устройств угрожал троянец Android.RemoteCode.2958, который загружал другие вредоносные программы. Он распространялся под видом безобидных игр и приложений и скачивал из Интернета произвольный код.

Другой троянец, получивший имя Android.Proxy.4, использовал зараженные устройства в качестве прокси-серверов, перенаправляя через них сетевой трафик киберпреступников. Как и другие вредоносные программы, он скрывался во внешне безобидных и полезных приложениях.

Кроме того, в вирусную базу Dr.Web была добавлена запись для детектирования приложений со встроенным нежелательным модулем Adware.Sharf.2. Он показывал рекламу, которая перекрывала окна программ и системный интерфейс. Вирусные аналитики «Доктор Веб» обнаружили Adware.Sharf.2 в различных программах — диктофоне, GPS-компасе и сканере QR-кодов.

А в нескольких играх скрывались другие нежелательные рекламные модули, получившие по классификации Dr.Web имена Adware.Patacore.2 и Adware.Patacore.168. Они также показывали надоедливые баннеры.

В каталоге Google Play выявляются все новые вредоносные и нежелательные приложения, поэтому владельцам мобильных Android-устройств необходимо устанавливать программы только от известных и проверенных разработчиков. Кроме того, следует обращать внимание на отзывы других пользователей. Для защиты смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 140 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

1 марта 2019 года

В феврале статистика серверов Dr.Web зарегистрировала снижение количества уникальных угроз на 9.73% по сравнению с прошлым месяцем. Активность вирусного программного обеспечения оказалась не сильно выше уровня декабря 2018, но среди некоторых угроз наблюдалась небольшая динамика. К примеру, JS.Miner.28, активность которого выросла в январе, продолжил расти и окончательно вытеснил своего конкурента JS.Miner.11. Троянец Trojan.Starter.7394 вырос на 14.29% процентов по сравнению с январем, а Trojan.DownLoader26.28109 снизил свою активность почти в три раза. Кроме того, в базу нерекомендуемых и вредоносных сайтов было добавлено на 1.68% меньшее доменов, а в техническую поддержку «Доктор Веб» поступило меньше запросов на расшифровку данных.

Главные тенденции февраля

Уменьшилось количество угроз, найденных в почте
Участилось использование рекламного ПО, торрент-клиентов и нежелательных программ

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

Adware.Softobase.12: Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.
Adware.Ubar.13: Торрент-клиент, устанавливающий нежелательное ПО на устройство.
Trojan.Starter.7394: Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.
Adware.Downware.19283: Программа-установщик, обычно распространяется с пиратским контентом. При установке может менять настройки браузеров и устанавливать другие нежелательные программы.
Trojan.MulDrop8.60634: Устанавливает других троянцев в систему. Все устанавливаемые компоненты содержатся в самом теле Trojan.MulDrop.

Снизилось количество угроз от:

Trojan.Encoder.11432: Известен так же как WannaCry. Блокирует доступ к данным с помощью шифрования. Для разблокировки требует перечислить деньги на счет разработчика. Массово поразил устройства по всему миру в мае 2017 года.
Trojan.DownLoader26.28109: Загружает и выполняет вредоносные программы без согласия пользователя.

Статистика вредоносных программ в почтовом трафике

JS.DownLoader.1225: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
W97M.DownLoader.2938: Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
Exploit.ShellCode.69: Еще один вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.
Exploit.Rtf.CVE2012-0158: Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.
JS.Miner.28: Майнер под названием «CryptoLoot». Представляет собой написанный на языке JavaScript сценарий. Предназначен для скрытого майнинга в браузере и используется как альтернатива CoinHive.
Trojan.PWS.Stealer.23680: Семейство троянцев, предназначенных для хищения с инфицированного компьютера паролей и другой конфиденциальной информации.

Шифровальщики

В феврале в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

Trojan.Encoder.858 — 31.39%;
Trojan.Encoder.18000 — 10.18%;
Trojan.Encoder.11464 — 4.67%;
Trojan.Encoder.11539 — 4.67%;
Trojan.Encoder.567 — 2.34%;
Trojan.Encoder.25814 — 2.34%.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение февраля 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 288 159 интернет-адресов.

Январь 2019	Февраль 2019	Динамика
+ 293 012	+ 288 159	-1.68%

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» выявили множество вредоносных и нежелательных программ для ОС Android. В середине февраля вирусные аналитики зафиксировали рекламную кампанию, которою злоумышленники организовали для распространения троянцев Android.HiddenAds. В рекламе на популярных онлайн-ресурсах Instagram и YouTube потенциальным жертвам предлагалось установить программы для редактирования фотографий и видео. Однако в этих приложениях скрывались троянцы.

В течение февраля в вирусную базу было добавлено несколько новых записей для детектирования вредоносных приложений семейства Android.FakeApp. Эти троянцы загружали мошеннические веб-сайты, на которых пользователям за вознаграждение предлагалось пройти опросы. Для получения денег потенциальные жертвы должны были оплатить комиссию за перевод или выполнить некий проверочный платеж для подтверждения своей личности. Если они соглашались на это, то фактически отдавали мошенникам свои деньги и не получали никакого обещанного вознаграждения.

Кроме того, вирусописатели распространяли троянца Android.RemoteCode.2958, который скачивал на Android-устройства другие вредоносные приложения. Был выявлен троянец Android.Proxy.4, превращавший зараженные смартфоны и планшеты в прокси-серверы. Также вирусная база Dr.Web пополнилась записями для детектирования программ с нежелательным рекламным модулем Adware.Sharf.2 и новыми представителями семейства Adware.Patacore.

Наиболее заметное событие, связанное с «мобильной» безопасностью в феврале:

распространение вредоносных программ в Google Play.

Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

1 февраля 2019 года

В уходящем месяце владельцам Android-устройств угрожало множество вредоносных программ. В начале января вирусные аналитики «Доктор Веб» исследовали троянца Android.Spy.525.origin, предназначенного для кибершпионажа. Позднее были обнаружены очередные рекламные троянцы, которые получили имена Android.HiddenAds.361.origin и Android.HiddenAds.356.origin. В течение месяца наши специалисты обнаружили несколько новых кликеров семейства Android.Click, которых вирусописатели выдавали за официальные приложения букмекерских контор. Кроме того, киберпреступники распространяли троянцев-загрузчиков семейства Android.DownLoader, скачивавших на смартфоны и планшеты Android-банкеров.

ГЛАВНЫЕ ТЕНДЕНЦИИ ЯНВАРЯ

Обнаружение вредоносных программ в каталоге Google Play
Распространение Android-троянца, предназначенного для кибершпионажа

Мобильная угроза месяца

В начале января в вирусную базу Dr.Web была добавлена запись для детектирования троянца-шпиона Android.Spy.525.origin. Он распространялся через каталог Google Play под видом полезных приложений, а также с использованием принадлежащего злоумышленникам вредоносного сайта, при посещении которого потенциальные жертвы перенаправлялись на популярный файлообменный ресурс MediaFire, где хранилась копия троянца.

По команде управляющего сервера Android.Spy.525.origin мог отслеживать местоположение зараженного смартфона или планшета, красть СМС-переписку, информацию о телефонных звонках, данные из телефонной книги, хранящиеся на устройстве файлы, а также показывать фишинговые окна.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin: Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.
Android.RemoteCode.197.origin: Вредоносное приложение, предназначенное для загрузки и выполнения произвольного кода.
Android.HiddenAds.261.origin
Android.HiddenAds.659: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.Mobifun.4: Троянец, который загружает различные приложения.

Adware.Zeus.1
Adware.AdPush.29.origin
Adware.Patacore.1.origin
Adware.Patacore.168
Adware.Jiubang.2: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

Помимо Android.Spy.525.origin, в январе в Google Play были обнаружены и другие угрозы. В начале месяца вирусная база Dr.Web пополнилась записями для детектирования троянцев Android.HiddenAds.361.origin и Android.HiddenAds.356.origin. Эти вредоносные программы представляли собой модификации Android.HiddenAds.343.origin, о котором наша компания сообщала в декабрьском обзоре 2018 года. Android.HiddenAds.361.origin и Android.HiddenAds.356.origin распространялись под видом полезных программ. После запуска они скрывали свои значки и начинали показывать рекламу.

Кроме того, вирусные аналитики исследовали множество загрузчиков. Киберпреступники выдавали их за полезные программы, такие как конвертеры валют, официальные банковские приложения и другое ПО. Эти троянцы получили имена Android.DownLoader.4063, Android.DownLoader.855.origin, Android.DownLoader.857.origin, Android.DownLoader.4102 и Android.DownLoader.4107. Они скачивали и пытались установить на мобильные устройства Android-банкеров, предназначенных для кражи конфиденциальной информации и денег со счетов клиентов кредитных учреждений.

Одним из загружаемых банковских троянцев был Android.BankBot.509.origin, являвшийся модификацией Android.BankBot.495.origin. О нем наша компания сообщала в декабре прошлого года. Этот банкер использовал специальные возможности (Accessibility Service), с помощью которых самостоятельно управлял установленными приложениями, нажимая на кнопки и элементы меню. Другой троянец, получивший имя Android.BankBot.508.origin, показывал фишинговые окна и пытался украсть логины, пароли и другую персональную информацию. Кроме того, он перехватывал СМС-сообщения с кодами подтверждения финансовых операций.

В конце января специалисты «Доктор Веб» обнаружили очередных троянцев-кликеров семейства Android.Click. Среди них — Android.Click.651, Android.Click.664, Android.Click.665 и Android.Click.670. Злоумышленники распространяли их под видом официальных программ букмекерских контор. Эти вредоносные приложения могли по команде управляющего сервера загружать любые веб-сайты, что представляет серьезную опасность.

Специалисты компании «Доктор Веб» продолжают отслеживать «мобильную» вирусную обстановку и оперативно добавлять в вирусную базу Dr.Web записи для детектирования и удаления вредоносных и нежелательных программ. Благодаря этому смартфоны и планшеты с установленными на них продуктами Dr.Web для Android находятся под надежной защитой.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 140 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

1 февраля 2019 года

Ушедший 2018 год выдался интересным для сферы информационной безопасности. Но, как и ожидалось, к концу года наступило затишье. Киберпреступники если не ушли в спячку, то ослабили на время активность. Однако несмотря на ожидаемое спокойствие в период новогодних праздников, наша статистика зафиксировала несколько интересных и немного тревожных тенденций января.

В середине месяца владельцев криптовалют атаковал троянец, распространявшийся под видом полезной программы. По сравнению с прошлым месяцем на 28% увеличилось количество устройств, зараженных Trojan.Winlock.14244. Кроме того, через почту было отправлено на 50% больше вредоносных файлов, использующих уязвимость Microsoft Office.

Главные тенденции января

Увеличилось число заражений блокировщиками системы
Участилось использование уязвимостей Microsoft Office
Выросла активность распространения рекламного ПО

Угроза месяца

В январе аналитики «Доктор Веб» обнаружили троянца в программе для отслеживания курса криптовалют. Вредоносная программа распространялась вместе с утилитой и устанавливала на зараженные устройства других троянцев. Используя эти программы, хакеры получали возможность красть личные данные пользователей, в том числе пароли от кошельков криптовалют.

Подробнее о троянце.

По данным серверов статистики «Доктор Веб»

Растущие угрозы этого месяца:

Trojan.Winlock.14244: Блокирует или ограничивает доступ пользователя к операционной системе и её основным функциям. Для разблокировки системы требует перечислить деньги на счет разработчиков троянца.
Adware.Downware.19283: Программа-установщик, обычно распространяется с пиратским контентом. При установке может менять настройки браузеров и устанавливать другие нежелательные программы.
Trojan.DownLoader26.28109: Загружает и выполняет вредоносные программы без согласия пользователя.
Trojan.Encoder.11432: Известен так же как WannaCry. Блокирует доступ к данным с помощью шифрования. Для разблокировки требует перечислить деньги на счет разработчика. Массово поразил устройства по всему миру в мае 2017 года.

Снизилось количество угроз от:

Trojan.Starter.7394: Троянец, предназначенный для запуска другого вредоносного ПО на устройстве пользователя.
Trojan.MulDrop8.60634: Устанавливает других троянцев в систему. Все устанавливаемые компоненты содержатся в самом теле Trojan.MulDrop.
Trojan.Zadved.1313: Рекламное ПО. Подменяет поисковую выдачу, перенаправляет пользователя на сайты рекламодателей и показывает назойливую рекламу.

Статистика вредоносных программ в почтовом трафике

Выросло число заражений:

JS.DownLoader.1225: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
Exploit.Rtf.CVE2012-0158: Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.
W97M.DownLoader.2938: Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
Exploit.ShellCode.69: Еще один вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.
Trojan.PWS.Stealer.23680: Семейство троянцев, предназначенных для хищения с инфицированного компьютера паролей и другой конфиденциальной информации.

Возросла активность следующих угроз:

Trojan.Nanocore.23: Этот опасный троянец с удаленным доступом заразил почти в 4 раза больше устройств, чем в прошлом месяце. Он позволяет хакерам удаленно контролировать зараженный компьютер, в том числе включить камеру и микрофон на устройстве, если они доступны.
JS.Miner.28: Сценарий, написанный на языке JavaScript. Предназначен для скрытого майнинга в браузере. Используется как альтернатива CoinHive.

Сократилось использование такого вредоносного ПО как:

Trojan.Fbng.8: Троянец, также известный как FormBook. Предназначен для кражи персональных данных с зараженного устройства. Может получать команды с сервера разработчика.
Trojan.Encoder.26375: Представитель семейства троянцев-вымогателей. Шифрует файлы на компьютере и требует от жертвы выкуп за расшифровку.
JS.Miner.11: Группа сценариев, написанных на языке JavaScript. Тоже предназначены для скрытого майнинга в браузере. Используют популярный майнер — CoinHive.

Активность Trojan.SpyBot.699 незначительно снизилась в декабре, но он продолжает оставаться актуальным в последние три месяца. Этот банковский троянец позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.

Шифровальщики

В январе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

Trojan.Encoder.858 — 26.32%
Trojan.Encoder.11464 — 12.63%
Trojan.Encoder.11539 — 7.72%
Trojan.Encoder.25574 — 1.58%
Trojan.Encoder.567 — 5.96%
Trojan.Encoder.5342 — 0.88%

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение января 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 293 012 интернет-адресов.

Декабрь 2018	Январь 2019	Динамика
+ 257 197	+ 293012	+13.93%

Вредоносное и нежелательное ПО для мобильных устройств

На протяжении всего января в каталоге Google Play было обнаружено множество вредоносных программ. Среди них — загрузчики семейства Android.DownLoader, которые скачивали на мобильные устройства Android-банкеров. Также злоумышленники распространяли троянцев Android.HiddenAds.361.origin и Android.HiddenAds.356.origin — после запуска они скрывали свои значки и начинали показывать рекламу. В конце месяца вирусные аналитики выявили несколько новых троянцев-кликеров семейства Android.Click, способных по команде управляющего сервера загружать любые веб-сайты. Кроме того, пользователям угрожал троянец-шпион Android.Spy.525.origin, который похищал конфиденциальную информацию.

Наиболее заметные события, связанные с «мобильной» безопасностью в январе:

выявление в Google Play множества новых вредоносных программ;
распространение троянца-шпиона.

Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающие курсы

Просветительские проекты

Брошюры

28 декабря 2018 года

Уходящий год был отмечен широким распространением троянцев-майнеров, предназначенных для добычи криптовалют без ведома пользователей. Подобные вредоносные программы угрожали не только пользователям Microsoft Windows, но также владельцам различных устройств, работающих под управлением ОС семейства Linux. Не утратили своих позиций и энкодеры, шифрующие файлы на зараженных компьютерах и требующие выкуп за их расшифровку: в феврале и апреле специалисты «Доктор Веб» выявили двух новых представителей этого семейства, один из которых, несмотря на заверения вирусописателей, был неспособен восстановить поврежденные файлы даже в случае уплаты жертвой вознаграждения.

В конце марта 2018 года был исследован троянец Trojan.PWS.Stealer.23012, распространявшийся на сайте YouTube. Он был написан на языке Python и предназначен для хищения с зараженного устройства файлов и другой конфиденциальной информации. Проведенное аналитиками «Доктор Веб» расследование позволило выявить создателя этой вредоносной программы и нескольких ее модификаций. Благодаря еще одному расследованию был установлен злоумышленник, похищавший личную информацию у пользователей игровой платформы Steam при помощи специально созданного для этих целей троянца Trojan.PWS.Steam.13604. Деятельность другого сетевого преступника, промышлявшего в сфере криптовалют и заработавшего на обмане интернет-пользователей десятки тысяч долларов, специалисты «Доктор Веб» детально изучили в октябре.

В течение всего года проявляли активность кибермошенники, завлекавшие своих жертв на поддельные сайты и досаждавшие им массовыми почтовыми рассылками. Если в начале года сетевые жулики отправляли почтовые сообщения от имени компании Mail.Ru Group, пытаясь завладеть логинами и паролями пользователей почтового сервиса, то весной они активно рассылали письма с предложениями получить несуществующие денежные компенсации. Летом спамеры тревожили администраторов доменов, представляясь сотрудниками компании-регистратора «Региональный Сетевой Информационный Центр» (RU-CENTER). Их целью было получить деньги за продление регистрации доменных имен, принадлежащих потенциальным жертвам.

В 2018 году вирусописатели не обошли своим вниманием и пользователей мобильных устройств, работающих под управлением Google Android. Еще в январе специалисты по информационной безопасности обнаружили в каталоге Google Play зараженные игры, которые в совокупности были скачаны более 4 500 000 раз. Чуть позже был выявлен Android-майнер, способный заразить 8% различных «умных» устройств, таких как телевизоры, телеприставки, роутеры и иные приспособления, относящиеся к миру «Интернета вещей».

В течение всего года вирусные аналитики предупреждали пользователей о распространении банковских троянцев для ОС Android, обладающих широчайшим диапазоном функциональных возможностей. Кроме того, был обнаружен целый ряд подделок под популярные Android-приложения, которые злоумышленники использовали в целях фишинга. Некоторые мобильные троянцы подписывали своих жертв на различные платные услуги, другие зарабатывали с помощью «невидимой» рекламы, третьи загружали на зараженное устройство другое вредоносное ПО.

Главные тенденции года

Распространение троянцев-майнеров, предназначенных для тайной добычи криптовалют с использованием аппаратных ресурсов зараженного компьютера
Появление новых вредоносных программ для ОС Linux и «Интернета вещей»
Рост числа троянцев для мобильной платформы Google Android

Наиболее интересные события 2018 года

В феврале 2018 года был обнаружен новый троянец-шифровальщик, добавленный в вирусные базы Dr.Web под именем Trojan.Encoder.24384. Эта вредоносная программа собирает информацию о запущенных на зараженном устройстве антивирусах и умеет завершать работающие приложения по заранее составленному вирусописателями списку. Троянец шифрует файлы на фиксированных, съемных и сетевых дисках, за исключением ряда служебных и системных папок.

Другой энкодер, получивший известность под именем Trojan.Encoder.25129, при запуске пытался определить географическое положение жертвы по IP-адресу сетевого интерфейса ее устройства. Вирусописатели предусмотрели отмену шифрования для IP-адресов из России, Беларуси или Казахстана (а также если в настройках операционной системы установлены русский язык и российские региональные параметры), однако из-за допущенной в коде троянца ошибки это условие не соблюдалось и шифрование выполнялось в любом случае. После завершения своей вредоносной деятельности троянец показывал на экране требование выкупа.

К сожалению, упомянутая выше ошибка была не единственной в коде этого энкодера: благодаря еще одной оплошности вирусописателей расшифровать поврежденные троянцем файлы оказались не в состоянии даже его авторы. Этот факт еще раз подтверждает важность своевременного резервного копирования всех актуальных для пользователей файлов.

В конце марта аналитики «Доктор Веб» исследовали троянца-шпиона Trojan.PWS.Stealer.23012, написанного на Python и предназначенного для хищения конфиденциальных данных. Вредоносная программа, как и несколько ее модификаций, распространялась через сайт популярного видеохостинга YouTube с помощью ссылок в описаниях видеороликов. Ролики были посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений и активно рекламировались в Twitter.

Спустя месяц с небольшим наши специалисты смогли вычислить и автора этих троянцев. Вредоносная программа и ее модификации воровали сохраненные пароли и файлы cookies браузеров, основанных на Chromium, информацию из мессенджера Telegram, FTP-клиента FileZilla, изображения и офисные документы по заранее заданному списку. Одна из модификаций троянца активно рекламировалась на различных Telegram-каналах. Благодаря тому, что логины и пароли от облачных хранилищ, в которые загружались архивы с украденными файлами, были «зашиты» в тело самих троянцев, вирусные аналитики «Доктор Веб» вычислили и автора этих вредоносных программ, и всех его клиентов. Этому расследованию была посвящена опубликованная на нашем сайте статья.

Другое расследование наших аналитиков, результаты которого были обнародованы в конце мая, посвящено автору троянцев-шпионов, похищавших личные данные у пользователей игровой платформы Steam. Этот злоумышленник использовал сразу несколько способов криминального заработка: мошеннические «рулетки» (своеобразные аукционы, на которые пользователи могут выставить различные игровые предметы), где всегда выигрывают созданные мошенником программы-боты, и аренда вредоносных программ для всех желающих. Для распространения троянцев киберпреступник использовал методы социальной инженерии и поддельные сайты.

О принципах работы троянцев-шпионов Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278, а также об их создателе мы подробно рассказали в своей статье.

Летом аналитики «Доктор Веб» предупредили пользователей о появлении троянца-майнера Trojan.BtcMine.2869, который для своего распространения применял те же методы, что и нашумевший шифровальщик Trojan.Encoder.12544, известный под наименованиями Petya, Petya.A, ExPetya и WannaCry-2. Троянец проникал на компьютеры своих жертв с помощью механизма обновления программы «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе. В период с 24 мая по 4 июля 2018 года майнер успел заразить более 2700 компьютеров.

В сентябре специалисты компании «Доктор Веб» обнаружили банковского троянца Trojan.PWS.Banker1.28321, распространявшегося под видом приложения Adobe Reader и угрожавшего клиентам бразильских кредитных организаций.

При попытке открыть в браузере страницу интернет-банка ряда бразильских финансовых организаций троянец незаметно подменял ее, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просил указать проверочный код авторизации из полученного от банка СМС-сообщения. Эту информацию троянец передавал злоумышленникам. Вирусные аналитики выявили более 340 уникальных образцов Trojan.PWS.Banker1.28321, а также обнаружили 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов. Более подробно об этой вредоносной программе мы рассказали в опубликованной на нашем сайте обзорной статье.

Еще одно проведенное нашими аналитиками расследование, завершившееся в середине октября, было посвящено деятельности киберпреступника, промышлявшего на рынке криптовалют. Злоумышленник использовал целый арсенал вредоносных программ, таких как стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony и многие другие. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Среди них — поддельная криптовалютная биржа, пул устройств для майнинга криптовалюты Dogecoin, который якобы сдается в аренду по очень выгодным ценам, и партнерская программа, предлагавшая вознаграждение за просмотр сайтов в Интернете.

Еще один проект того же автора — онлайн-лотереи, призом в которых служит определенная сумма в криптовалюте Dogecoin. Лотереи устроены таким образом, что выиграть в них стороннему участнику невозможно, заработать на этом может только сам организатор розыгрыша. Среди других начинаний сетевого мошенника — партнерская программа, предлагающая выплату вознаграждения в Dogecoin за просмотр веб-страниц с рекламой (под видом необходимого для такой работы плагина с сайта киберпреступника загружается троянец), и традиционный фишинг. Более подробно обо всех этих видах мошенничества мы рассказали читателям в нашей публикации.

В ноябре была обнаружена вредоносная программа Trojan.Click3.27430, накручивавшая посещаемость веб-сайтов. Троянец маскировался под программу DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса.

Согласно информации, которую удалось собрать аналитикам «Доктор Веб», на сегодняшний день от этого троянца пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются 2013 годом. Более полные сведения об этом инциденте изложены в размещенном на нашем сайте новостном материале.

Вирусная обстановка

По данным серверов статистики «Доктор Веб» в 2018 году на компьютерах чаще всего обнаруживались написанные на JavaScript вредоносные сценарии, предназначенные для встраивания постороннего содержимого в веб-страницы и добычи криптовалют, а также троянцы-шпионы и вредоносные загрузчики.

JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.SpyBot.699: Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.
JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.Encoder.567: Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
JS.Miner: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
VBS.BtcMine: Семейство сценариев на языке VBS, предназначенных для скрытой добычи (майнинга) криптовалют.

В анализе почтового трафика наблюдается схожая картина, однако во вложениях в сообщения электронной почты намного чаще встречаются троянцы-шпионы:

JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.SpyBot.699: Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.
Trojan.Encoder.567: Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
JS.Miner: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Троянцы-шифровальщики

По сравнению с предыдущим годом, в 2018-м число обращений в службу технической поддержки компании «Доктор Веб» от пользователей, файлы которых оказались зашифрованы троянцами-энкодерами, снизилось. Незначительный всплеск количества пострадавших от шифровальщиков отмечался в период с мая по август, минимальное количество обращений было зафиксировано в январе, максимальное — в ноябре.

Согласно статистике, чаще всего на устройства проникал энкодер Trojan.Encoder.858, вторым по количеству заражений стал Trojan.Encoder.11464, третье место занимает Trojan.Encoder.567.

Наиболее распространенные шифровальщики в 2018 году:

Trojan.Encoder.858 — 19,83% обращений;
Trojan.Encoder.11464 — 9,64% обращений;
Trojan.Encoder.567 — 5,08% обращений;
Trojan.Encoder.11539 — 4,79% обращений;
Trojan.Encoder.25574 — 4,46% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Вредоносные программы для Linux

Среди вредоносных программ для операционных систем семейства Linux в 2018 году чаще всего проявляли себя майнеры, предназначенные для добычи криптовалют. Первые подобные атаки на работающие под управлением Linux серверы были зафиксированы вирусными аналитиками «Доктор Веб» в начале мая 2018 года. Киберпреступники соединялись с сервером по протоколу SSH, подбирали логин и пароль методом их перебора по словарю (bruteforce) и после успешной авторизации на сервере отключали утилиту iptables, управляющую работой межсетевого экрана. Затем злоумышленники загружали на атакованный сервер утилиту-майнер и файл конфигурации для нее. Чуть позже они начали использовать для этих целей вредоносные программы. Так, в августе вирусные аналитики обнаружили троянца Linux.BtcMine.82, написанного на языке Go. Он представлял собой дроппер, который устанавливал на зараженное устройство содержащийся в нем майнер.

Исследовав сервер, с которого загружалась эта вредоносная программа, наши специалисты обнаружили там аналогичных по своим функциям троянцев для Microsoft Windows. Более подробную информацию об этом инциденте можно получить, ознакомившись с опубликованной на нашем сайте статьей.

В ноябре был выявлен еще один Linux-майнер, получивший наименование Linux.BtcMine.174. Он представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Этот троянец состоит из нескольких модулей и умеет отключать работающие на зараженном устройстве антивирусные программы, а также заражать другие устройства в сети. Кроме того, он скачивает и устанавливает на инфицированной машине одну из версий троянца Linux.BackDoor.Gates.9, предназначенного для выполнения поступающих от злоумышленников команд и осуществления DDoS-атак. Об этой вредоносной программе мы также рассказывали в соответствующей новостной публикации.

Опасные и нерекомендуемые сайты

Базы Родительского (Офисного) контроля и веб-антивируса SpIDer Gate регулярно пополняются новыми адресами нерекомендуемых и потенциально опасных сайтов. Среди них — мошеннические и фишигновые ресурсы, а также страницы, с которых распространяется вредоносное ПО. Динамика пополнения этих баз в уходящем году показана на представленной ниже диаграмме.

Сетевое мошенничество

Мошенничество в Интернете — весьма распространенный вид криминального бизнеса, и в 2018 году сетевые жулики отнюдь не ушли на заслуженный отдых. Еще в самом начале марта была зафиксирована массовая рассылка фишинговых писем якобы от имени компании Mail.Ru Group. Целью злоумышленников было получение учетных данных пользователей почтового сервера Mail.Ru, для чего киберпреступники использовали поддельный веб-сайт, повторяющий своим оформлением эту популярную почтовую службу.

В мае мы рассказали нашим читателям об очередной схеме сетевого мошенничества, в которой жулики использовали обещания щедрых социальных выплат. При помощи спама и массовых СМС-рассылок жертв завлекали на специально созданные сайты, на которых сообщалось о якобы существующей возможности получить компенсацию за переплату предоставляемых населению коммунальных, медицинских услуг или услуг обязательного страхования. Для получения выплаты мошенники требовали перевести на их счет небольшую сумму. Разумеется, никаких денежных компенсаций обманутым пользователям после такой оплаты не предоставлялось.

Специалисты компании «Доктор Веб» выявили более 110 подобных сайтов, созданных сетевыми мошенниками в период с февраля по май 2018 года. А в августе злоумышленники стали рассылать письма администратором доменов, зарегистрированных в компании «Региональный Сетевой Информационный Центр» (RU-CENTER). Жулики предлагали оплатить продление доменов, срок делегирования которых подходил к концу, при этом вместо официальных реквизитов RU-CENTER они предлагали сделать перевод на собственный кошелек в электронной платежной системе «Яндекс.Деньги».

Мошенники часто рассылают электронные письма от имени известных компаний — не минула эта участь и популярный интернет-магазин Aliexpress. Жулики отправляли его постоянным покупателям сообщения с предложением посетить специальный интернет-магазин с многочисленными скидками и подарками.

В действительности «магазин» представлял собой страницу со ссылками на различные мошеннические торговые площадки, продававшие некачественные товары или товары по завышенным ценам. Вопрос о том, как злоумышленникам удалось раздобыть базу с контактами реальных покупателей Aliexpress, до сих пор остается открытым.

Для мобильных устройств

В уходящем году пользователям Android-устройств угрожало множество вредоносных программ. Среди них были банковские троянцы, с помощью которых злоумышленники пытались украсть деньги жителей России, Турции, Бразилии, Испании, Германии, Франции и других государств. Весной вирусные аналитики обнаружили троянца Android.BankBot.344.origin — он распространялся под видом универсального банковского приложения и атаковал клиентов российских кредитных организаций. Android.BankBot.344.origin запрашивал у потенциальной жертвы логин и пароль от личного кабинета в системе онлайн-банкинга, а также номер банковской карты, и передавал полученные данные злоумышленникам.

В ноябре специалисты «Доктор Веб» исследовали вредоносную программу Android.Banker.2876, предназначенную для европейских пользователей Android-устройств. Она перехватывала СМС, крала информацию о номере телефона и другие конфиденциальные сведения.

А уже в декабре был выявлен троянец Android.BankBot.495.origin, атаковавший бразильских пользователей. Он пытался получить доступ к специальным возможностям (Accessibility Service) ОС Android, с использованием которых считывал содержимое окон банковских приложений и самостоятельно управлял ими, нажимая на кнопки меню. Также Android.BankBot.495.origin показывал мошеннические формы поверх атакуемых программ и предлагал жертве ввести аутентификационные данные.

На протяжении всего года вирусописатели активно распространяли Android-банкеров, созданных на основе опубликованного в открытом доступе исходного кода троянца Android.BankBot.149.origin. Среди них были вредоносные программы Android.BankBot.250.origin и Android.BankBot.325.origin, не только способные красть конфиденциальную информацию, но и позволявшие злоумышленникам получать дистанционный доступ к зараженным устройствам.

Многие банкеры попадали на устройства благодаря троянцам-загрузчикам, таким как Android.DownLoader.753.origin, Android.DownLoader.768.origin и Android.DownLoader.772.origin. Киберпреступники выдавали их за полезные программы, которые на самом деле скачивали и пытались установить банковских троянцев. Подобные загрузчики использовались для распространения других вредоносных приложений – например, троянцев-шпионов Android.Spy.409.origin и Android.Spy.443.origin, а также рекламных троянцев Android.HiddenAds.710 и Android.HiddenAds.728, о которых компания «Доктор Веб» сообщала в августе.

В 2018 году владельцам Android-устройств снова угрожали троянцы семейства Android.RemoteCode, способные скачивать из Интернета и запускать произвольный код. Одного из них, получившего имя Android.RemoteCode.127.origin, вирусные аналитики обнаружили в феврале. Android.RemoteCode.127.origin загружал вспомогательные модули, которые также скачивали и запускали другие вредоносные плагины, способные выполнять различные действия. Чтобы снизить вероятность обнаружения компонентов этого троянца, злоумышленники зашифровали их и скрыли в изображениях.

Другой троянец этого семейства, добавленный в вирусную базу Dr.Web как Android.RemoteCode.152.origin, загружал и запускал рекламные модули. Они создавали невидимые баннеры, на которые и нажимал Android.RemoteCode.152.origin, принося киберпреступникам доход.

Для получения незаконного заработка сетевые мошенники применяли и другие вредоносные программы. Среди них были троянцы-майнеры, такие как Android.CoinMine.15. Он заражал различные устройства под управлением ОС Android — роутеры, телеприставки, медиаплееры, «умные» телевизоры и т. п. Android.CoinMine.15 распространялся как сетевой червь, проникая на оборудование с открытым портом 5555, который используется отладчиком ADB (Android Device Bridge).

Осенью специалисты «Доктор Веб» обнаружили троянца-клипера Android.Clipper.1.origin, подменявшего в буфере обмена номера электронных кошельков популярных платежных систем «Яндекс.Деньги», Qiwi и Webmoney (R и Z), а также криптовалют Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH и Blackcoin. При копировании номера одного из них в буфер обмена Android.Clipper.1.origin заменял его на номер вирусописателей, из-за чего невнимательные пользователи рисковали перевести деньги злоумышленникам.

Вирусописатели активно применяли троянцев и в мошеннических кампаниях. Популярной схемой сетевых жуликов в 2018 году было обещание вознаграждения за прохождение опросов. При запуске такие троянцы показывали на экране созданные злоумышленниками веб-страницы, где потенциальным жертвам предлагалось ответить на несколько вопросов. Для получения денег от пользователей требовалась некая проверочная или иная оплата, однако после отправки средств владельцы зараженных устройств не получали ничего. Также популярностью пользовались вредоносные программы-кликеры, которые загружали сайты с рекламой и автоматически нажимали на расположенные на них объявления. Более детально об этих случаях наша компания рассказывала в соответствующей статье.

Другой тип мошенничества заключался в подписке владельцев Android-смартфонов и планшетов на дорогостоящие услуги. Троянцы, такие как Android.Click.245.origin, загружали веб-сайты, на которых жертвам предлагалось скачать различное ПО. Для этого у них запрашивались номера телефонов, на которые приходили коды подтверждения. Однако в некоторых случаях подписка происходила и вовсе автоматически. Этот тип мошенничества освещался в нашем новостном материале.

В уходящем году были выявлены очередные случаи заражения Android-прошивок. Об одном из них мы сообщали в марте. Вирусные аналитики обнаружили троянца Android.Triada.231 в прошивках более 40 моделей мобильных устройств. Злоумышленники встроили эту вредоносную программу в одну из системных библиотек на уровне исходного кода. Android.Triada.231 начинал работу автоматически при каждом включении зараженных смартфонов и планшетов. При старте он внедрялся в системный процесс Zygote, ответственный за запуск остальных процессов, в результате чего проникал во все из них и мог выполнять вредоносные действия без участия пользователя. Основная функция Android.Triada.231 — незаметное скачивание, установка и удаление программ.

Перспективы и вероятные тенденции

Несмотря на то, в что в 2018 году не случилось серьезных вирусных эпидемий, в будущем вполне возможны новые волны массового распространения различных угроз. По-прежнему будет расти число вредоносных сценариев, написанных на различных интерпретируемых языках. При этом подобные скрипты будут угрожать не только устройствам под управлением Microsoft Windows, но и другим платформам, прежде всего — Linux.

Будут появляться новые троянцы-майнеры, предназначенные для добычи криптовалют с использованием аппаратных ресурсов инфицированных устройств. Не ослабнет интерес злоумышленников и к «Интернету вещей»: троянцы для «умных устройств» существуют уже сейчас, но в недалеком будущем их количество наверняка вырастет.

Имеются все основания полагать, что в 2019 году вирусописатели будут создавать и распространять новых троянцев для мобильной платформы Google Android. Тенденции уходящего года показывают, что среди мобильных вредоносных программ скорее всего будут преобладать рекламные и банковские троянцы.

Также вряд ли снизится число мошеннических почтовых рассылок: сетевые жулики будут изобретать все новые и новые способы обмана интернет-пользователей. Как бы то ни было, в наступающем году определенно появятся новые угрозы информационной безопасности, а значит, очень важно обеспечить своим устройствам надежную и современную антивирусную защиту.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

28 декабря 2018 года

В начале декабря бразильских пользователей Android-устройств атаковал банковский троянец, распространявшийся через Google Play. Кроме того, в течение месяца в этом официальном каталоге ПО для Android были выявлены другие вредоносные приложения. В конце декабря специалисты «Доктор Веб» обнаружили новую версию коммерческой шпионской программы, собирающей большой объем конфиденциальной информации.

ГЛАВНЫЕ ТЕНДЕНЦИИ ДЕКАБРЯ

Распространение опасного банковского троянца, предназначенного для пользователей из Бразилии
Обнаружение новой версии потенциально опасной программы, созданной для слежки за пользователями мобильных устройств
Выявление множества вредоносных и нежелательных приложений в Google Play

Мобильная угроза месяца

В начале декабря вирусные аналитики исследовали банковского троянца Android.BankBot.495.origin, атаковавшего клиентов бразильских кредитных учреждений. Эта вредоносная программа пыталась получить доступ к специальным возможностям (Accessibility Service) ОС Android, с использованием которых она самостоятельно управляла банковскими программами, считывала содержимое их окон и передавала злоумышленникам конфиденциальную информацию. Кроме того, Android.BankBot.495.origin показывал фишинговые окна поверх приложений и обманом получал от жертв пароли, логины, данные банковских карт и другие секретные сведения.

Подробнее об этом троянце рассказано в опубликованной на сайте компании «Доктор Веб» новости.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin: Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.
Android.HiddenAds.261.origin
Android.HiddenAds.659: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.DownLoader.573.origin: Троянец, загружающий другие вредоносные приложения.
Android.Mobifun.4: Троянец, который загружает различные приложения.

Adware.Zeus.1
Adware.Patacore.1.origin
Adware.Adpush.2514
Adware.AdPush.29.origin
Adware.Jiubang.2: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

В течение месяца в Google Play было выявлено множество вредоносных и нежелательных программ. Среди них — рекламные троянцы Android.HiddenAds.343.origin и Android.HiddenAds.847, распространявшиеся под видом игр и полезных приложений. После запуска они скрывали свой значок с главного экрана и начинали показывать рекламу.

Также были выявлены программы со встроенными нежелательными модулями Adware.Patacore и Adware.HiddenAds. Они демонстрировали рекламу даже тогда, когда содержащее их ПО не было запущено. В общей сложности такие программы установили свыше 5 300 000 пользователей.

Злоумышленники вновь распространяли мошеннические приложения. В вирусную базу Dr.Web были добавлены записи для детектирования троянцев Android.FakeApp.149, Android.FakeApp.151 и Android.FakeApp.152. Эти вредоносные программы загружали веб-страницы, на которых потенциальным жертвам предлагалось за вознаграждение ответить на вопросы. Для получения «оплаты» от пользователя требовалось выполнить проверочный платеж, однако после перевода средств киберпреступникам владельцы зараженных устройств не получали ничего.

Кроме того, вирусные аналитики обнаружили троянца Android.Proxy.4.origin, которого вирусописатели использовали для перенаправления трафика через смартфоны и планшеты их владельцев. Android.Proxy.4.origin скрывался в безобидных на первый взгляд играх.

Кибершпионаж

Среди выявленных в декабре потенциально опасных программ оказалась новая версия коммерческого шпиона Program.Spyzie.1.origin, который позволяет следить за пользователями Android-устройств. Он перехватывает содержимое СМС и сообщений электронной почты, отслеживает телефонные звонки, историю посещений веб-браузера, координаты зараженного смартфона или планшета, получает доступ к переписке в популярных программах для онлайн-общения, а также крадет другую информацию.

Пользователям ОС Android угрожают различные вредоносные и нежелательные программы, которые распространяются как при помощи веб-сайтов, так и через каталог Google Play. Кроме того, злоумышленники могут инсталлировать их самостоятельно, если получат физический доступ к мобильным устройствам. Для защиты смартфонов и планшетов их владельцам следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 140 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

28 декабря 2018 года

Последний месяц 2018 года не был отмечен какими-либо заметными событиями в сфере информационной безопасности. Среди обнаруживаемых на компьютерах и в почте вредоносных программ по-прежнему лидируют опасные сценарии, написанные на языке JavaScript. Значительная их часть предназначена для загрузки на инфицированное устройство другого вредоносного ПО и добычи криптовалют с использованием аппаратных ресурсов зараженного компьютера. Как и в ноябре, на жестких дисках часто обнаруживается Trojan.SpyBot.699 — многокомпонентный банковский троянец. С его помощью киберпреступники могут удаленно выполнять на компьютере различные команды и запускать другие вредоносные приложения.

Главные тенденции декабря

Распространение вредоносных сценариев
Появление новых троянцев для мобильной платформы Android

По данным серверов статистики «Доктор Веб»

JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
Trojan.SpyBot.699: Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.
JS.Miner: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
VBS.DownLoader: Семейство вредоносных сценариев, написанных на языке VBS. Загружают и устанавливают на компьютер другие вредоносные программы.

Статистика вредоносных программ в почтовом трафике

JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
Trojan.SpyBot.699: Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.
W97M.DownLoader: Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
JS.Miner: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Шифровальщики

В декабре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 22.34% обращений;
Trojan.Encoder.11464 — 11.71% обращений;
Trojan.Encoder.11539 — 10.17% обращений;
Trojan.Encoder.25574 — 5.08% обращений;
Trojan.Encoder.567 — 4.93% обращений;
Trojan.Encoder.5342 — 1.54% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение декабря 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 257 197 интернет-адресов.

Ноябрь 2018	Декабрь 2018	Динамика
+ 231 074	+ 257 197	+11.3%

Вредоносное и нежелательное ПО для мобильных устройств

В декабре специалисты «Доктор Веб» обнаружили в каталоге Google Play вредоносное приложение Android.BankBot.495.origin, предназначенное для бразильских пользователей. Оно похищало конфиденциальную банковскую информацию и могло самостоятельно управлять другими программами благодаря специальным возможностям (Accessibility Service) ОС Android. Помимо этого, в Google Play были выявлены рекламные троянцы семейств Adware.HiddenAds и Adware.Patacore и другие вредоносные и нежелательные приложения. Также вирусные аналитики обнаружили новую версию коммерческой шпионской программы Program.Spyzie.1.origin, которая позволяла злоумышленникам следить за владельцами мобильных устройств.

Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:

распространение банковского троянца, атаковавшего пользователей Бразилии;
обнаружение новой версии опасной программы, предназначенной для кибершпионажа;
выявление в Google Play множества вредоносных и нежелательных программ.

Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

28 декабря 2018 года

В уходящем году владельцам мобильных устройств под управлением ОС Android вновь угрожало большое число вредоносных и нежелательных программ, многие из которых распространялись через официальный каталог приложений Google Play. При этом заметно усилилась начавшаяся в 2017 году тенденция использования различных приемов маскировки и сокрытия троянцев для снижения вероятности их обнаружения.

Одной из главных угроз для пользователей смартфонов и планшетов за последние 12 месяцев стали Android-банкеры, атаковавшие клиентов кредитных организаций по всему миру. Кроме того, серьезную опасность представляли вредоносные программы, способные скачивать из Интернета и запускать произвольный код.

Вирусописатели активно распространяли троянцев, применявшихся в мошеннических схемах, а также задействовали другие вредоносные приложения, с помощью которых получали незаконный доход. Кроме того, злоумышленники снова пытались заработать «мобильной» добычей криптовалют и даже использовали троянцев-клиперов для подмены номеров электронных кошельков в буфере обмена Android-устройств.

Актуальной осталась проблема заражения прошивок смартфонов и планшетов на этапе их производства. Один из случаев внедрения троянца в образ операционной системы Android вирусные аналитики компании «Доктор Веб» выявили весной — тогда были скомпрометированы свыше 40 моделей мобильных устройств.

Также в течение года пользователям угрожали вредоносные приложения, использовавшиеся для кибершпионажа.

Главные тенденции года

Очередные случаи проникновения троянских и нежелательных программ в каталог Google Play
Попытки вирусописателей усложнить обнаружение вредоносных программ
Атаки Android-банкеров на клиентов кредитных организаций по всему миру
Использование троянцами специальных возможностей ОС Android для автоматического выполнения вредоносных действий
Распространение троянцев-клиперов, подменяющих номера электронных кошельков в буфере обмена

Наиболее интересные события

В начале года специалисты по информационной безопасности зафиксировали распространение троянца-майнера Android.CoinMine.15, заражавшего «умные» телевизоры, роутеры, телеприставки и другие устройства под управлением ОС Android. Он проникал на оборудование с использованием отладчика ADB (Android Device Bridge). Для этого Android.CoinMine.15 случайным образом генерировал IP-адреса и пытался подключиться к открытому порту 5555. В случае успеха троянец устанавливал на доступное устройство свою копию вместе со вспомогательными файлами, среди которых были и приложения-майнеры для добычи криптовалюты Monero (XMR).

В марте компания «Доктор Веб» рассказала о новом случае обнаружения троянца Android.Triada.231 в прошивках более 40 моделей Android-смартфонов и планшетов. Неустановленные злоумышленники встроили Android.Triada.231 в одну из системных библиотек на уровне исходного кода, тогда как другие представители семейства Android.Triada обычно распространяются как отдельные приложения. Троянец внедряется в системный процесс Zygote, ответственный за старт программ. В результате Android.Triada.231 заражает остальные процессы и может скрыто выполнять вредоносные действия – например, загружать, устанавливать и удалять ПО без участия пользователя. Более подробные сведения о проведенном специалистами «Доктор Веб» расследовании этого случая доступны в соответствующем информационном материале.

Злоумышленники все чаще используют разнообразные методы, позволяющие уменьшить вероятность обнаружения вредоносных и нежелательных программ. В 2018 году эта тенденция сохранилась. Один из популярных способов снизить заметность — применение приложений-загрузчиков. Благодаря им троянцы и другое опасное ПО дольше остаются вне поля зрения антивирусов и вызывают меньше подозрений у потенциальных жертв. С помощью таких загрузчиков киберпреступники могут распространять вредоносное ПО различного типа – например троянцев-шпионов.

В апреле в каталоге Google Play был обнаружен загрузчик Android.DownLoader.3557, который скачивал на устройства и под видом важных плагинов предлагал пользователям установить вредоносные программы Android.Spy.443.origin и Android.Spy.444.origin. Они отслеживали местоположение зараженного смартфона или планшета, получали информацию обо всех доступных файлах, могли пересылать злоумышленникам документы жертвы, отправлять и красть СМС-сообщения, похищать данные из телефонной книги, записывать видео, прослушивать окружение при помощи встроенного в устройство микрофона, перехватывать телефонные звонки и совершать другие действия.

В августе в Google Play был найден загрузчик Android.DownLoader.784.origin, скачивавший троянца, предназначенного для кибершпионажа. Он получил имя Android.Spy.409.origin. Вирусописатели распространяли Android.DownLoader.784.origin под видом приложения Zee Player, которое позволяло скрывать хранящиеся в памяти мобильных устройств фотографии и видео. Программа была полностью работоспособной, поэтому у жертв злоумышленников не было причин заподозрить какой-либо подвох.

Однако все чаще троянцы-загрузчики используются для распространения Android-банкеров. В июле в Google Play был найден Android.DownLoader.753.origin, которого вирусописатели выдавали за финансовые приложения. Некоторые из них для большей убедительности действительно выполняли заявленные функции. Android.DownLoader.753.origin скачивал и пытался установить различных банковских троянцев, похищавших конфиденциальные данные.

Позднее было выявлено несколько аналогичных вредоносных программ, которые также проникли в Google Play. Одна из них получила имя Android.DownLoader.768.origin — киберпреступники распространяли ее под видом официального ПО корпорации Shell. Другая, добавленная в вирусную базу Dr.Web как Android.DownLoader.772.origin, скрывалась под маской полезных утилит. Оба троянца также использовались для скачивания и установки Android-банкеров.

Загрузчики применяются для заражения мобильных устройств и другим вредоносным ПО. В октябре вирусные аналитики обнаружили в каталоге Google Play троянца Android.DownLoader.818.origin, распространявшегося под видом VPN-клиента. Позже специалисты «Доктор Веб» выявили несколько его модификаций, которые скрывались в поддельных играх и получили имена Android.DownLoader.819.origin и Android.DownLoader.828.origin. Они предназначались для установки рекламных троянцев.

Все большее распространение получают многокомпонентные вредоносные приложения. Каждый из их модулей отвечает за выполнение определенных функций, что позволяет злоумышленникам при необходимости расширять возможности троянцев. Кроме того, такой механизм работы на зараженных мобильных устройствах снижает вероятность выявления угрозы. Вирусописатели способны оперативно обновлять эти плагины и добавлять к ним новые, оставляя основного троянца с минимальным набором функций и делая его менее заметным.

Подобный «комбайн» специалисты «Доктор Веб» обнаружили в феврале — он получил имя Android.RemoteCode.127.origin. Троянец, которого установили свыше 4 500 000 пользователей, незаметно скачивал и запускал вредоносные модули, выполнявшие разнообразные действия. Один из исследованных плагинов Android.RemoteCode.127.origin загружал собственное обновление, скрытое в обычном, на первый взгляд, изображении. Такой способ маскировки вредоносных объектов известен как стеганография. Он знаком специалистам по информационной безопасности уже давно, однако применяется вирусописателями редко.

После расшифровки и запуска модуль скачивал еще одно изображение, в котором скрывался другой плагин, загружавший и запускавший троянца Android.Click.221.origin. Тот незаметно открывал веб-сайты и нажимал на расположенные на них элементы — ссылки и баннеры, — накручивая счетчики посещений и зарабатывая деньги за рекламные «клики».

Примеры изображений с зашифрованными в них модулями Android.RemoteCode.127.origin:

Подробнее об этом троянце рассказано в новостном материале на нашем сайте.

Android.RemoteCode.152.origin — еще один многокомпонентный троянец, способный загружать и выполнять произвольный код. Его установили более 6 500 000 пользователей. Эта вредоносная программа незаметно скачивала и запускала вспомогательные модули, среди которых были рекламные плагины. С их помощью троянец создавал невидимые баннеры с объявлениями и нажимал на них, принося вирусописателям прибыль.

В августе аналитики «Доктор Веб» исследовали троянца-клипера Android.Clipper.1.origin, а также его модификацию Android.Clipper.2.origin. Эта вредоносная программа подменяла в буфере обмена номера электронных кошельков платежных систем «Яндекс.Деньги», Qiwi и Webmoney (R и Z), а также криптовалют Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH и Blackcoin. Вирусописатели распространяли троянца под видом известных и безобидных приложений.

При копировании номера электронного кошелька в буфер обмена Android.Clipper.1.origin перехватывал его и передавал на управляющий сервер. В ответ вредоносная программа получала информацию о номере кошелька злоумышленников, на который троянец заменял номер в буфере обмена. В результате, если пользователь не замечал подмену, он переводил деньги на счет киберпреступников. Подробная информация об Android.Clipper.1.origin доступна в новостной публикации на сайте компании «Доктор Веб».

Вирусная обстановка в сегменте мобильных устройств

Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, в 2018 году на Android-устройствах чаще всего обнаруживались рекламные троянцы, вредоносные программы, скачивающие опасное и ненужное ПО, а также троянцы, выполняющие по команде злоумышленников различные действия.

Android.Backdoor.682.origin: Троянец, выполняющий по команде киберпреступников вредоносные действия.
Android.Mobifun.4: Представители семейства троянцев, предназначенных для показа навязчивой рекламы.
Android.HiddenAds: Представители семейства троянцев, предназначенных для показа навязчивой рекламы.
Android.DownLoader.573.origin: Вредоносная программа, выполняющая загрузку заданных вирусописателями приложений.
Android.Packed.15893: Детектирование троянцев, защищенных программным упаковщиком.
Android.Xiny.197: Троянец, основная задача которого — загрузка и удаление приложений.
Android.Altamob.1.origin: Вредоносная программа, выполняющая загрузку заданных вирусописателями приложений.

Среди нежелательных и потенциально опасных приложений, обнаруженных на Android-устройствах в течение года, самыми распространенными оказались модули, показывающие рекламу. Кроме того, на смартфонах и планшетах детектировались программы, предназначенные для загрузки и установки различного ПО.

Adware.Zeus.1
Adware.Altamob.1.origin
Adware.Jiubang
Adware.Adtiming.1.origin
Adware.Adpush.601
Adware.SalmonAds.3.origin
Adware.Gexin.2.origin

Нежелательные модули, которые разработчики ПО и вирусописатели встраивают в приложения для показа агрессивной рекламы.

Tool.SilentInstaller.1.origin
Tool.SilentInstaller.6.origin

Потенциально опасные программы, предназначенные для загрузки и установки других приложений.

Банковские троянцы

Банковские троянцы по-прежнему представляют серьезную опасность для владельцев мобильных устройств. Эти вредоносные приложения похищают логины и пароли доступа к учетным записям клиентов кредитных организаций, информацию о банковских картах и другие конфиденциальные данные, которые могут использоваться для кражи денег. В течение последних 12 месяцев антивирусные продукты Dr.Web для Android обнаруживали таких троянцев на смартфонах и планшетах свыше 110 000 раз. Динамика детектирования Android-банкеров показана на следующем графике:

Когда в конце 2016 года авторы банковского троянца Android.BankBot.149.origin опубликовали его исходный код, специалисты компании «Доктор Веб» спрогнозировали появление множества вредоносных программ, созданных на его основе. Это предположение оказалось верным: вирусописатели активно приступили к производству похожих банкеров, одновременно совершенствуя их и добавляя новые функции. Одним из таких троянцев, которые злоумышленники распространяли в 2018 году, был Android.BankBot.250.origin, а также его обновленная и еще более опасная версия Android.BankBot.325.origin. Этот банкер, известный под именем Anubis, является многофункциональным вредоносным приложением. Оно не только крадет конфиденциальные данные и деньги пользователей, но и способно выполнять множество команд. Кроме того, с его помощью киберпреступники могут получать дистанционный доступ к зараженным устройствам, применяя Android.BankBot.325.origin как утилиту удаленного администрирования. С деталями исследования этого троянца можно ознакомиться в соответствующем материале на нашем сайте.

В марте специалисты «Доктор Веб» обнаружили в Google Play троянца Android.BankBot.344.origin, скрывавшегося в приложении под названием «ВСЕБАНКИ – Все банки в одном месте». Злоумышленники выдавали его за универсальное приложение для работы с системами онлайн-банкинга нескольких российских кредитных организаций.

При запуске Android.BankBot.344.origin предлагал потенциальной жертве войти в уже существующую банковскую учетную запись, указав логин и пароль, либо зарегистрироваться, предоставив сведения о банковской карте. Вводимая информация передавалась кибержуликам, после чего те могли украсть деньги со скомпрометированного счета.

Осенью вирусные аналитики исследовали банкера Android.Banker.2876, который также распространялся через каталог Google Play и атаковал клиентов кредитных учреждений Испании, Франции и Германии. Он отображал фишинговое окно и предлагал потенциальной жертве указать ее номер телефона, после чего передавал его вирусописателям. Затем Android.Banker.2876 начинал перехватывать СМС-сообщения и отправлял их содержимое злоумышленникам. Благодаря этому те могли получать одноразовые коды подтверждения финансовых операций и красть деньги пользователей.

Вскоре наши специалисты выявили в Google Play троянца Android.BankBot.495.origin, предназначенного для пользователей из Бразилии. Android.BankBot.495.origin задействовал специальные возможности ОС Android. С их помощью он считывал содержимое окон работающих приложений, передавал злоумышленникам конфиденциальные данные, а также самостоятельно нажимал на кнопки и управлял атакованными программами. Кроме того, троянец показывал мошеннические окна, в которых запрашивал логины, пароли, номера кредитных карт и другую секретную информацию.

Мошенничество

Проводя мошеннические кампании, киберпреступники все чаще используют вредоносные программы для мобильных Android-устройств. В 2018 году было выявлено множество таких троянцев. Об одном из них — Android.Click.245.origin — компания «Доктор Веб» рассказывала в апреле. Он распространялся под видом известных приложений, однако занимался лишь загрузкой мошеннических веб-страниц. На них потенциальным жертвам предлагалось скачать то или иное ПО, указав для этого номер мобильного телефона. После ввода номера жертве приходило СМС-сообщение с кодом подтверждения, который был якобы необходим для завершения загрузки приложения. Однако вводя полученный код на сайте, пользователь подписывался на платную услугу. Если же владелец зараженного устройства был подключен к Интернету через мобильную сеть, при нажатии на поддельную кнопку загрузки оформление дорогостоящей услуги происходило автоматически с использованием технологии Wap-Click. Пример таких веб-сайтов показан ниже:

На протяжении года наши специалисты находили в Google Play и других троянцев, способных по команде управляющего сервера загружать любые веб-страницы. Среди них были Android.Click.415, Android.Click.416, Android.Click.417, Android.Click.246.origin, Android.Click.248.origin, Android.Click.458 и ряд других. Они также распространялись под видом полезных программ — сборников рецептов, различных пособий, голосовых помощников, игр и даже букмекерских приложений.

Кроме того, злоумышленники активно распространяли Android-троянцев семейства Android.FakeApp, которые загружали мошеннические сайты с размещенными на них поддельными опросами. Пользователям предлагалось ответить на несколько простых вопросов, за что кибержулики обещали солидное денежное вознаграждение. Для получения оплаты от потенциальной жертвы требовалось выполнить некий проверочный или иной платеж. Однако после перевода средств мошенникам владелец зараженного устройства не получал никаких денег.

В течение года вирусные аналитики обнаружили десятки мошеннических приложений Android.FakeApp и Android.Click, которые в общей сложности установили не менее 85 000 владельцев Android-смартфонов и планшетов. Более детально о некоторых из этих троянцев компания «Доктор Веб» рассказывала в отдельном информационном материале.

Перспективы и тенденции

В следующем году пользователи мобильных устройств вновь столкнутся с атаками банковских троянцев, а вирусописатели продолжат улучшать их функционал. Вполне вероятно, что все большее число Android-банкеров будет становиться универсальными вредоносными программами, способными выполнять широкий спектр задач.

Возрастет число мошеннических приложений и рекламных троянцев. Также вирусописатели не оставят попыток заработать на добыче криптовалют, используя вычислительные мощности Android-устройств. Нельзя исключать очередных случаев заражения прошивок.

Киберпреступники будут совершенствовать способы обхода антивирусов, встроенных в операционную систему Android новых ограничений и защитных механизмов. Не исключено появление руткитов и троянцев, способных обходить эти барьеры. Возможно возникновение вредоносных программ с новыми принципами работы и способами получения конфиденциальной информации. Например, использование датчиков мобильного устройства и слежение за движениями глаз для получения информации о набираемом тексте. Кроме того, в новых вредоносных приложениях злоумышленники могут применять алгоритмы машинного обучения и другие методы искусственного интеллекта.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 140 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

30 ноября 2018 года

В последнем осеннем месяце этого года вирусные аналитики «Доктор Веб» выявили нового банковского троянца для ОС Android. Он распространялся через каталог Google Play и атаковал клиентов европейских кредитных организаций. Кроме того, в течение ноября в Google Play были обнаружены другие троянцы, а также нежелательные программы.

ГЛАВНЫЕ ТЕНДЕНЦИИ НОЯБРЯ

Распространение вредоносных и нежелательных программ в каталоге Google Play

Мобильная угроза месяца

В середине ноября специалисты компании «Доктор Веб» выявили банковского троянца Android.Banker.2876, который угрожал клиентам нескольких европейских кредитных организаций. Он крал конфиденциальную информацию, а также перехватывал и отправлял СМС-сообщения.

Особенности Android.Banker.2876:

распространялся через каталог Google Play;
имитировал банковские приложения испанских, французских и немецких кредитных организаций;
скрывал свой значок из списка приложений главного экрана;
содержал встроенную игру, которую запускал после закрытия своего окна пользователем.

Подробнее об этом троянце рассказано в соответствующей новостной публикации на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin: Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.
Android.Mobifun.4: Троянец, который загружает различные приложения.
Android.HiddenAds.288.origin: Троянец, предназначенный для показа навязчивой рекламы. Распространяется под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают его в системный каталог.
Android.DownLoader.573.origin: Троянец, загружающий другие вредоносные приложения.
Android.RemoteCode.183.origin: Вредоносная программа, предназначенная для загрузки и выполнения произвольного кода.

Adware.Zeus.1
Adware.Adpush.2514
Adware.Patacore.1.origin
Adware.Avazu.5.origin
Adware.Gexin.2.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

В начале ноября вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play приложения со встроенными в них нежелательными рекламными модулями Adware.HiddenAds.7.origin и Adware.HiddenAds.8.origin. Они показывали рекламу даже тогда, когда содержащие их программы не использовались.

Позднее специалисты «Доктор Веб» выявили в Google Play очередных троянцев семейства Android.FakeApp, добавленных в вирусную базу Dr.Web как Android.FakeApp.138, Android.FakeApp.139 и Android.FakeApp.144. Они скрывались в приложениях, которые якобы позволяли получать деньги за участие в опросах. При запуске вредоносные программы загружали мошеннические веб-сайты, где потенциальной жертве предлагалось ответить на несколько вопросов. После этого для получения обещанного «вознаграждения» от пользователя требовалось оплатить некую комиссию за перевод средств, конвертацию валюты или за иную придуманную злоумышленниками процедуру. Если владелец зараженного устройства соглашался на оплату, запрашиваемая сумма оседала в карманах сетевых жуликов, а жертва мошенничества не получала ничего.

Кроме того, под видом различных утилит злоумышленники распространяли троянца-загрузчика Android.DownLoader.832.origin. Он скачивал другие вредоносные приложения и пытался установить их.

Каталог Google Play остается одним из самых безопасных источников приложений для смартфонов и планшетов под управлением ОС Android, однако киберпреступникам по-прежнему удается распространять через него вредоносные программы. Для защиты мобильных устройств пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

30 ноября 2018 года

Последний осенний месяц 2018 года был отмечен сразу несколькими интересными событиями в сфере информационной безопасности. В ноябре специалисты «Доктор Веб» исследовали троянца-майнера для Linux, способного удалять работающие на зараженном устройстве антивирусные программы. Вскоре был обнаружен троянец-кликер для ОС Windows, который отличается любопытным способом проникновения на компьютеры потенциальных жертв. Не снижается интерес вирусописателей и к мобильной платформе Android – в ноябре были обнаружены и добавлены в вирусные базы Dr.Web новые вредоносные программы для этой ОС.

Главные тенденции ноября

Распространение троянца-кликера для ОС Windows
Появление Linux-майнера, способного удалять антивирусы
Обнаружение новых вредоносных программ для ОС Android

Угроза месяца

Троянец, добавленный в вирусные базы Dr.Web под именем Trojan.Click3.27430, представляет собой вредоносную программу, предназначенную для накрутки посещаемости различных веб-сайтов. Распространяется он под видом приложения DynDNS, позволяющего привязать субдомен к компьютеру, не имеющему статического IP-адреса. Для распространения троянца злоумышленники создали специальный веб-сайт.

С этого сайта загружается архив, содержащий исполняемый файл setup.exe, который на самом деле представляет собой загрузчик. Он, в свою очередь, скачивает из Интернета другой файл, маскирующийся под ARJ-архив. На самом деле файл представляет собой дроппер, который устанавливает в систему троянца и настоящее приложение DynDNS. Если впоследствии пользователь решит деинсталлировать его с зараженного компьютера, будет удалена только сама программа DynDNS, а Trojan.Click3.27430 по-прежнему останется в системе и продолжит свою вредоносную деятельность. Более подробная информация об этом троянце и принципах его работы изложена в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

Trojan.SpyBot.699: Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.
JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Miner: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.MulDrop: Представитель семейства троянцев, предназначенных для установки на инфицированный компьютер других вредоносных программ.
Trojan.Encoder.11432: Червь-шифровальщик, также известный под именем WannaCry.

Статистика вредоносных программ в почтовом трафике

JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
Trojan.SpyBot.699: Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.
JS.Miner: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.Encoder.26375: Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Шифровальщики

В ноябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 32.15% обращений;
Trojan.Encoder.11464 — 11.17% обращений;
Trojan.Encoder.11539 — 10.80% обращений;
Trojan.Encoder.25574 — 4.91% обращений;
Trojan.Encoder.567 — 1.35% обращений;
Trojan.Encoder.10700 — 1.35% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

Среди прочих опасных и нерекомендуемых сайтов отдельную категорию составляют фишинговые интернет-ресурсы. Фишинг — это разновидность сетевого мошенничества, конечной целью которого является хищение у жертвы конфиденциальной информации – например, логинов и паролей от различных интернет-сервисов и учетных данных для авторизации в социальных сетях. Для этого злоумышленники создают поддельные сайты, имитирующие оформление настоящих интернет-ресурсов, и всевозможными методами завлекают туда пользователей. Впоследствии киберпреступники могут использовать полученную информацию для рассылки рекламных сообщений, в целях мошенничества или шантажа.

В ноябре специалисты «Доктор Веб» зафиксировали несколько случаев подобных мошеннических рассылок. Киберпресупники отправляли пользователям письма якобы от имени администраторов их почтового сервиса. В послании сообщалось, что от пользователя поступил запрос на деактивацию его почтового ящика, и, чтобы отменить его, нужно перейти по предложенной в письме ссылке.

Ссылка вела на фишинговый сайт, содержащий форму для ввода логина и пароля от электронного почтового ящика потенциальной жертвы. Какие бы данные ни ввел посетитель мошеннической страницы, ему демонстрировалось сообщение об ошибке, в то время как указанная им информация незамедлительно передавалась злоумышленникам. Специалисты «Доктор Веб» выявили несколько таких фишинговых сайтов, их адреса были добавлены в базы нерекомендуемых интернет-ресурсов SpIDer Gate.

В течение ноября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 231 074 интернет-адреса.

Октябрь 2018	Ноябрь 2018	Динамика
+ 156 188	+ 231 074	+ 47.94%

Вредоносные программы для ОС Linux

Linux.BtcMine.174 — далеко не первый из известных аналитикам «Доктор Веб» троянцев для Linux, использующих ресурсы зараженного компьютера для добычи криптовалют. Эта вредоносная программа интересна своей способностью искать и удалять установленные на инфицированном устройстве антивирусы.

Троянец представляет собой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Он состоит из нескольких компонентов, которые скачивает с принадлежащего злоумышленникам сервера. После успешной установки на устройство вредоносный сценарий скачивает из Интернета одну из версий троянца Linux.BackDoor.Gates.9, предназначенного для организации DDoS-атак и способного выполнять поступающие от злоумышленников команды.

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы. Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий он использует набор эксплойтов. Затем вредоносная программа пытается отыскать работающие сервисы антивирусных программ, завершить их, а потом с помощью пакетных менеджеров удаляет их файлы и директорию, в которой был установлен антивирусный продукт. Помимо этого троянец скачивает и запускает на инфицированном устройстве руткит, собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их. Более подробные сведения об этой вредоносной программе изложены в опубликованной на нашем сайте обзорной статье.

Другие события в сфере информационной безопасности

Согласно статистике, собранной серверами «Доктор Веб» на зараженных компьютерах и в почтовом трафике, одной из наиболее распространенных в ноябре вредоносных программ является Trojan.SpyBot.699. Она распространяется хакерской группировкой «RTM» и представляет собой многомодульного банковского троянца.

Вредоносные функции Trojan.SpyBot.699 сосредоточены в динамической библиотеке с внутренним именем core.dll, которую он загружает в память устройства. Троянец регистрирует себя в автозагрузке Windows, все передаваемые на управляющий сервер данные вредоносная программа шифрует.

По команде злоумышленников Trojan.SpyBot.699 может загружать, сохранять на диск и запускать исполняемые файлы, скачивать и запускать программы без сохранения, загружать в память динамические библиотеки, самообновляться, устанавливать цифровые сертификаты в системное хранилище и выполнять иные поступающие извне команды.

Эта вредоносная программа умеет искать банковские клиенты среди запущенных процессов, в именах открытых окон и среди хранящихся на дисках файлов. Также троянец ищет информацию о системах «банк-клиент» в файлах cookies браузеров. Получив нужные сведения, злоумышленники с помощью Trojan.SpyBot.699 и загружаемых им модулей могут детально исследовать атакуемую систему, обеспечить постоянное присутствие в ней других троянцев, внедрять вредоносное ПО в бухгалтерские программы и программы «банк-клиент». Конечной целью киберпреступников является хищение денег с банковских счетов жертвы. Антивирусные продукты Dr.Web успешно детектируют и удаляют Trojan.SpyBot.699 и известные на сегодняшний день вредоносные модули, которые злоумышленники используют совместно с этим троянцем.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем ноябре вирусные аналитики «Доктор Веб» выявили троянца Android.Banker.2876, который распространялся через каталог Google Play. Злоумышленники использовали его для кражи конфиденциальных данных клиентов нескольких европейских банков. Кроме того, в Google Play были найдены прочие угрозы. Среди них – загрузчик Android.DownLoader.832.origin. Он скачивал и пытался установить другие вредоносные программы. Также наши специалисты обнаружили троянцев семейства Android.FakeApp, которых кибермошенники использовали для незаконного заработка. Кроме того, были выявлены приложения со встроенными рекламными модулями Adware.HiddenAds.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

распространение вредоносных и нежелательных приложений в Google Play.

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

31 октября 2018 года

В октябре компания «Доктор Веб» обнародовала результаты расследования деятельности одного из сетевых мошенников. Жертвами киберпреступника стали более 10 000 человек, которые потеряли в общей сложности не менее $24 000.

В течение месяца злоумышленники продолжали рассылать письма, в которых вымогали у пользователей деньги под угрозой компрометации их персональных данных. По всей видимости, в руки злоумышленников попало несколько баз данных с регистрационной информацией, содержащий адреса электронной почты и пароли. По этим адресам вымогатели и рассылали сообщения о том, что им известен пароль жертвы, и на их компьютерах якобы установлена вредоносная программа. Чтобы личная жизнь получателя не стала достоянием общественности, киберпреступники требовали выкуп в криптовалюте биткойн, эквивалентный сумме от 500 до 850 долларов США.

Жулики активно используют несколько биткойн-кошельков, и, судя по информации на сайте blockchain.com, несколько жертв уже купилось на угрозы мошенников.

#drweb

В последнее время этот способ вымогательства крайне популярен среди киберпреступников: они массово рассылают письма с различными угрозами, но с ограниченным количеством сочетаний адреса электронной почты и пароля. Разумеется, никаких вирусов и троянцев для добычи этих сведений вымогатели не использовали, а чтобы обезопасить себя от подобных посягательств, пользователям достаточно всего лишь сменить используемые пароли.

Главные тенденции октября

Разоблачение деятельности опасного сетевого мошенника
Массовая рассылка спама пользователям Интернета со стороны вымогателей

Угроза месяца

Специалисты компании «Доктор Веб» провели масштабное расследование, результатами которого поделились с читателями в уходящем октябре. Предметом внимания вирусных аналитиков стала деятельность киберпреступника, скрывающегося под псевдонимами Investimer, Hyipblock и Mmpower. Для достижения своих целей он использовал широчайший набор вредоносных программ, включающий различные стилеры, загрузчики, бэкдоры и троянца-майнера со встренным модулем для подмены содержимого буфера обмена.

Специализировался Investimer на мошенничестве в сфере криптовалют. Ассортимент применяемых им способов подпольного заработка весьма велик: он создавал поддельные сайты криптовалютных бирж, ферм для майнинга, партнерских программ по выплате вознаграждений за просмотр рекламы и онлайн-лотерей.

В целом используемая киберпреступником схема обмана такова. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает троянца, который по команде злоумышленника устанавливает на компьютер другие вредоносные программы. Такие программы (в основном троянцы-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой жулик затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.

Аналитики «Доктор Веб» полагают, что общее количество пользователей, пострадавших от противоправной деятельности Investimer’а, превышает 10 000 человек. Ущерб, нанесенный злоумышленником своим жертвам, наши специалисты оценивают в более чем 23 000 долларов США. К этому следует добавить более 182 000 в криптовалюте Dogecoin, что по нынешнему курсу составляет еще порядка 900 долларов. Более подробная информация об этом расследовании представлена в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.SpyBot.699: Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.Encoder.11432: Червь-шифровальщик, также известный под именем WannaCry.

Статистика вредоносных программ в почтовом трафике

JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
W97M.DownLoader: Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
Trojan.Encoder.26375: Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.SpyBot.699: Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.

Шифровальщики

В октябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 20,04% обращений;
Trojan.Encoder.11464 — 11.67% обращений;
Trojan.Encoder.567 — 6.23% обращений;
Trojan.Encoder. 25574 — 5.84% обращений;
Trojan.Encoder.1539 — 4.86% обращений;
Trojan.Encoder.5342 — 1.75% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение октября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 156 188 интернет-адресов.

Сентябрь 2018	Октябрь 2018	Динамика
+ 271 605	+ 156 188	- 42.49%

Вредоносное и нежелательное ПО для мобильных устройств

В начале октября в вирусные базы Dr.Web была добавлена запись для детектирования Android-банкера Android.BankBot.1781. Он способен скачивать и запускать вспомогательные модули, а также компилировать и выполнять получаемый от злоумышленников код, написанный на C#. Позже специалисты «Доктор Веб» выявили в официальном каталоге приложений для ОС Android несколько троянцев. Среди них были вредоносные программы Android.FakeApp.125 и Android.Click.245.origin, которые загружали и демонстрировали мошеннические веб-сайты.

В конце месяца в Google Play были найдены троянцы-загрузчики Android.DownLoader.818.origin и Android.DownLoader.819.origin. Они скачивали на мобильные устройства и пытались установить других Android-троянцев. Также вирусные аналитики исследовали вредоносные приложения Android.RemoteCode.192.origin и Android.RemoteCode.193.origin, распространявшиеся под видом безобидного ПО. Троянцы показывали рекламу, могли загружать вспомогательные модули и открывать заданные злоумышленниками видео, размещенные на портале YouTube. Тем самым они «накручивали» счетчик просмотров и повышали популярность видеороликов.

Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:

выявление в Google Play вредоносных приложений;
распространение опасного банковского троянца, способного компилировать и выполнять вредоносный код «на лету».

Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

31 октября 2018 года

В октябре специалисты по информационной безопасности обнаружили Android-троянца, способного выполнять полученные с удаленного сервера скрипты, написанные на языке C#, а также скачивать и запускать вредоносные модули. Кроме того, в течение уходящего месяца в каталоге Google Play были вновь выявлены вредоносные приложения.

ГЛАВНЫЕ ТЕНДЕНЦИИ ОКТЯБРЯ

Обнаружение вредоносных программ в каталоге Google Play
Выявление Android-троянца, который мог получать от злоумышленников и компилировать C#-код непосредственно перед его выполнением на мобильных устройствах

Мобильная угроза месяца

В октябре специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца-загрузчика Android.DownLoader.818.origin, распространявшегося под видом VPN-клиента. Вредоносная программа скачивала на мобильные устройства и пыталась установить рекламного троянца. Позже вирусные аналитики выявили модификации этого загрузчика, которые получили имена Android.DownLoader.819.origin и Android.DownLoader.828.origin. Злоумышленники выдавали их за различные игры.

Особенности троянцев:

пытаются получить права администратора мобильного устройства, чтобы затруднить свое удаление;
скрывают значок приложения из списка установленных программ главного экрана операционной системы;
загружают и предлагают пользователю установить других троянцев, которые маскируются под системное ПО.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin
Android.Backdoor.1521: Троянские программы, которые выполняют команды злоумышленников и позволяют им контролировать зараженные мобильные устройства.
Android.HiddenAds.261.origin
Android.HiddenAds.288.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.DownLoader.573.origin: Троянец, загружающий другие вредоносные приложения.

Adware.Zeus.1
Adware.Gexin.2.origin
Adware.Adpush.2514
Adware.SalmonAds.3.origin
Adware.Aesads.1.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянцы в Google Play

В начале месяца специалисты «Доктор Веб» обнаружили в каталоге Google Play троянца Android.FakeApp.125. Он распространялся под видом программы, с помощью которой пользователи якобы могли заработать деньги, отвечая на простые вопросы. В действительности же Android.FakeApp.125 по команде управляющего сервера загружал и показывал потенциальным жертвам мошеннические веб-сайты.

Позже вирусные аналитики выявили троянца Android.Click.245.origin, которого киберпреступники выдавали за популярную игру «Клевер», принадлежащую социальной сети «ВКонтакте». Как и Android.FakeApp.125, Android.Click.245.origin загружал страницы мошеннических веб-порталов и демонстрировал их пользователям.

В конце октября аналитики «Доктор Веб» исследовали вредоносные программы Android.RemoteCode.192.origin и Android.RemoteCode.193.origin. Они скрывались в 18 безобидных, на первый взгляд, программах — сканерах штрих-кодов, ПО для навигации, менеджерах загрузок файлов и различных играх, которые в общей сложности установили как минимум 1 600 000 владельцев Android-смартфонов и планшетов. Эти троянцы показывали рекламу, могли скачивать и запускать вредоносные модули, а также открывать заданные злоумышленниками видео на портале YouTube, искусственно увеличивая их популярность.

Помимо этого, в вирусную базу Dr.Web были добавлены записи для детектирования вредоносных программ Android.DownLoader.3897, Android.DownLoader.826.origin и Android.BankBot.484.origin. Они загружали на мобильные устройства и пытались установить банковских троянцев.

Прочие угрозы

Среди обнаруженных в октябре вредоносных программ для мобильных устройств оказался Android-банкер Android.BankBot.1781, имеющий модульную архитектуру. По команде управляющего сервера он мог загружать различные троянские плагины, а также скачивать и выполнять написанные на языке C# скрипты. Android.BankBot.1781 похищал информацию о банковских картах, мог красть СМС-сообщения и другую конфиденциальную информацию.

Злоумышленники распространяют вредоносные программы для мобильных Android-устройств как через каталог приложений Google Play, так и с применением мошеннических или взломанных веб-сайтов. Для защиты смартфонов и планшетов пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

28 сентября 2018 года

Сентябрь 2018 года был отмечен распространением банковского троянца, угрожавшего клиентам бразильских кредитных организаций. Специалисты «Доктор Веб» выявили более 300 уникальных образцов этой вредоносной программы, а также порядка 120 интернет-площадок, с которых банкер загружал собственные компоненты. Также в уходящем месяце был выявлен ряд новых опасных приложений для мобильной платформы Android.

Главные тенденции сентября

Распространение нового банковского троянца
Обнаружение новых вредоносных программ для ОС Android

Угроза месяца

Банковские троянцы, предназначенные для хищения денежных средств клиентов кредитных организаций, чрезвычайно распространены во всем мире. Новый банкер, исследованный в сентябре вирусными аналитиками «Доктор Веб» и получивший наименование Trojan.PWS.Banker1.28321, ориентирован на жителей Бразилии. На сегодняшний день известно 340 уникальных образцов Trojan.PWS.Banker1.28321, а также 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы.

Троянец распространяется под видом приложения для просмотра PDF-документов Adobe Reader. Он заражает компьютеры под управлением Microsoft Windows, в настройках которых в качестве основного установлен португальский язык. Все вредоносные функции Trojan.PWS.Banker1.28321 сосредоточены в зашифрованной и упакованной в архив динамической библиотеке, которую банкер скачивает с принадлежащих злоумышленникам сайтов.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, троянец незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Затем эта информация передается злоумышленникам. Подробнее об этом инциденте мы рассказали в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.Encoder.567: Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
Trojan.SpyBot.699: Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.
Trojan.PWS.Stealer.1932: Представитель семейства троянцев для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.

Статистика вредоносных программ в почтовом трафике

Trojan.Encoder.567: Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
W97M.DownLoader: Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Шифровальщики

В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.567 — 16,94% обращений;
Trojan.Encoder.858 — 12,71% обращений;
Trojan.Encoder.11464 — 10,68% обращений;
Trojan.Encoder.25574 — 4,79% обращений;
Trojan.Encoder.24249 — 4,42% обращений;
Trojan.Encoder.11539 — 1,84% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение сентября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 271 605 интернет-адресов.

Август 2018	Сентябрь 2018	Динамика
+ 538 480	+ 271 605	– 49,5%

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» вновь зафиксировали распространение в каталоге Google Play троянцев семейства Android.Click. Многие из них представляли собой программы, которые злоумышленники выдавали за официальные приложения букмекерских контор. Эти троянцы по команде управляющего сервера открывают веб-сайты букмекерских фирм, однако в любой момент могут загрузить любые веб-страницы, в том числе мошеннические. Кроме того, в каталог Google Play в очередной раз проникла вредоносная программа Android.Click.265.origin, которая распространялась под видом официального ПО от известных компаний. Android.Click.265.origin загружает сайты с премиум-услугами и автоматически нажимает на расположенную на них кнопку подтверждения подписки на дорогостоящий сервис.

Также среди выявленных в сентябре вредоносных программ, обнаруженных в официальном каталоге ПО для ОС Android, были банковские троянцы, такие как Android.Banker.2855, Android.Banker.2856 и Android.Banker.283.origin. Они скрывались в безобидных, на первый взгляд, программах.

Помимо этого, в первом осеннем месяце 2018 года киберпреступники распространяли опасного троянца Android.Spy.460.origin, который использовался для кибершпионажа. Среди прочих угроз, выявленных в сентябре, были новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Эти приложения следят за СМС-перепиской, историей телефонных звонков, определяют местоположение мобильных устройств, копируют список контактов из телефонной книги на удаленный сервер, могут красть историю посещения из веб-браузера и похищать другую персональную информацию пользователей.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

обнаружение в Google Play вредоносных приложений;
распространение троянца-шпиона;
выявление новой коммерческой программы, предназначенной для слежки за пользователями мобильных Android-устройств.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

28 сентября 2018 года

Сентябрь 2018 года был отмечен распространением банковского троянца, угрожавшего клиентам бразильских кредитных организаций. Специалисты «Доктор Веб» выявили более 300 уникальных образцов этой вредоносной программы, а также порядка 120 интернет-площадок, с которых банкер загружал собственные компоненты. Также в уходящем месяце был выявлен ряд новых опасных приложений для мобильной платформы Android.

Главные тенденции сентября

Распространение нового банковского троянца
Обнаружение новых вредоносных программ для ОС Android

Угроза месяца

Банковские троянцы, предназначенные для хищения денежных средств клиентов кредитных организаций, чрезвычайно распространены во всем мире. Новый банкер, исследованный в сентябре вирусными аналитиками «Доктор Веб» и получивший наименование Trojan.PWS.Banker1.28321, ориентирован на жителей Бразилии. На сегодняшний день известно 340 уникальных образцов Trojan.PWS.Banker1.28321, а также 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы.

Троянец распространяется под видом приложения для просмотра PDF-документов Adobe Reader. Он заражает компьютеры под управлением Microsoft Windows, в настройках которых в качестве основного установлен португальский язык. Все вредоносные функции Trojan.PWS.Banker1.28321 сосредоточены в зашифрованной и упакованной в архив динамической библиотеке, которую банкер скачивает с принадлежащих злоумышленникам сайтов.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, троянец незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Затем эта информация передается злоумышленникам. Подробнее об этом инциденте мы рассказали в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.Encoder.567: Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
Trojan.SpyBot.699: Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.
Trojan.PWS.Stealer.1932: Представитель семейства троянцев для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.

Статистика вредоносных программ в почтовом трафике

Trojan.Encoder.567: Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
W97M.DownLoader: Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Шифровальщики

В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.567 — 16,94% обращений;
Trojan.Encoder.858 — 12,71% обращений;
Trojan.Encoder.11464 — 10,68% обращений;
Trojan.Encoder.25574 — 4,79% обращений;
Trojan.Encoder.24249 — 4,42% обращений;
Trojan.Encoder.11539 — 1,84% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение сентября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 271 605 интернет-адресов.

Август 2018	Сентябрь 2018	Динамика
+ 538 480	+ 271 605	– 49,5%

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» вновь зафиксировали распространение в каталоге Google Play троянцев семейства Android.Click. Многие из них представляли собой программы, которые злоумышленники выдавали за официальные приложения букмекерских контор. Эти троянцы по команде управляющего сервера открывают веб-сайты букмекерских фирм, однако в любой момент могут загрузить любые веб-страницы, в том числе мошеннические. Кроме того, в каталог Google Play в очередной раз проникла вредоносная программа Android.Click.265.origin, которая распространялась под видом официального ПО от известных компаний. Android.Click.265.origin загружает сайты с премиум-услугами и автоматически нажимает на расположенную на них кнопку подтверждения подписки на дорогостоящий сервис.

Также среди выявленных в сентябре вредоносных программ, обнаруженных в официальном каталоге ПО для ОС Android, были банковские троянцы, такие как Android.Banker.2855, Android.Banker.2856 и Android.Banker.283.origin. Они скрывались в безобидных, на первый взгляд, программах.

Помимо этого, в первом осеннем месяце 2018 года киберпреступники распространяли опасного троянца Android.Spy.460.origin, который использовался для кибершпионажа. Среди прочих угроз, выявленных в сентябре, были новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Эти приложения следят за СМС-перепиской, историей телефонных звонков, определяют местоположение мобильных устройств, копируют список контактов из телефонной книги на удаленный сервер, могут красть историю посещения из веб-браузера и похищать другую персональную информацию пользователей.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

обнаружение в Google Play вредоносных приложений;
распространение троянца-шпиона;
выявление новой коммерческой программы, предназначенной для слежки за пользователями мобильных Android-устройств.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

31 августа 2018 года

В августе 2018 года специалисты компании «Доктор Веб» обнаружили троянца для ОС Android, способного подменять номера электронных кошельков в буфере обмера. Кроме того, вирусные аналитики выявили в каталоге Google Play множество троянцев, которых злоумышленники использовали в различных мошеннических схемах незаконного заработка. Также в течение месяца в официальном каталоге программ для ОС Android было зафиксировано несколько новых Android-банкеров и троянцев-загрузчиков, скачивавших на мобильные устройства другое вредоносное ПО. Помимо этого, в августе специалисты по информационной безопасности обнаружили опасного троянца-шпиона, которого вирусописатели могли встраивать в безобидные программы и распространять таким образом под видом оригинальных приложений.

ГЛАВНЫЕ ТЕНДЕНЦИИ АВГУСТА

Обнаружение Android-троянца, подменяющего номера электронных кошельков в буфере обмена
Распространение банковских троянцев
Обнаружение в каталоге Google Play множества вредоносных программ
Выявление опасного троянца-шпиона, которого злоумышленники могли встраивать в любые приложения

Мобильная угроза месяца

В начале уходящего месяца вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.Clipper.1.origin, который отслеживает буфер обмена и подменяет копируемые в него номера электронных кошельков популярных платежных систем и криптовалют. Вредоносную программу «интересуют» номера кошельков Qiwi, Webmoney, «Яндекс.Деньги», Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin. Когда пользователь копирует один из них в буфер обмена, троянец перехватывает его и передает на управляющий сервер. В ответ Android.Clipper.1.origin получает информацию о номере кошелька злоумышленников, на который заменяет номер жертвы. В результате владелец зараженного устройства рискует перевести деньги на счет вирусописателей. Подробнее об этом троянце рассказано в новостной публикации, размещенной на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin: Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства
Android.HiddenAds: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1
Adware.Adpush.2514
Adware.SalmonAds.3.origin
Adware.Jiubang.2
Adware.Patacore.1.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянцы в Google Play

В августе в каталоге Google Play было выявлено множество вредоносных программ. На протяжении всего месяца вирусные аналитики компании «Доктор Веб» отслеживали распространение в нем троянцев семейства Android.Click. Наши специалисты обнаружили 127 таких вредоносных приложений, которые злоумышленники выдавали за официальные программы букмекерских контор.

При запуске эти троянцы показывают пользователю заданный управляющим сервером веб-сайт. На момент обнаружения все выявленные представители семейства Android.Click открывали интернет-порталы букмекерских фирм. Однако в любой момент они способны получить команду на загрузку произвольного сайта, который может распространять другое вредоносное ПО или использоваться в фишинг-атаках.

Еще одним троянцем-кликером, обнаруженным в августе в Google Play, стал Android.Click.265.origin. Злоумышленники использовали его для подписки пользователей на дорогостоящие мобильные услуги. Вирусописатели распространяли эту вредоносную программу под видом официального приложения для работы с интернет-магазином «Эльдорадо».

Троянец Android.Click.248.origin, известный вирусным аналитикам «Доктор Веб» с апреля, в августе вновь появился в каталоге Google Play. Как и ранее, он распространялся под видом известного ПО. Android.Click.248.origin загружает мошеннические сайты, на которых предлагается скачать различные программы или сообщается о некоем выигрыше. Для получения приза или скачивания приложения у потенциальной жертвы запрашивается номер мобильного телефона, на который приходит код подтверждения. После ввода этого кода владелец мобильного устройства подписывается на дорогостоящую услугу. При этом, если Android-смартфон или планшет подключен к Интернету через мобильное соединение, подписка на платный сервис выполняется автоматически сразу после того, как киберпреступники получают номер.

Более подробную информацию об этих троянцах-кликерах можно получить, прочитав соответствующую новостную публикацию на нашем сайте.

В конце августа вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца Android.FakeApp.110, которого сетевые жулики использовали для незаконного заработка. Эта вредоносная программа загружала мошеннический сайт, на котором потенциальной жертве предлагалось за вознаграждение пройти опрос. После ответа на все вопросы требовалось выполнить некий идентификационный платеж в размере 100-200 рублей. Однако после перевода денег мошенникам никакой оплаты пользователь не получал.

Среди вредоносных программ, обнаруженных в каталоге Google Play в августе, оказались очередные Android-банкеры. Один из них получил имя Android.Banker.2843. Он распространялся под видом официального приложения одной из турецких кредитных организаций. Android.Banker.2843 крал логины и пароли для доступа к банковской учетной записи пользователя и передавал их злоумышленникам.

Другой банковский троянец, добавленный в вирусную базу Dr.Web как Android.Banker.2855, вирусописатели распространяли под видом различных сервисных утилит. Эта вредоносная программа извлекала из своих файловых ресурсов и запускала троянца Android.Banker.279.origin, который похищал банковские аутентификационные данные пользователей.

Некоторые модификации Android.Banker.2855 пытались скрыть свое присутствие на мобильном устройстве, показывая после запуска поддельное сообщение об ошибке и удаляя свой значок из списка приложений на главном экране.

Другой Android-банкер, получивший имя Android.BankBot.325.origin, скачивался на зараженные смартфоны и планшеты троянцем Android.DownLoader.772.origin. Злоумышленники распространяли эту вредоносную программу-загрузчик через каталог Google Play под видом полезных приложений – например, оптимизатора работы аккумулятора.

Кроме того, вирусные аналитики «Доктор Веб» выявили в Google Play загрузчика Android.DownLoader.768.origin, распространявшегося под видом приложения от корпорации Shell. Android.DownLoader.768.origin скачивал на мобильные устройства различных банковских троянцев.

Также в августе в Google Play был найден троянец-загрузчик, добавленный в вирусную базу Dr.Web как Android.DownLoader.784.origin. Он был встроен в приложение под названием Zee Player, позволявшее скрывать хранящиеся в памяти мобильных устройств фотографии и видео.

Android.DownLoader.784.origin загружал троянца Android.Spy.409.origin, которого злоумышленники могли использовать для кибершпионажа.

Android-шпион

В августе вирусная база Dr.Web пополнилась записью для детектирования троянца Android.Spy.490.origin, предназначенного для кибершпионажа. Злоумышленники могут встраивать его в любые безобидные приложения и распространять их модифицированные копии под видом оригинального ПО, не вызывая подозрений у пользователей. Android.Spy.490.origin способен отслеживать СМС-переписку и местоположение зараженного смартфона или планшета, перехватывать и записывать телефонные разговоры, передавать на удаленный сервер информацию обо всех совершенных звонках, а также снятые владельцем мобильного устройства фотографии и видео.

Каталог приложений Google Play является самым безопасным источником программ для устройств под управлением ОС Android. Однако злоумышленникам по-прежнему удается распространять через него различные вредоносные программы. Для защиты Android-смартфонов и планшетов пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

31 августа 2018 года

В августе специалисты «Доктор Веб» зафиксировали распространение троянцев-майнеров, предназначенных для добычи криптовалют без ведома пользователей. Подобные программы были предназначены как для устройств под управлением Windows, так и для Linux-устройств. В течение последнего летнего месяца киберпреступники рассылали мошеннические письма администраторам освобождающихся доменов в надежде обманным путем завладеть их деньгами. Кроме того, в августе вирусные базы Dr.Web пополнились новыми записями для Android-троянцев.

Главные тенденции августа

Распространение троянцев-майнеров для Windows и Linux
Мошеннические почтовые рассылки
Обнаружение новых вредоносных программ для Android

Угроза месяца

Вредоносную программу, добавленную в вирусные базы под именем Linux.BtcMine.82, злоумышленники начали использовать еще в июне. Этот троянец написан на языке Go и представляет собой дроппер, в теле которого хранится упакованный майнер. Дроппер сохраняет его на диск и запускает, после чего майнер приступает к добыче криптовалюты Monero (XMR). На принадлежащем злоумышленникам сервере аналитики «Доктор Веб» обнаружили еще несколько майнеров для ОС Windows.

Все выявленные аналитиками вредоносные программы были добавлены в вирусные базы Dr.Web. Более подробную информацию об этом инциденте можно получить из новостного материала, опубликованного на нашем сайте.

По данным серверов статистики «Доктор Веб»

JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.Encoder.11432: Червь-шифровальщик, также известный под именем WannaCry.
Trojan.BtcMine: Семейство вредоносных программ, которые втайне от пользователя применяют вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют, например Bitcoin.
Win32.HLLW.Shadow: Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера и запускать исполняемые файлы.

Статистика вредоносных программ в почтовом трафике

Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.Encoder.567, Trojan.Encoder.25843: Энкодеры, шифрующие файлы на компьютере и требующие у жертвы выкуп за расшифровку.
JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.Inject: Семейство троянцев, встраивающих вредоносный код в процессы других программ.

Шифровальщики

В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 20,00% обращений;
Trojan.Encoder.11464 — 14,23% обращений;
Trojan.Encoder.25574 — 9,24% обращений;
Trojan.Encoder.567 — 3,46% обращений;
Trojan.Encoder.24249 — 3,45% обращений;
Trojan.Encoder.10700 — 2,50% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В августе активизировались кибермошенники, целью которых на этот раз стали администраторы освобождающихся доменов, ранее пользовавшиеся услугами регистратора «Региональный Сетевой Информационный Центр» (RU-CENTER). В середине месяца они стали получать по электронной почте сообщения якобы от имени этой компании. В письмах содержалось напоминание об окончании оплаченного периода регистрации доменного имени. Злоумышленники утверждали, что администратор должен оплатить услугу продления домена в течение одного рабочего дня с момента получения письма, иначе этот домен будет исключен из реестра.

Ссылка в письме вела на взломанный веб-сайт, адрес которого был добавлен в базы нерекомендуемых интернет-ресурсов Офисного и Родительского контроля. Установленный там сценарий перенаправлял получателя письма на страницу платежной системы Яндекс.Деньги, позволяющую перевести денежные средства на электронный кошелек мошенников. Подробнее об этой рассылке мы рассказали в опубликованной на нашем сайте статье.

Также в августе многие пользователи Интернета получали электронные письма, в которых сетевые жулики сообщали получателю его пароль, ранее использованный при регистрации на одном из сайтов, либо комбинацию логина и пароля. Авторы сообщения утверждали, что они якобы разместили вирус на одном из порносайтов, и при его посещении включили камеру устройства, с помощью которой записали видеоролик с участием получателя письма. Чтобы избежать рассылки этого ролика по списку адресов, будто бы скопированному из адресной книги потенциальной жертвы, ей предлагалось заплатить выкуп в биткойнах, эквивалентный нескольким тысячам долларов США.

Разумеется, подобные сообщения являются пустой угрозой: по всей видимости, в руки злоумышленников попала база данных зарегистрированных пользователей, похищенная с одного или нескольких интернет-ресурсов. Чтобы не попадаться в руки мошенников, специалисты «Доктор Веб» рекомендуют чаще менять пароли и не использовать одинаковые учетные данные для регистрации на разных сайтах.

В течение августа 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 538 480 интернет-адресов.

Июль 2018	Август 2018	Динамика
+ 512 763	+ 538 480	+5%

Вредоносное и нежелательное ПО для мобильных устройств

В августе 2018 года вирусные аналитики компании «Доктор Веб» обнаружили троянца-клиппера Android.Clipper.1.origin, подменяющего номера электронных кошельков в буфере обмена зараженных Android-устройств. Помимо этого, в каталоге Google Play было выявлено множество различных вредоносных программ. Среди них – банковские троянцы Android.Banker.2843 и Android.Banker.2855, распространявшиеся под видом безобидных приложений. Кроме того, киберпреступники пытались заразить мобильные устройства пользователей при помощи троянцев-загрузчиков Android.DownLoader.768.origin, Android.DownLoader.772.origin и Android.DownLoader.784.origin, которые скачивали на смартфоны и планшеты различные вредоносные приложения. Также в течение уходящего месяца специалисты компании «Доктор Веб» обнаружили в Google Play большое число троянцев семейства Android.Click. Злоумышленники использовали их в мошеннических целях и зарабатывали с их помощью деньги. Еще один троянец, созданный для мошенничества, получил имя Android.FakeApp.110. Он также распространялся через каталог Google Play. Среди выявленных в августе вредоносных программ оказался опасный троянец-шпион Android.Spy.490.origin, которого вирусописатели могли встраивать в любые приложения и распространять их под видом оригиналов.

Наиболее заметные события, связанные с «мобильной» безопасностью в августе:

обнаружение троянца-клиппера, способного подменять номера электронных кошельков в буфере обмена Android-устройств;
обнаружение множества вредоносных программ в каталоге Google Play;
распространение банковских троянцев;
выявление опасного троянца-шпиона.

Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

31 июля 2018 года

В июле 2018 года злоумышленники вновь распространяли опасный Android-бэкдор Android.Backdoor.554.origin, который известен вирусным аналитикам компании «Доктор Веб» еще с апреля 2017 года. Этот троянец шпионил за пользователями и позволял киберпреступникам дистанционно управлять зараженными смартфонами и планшетами. Android.Backdoor.554.origin скрывал в себе Windows-червя, которого копировал на подключенную к мобильному устройству карту памяти для последующего заражения компьютеров под управлением ОС Windows. Кроме того, в уходящем месяце злоумышленники продолжили атаковать владельцев Android-смартфонов и планшетов с использованием банковских троянцев. Один из них, получивший имя Android.Banker.2746, был доступен для загрузки в Google Play. Ряд других банковских троянцев загружала на мобильные устройства вредоносная программа Android.DownLoader.753.origin, которая также была доступна в официальном каталоге программ ОС Android. Кроме того, в течение июля киберпреступники распространяли прочих банковских троянцев для ОС Android. Среди них был Android.BankBot.279.origin, которого вирусописатели выдавали за полезные приложения. Также в июле вирусные аналитики «Доктор Веб» обнаружили несколько новых коммерческих программ-шпионов, получивших имена Program.Shadspy.1.origin и Program.AppSpy.1.origin.

Главные тенденции июля

Распространение Android-бэкдора, который шпионил за пользователями и помогал злоумышленникам заражать компьютеры под управлением Windows
Появление в каталоге Google Play вредоносных программ
Распространение банковских троянцев

Мобильная угроза месяца

В июле специалисты по информационной безопасности зафиксировали очередную атаку бэкдора Android.Backdoor.554.origin на пользователей Android-смартфонов и планшетов. Этот троянец распространялся под видом новых версий известных программ для онлайн-общения, таких как WhatsApp и Telegram, а также системных и других важных обновлений.

Android.Backdoor.554.origin выполнял команды злоумышленников, а также позволял киберпреступникам контролировать зараженное мобильное устройство и шпионить за его владельцем. Троянец отслеживал местоположение Android-смартфона или планшета, перехватывал переписку в популярных программах обмена сообщениями, получал доступ к звонкам и СМС, крал информацию о контактах из телефонной книги и выполнял другие вредоносные действия. Кроме того, этот бэкдор скрывал в своих файловых ресурсах Windows-червя, получившего имя Win32.HLLW.Siggen.10482. После заражения мобильного устройства Android.Backdoor.554.origin копировал червя на карту памяти, помещая его в каталоги с изображениями. При этом исполняемый файл Win32.HLLW.Siggen.10482, имеющий расширение .pif, получал имя директории, в которой он размещался. В результате при последующем открытии или копировании этих каталогов на компьютер для просмотра изображений пользователь рисковал запустить червя.

На следующей иллюстрации показан список директорий, в которые троянец Android.Backdoor.554.origin помещал Win32.HLLW.Siggen.10482:

Примеры успешного копирования исполняемого файла червя в каталоги с изображениями на карте памяти инфицированного Android-устройства:

По данным антивирусных продуктов Dr.Web для Android

Android.Altamob.1.origin: Троянская рекламная платформа, которая незаметно загружает и запускает вредоносные модули.
Android.HiddenAds.288.origin
Android.HiddenAds.524: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.Mobifun.4: Троянец, загружающий другие вредоносные приложения.
Android.Xiny.197: Троянец, предназначенный для незаметной загрузки и установки других вредоносных приложений.

Adware.SalmonAds.3.origin
Adware.Altamob.1.origin
Adware.Appalytic.1.origin
Adware.Adtiming.1.origin
Adware.Jiubang.2: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Банковские троянцы

В уходящем месяце специалисты по информационной безопасности обнаружили в каталоге Google Play троянца, по классификации компании «Доктор Веб» получившего имя Android.DownLoader.753.origin. Эта вредоносная программа распространялась под видом финансовых приложений. Некоторые ее модификации действительно выполняли заявленные функции, в то время как остальные были бесполезны и лишь предлагали установить настоящее банковское ПО, загружая его страницы в программе Play Маркет.

Android.DownLoader.753.origin незаметно скачивал с удаленного сервера одного из банковских троянцев семейства Android.BankBot и пытался установить его, показывая стандартный диалог инсталляции.

В середине июля специалисты «Доктор Веб» проанализировали Android-банкера, получившего имя Android.Banker.2746. Вирусописатели распространяли этого троянца через каталог Google Play, выдавая вредоносную программу за официальное банковское приложение.

С его помощью они пытались получить доступ к учетным записям клиентов одной из турецких кредитных организаций. Android.Banker.2746 показывал поддельное окно ввода логина и пароля и перехватывал СМС с одноразовыми проверочными кодами.

Среди банковских троянцев, атаковавших пользователей в уходящем месяце, была вредоносная программа Android.BankBot.279.origin. Киберпреступники распространяли ее с использованием мошеннических веб-сайтов. При посещении одного из них с мобильного устройства троянец загружался под видом безобидных и полезных программ, таких как проигрыватель Adobe Flash Player, программы для онлайн-общения, клиенты для подключения к VPN-сервисам и другое ПО. Android.BankBot.279.origin отслеживал запуск установленных на смартфоне или планшете банковских приложений и показывал поверх их окон фишинговую форму ввода логина и пароля для доступа к учетной записи пользователя. Кроме того, банкер мог менять pin-код разблокировки экрана и блокировать зараженное устройство.

Примеры сайтов, с которых на Android-смартфоны и планшеты скачивался Android.BankBot.279.origin:

Программы-шпионы

В уходящем месяце специалисты «Доктор Веб» обнаружили несколько новых коммерческих программ-шпионов. Одна из них получила имя Program.AppSpy.1.origin. Она отслеживает местоположение зараженного устройства, прослушивает телефонные звонки и перехватывает СМС-сообщения. Другая программа для кибершпионажа была добавлена в вирусную базу Dr.Web как Program.Shadspy.1.origin. Это приложение обладает обширным функционалом. Program.Shadspy.1.origin отслеживает СМС-переписку, телефонные звонки, местоположение устройства, выполняет запись окружения с использованием встроенного микрофона, копирует историю посещения сайтов из веб-браузера, информацию о запланированных событиях из календаря пользователя, может делать снимки при помощи камеры смартфона или планшета, а также выполнять ряд других действий. Кроме того, при наличии root-полномочий Program.Shadspy.1.origin может перехватывать переписку в программах Facebook и WhatsApp.

Банковские троянцы представляют серьезную опасность для владельцев мобильных устройств. Злоумышленники продолжают распространять эти вредоносные программы не только с помощью мошеннических сайтов, но и через официальный каталог программ Google Play. Для защиты от этих и других Android-троянцев пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

31 июля 2018 года

В начале июля вирусные аналитики «Доктор Веб» проанализировали нового троянца-майнера, который использовал необычную схему распространения. Также в течение месяца проявляли активность спамеры, рекламировавшие мошеннические сайты. Кроме того, в июле вирусные базы Dr.Web пополнились новыми записями для вредоносных программ, ориентированных на мобильную платформу Android.

Главные тенденции июля

Обнаружение опасного троянца-майнера
Распространение мошеннических почтовых рассылок
Появление новых троянцев для Android

Угроза месяца

Специалисты по информационной безопасности уже сталкивались с распространением вредоносных программ при помощи механизма обновления приложений. Именно так попали к пользователям троянец-шифровальщик Trojan.Encoder.12544 (Petya, Petya.A, ExPetya и WannaCry-2) и бэкдор BackDoor.Dande. В июле в службу технической поддержки «Доктор Веб» обратился пользователь, на компьютере которого регулярно появлялось приложение для майнинга криптовалют, всякий раз удаляемое антивирусом. Проведенное аналитиками расследование показало, что виновником инцидента стала программа «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе.

Механизм обновления этой программы автоматически скачивал из Интернета и устанавливал в систему троянца-майнера Trojan.BtcMine.2869. На 9 июля специалисты «Доктор Веб» обнаружили 2700 зараженных этим троянцем компьютеров. Более подробная информация об этом инциденте изложена в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Статистика вредоносных программ в почтовом трафике

JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.Inject: Семейство троянцев, встраивающих вредоносный код в процессы других программ.

Шифровальщики

В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 17.69% обращений;
Trojan.Encoder.25574 — 11.38% обращений;
Trojan.Encoder.11464 — 8.06% обращений;
Trojan.Encoder.567 — 5.08% обращений;
Trojan.Encoder.5342 — 3.85% обращений;
Trojan.Encoder.24249 — 3.33% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В июле специалисты «Доктор Веб» зафиксировали несколько массовых почтовых рассылок с рекламой различных мошеннических ресурсов. В частности, спамеры отправляли сообщения якобы от имени компании «Яндекс» с предложением подтвердить привязку почтового адреса к аккаунту на портале passport.yandex.ru. При этом ссылка, по которой мошенники предлагали перейти получателю письма, действительно вела на портал «Яндекс». А вот другая ссылка, якобы анонсировавшая получение некоего приза, приводила потенциальную жертву на сайт сетевых мошенников, требовавших оплатить за обещанный подарок небольшой денежный взнос.

В ряде других мошеннических сообщений встречались ссылки на страницы публичных сервисов, подобных Google Docs, где злоумышленники размещали веб-страницу с картинкой, имитирующей стандартную панель автоматической защиты от роботов reCAPCHA. Щелчок мышью по этой картинке перенаправлял пользователей на различные фишинговые сайты.

Адреса всех выявленных аналитиками «Доктор Веб» мошеннических ресурсов были добавлены в базы нерекомендуемых сайтов Родительского и Офисного контроля Dr.Web.

В течение июля 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 512 763 интернет-адреса.

июнь 2018	июль 2018	Динамика
+ 395 477	+ 512 763	+29.6%

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце в каталоге Google Play было обнаружено несколько опасных вредоносных программ. Одной из них стал троянец Android.Banker.2746, который показывал поддельное окно ввода персональных данных при запуске банковских приложений. Другой троянец, получивший имя Android.DownLoader.753.origin, скачивал Android-банкеров с сервера злоумышленников, чтобы избежать обнаружения основной вредоносной программы в Google Play. Среди распространявшихся в июле троянцев были и другие банкеры. Один из них – Android.BankBot.279.origin. Он загружался на мобильные устройства при посещении мошеннических сайтов. Также в июле злоумышленники вновь распространяли вредоносное приложение-бэкдор, известное вирусным аналитикам «Доктор Веб» с апреля 2017 года. Оно шпионило за пользователями и распространяло червя, который заражал компьютеры под управлением ОС Windows. Кроме того, в уходящем месяце специалисты «Доктор Веб» обнаружили и исследовали несколько новых программ, предназначенных для кибершпионажа. Они получили имена Program.Shadspy.1.origin и Program.AppSpy.1.origin.

Наиболее заметные события, связанные с «мобильной» безопасностью в июле:

обнаружение троянцев в каталоге Google Play;
распространение Android-банкеров;
распространение Android-бэкдора, которого злоумышленники использовали для заражения компьютеров под управлением Windows;
выявление новых коммерческих программ-шпионов.

Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

3 июля 2018 года

Первый летний месяц оказался относительно спокойным с точки зрения информационной безопасности. Во второй половине июня вирусные аналитики «Доктор Веб» зафиксировали почтовую рассылку, с использованием которой сетевые мошенники пытались обмануть пользователей Интернета. Также в течение месяца были выявлены новые вредоносные программы для мобильной платформы Android.

Главные тенденции июня

Мошеннические почтовые рассылки
Распространение вредоносных программ для Android

Угроза месяца

Во второй половине июня было зафиксировано несколько массовых почтовых рассылок, с использованием которых злоумышленники завлекали потенциальных жертв на мошеннические сайты. Помимо электронной почты киберпреступники активно использовали для рассылки спама формы обратной связи, размещенные на различных интернет-ресурсах, при этом их не останавливало даже наличие «капчи». Сообщения содержали стандартный текст о получении пользователем некой транзакции или денежного перевода. Вот несколько примеров подобных сообщений: «Здравствуйте, мы отправили платеж в размере $33,50 USD Код счета на оплату: 2478347616. Уведомляем, что на вашем балансе достаточно средств для автоматического продления», «Текущий баланс лицевого счёта равен 13 300 R. Информируем вас о зачислении оплаты по счёту № 97724 на сумму - 1 017 рублей», «Уведомляем вас о зачислении оплаты по счёту на сумму - 0 031 rub. Текущий баланс лицевого счёта равен 37 561 rub», «Детали Вашего заказа: Увеличение баланса - 2 шт. - 379. 03 $. Благодарим Вас за использование безопасной системы онлайн заказов». Примечательно, что все ссылки в подобных письмах вели на бесплатный сервис Google Docs, где злоумышленники заранее разместили PDF-документ с предложением забрать некий денежный приз.

Нажав на ссылку в этом PDF-документе, потенциальная жертва попадала на один из мошеннических сайтов, предлагавших получить некий выигрыш или вознаграждение.

Дальнейшая схема жульничества довольно-таки проста, она используется сетевыми мошенниками уже очень давно: чтобы получить предлагаемый приз, посетителю сайта требуется перевести киберпреступникам небольшую сумму, после чего никакого вознаграждения жертва, разумеется, не получает. Адреса всех выявленных аналитиками «Доктор Веб» мошеннических интернет-ресурсов были добавлены в базы нерекомендуемых сайтов Родительского и Офисного контроля.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.36: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.Dimnie.5: Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.

Статистика вредоносных программ в почтовом трафике

Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.Dimnie.5: Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.
JS.BtcMine.36: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В июне в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 15,47% обращений;
Trojan.Encoder.25574 — 12,31% обращений;
Trojan.Encoder.11464 — 8,32% обращений;
Trojan.Encoder.13671 — 5,99% обращений;
Trojan.Encoder.24249 — 4,33% обращений;
Trojan.Encoder.10700 — 2,32% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение июня 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 395 477 интернет-адресов.

Май 2018	Июнь 2018	Динамика
+ 1 388 093	+ 395 477	-71.5%