30 ноября 2018 года

В последнем осеннем месяце этого года вирусные аналитики «Доктор Веб» выявили нового банковского троянца для ОС Android. Он распространялся через каталог Google Play и атаковал клиентов европейских кредитных организаций. Кроме того, в течение ноября в Google Play были обнаружены другие троянцы, а также нежелательные программы.

Мобильная угроза месяца

В середине ноября специалисты компании «Доктор Веб» выявили банковского троянца Android.Banker.2876, который угрожал клиентам нескольких европейских кредитных организаций. Он крал конфиденциальную информацию, а также перехватывал и отправлял СМС-сообщения.

Особенности Android.Banker.2876:

• распространялся через каталог Google Play;
• имитировал банковские приложения испанских, французских и немецких кредитных организаций;
• скрывал свой значок из списка приложений главного экрана;
• содержал встроенную игру, которую запускал после закрытия своего окна пользователем.

Подробнее об этом троянце рассказано в соответствующей новостной публикации на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.

Android.Mobifun.4

Троянец, который загружает различные приложения.

Android.HiddenAds.288.origin

Троянец, предназначенный для показа навязчивой рекламы. Распространяется под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают его в системный каталог.

Android.DownLoader.573.origin

Троянец, загружающий другие вредоносные приложения.

Android.RemoteCode.183.origin

Вредоносная программа, предназначенная для загрузки и выполнения произвольного кода.

Adware.Zeus.1

Adware.Adpush.2514

Adware.Patacore.1.origin

Adware.Avazu.5.origin

Adware.Gexin.2.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

В начале ноября вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play приложения со встроенными в них нежелательными рекламными модулями Adware.HiddenAds.7.origin и Adware.HiddenAds.8.origin. Они показывали рекламу даже тогда, когда содержащие их программы не использовались.

Позднее специалисты «Доктор Веб» выявили в Google Play очередных троянцев семейства Android.FakeApp, добавленных в вирусную базу Dr.Web как Android.FakeApp.138, Android.FakeApp.139 и Android.FakeApp.144. Они скрывались в приложениях, которые якобы позволяли получать деньги за участие в опросах. При запуске вредоносные программы загружали мошеннические веб-сайты, где потенциальной жертве предлагалось ответить на несколько вопросов. После этого для получения обещанного «вознаграждения» от пользователя требовалось оплатить некую комиссию за перевод средств, конвертацию валюты или за иную придуманную злоумышленниками процедуру. Если владелец зараженного устройства соглашался на оплату, запрашиваемая сумма оседала в карманах сетевых жуликов, а жертва мошенничества не получала ничего.

Кроме того, под видом различных утилит злоумышленники распространяли троянца-загрузчика Android.DownLoader.832.origin. Он скачивал другие вредоносные приложения и пытался установить их.

Каталог Google Play остается одним из самых безопасных источников приложений для смартфонов и планшетов под управлением ОС Android, однако киберпреступникам по-прежнему удается распространять через него вредоносные программы. Для защиты мобильных устройств пользователям следует установить антивирусные продукты Dr.Web для Android.

30 ноября 2018 года

Последний осенний месяц 2018 года был отмечен сразу несколькими интересными событиями в сфере информационной безопасности. В ноябре специалисты «Доктор Веб» исследовали троянца-майнера для Linux, способного удалять работающие на зараженном устройстве антивирусные программы. Вскоре был обнаружен троянец-кликер для ОС Windows, который отличается любопытным способом проникновения на компьютеры потенциальных жертв. Не снижается интерес вирусописателей и к мобильной платформе Android – в ноябре были обнаружены и добавлены в вирусные базы Dr.Web новые вредоносные программы для этой ОС.

Угроза месяца

Троянец, добавленный в вирусные базы Dr.Web под именем Trojan.Click3.27430, представляет собой вредоносную программу, предназначенную для накрутки посещаемости различных веб-сайтов. Распространяется он под видом приложения DynDNS, позволяющего привязать субдомен к компьютеру, не имеющему статического IP-адреса. Для распространения троянца злоумышленники создали специальный веб-сайт.

С этого сайта загружается архив, содержащий исполняемый файл setup.exe, который на самом деле представляет собой загрузчик. Он, в свою очередь, скачивает из Интернета другой файл, маскирующийся под ARJ-архив. На самом деле файл представляет собой дроппер, который устанавливает в систему троянца и настоящее приложение DynDNS. Если впоследствии пользователь решит деинсталлировать его с зараженного компьютера, будет удалена только сама программа DynDNS, а Trojan.Click3.27430 по-прежнему останется в системе и продолжит свою вредоносную деятельность. Более подробная информация об этом троянце и принципах его работы изложена в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

Trojan.SpyBot.699

Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

JS.Miner

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.MulDrop

Представитель семейства троянцев, предназначенных для установки на инфицированный компьютер других вредоносных программ.

Trojan.Encoder.11432

Червь-шифровальщик, также известный под именем WannaCry.

Статистика вредоносных программ в почтовом трафике

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Trojan.SpyBot.699

Многомодульный банковский троянец. Он позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и выполнять поступающие от них команды. Троянец предназначен для хищения средств с банковских счетов.

JS.Miner

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Encoder.26375

Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Шифровальщики

В ноябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 32.15% обращений;
• Trojan.Encoder.11464 — 11.17% обращений;
• Trojan.Encoder.11539 — 10.80% обращений;
• Trojan.Encoder.25574 — 4.91% обращений;
• Trojan.Encoder.567 — 1.35% обращений;
• Trojan.Encoder.10700 — 1.35% обращений.

Опасные сайты

Среди прочих опасных и нерекомендуемых сайтов отдельную категорию составляют фишинговые интернет-ресурсы. Фишинг — это разновидность сетевого мошенничества, конечной целью которого является хищение у жертвы конфиденциальной информации – например, логинов и паролей от различных интернет-сервисов и учетных данных для авторизации в социальных сетях. Для этого злоумышленники создают поддельные сайты, имитирующие оформление настоящих интернет-ресурсов, и всевозможными методами завлекают туда пользователей. Впоследствии киберпреступники могут использовать полученную информацию для рассылки рекламных сообщений, в целях мошенничества или шантажа.

В ноябре специалисты «Доктор Веб» зафиксировали несколько случаев подобных мошеннических рассылок. Киберпресупники отправляли пользователям письма якобы от имени администраторов их почтового сервиса. В послании сообщалось, что от пользователя поступил запрос на деактивацию его почтового ящика, и, чтобы отменить его, нужно перейти по предложенной в письме ссылке.

Ссылка вела на фишинговый сайт, содержащий форму для ввода логина и пароля от электронного почтового ящика потенциальной жертвы. Какие бы данные ни ввел посетитель мошеннической страницы, ему демонстрировалось сообщение об ошибке, в то время как указанная им информация незамедлительно передавалась злоумышленникам. Специалисты «Доктор Веб» выявили несколько таких фишинговых сайтов, их адреса были добавлены в базы нерекомендуемых интернет-ресурсов SpIDer Gate.

В течение ноября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 231 074 интернет-адреса.

Вредоносные программы для ОС Linux

Linux.BtcMine.174 — далеко не первый из известных аналитикам «Доктор Веб» троянцев для Linux, использующих ресурсы зараженного компьютера для добычи криптовалют. Эта вредоносная программа интересна своей способностью искать и удалять установленные на инфицированном устройстве антивирусы.

Троянец представляет собой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Он состоит из нескольких компонентов, которые скачивает с принадлежащего злоумышленникам сервера. После успешной установки на устройство вредоносный сценарий скачивает из Интернета одну из версий троянца Linux.BackDoor.Gates.9, предназначенного для организации DDoS-атак и способного выполнять поступающие от злоумышленников команды.

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы. Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий он использует набор эксплойтов. Затем вредоносная программа пытается отыскать работающие сервисы антивирусных программ, завершить их, а потом с помощью пакетных менеджеров удаляет их файлы и директорию, в которой был установлен антивирусный продукт. Помимо этого троянец скачивает и запускает на инфицированном устройстве руткит, собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их. Более подробные сведения об этой вредоносной программе изложены в опубликованной на нашем сайте обзорной статье.

Другие события в сфере информационной безопасности

Согласно статистике, собранной серверами «Доктор Веб» на зараженных компьютерах и в почтовом трафике, одной из наиболее распространенных в ноябре вредоносных программ является Trojan.SpyBot.699. Она распространяется хакерской группировкой «RTM» и представляет собой многомодульного банковского троянца.

Вредоносные функции Trojan.SpyBot.699 сосредоточены в динамической библиотеке с внутренним именем core.dll, которую он загружает в память устройства. Троянец регистрирует себя в автозагрузке Windows, все передаваемые на управляющий сервер данные вредоносная программа шифрует.

По команде злоумышленников Trojan.SpyBot.699 может загружать, сохранять на диск и запускать исполняемые файлы, скачивать и запускать программы без сохранения, загружать в память динамические библиотеки, самообновляться, устанавливать цифровые сертификаты в системное хранилище и выполнять иные поступающие извне команды.

Эта вредоносная программа умеет искать банковские клиенты среди запущенных процессов, в именах открытых окон и среди хранящихся на дисках файлов. Также троянец ищет информацию о системах «банк-клиент» в файлах cookies браузеров. Получив нужные сведения, злоумышленники с помощью Trojan.SpyBot.699 и загружаемых им модулей могут детально исследовать атакуемую систему, обеспечить постоянное присутствие в ней других троянцев, внедрять вредоносное ПО в бухгалтерские программы и программы «банк-клиент». Конечной целью киберпреступников является хищение денег с банковских счетов жертвы. Антивирусные продукты Dr.Web успешно детектируют и удаляют Trojan.SpyBot.699 и известные на сегодняшний день вредоносные модули, которые злоумышленники используют совместно с этим троянцем.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем ноябре вирусные аналитики «Доктор Веб» выявили троянца Android.Banker.2876, который распространялся через каталог Google Play. Злоумышленники использовали его для кражи конфиденциальных данных клиентов нескольких европейских банков. Кроме того, в Google Play были найдены прочие угрозы. Среди них – загрузчик Android.DownLoader.832.origin. Он скачивал и пытался установить другие вредоносные программы. Также наши специалисты обнаружили троянцев семейства Android.FakeApp, которых кибермошенники использовали для незаконного заработка. Кроме того, были выявлены приложения со встроенными рекламными модулями Adware.HiddenAds.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

• распространение вредоносных и нежелательных приложений в Google Play.

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.

31 октября 2018 года

В октябре компания «Доктор Веб» обнародовала результаты расследования деятельности одного из сетевых мошенников. Жертвами киберпреступника стали более 10 000 человек, которые потеряли в общей сложности не менее $24 000.

В течение месяца злоумышленники продолжали рассылать письма, в которых вымогали у пользователей деньги под угрозой компрометации их персональных данных. По всей видимости, в руки злоумышленников попало несколько баз данных с регистрационной информацией, содержащий адреса электронной почты и пароли. По этим адресам вымогатели и рассылали сообщения о том, что им известен пароль жертвы, и на их компьютерах якобы установлена вредоносная программа. Чтобы личная жизнь получателя не стала достоянием общественности, киберпреступники требовали выкуп в криптовалюте биткойн, эквивалентный сумме от 500 до 850 долларов США.

Жулики активно используют несколько биткойн-кошельков, и, судя по информации на сайте blockchain.com, несколько жертв уже купилось на угрозы мошенников.

В последнее время этот способ вымогательства крайне популярен среди киберпреступников: они массово рассылают письма с различными угрозами, но с ограниченным количеством сочетаний адреса электронной почты и пароля. Разумеется, никаких вирусов и троянцев для добычи этих сведений вымогатели не использовали, а чтобы обезопасить себя от подобных посягательств, пользователям достаточно всего лишь сменить используемые пароли.

Угроза месяца

Специалисты компании «Доктор Веб» провели масштабное расследование, результатами которого поделились с читателями в уходящем октябре. Предметом внимания вирусных аналитиков стала деятельность киберпреступника, скрывающегося под псевдонимами Investimer, Hyipblock и Mmpower. Для достижения своих целей он использовал широчайший набор вредоносных программ, включающий различные стилеры, загрузчики, бэкдоры и троянца-майнера со встренным модулем для подмены содержимого буфера обмена.

Специализировался Investimer на мошенничестве в сфере криптовалют. Ассортимент применяемых им способов подпольного заработка весьма велик: он создавал поддельные сайты криптовалютных бирж, ферм для майнинга, партнерских программ по выплате вознаграждений за просмотр рекламы и онлайн-лотерей.

В целом используемая киберпреступником схема обмана такова. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает троянца, который по команде злоумышленника устанавливает на компьютер другие вредоносные программы. Такие программы (в основном троянцы-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой жулик затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.

Аналитики «Доктор Веб» полагают, что общее количество пользователей, пострадавших от противоправной деятельности Investimer’а, превышает 10 000 человек. Ущерб, нанесенный злоумышленником своим жертвам, наши специалисты оценивают в более чем 23 000 долларов США. К этому следует добавить более 182 000 в криптовалюте Dogecoin, что по нынешнему курсу составляет еще порядка 900 долларов. Более подробная информация об этом расследовании представлена в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.SpyBot.699

Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.Encoder.11432

Червь-шифровальщик, также известный под именем WannaCry.

Статистика вредоносных программ в почтовом трафике

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

W97M.DownLoader

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Trojan.Encoder.26375

Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.SpyBot.699

Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.

Шифровальщики

В октябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 20,04% обращений;
• Trojan.Encoder.11464 — 11.67% обращений;
• Trojan.Encoder.567 — 6.23% обращений;
• Trojan.Encoder. 25574 — 5.84% обращений;
• Trojan.Encoder.1539 — 4.86% обращений;
• Trojan.Encoder.5342 — 1.75% обращений.

Опасные сайты

В течение октября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 156 188 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В начале октября в вирусные базы Dr.Web была добавлена запись для детектирования Android-банкера Android.BankBot.1781. Он способен скачивать и запускать вспомогательные модули, а также компилировать и выполнять получаемый от злоумышленников код, написанный на C#. Позже специалисты «Доктор Веб» выявили в официальном каталоге приложений для ОС Android несколько троянцев. Среди них были вредоносные программы Android.FakeApp.125 и Android.Click.245.origin, которые загружали и демонстрировали мошеннические веб-сайты.

В конце месяца в Google Play были найдены троянцы-загрузчики Android.DownLoader.818.origin и Android.DownLoader.819.origin. Они скачивали на мобильные устройства и пытались установить других Android-троянцев. Также вирусные аналитики исследовали вредоносные приложения Android.RemoteCode.192.origin и Android.RemoteCode.193.origin, распространявшиеся под видом безобидного ПО. Троянцы показывали рекламу, могли загружать вспомогательные модули и открывать заданные злоумышленниками видео, размещенные на портале YouTube. Тем самым они «накручивали» счетчик просмотров и повышали популярность видеороликов.

Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:

• выявление в Google Play вредоносных приложений;
• распространение опасного банковского троянца, способного компилировать и выполнять вредоносный код «на лету».

Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.

31 октября 2018 года

В октябре специалисты по информационной безопасности обнаружили Android-троянца, способного выполнять полученные с удаленного сервера скрипты, написанные на языке C#, а также скачивать и запускать вредоносные модули. Кроме того, в течение уходящего месяца в каталоге Google Play были вновь выявлены вредоносные приложения.

Мобильная угроза месяца

В октябре специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца-загрузчика Android.DownLoader.818.origin, распространявшегося под видом VPN-клиента. Вредоносная программа скачивала на мобильные устройства и пыталась установить рекламного троянца. Позже вирусные аналитики выявили модификации этого загрузчика, которые получили имена Android.DownLoader.819.origin и Android.DownLoader.828.origin. Злоумышленники выдавали их за различные игры.

Особенности троянцев:

• пытаются получить права администратора мобильного устройства, чтобы затруднить свое удаление;
• скрывают значок приложения из списка установленных программ главного экрана операционной системы;
• загружают и предлагают пользователю установить других троянцев, которые маскируются под системное ПО.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Android.Backdoor.1521

Троянские программы, которые выполняют команды злоумышленников и позволяют им контролировать зараженные мобильные устройства.

Android.HiddenAds.261.origin

Android.HiddenAds.288.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.DownLoader.573.origin

Троянец, загружающий другие вредоносные приложения.

Adware.Zeus.1

Adware.Gexin.2.origin

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Aesads.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянцы в Google Play

В начале месяца специалисты «Доктор Веб» обнаружили в каталоге Google Play троянца Android.FakeApp.125. Он распространялся под видом программы, с помощью которой пользователи якобы могли заработать деньги, отвечая на простые вопросы. В действительности же Android.FakeApp.125 по команде управляющего сервера загружал и показывал потенциальным жертвам мошеннические веб-сайты.

Позже вирусные аналитики выявили троянца Android.Click.245.origin, которого киберпреступники выдавали за популярную игру «Клевер», принадлежащую социальной сети «ВКонтакте». Как и Android.FakeApp.125, Android.Click.245.origin загружал страницы мошеннических веб-порталов и демонстрировал их пользователям.

В конце октября аналитики «Доктор Веб» исследовали вредоносные программы Android.RemoteCode.192.origin и Android.RemoteCode.193.origin. Они скрывались в 18 безобидных, на первый взгляд, программах — сканерах штрих-кодов, ПО для навигации, менеджерах загрузок файлов и различных играх, которые в общей сложности установили как минимум 1 600 000 владельцев Android-смартфонов и планшетов. Эти троянцы показывали рекламу, могли скачивать и запускать вредоносные модули, а также открывать заданные злоумышленниками видео на портале YouTube, искусственно увеличивая их популярность.

Помимо этого, в вирусную базу Dr.Web были добавлены записи для детектирования вредоносных программ Android.DownLoader.3897, Android.DownLoader.826.origin и Android.BankBot.484.origin. Они загружали на мобильные устройства и пытались установить банковских троянцев.

Прочие угрозы

Среди обнаруженных в октябре вредоносных программ для мобильных устройств оказался Android-банкер Android.BankBot.1781, имеющий модульную архитектуру. По команде управляющего сервера он мог загружать различные троянские плагины, а также скачивать и выполнять написанные на языке C# скрипты. Android.BankBot.1781 похищал информацию о банковских картах, мог красть СМС-сообщения и другую конфиденциальную информацию.

Злоумышленники распространяют вредоносные программы для мобильных Android-устройств как через каталог приложений Google Play, так и с применением мошеннических или взломанных веб-сайтов. Для защиты смартфонов и планшетов пользователям следует установить антивирусные продукты Dr.Web для Android.

28 сентября 2018 года

Сентябрь 2018 года был отмечен распространением банковского троянца, угрожавшего клиентам бразильских кредитных организаций. Специалисты «Доктор Веб» выявили более 300 уникальных образцов этой вредоносной программы, а также порядка 120 интернет-площадок, с которых банкер загружал собственные компоненты. Также в уходящем месяце был выявлен ряд новых опасных приложений для мобильной платформы Android.

Угроза месяца

Банковские троянцы, предназначенные для хищения денежных средств клиентов кредитных организаций, чрезвычайно распространены во всем мире. Новый банкер, исследованный в сентябре вирусными аналитиками «Доктор Веб» и получивший наименование Trojan.PWS.Banker1.28321, ориентирован на жителей Бразилии. На сегодняшний день известно 340 уникальных образцов Trojan.PWS.Banker1.28321, а также 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы.

Троянец распространяется под видом приложения для просмотра PDF-документов Adobe Reader. Он заражает компьютеры под управлением Microsoft Windows, в настройках которых в качестве основного установлен португальский язык. Все вредоносные функции Trojan.PWS.Banker1.28321 сосредоточены в зашифрованной и упакованной в архив динамической библиотеке, которую банкер скачивает с принадлежащих злоумышленникам сайтов.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, троянец незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Затем эта информация передается злоумышленникам. Подробнее об этом инциденте мы рассказали в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Trojan.SpyBot.699

Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.

Trojan.PWS.Stealer.1932

Представитель семейства троянцев для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.

Статистика вредоносных программ в почтовом трафике

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

W97M.DownLoader

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Шифровальщики

В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.567 — 16,94% обращений;
• Trojan.Encoder.858 — 12,71% обращений;
• Trojan.Encoder.11464 — 10,68% обращений;
• Trojan.Encoder.25574 — 4,79% обращений;
• Trojan.Encoder.24249 — 4,42% обращений;
• Trojan.Encoder.11539 — 1,84% обращений.

Опасные сайты

В течение сентября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 271 605 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» вновь зафиксировали распространение в каталоге Google Play троянцев семейства Android.Click. Многие из них представляли собой программы, которые злоумышленники выдавали за официальные приложения букмекерских контор. Эти троянцы по команде управляющего сервера открывают веб-сайты букмекерских фирм, однако в любой момент могут загрузить любые веб-страницы, в том числе мошеннические. Кроме того, в каталог Google Play в очередной раз проникла вредоносная программа Android.Click.265.origin, которая распространялась под видом официального ПО от известных компаний. Android.Click.265.origin загружает сайты с премиум-услугами и автоматически нажимает на расположенную на них кнопку подтверждения подписки на дорогостоящий сервис.

Также среди выявленных в сентябре вредоносных программ, обнаруженных в официальном каталоге ПО для ОС Android, были банковские троянцы, такие как Android.Banker.2855, Android.Banker.2856 и Android.Banker.283.origin. Они скрывались в безобидных, на первый взгляд, программах.

Помимо этого, в первом осеннем месяце 2018 года киберпреступники распространяли опасного троянца Android.Spy.460.origin, который использовался для кибершпионажа. Среди прочих угроз, выявленных в сентябре, были новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Эти приложения следят за СМС-перепиской, историей телефонных звонков, определяют местоположение мобильных устройств, копируют список контактов из телефонной книги на удаленный сервер, могут красть историю посещения из веб-браузера и похищать другую персональную информацию пользователей.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

• обнаружение в Google Play вредоносных приложений;
• распространение троянца-шпиона;
• выявление новой коммерческой программы, предназначенной для слежки за пользователями мобильных Android-устройств.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

28 сентября 2018 года

Сентябрь 2018 года был отмечен распространением банковского троянца, угрожавшего клиентам бразильских кредитных организаций. Специалисты «Доктор Веб» выявили более 300 уникальных образцов этой вредоносной программы, а также порядка 120 интернет-площадок, с которых банкер загружал собственные компоненты. Также в уходящем месяце был выявлен ряд новых опасных приложений для мобильной платформы Android.

Угроза месяца

Банковские троянцы, предназначенные для хищения денежных средств клиентов кредитных организаций, чрезвычайно распространены во всем мире. Новый банкер, исследованный в сентябре вирусными аналитиками «Доктор Веб» и получивший наименование Trojan.PWS.Banker1.28321, ориентирован на жителей Бразилии. На сегодняшний день известно 340 уникальных образцов Trojan.PWS.Banker1.28321, а также 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы.

Троянец распространяется под видом приложения для просмотра PDF-документов Adobe Reader. Он заражает компьютеры под управлением Microsoft Windows, в настройках которых в качестве основного установлен португальский язык. Все вредоносные функции Trojan.PWS.Banker1.28321 сосредоточены в зашифрованной и упакованной в архив динамической библиотеке, которую банкер скачивает с принадлежащих злоумышленникам сайтов.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, троянец незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Затем эта информация передается злоумышленникам. Подробнее об этом инциденте мы рассказали в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Trojan.SpyBot.699

Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.

Trojan.PWS.Stealer.1932

Представитель семейства троянцев для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.

Статистика вредоносных программ в почтовом трафике

Trojan.Encoder.567

Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

W97M.DownLoader

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Шифровальщики

В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.567 — 16,94% обращений;
• Trojan.Encoder.858 — 12,71% обращений;
• Trojan.Encoder.11464 — 10,68% обращений;
• Trojan.Encoder.25574 — 4,79% обращений;
• Trojan.Encoder.24249 — 4,42% обращений;
• Trojan.Encoder.11539 — 1,84% обращений.

Опасные сайты

В течение сентября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 271 605 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» вновь зафиксировали распространение в каталоге Google Play троянцев семейства Android.Click. Многие из них представляли собой программы, которые злоумышленники выдавали за официальные приложения букмекерских контор. Эти троянцы по команде управляющего сервера открывают веб-сайты букмекерских фирм, однако в любой момент могут загрузить любые веб-страницы, в том числе мошеннические. Кроме того, в каталог Google Play в очередной раз проникла вредоносная программа Android.Click.265.origin, которая распространялась под видом официального ПО от известных компаний. Android.Click.265.origin загружает сайты с премиум-услугами и автоматически нажимает на расположенную на них кнопку подтверждения подписки на дорогостоящий сервис.

Также среди выявленных в сентябре вредоносных программ, обнаруженных в официальном каталоге ПО для ОС Android, были банковские троянцы, такие как Android.Banker.2855, Android.Banker.2856 и Android.Banker.283.origin. Они скрывались в безобидных, на первый взгляд, программах.

Помимо этого, в первом осеннем месяце 2018 года киберпреступники распространяли опасного троянца Android.Spy.460.origin, который использовался для кибершпионажа. Среди прочих угроз, выявленных в сентябре, были новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Эти приложения следят за СМС-перепиской, историей телефонных звонков, определяют местоположение мобильных устройств, копируют список контактов из телефонной книги на удаленный сервер, могут красть историю посещения из веб-браузера и похищать другую персональную информацию пользователей.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

• обнаружение в Google Play вредоносных приложений;
• распространение троянца-шпиона;
• выявление новой коммерческой программы, предназначенной для слежки за пользователями мобильных Android-устройств.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

31 августа 2018 года

В августе 2018 года специалисты компании «Доктор Веб» обнаружили троянца для ОС Android, способного подменять номера электронных кошельков в буфере обмера. Кроме того, вирусные аналитики выявили в каталоге Google Play множество троянцев, которых злоумышленники использовали в различных мошеннических схемах незаконного заработка. Также в течение месяца в официальном каталоге программ для ОС Android было зафиксировано несколько новых Android-банкеров и троянцев-загрузчиков, скачивавших на мобильные устройства другое вредоносное ПО. Помимо этого, в августе специалисты по информационной безопасности обнаружили опасного троянца-шпиона, которого вирусописатели могли встраивать в безобидные программы и распространять таким образом под видом оригинальных приложений.

Мобильная угроза месяца

В начале уходящего месяца вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.Clipper.1.origin, который отслеживает буфер обмена и подменяет копируемые в него номера электронных кошельков популярных платежных систем и криптовалют. Вредоносную программу «интересуют» номера кошельков Qiwi, Webmoney, «Яндекс.Деньги», Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin. Когда пользователь копирует один из них в буфер обмена, троянец перехватывает его и передает на управляющий сервер. В ответ Android.Clipper.1.origin получает информацию о номере кошелька злоумышленников, на который заменяет номер жертвы. В результате владелец зараженного устройства рискует перевести деньги на счет вирусописателей. Подробнее об этом троянце рассказано в новостной публикации, размещенной на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства

Android.HiddenAds

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Jiubang.2

Adware.Patacore.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянцы в Google Play

В августе в каталоге Google Play было выявлено множество вредоносных программ. На протяжении всего месяца вирусные аналитики компании «Доктор Веб» отслеживали распространение в нем троянцев семейства Android.Click. Наши специалисты обнаружили 127 таких вредоносных приложений, которые злоумышленники выдавали за официальные программы букмекерских контор.

При запуске эти троянцы показывают пользователю заданный управляющим сервером веб-сайт. На момент обнаружения все выявленные представители семейства Android.Click открывали интернет-порталы букмекерских фирм. Однако в любой момент они способны получить команду на загрузку произвольного сайта, который может распространять другое вредоносное ПО или использоваться в фишинг-атаках.

Еще одним троянцем-кликером, обнаруженным в августе в Google Play, стал Android.Click.265.origin. Злоумышленники использовали его для подписки пользователей на дорогостоящие мобильные услуги. Вирусописатели распространяли эту вредоносную программу под видом официального приложения для работы с интернет-магазином «Эльдорадо».

Троянец Android.Click.248.origin, известный вирусным аналитикам «Доктор Веб» с апреля, в августе вновь появился в каталоге Google Play. Как и ранее, он распространялся под видом известного ПО. Android.Click.248.origin загружает мошеннические сайты, на которых предлагается скачать различные программы или сообщается о некоем выигрыше. Для получения приза или скачивания приложения у потенциальной жертвы запрашивается номер мобильного телефона, на который приходит код подтверждения. После ввода этого кода владелец мобильного устройства подписывается на дорогостоящую услугу. При этом, если Android-смартфон или планшет подключен к Интернету через мобильное соединение, подписка на платный сервис выполняется автоматически сразу после того, как киберпреступники получают номер.

Более подробную информацию об этих троянцах-кликерах можно получить, прочитав соответствующую новостную публикацию на нашем сайте.

В конце августа вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца Android.FakeApp.110, которого сетевые жулики использовали для незаконного заработка. Эта вредоносная программа загружала мошеннический сайт, на котором потенциальной жертве предлагалось за вознаграждение пройти опрос. После ответа на все вопросы требовалось выполнить некий идентификационный платеж в размере 100-200 рублей. Однако после перевода денег мошенникам никакой оплаты пользователь не получал.

Среди вредоносных программ, обнаруженных в каталоге Google Play в августе, оказались очередные Android-банкеры. Один из них получил имя Android.Banker.2843. Он распространялся под видом официального приложения одной из турецких кредитных организаций. Android.Banker.2843 крал логины и пароли для доступа к банковской учетной записи пользователя и передавал их злоумышленникам.

Другой банковский троянец, добавленный в вирусную базу Dr.Web как Android.Banker.2855, вирусописатели распространяли под видом различных сервисных утилит. Эта вредоносная программа извлекала из своих файловых ресурсов и запускала троянца Android.Banker.279.origin, который похищал банковские аутентификационные данные пользователей.

Некоторые модификации Android.Banker.2855 пытались скрыть свое присутствие на мобильном устройстве, показывая после запуска поддельное сообщение об ошибке и удаляя свой значок из списка приложений на главном экране.

Другой Android-банкер, получивший имя Android.BankBot.325.origin, скачивался на зараженные смартфоны и планшеты троянцем Android.DownLoader.772.origin. Злоумышленники распространяли эту вредоносную программу-загрузчик через каталог Google Play под видом полезных приложений – например, оптимизатора работы аккумулятора.

Кроме того, вирусные аналитики «Доктор Веб» выявили в Google Play загрузчика Android.DownLoader.768.origin, распространявшегося под видом приложения от корпорации Shell. Android.DownLoader.768.origin скачивал на мобильные устройства различных банковских троянцев.

Также в августе в Google Play был найден троянец-загрузчик, добавленный в вирусную базу Dr.Web как Android.DownLoader.784.origin. Он был встроен в приложение под названием Zee Player, позволявшее скрывать хранящиеся в памяти мобильных устройств фотографии и видео.

Android.DownLoader.784.origin загружал троянца Android.Spy.409.origin, которого злоумышленники могли использовать для кибершпионажа.

Android-шпион

В августе вирусная база Dr.Web пополнилась записью для детектирования троянца Android.Spy.490.origin, предназначенного для кибершпионажа. Злоумышленники могут встраивать его в любые безобидные приложения и распространять их модифицированные копии под видом оригинального ПО, не вызывая подозрений у пользователей. Android.Spy.490.origin способен отслеживать СМС-переписку и местоположение зараженного смартфона или планшета, перехватывать и записывать телефонные разговоры, передавать на удаленный сервер информацию обо всех совершенных звонках, а также снятые владельцем мобильного устройства фотографии и видео.

Каталог приложений Google Play является самым безопасным источником программ для устройств под управлением ОС Android. Однако злоумышленникам по-прежнему удается распространять через него различные вредоносные программы. Для защиты Android-смартфонов и планшетов пользователям следует установить антивирусные продукты Dr.Web для Android.

31 августа 2018 года

В августе специалисты «Доктор Веб» зафиксировали распространение троянцев-майнеров, предназначенных для добычи криптовалют без ведома пользователей. Подобные программы были предназначены как для устройств под управлением Windows, так и для Linux-устройств. В течение последнего летнего месяца киберпреступники рассылали мошеннические письма администраторам освобождающихся доменов в надежде обманным путем завладеть их деньгами. Кроме того, в августе вирусные базы Dr.Web пополнились новыми записями для Android-троянцев.

Угроза месяца

Вредоносную программу, добавленную в вирусные базы под именем Linux.BtcMine.82, злоумышленники начали использовать еще в июне. Этот троянец написан на языке Go и представляет собой дроппер, в теле которого хранится упакованный майнер. Дроппер сохраняет его на диск и запускает, после чего майнер приступает к добыче криптовалюты Monero (XMR). На принадлежащем злоумышленникам сервере аналитики «Доктор Веб» обнаружили еще несколько майнеров для ОС Windows.

Все выявленные аналитиками вредоносные программы были добавлены в вирусные базы Dr.Web. Более подробную информацию об этом инциденте можно получить из новостного материала, опубликованного на нашем сайте.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Encoder.11432

Червь-шифровальщик, также известный под именем WannaCry.

Trojan.BtcMine

Семейство вредоносных программ, которые втайне от пользователя применяют вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют, например Bitcoin.

Win32.HLLW.Shadow

Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера и запускать исполняемые файлы.

Статистика вредоносных программ в почтовом трафике

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.Encoder.567, Trojan.Encoder.25843

Энкодеры, шифрующие файлы на компьютере и требующие у жертвы выкуп за расшифровку.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.Inject

Семейство троянцев, встраивающих вредоносный код в процессы других программ.

Шифровальщики

В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 20,00% обращений;
• Trojan.Encoder.11464 — 14,23% обращений;
• Trojan.Encoder.25574 — 9,24% обращений;
• Trojan.Encoder.567 — 3,46% обращений;
• Trojan.Encoder.24249 — 3,45% обращений;
• Trojan.Encoder.10700 — 2,50% обращений.

Опасные сайты

В августе активизировались кибермошенники, целью которых на этот раз стали администраторы освобождающихся доменов, ранее пользовавшиеся услугами регистратора «Региональный Сетевой Информационный Центр» (RU-CENTER). В середине месяца они стали получать по электронной почте сообщения якобы от имени этой компании. В письмах содержалось напоминание об окончании оплаченного периода регистрации доменного имени. Злоумышленники утверждали, что администратор должен оплатить услугу продления домена в течение одного рабочего дня с момента получения письма, иначе этот домен будет исключен из реестра.

Ссылка в письме вела на взломанный веб-сайт, адрес которого был добавлен в базы нерекомендуемых интернет-ресурсов Офисного и Родительского контроля. Установленный там сценарий перенаправлял получателя письма на страницу платежной системы Яндекс.Деньги, позволяющую перевести денежные средства на электронный кошелек мошенников. Подробнее об этой рассылке мы рассказали в опубликованной на нашем сайте статье.

Также в августе многие пользователи Интернета получали электронные письма, в которых сетевые жулики сообщали получателю его пароль, ранее использованный при регистрации на одном из сайтов, либо комбинацию логина и пароля. Авторы сообщения утверждали, что они якобы разместили вирус на одном из порносайтов, и при его посещении включили камеру устройства, с помощью которой записали видеоролик с участием получателя письма. Чтобы избежать рассылки этого ролика по списку адресов, будто бы скопированному из адресной книги потенциальной жертвы, ей предлагалось заплатить выкуп в биткойнах, эквивалентный нескольким тысячам долларов США.

Разумеется, подобные сообщения являются пустой угрозой: по всей видимости, в руки злоумышленников попала база данных зарегистрированных пользователей, похищенная с одного или нескольких интернет-ресурсов. Чтобы не попадаться в руки мошенников, специалисты «Доктор Веб» рекомендуют чаще менять пароли и не использовать одинаковые учетные данные для регистрации на разных сайтах.

В течение августа 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 538 480 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В августе 2018 года вирусные аналитики компании «Доктор Веб» обнаружили троянца-клиппера Android.Clipper.1.origin, подменяющего номера электронных кошельков в буфере обмена зараженных Android-устройств. Помимо этого, в каталоге Google Play было выявлено множество различных вредоносных программ. Среди них – банковские троянцы Android.Banker.2843 и Android.Banker.2855, распространявшиеся под видом безобидных приложений. Кроме того, киберпреступники пытались заразить мобильные устройства пользователей при помощи троянцев-загрузчиков Android.DownLoader.768.origin, Android.DownLoader.772.origin и Android.DownLoader.784.origin, которые скачивали на смартфоны и планшеты различные вредоносные приложения. Также в течение уходящего месяца специалисты компании «Доктор Веб» обнаружили в Google Play большое число троянцев семейства Android.Click. Злоумышленники использовали их в мошеннических целях и зарабатывали с их помощью деньги. Еще один троянец, созданный для мошенничества, получил имя Android.FakeApp.110. Он также распространялся через каталог Google Play. Среди выявленных в августе вредоносных программ оказался опасный троянец-шпион Android.Spy.490.origin, которого вирусописатели могли встраивать в любые приложения и распространять их под видом оригиналов.

Наиболее заметные события, связанные с «мобильной» безопасностью в августе:

• обнаружение троянца-клиппера, способного подменять номера электронных кошельков в буфере обмена Android-устройств;
• обнаружение множества вредоносных программ в каталоге Google Play;
• распространение банковских троянцев;
• выявление опасного троянца-шпиона.

Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.

31 июля 2018 года

В июле 2018 года злоумышленники вновь распространяли опасный Android-бэкдор Android.Backdoor.554.origin, который известен вирусным аналитикам компании «Доктор Веб» еще с апреля 2017 года. Этот троянец шпионил за пользователями и позволял киберпреступникам дистанционно управлять зараженными смартфонами и планшетами. Android.Backdoor.554.origin скрывал в себе Windows-червя, которого копировал на подключенную к мобильному устройству карту памяти для последующего заражения компьютеров под управлением ОС Windows. Кроме того, в уходящем месяце злоумышленники продолжили атаковать владельцев Android-смартфонов и планшетов с использованием банковских троянцев. Один из них, получивший имя Android.Banker.2746, был доступен для загрузки в Google Play. Ряд других банковских троянцев загружала на мобильные устройства вредоносная программа Android.DownLoader.753.origin, которая также была доступна в официальном каталоге программ ОС Android. Кроме того, в течение июля киберпреступники распространяли прочих банковских троянцев для ОС Android. Среди них был Android.BankBot.279.origin, которого вирусописатели выдавали за полезные приложения. Также в июле вирусные аналитики «Доктор Веб» обнаружили несколько новых коммерческих программ-шпионов, получивших имена Program.Shadspy.1.origin и Program.AppSpy.1.origin.

Мобильная угроза месяца

В июле специалисты по информационной безопасности зафиксировали очередную атаку бэкдора Android.Backdoor.554.origin на пользователей Android-смартфонов и планшетов. Этот троянец распространялся под видом новых версий известных программ для онлайн-общения, таких как WhatsApp и Telegram, а также системных и других важных обновлений.

Android.Backdoor.554.origin выполнял команды злоумышленников, а также позволял киберпреступникам контролировать зараженное мобильное устройство и шпионить за его владельцем. Троянец отслеживал местоположение Android-смартфона или планшета, перехватывал переписку в популярных программах обмена сообщениями, получал доступ к звонкам и СМС, крал информацию о контактах из телефонной книги и выполнял другие вредоносные действия. Кроме того, этот бэкдор скрывал в своих файловых ресурсах Windows-червя, получившего имя Win32.HLLW.Siggen.10482. После заражения мобильного устройства Android.Backdoor.554.origin копировал червя на карту памяти, помещая его в каталоги с изображениями. При этом исполняемый файл Win32.HLLW.Siggen.10482, имеющий расширение .pif, получал имя директории, в которой он размещался. В результате при последующем открытии или копировании этих каталогов на компьютер для просмотра изображений пользователь рисковал запустить червя.

На следующей иллюстрации показан список директорий, в которые троянец Android.Backdoor.554.origin помещал Win32.HLLW.Siggen.10482:

Примеры успешного копирования исполняемого файла червя в каталоги с изображениями на карте памяти инфицированного Android-устройства:

По данным антивирусных продуктов Dr.Web для Android

Android.Altamob.1.origin

Троянская рекламная платформа, которая незаметно загружает и запускает вредоносные модули.

Android.HiddenAds.288.origin

Android.HiddenAds.524

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.Mobifun.4

Троянец, загружающий другие вредоносные приложения.

Android.Xiny.197

Троянец, предназначенный для незаметной загрузки и установки других вредоносных приложений.

Adware.SalmonAds.3.origin

Adware.Altamob.1.origin

Adware.Appalytic.1.origin

Adware.Adtiming.1.origin

Adware.Jiubang.2

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Банковские троянцы

В уходящем месяце специалисты по информационной безопасности обнаружили в каталоге Google Play троянца, по классификации компании «Доктор Веб» получившего имя Android.DownLoader.753.origin. Эта вредоносная программа распространялась под видом финансовых приложений. Некоторые ее модификации действительно выполняли заявленные функции, в то время как остальные были бесполезны и лишь предлагали установить настоящее банковское ПО, загружая его страницы в программе Play Маркет.

Android.DownLoader.753.origin незаметно скачивал с удаленного сервера одного из банковских троянцев семейства Android.BankBot и пытался установить его, показывая стандартный диалог инсталляции.

В середине июля специалисты «Доктор Веб» проанализировали Android-банкера, получившего имя Android.Banker.2746. Вирусописатели распространяли этого троянца через каталог Google Play, выдавая вредоносную программу за официальное банковское приложение.

С его помощью они пытались получить доступ к учетным записям клиентов одной из турецких кредитных организаций. Android.Banker.2746 показывал поддельное окно ввода логина и пароля и перехватывал СМС с одноразовыми проверочными кодами.

Среди банковских троянцев, атаковавших пользователей в уходящем месяце, была вредоносная программа Android.BankBot.279.origin. Киберпреступники распространяли ее с использованием мошеннических веб-сайтов. При посещении одного из них с мобильного устройства троянец загружался под видом безобидных и полезных программ, таких как проигрыватель Adobe Flash Player, программы для онлайн-общения, клиенты для подключения к VPN-сервисам и другое ПО. Android.BankBot.279.origin отслеживал запуск установленных на смартфоне или планшете банковских приложений и показывал поверх их окон фишинговую форму ввода логина и пароля для доступа к учетной записи пользователя. Кроме того, банкер мог менять pin-код разблокировки экрана и блокировать зараженное устройство.

Примеры сайтов, с которых на Android-смартфоны и планшеты скачивался Android.BankBot.279.origin:

Программы-шпионы

В уходящем месяце специалисты «Доктор Веб» обнаружили несколько новых коммерческих программ-шпионов. Одна из них получила имя Program.AppSpy.1.origin. Она отслеживает местоположение зараженного устройства, прослушивает телефонные звонки и перехватывает СМС-сообщения. Другая программа для кибершпионажа была добавлена в вирусную базу Dr.Web как Program.Shadspy.1.origin. Это приложение обладает обширным функционалом. Program.Shadspy.1.origin отслеживает СМС-переписку, телефонные звонки, местоположение устройства, выполняет запись окружения с использованием встроенного микрофона, копирует историю посещения сайтов из веб-браузера, информацию о запланированных событиях из календаря пользователя, может делать снимки при помощи камеры смартфона или планшета, а также выполнять ряд других действий. Кроме того, при наличии root-полномочий Program.Shadspy.1.origin может перехватывать переписку в программах Facebook и WhatsApp.

Банковские троянцы представляют серьезную опасность для владельцев мобильных устройств. Злоумышленники продолжают распространять эти вредоносные программы не только с помощью мошеннических сайтов, но и через официальный каталог программ Google Play. Для защиты от этих и других Android-троянцев пользователям следует установить антивирусные продукты Dr.Web для Android.

31 июля 2018 года

В начале июля вирусные аналитики «Доктор Веб» проанализировали нового троянца-майнера, который использовал необычную схему распространения. Также в течение месяца проявляли активность спамеры, рекламировавшие мошеннические сайты. Кроме того, в июле вирусные базы Dr.Web пополнились новыми записями для вредоносных программ, ориентированных на мобильную платформу Android.

Угроза месяца

Специалисты по информационной безопасности уже сталкивались с распространением вредоносных программ при помощи механизма обновления приложений. Именно так попали к пользователям троянец-шифровальщик Trojan.Encoder.12544 (Petya, Petya.A, ExPetya и WannaCry-2) и бэкдор BackDoor.Dande. В июле в службу технической поддержки «Доктор Веб» обратился пользователь, на компьютере которого регулярно появлялось приложение для майнинга криптовалют, всякий раз удаляемое антивирусом. Проведенное аналитиками расследование показало, что виновником инцидента стала программа «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе.

Механизм обновления этой программы автоматически скачивал из Интернета и устанавливал в систему троянца-майнера Trojan.BtcMine.2869. На 9 июля специалисты «Доктор Веб» обнаружили 2700 зараженных этим троянцем компьютеров. Более подробная информация об этом инциденте изложена в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

JS.BtcMine

Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.Inject

Семейство троянцев, встраивающих вредоносный код в процессы других программ.

Шифровальщики

В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 17.69% обращений;
• Trojan.Encoder.25574 — 11.38% обращений;
• Trojan.Encoder.11464 — 8.06% обращений;
• Trojan.Encoder.567 — 5.08% обращений;
• Trojan.Encoder.5342 — 3.85% обращений;
• Trojan.Encoder.24249 — 3.33% обращений.

Опасные сайты

В июле специалисты «Доктор Веб» зафиксировали несколько массовых почтовых рассылок с рекламой различных мошеннических ресурсов. В частности, спамеры отправляли сообщения якобы от имени компании «Яндекс» с предложением подтвердить привязку почтового адреса к аккаунту на портале passport.yandex.ru. При этом ссылка, по которой мошенники предлагали перейти получателю письма, действительно вела на портал «Яндекс». А вот другая ссылка, якобы анонсировавшая получение некоего приза, приводила потенциальную жертву на сайт сетевых мошенников, требовавших оплатить за обещанный подарок небольшой денежный взнос.

В ряде других мошеннических сообщений встречались ссылки на страницы публичных сервисов, подобных Google Docs, где злоумышленники размещали веб-страницу с картинкой, имитирующей стандартную панель автоматической защиты от роботов reCAPCHA. Щелчок мышью по этой картинке перенаправлял пользователей на различные фишинговые сайты.

Адреса всех выявленных аналитиками «Доктор Веб» мошеннических ресурсов были добавлены в базы нерекомендуемых сайтов Родительского и Офисного контроля Dr.Web.

В течение июля 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 512 763 интернет-адреса.

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце в каталоге Google Play было обнаружено несколько опасных вредоносных программ. Одной из них стал троянец Android.Banker.2746, который показывал поддельное окно ввода персональных данных при запуске банковских приложений. Другой троянец, получивший имя Android.DownLoader.753.origin, скачивал Android-банкеров с сервера злоумышленников, чтобы избежать обнаружения основной вредоносной программы в Google Play. Среди распространявшихся в июле троянцев были и другие банкеры. Один из них – Android.BankBot.279.origin. Он загружался на мобильные устройства при посещении мошеннических сайтов. Также в июле злоумышленники вновь распространяли вредоносное приложение-бэкдор, известное вирусным аналитикам «Доктор Веб» с апреля 2017 года. Оно шпионило за пользователями и распространяло червя, который заражал компьютеры под управлением ОС Windows. Кроме того, в уходящем месяце специалисты «Доктор Веб» обнаружили и исследовали несколько новых программ, предназначенных для кибершпионажа. Они получили имена Program.Shadspy.1.origin и Program.AppSpy.1.origin.

Наиболее заметные события, связанные с «мобильной» безопасностью в июле:

• обнаружение троянцев в каталоге Google Play;
• распространение Android-банкеров;
• распространение Android-бэкдора, которого злоумышленники использовали для заражения компьютеров под управлением Windows;
• выявление новых коммерческих программ-шпионов.

Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.

3 июля 2018 года

Первый летний месяц оказался относительно спокойным с точки зрения информационной безопасности. Во второй половине июня вирусные аналитики «Доктор Веб» зафиксировали почтовую рассылку, с использованием которой сетевые мошенники пытались обмануть пользователей Интернета. Также в течение месяца были выявлены новые вредоносные программы для мобильной платформы Android.

Угроза месяца

Во второй половине июня было зафиксировано несколько массовых почтовых рассылок, с использованием которых злоумышленники завлекали потенциальных жертв на мошеннические сайты. Помимо электронной почты киберпреступники активно использовали для рассылки спама формы обратной связи, размещенные на различных интернет-ресурсах, при этом их не останавливало даже наличие «капчи». Сообщения содержали стандартный текст о получении пользователем некой транзакции или денежного перевода. Вот несколько примеров подобных сообщений: «Здравствуйте, мы отправили платеж в размере $33,50 USD Код счета на оплату: 2478347616. Уведомляем, что на вашем балансе достаточно средств для автоматического продления», «Текущий баланс лицевого счёта равен 13 300 R. Информируем вас о зачислении оплаты по счёту № 97724 на сумму - 1 017 рублей», «Уведомляем вас о зачислении оплаты по счёту на сумму - 0 031 rub. Текущий баланс лицевого счёта равен 37 561 rub», «Детали Вашего заказа: Увеличение баланса - 2 шт. - 379. 03 $. Благодарим Вас за использование безопасной системы онлайн заказов». Примечательно, что все ссылки в подобных письмах вели на бесплатный сервис Google Docs, где злоумышленники заранее разместили PDF-документ с предложением забрать некий денежный приз.

Нажав на ссылку в этом PDF-документе, потенциальная жертва попадала на один из мошеннических сайтов, предлагавших получить некий выигрыш или вознаграждение.

Дальнейшая схема жульничества довольно-таки проста, она используется сетевыми мошенниками уже очень давно: чтобы получить предлагаемый приз, посетителю сайта требуется перевести киберпреступникам небольшую сумму, после чего никакого вознаграждения жертва, разумеется, не получает. Адреса всех выявленных аналитиками «Доктор Веб» мошеннических интернет-ресурсов были добавлены в базы нерекомендуемых сайтов Родительского и Офисного контроля.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.Dimnie.5

Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.

Статистика вредоносных программ в почтовом трафике

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Trojan.Dimnie.5

Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В июне в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 15,47% обращений;
• Trojan.Encoder.25574 — 12,31% обращений;
• Trojan.Encoder.11464 — 8,32% обращений;
• Trojan.Encoder.13671 — 5,99% обращений;
• Trojan.Encoder.24249 — 4,33% обращений;
• Trojan.Encoder.10700 — 2,32% обращений.

Опасные сайты

В течение июня 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 395 477 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В прошедшем месяце вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play большое число программ со встроенным нежелательным рекламным модулем Adware.Appalytic.1.origin. Этот модуль показывал надоедливые уведомления, предлагая загрузить различное ПО, а также самостоятельно открывал в Play Маркет страницы рекламируемых приложений. Позднее наши специалисты выявили в Google Play несколько новых троянцев семейства Android.FakeApp, которые по команде злоумышленников загружали всевозможные веб-сайты. Также в июне преступники распространяли троянца Android.Spy.461.origin, которого вирусописатели использовали для кибершпионажа. Кроме того, среди угрожавших владельцам Android-смартфонов и планшетов вредоносных программ был СМС-троянец Android.SmsSend.1989.origin, подписывавший пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в июне:

• выявление в Google Play новых Android-троянцев;
• распространение троянца-шпиона.

Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.

3 июля 2018 года

В июне 2018 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play более 30 приложений со встроенным рекламным модулем Adware.Appalytic.1.origin. Он показывал уведомления с предложением загрузить различное ПО, а также открывал в Google Play страницы рекламируемых программ. Кроме того, специалисты «Доктор Веб» обнаружили в официальном каталоге Android-приложений несколько новых троянцев семейства Android.FakeApp, по команде злоумышленников загружавших веб-сайты. Помимо этого, в прошедшем месяце под видом эротический игры киберпреступники распространяли троянца Android.Spy.461.origin, который шпионил за владельцами Android-смартфонов и планшетов. Также в июне пользователям мобильных устройств угрожал троянец Android.SmsSend.1989.origin, отправлявший платные СМС-сообщения на премиум-номера.

Мобильная угроза месяца

В начале июня специалисты «Доктор Веб» обнаружили в каталоге Google Play 37 программ, в которых находился нежелательный рекламный модуль Adware.Appalytic.1.origin. Он настойчиво предлагал загрузить и установить различные приложения и игры. Кроме того, Adware.Appalytic.1.origin самостоятельно открывал в Google Play страницы рекламируемых программ.

Пример рекламируемого приложения из каталога Google Play:

Пример уведомлений, которые показывает этот модуль:

Особенности Adware.Appalytic.1.origin:

• встроен в безобидные приложения, распространяемые через Google Play;
• получает команды через облачный сервис Firebase;
• самостоятельно открывает каталог Google Play и загружает в нем страницы рекламируемых приложений;
• отображает в панели уведомлений надоедливые сообщения с предложением скачать и установить различные программы.

По данным антивирусных продуктов Dr.Web для Android

Android.Mobifun.4

Троянец, предназначенный для загрузки других Android-приложений.

Android.HiddenAds.280.origin

Android.HiddenAds.288.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.SmsSend.1338.origin

Вредоносная программа, отправляющая СМС на платные номера.

Android.DownLoader.573.origin

Троянец, предназначенный для загрузки других вредоносных приложений.

Adware.SalmonAds.3.origin

Adware.Jiubang.2

Adware.Appalytic.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.SilentInstaller.1.origin

Потенциально опасная программа, предназначенная для незаметного запуска приложений без вмешательства пользователя.

Троянцы в Google Play

В конце июня специалисты «Доктор Веб» обнаружили в каталоге Google Play несколько новых троянцев семейства Android.FakeApp. Как и ранее, эти вредоносные программы распространялись под видом полезных приложений – в частности, ПО для прослушивания музыки из социальной сети «ВКонтакте». Троянцы, добавленные в вирусную базу Dr.Web как Android.FakeApp.89, Android.FakeApp.90, Android.FakeApp.91 и Android.FakeApp.92, по команде злоумышленников переходили по заданным ими ссылкам и загружали различные веб-сайты, среди которых были мошеннические интернет-ресурсы.

На следующих изображениях показаны страницы загрузки обнаруженных в Google Play троянцев Android.FakeApp:

Android-шпион

В июне пользователям Android-смарфонов и планшетов угрожал троянец-шпион, которого злоумышленники распространяли под видом эротической игры. Эта вредоносная программа получила имя Android.Spy.461.origin. Троянец похищал СМС-сообщения и контакты из телефонной книги, записывал окружение с использованием встроенного в мобильное устройство микрофона, получал список хранящихся на смартфоне или планшете файлов и мог загружать их на сервер злоумышленников. Кроме того, Android.Spy.461.origin крал данные из буфера обмена.

СМС-троянец

В прошедшем месяце в злоумышленники распространяли СМС-троянца Android.SmsSend.1989.origin, который отправлял сообщения на платные номера и подписывал пользователей на дорогостоящие услуги. Эта вредоносная программа скрывалась в приложении, которое киберпреступники выдавали за популярную игру Fortnite. При этом ее официальная версия для устройств под управлением ОС Android все еще находится в разработке и недоступна для игроков.

Злоумышленники по-прежнему атакуют мобильные устройства под управлением ОС Android и распространяют вредоносные и нежелательные программы не только с использованием различных веб-сайтов, но и через официальный каталог приложений Google Play. Для защиты смартфонов и планшетов пользователям необходимо установить антивирусные продукты Dr.Web для Android.

31 мая 2018 года

В мае 2018 года вирусные аналитики компании «Доктор Веб» нашли в каталоге Google Play несколько приложений, в которые был встроен троянец Android.Click.248.origin. Он загружал мошеннические веб-страницы, на которых пользователей подписывали на дорогостоящие мобильные услуги. Кроме того, в Google Play была обнаружена вредоносная программа Android.FakeApp, распространявшаяся под видом известного ПО. Она переходила по заданным злоумышленниками ссылкам и накручивала счетчик посещений веб-сайтов. Среди других угроз, встретившихся в официальном каталоге приложений ОС Android, оказались троянцы семейства Android.HiddenAds, предназначенные для показа рекламы. Также в уходящем месяце специалисты по информационной безопасности выявили троянцев Android.Spy.456.origin и Android.Spy.457.origin, которых злоумышленники использовали для кибершпионажа. А в конце мая в вирусную базу Dr.Web была добавлена запись для детектирования новой версии коммерческой программы-шпиона Program.Onespy.

Мобильная угроза месяца

В уходящем месяце специалисты «Доктор Веб» выявили в каталоге Google Play троянца Android.Click.248.origin, которого злоумышленники распространяли под видом таких известных программ как Skype и Алиса (голосовой помощник от компании «Яндекс», в действительности недоступный в виде отдельного приложения).

Троянец загружал мошеннические веб-сайты, на которых пользователей подписывали на платные услуги. Об аналогичных вредоносных приложениях компания «Доктор Веб» сообщала в апреле.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.210.origin

Android.HiddenAds.222.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.SmsSend.1338.origin

Вредоносная программа, отправляющая СМС на платные номера.

Android.Mobifun.4

Троянец, предназначенный для загрузки других Android-приложений.

Android.Xiny.1403

Троянец, предназначенный для незаметной загрузки и установки других вредоносных приложений.

Adware.Adtiming.1.origin

Adware.Jiubang.2

Adware.Adpush.601

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программы, предназначенные для незаметного запуска приложений без вмешательства пользователя.

Угрозы в Google Play

В мае в каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.FakeApp, распространявшегося под видом популярных приложений. По команде вирусописателей Android.FakeApp переходил по заданным ими ссылкам и загружал веб-сайты, накручивая счетчик их посещений.

Особенности троянца:

• создан с использованием сервиса AppsGeyser, который за несколько элементарных шагов позволяет построить простые Android-программы;
• распространялся под видом известных приложений;
• не содержал никаких полезных функций;
• выявлено 7 разработчиков, от имени которых троянец распространялся в Google Play.

Пример приложений-подделок, найденных в Google Play:

Кроме того, в мае в официальном каталоге ПО для ОС Android были обнаружены очередные представители троянцев семейства Android.HiddenAds, такие как Android.HiddenAds.267.origin и Android.HiddenAds.277.origin. Эти вредоносные программы распространялись под видом безобидных и известных приложений. Главная функция троянцев – показ рекламы.

Кибершпионаж

В уходящем месяце специалисты по информационной безопасности обнаружили несколько новых Android-троянцев, которых злоумышленники использовали для кибершпионажа. Один из них распространялся через Google Play и получил имя Android.Spy.456.origin. Вредоносная программа похищала фотографии, СМС-сообщения, а также контакты из телефонной книги зараженных мобильных устройств и загружала их на удаленный сервер киберпреступников. Другой мобильный троянец-шпион, выявленный в мае, был добавлен в вирусную базу Dr.Web как Android.Spy.457.origin. Он крал изображения и видеоролики, хранящиеся в памяти Android-смартфонов и планшетов, похищал СМС, отслеживал координаты мобильных устройств, а также мог прослушивать окружение и записывать телефонные разговоры.

В конце месяца специалисты компании «Доктор Веб» обнаружили новую версию коммерческой программы-шпиона Onespy, получившую имя Program.Onespy.3.origin. Это приложение способно перехватывать СМС-сообщения и телефонные звонки, отслеживать местоположение зараженного устройства, прослушивать окружение, красть фотографии, видео, документы и другие файлы, следить за перепиской в популярных программах для общения, таких как Skype, Viber, WhatsApp, Line, Facebook и других, а также выполнять прочие опасные действия.

Несмотря на усилия корпорации Google, злоумышленникам по-прежнему удается распространять Android-троянцев через каталог Google Play. Кроме того, вредоносные и потенциально опасные программы для мобильных устройств подстерегают пользователей и вне официального каталога приложений. Для защиты смартфонов и планшетов их владельцам следует установить антивирусные продукты Dr.Web для Android.

31 мая 2018 года

В мае компания «Доктор Веб» завершила исследование нескольких троянцев, угрожавших пользователям популярной игровой платформы Steam. Они похищали данные учетных записей поклонников компьютерных игр, а также подменяли игровые предметы при совершении сделок обмена. Также в течение последнего месяца весны было выявлено множество мошеннических сайтов, адреса которых пополнили базы нерекомендуемых интернет-ресурсов. Среди них нередко встречались веб-страницы, активно эксплуатирующие тематику грядущего Чемпионата мира по футболу 2018 года. В начале мая вирусные аналитики исследовали несколько троянцев-стилеров, кравших с зараженных устройств конфиденциальную информацию.

Угроза месяца

Создатель вредоносных программ, добавленных в вирусную базу Dr.Web под наименованиями Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278, разработал специальную схему для их распространения. От злоумышленников, пожелавших освоить незаконный заработок, не требуется ничего, кроме денег и, в некоторых случаях, домена: вирусописатель предоставляет им самого троянца, доступ к административной панели и техническую поддержку.

Заразив компьютер, Trojan.PWS.Steam.13604 отображает поддельное окно авторизации Steam. Если жертва вводит в него свои логин и пароль, троянец пытается авторизоваться с их помощью в сервисе Steam. Если эта попытка увенчалась успехом и на компьютере включен Steam Guard — система двухфакторной аутентификации для защиты учетной записи пользователя, — троянец выводит на экран поддельное окно для ввода кода авторизации. Вся эта информация отсылается на сервер злоумышленников.

Другая вредоносная программа того же автора, Trojan.PWS.Steam.15278, нацелена на хищение инвентаря в Steam. Для этого на многих обменных площадках троянец подменяет получателя игровых предметов с помощью веб-инжектов, в результате чего артефакты достаются злоумышленникам. А при обмене инвентаря с использованием официального сайта steamcommunity.com вредоносная программа подменяет отображение игровых предметов на компьютере жертвы с помощью перехвата и модификации трафика. В результате пользователю будет казаться, что он приобретает некий дорогостоящий инвентарь, в то время как в действительности в его игровой учетной записи появится совсем другой, гораздо более дешевый предмет.

Более подробную информацию о методах распространения этих троянцев и принципах их работы рассказано в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.MulDrop8.25070

Троянец-дроппер, устанавливающий в систему другие вредоносные программы.

Win32.HLLW.Shadow

Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера исполняемые файлы и запускать их.

Статистика вредоносных программ в почтовом трафике

Trojan.Dimnie.14

Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Шифровальщики

В мае в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.11464 — 15.90% обращений;
• Trojan.Encoder.858 — 11.33% обращений;
• Trojan.Encoder.24249 — 6.16% обращений;
• Trojan.Encoder.10700 — 3.78% обращений;
• Trojan.Encoder.13671 — 3.70% обращений;
• Trojan.Encoder.4592 — 2.39% обращений.

Опасные сайты

С приближением Чемпионата мира по футболу активизировались многочисленные сетевые мошенники, которые начали использовать чрезвычайно актуальную тематику мундиаля. Чтобы привлечь посетителей, жулики размещают на своих веб-страницах официальную символику Чемпионата. Они предлагают всем желающим принять участие в розыгрышах призов, якобы организованных FIFA, крупными банками и международными инвестиционными фондами.

В качестве призов мошенники обещают дорогие автомобили, значительные денежные суммы, туристические путевки на зарубежные курорты, и, конечно, же, бесплатные билеты на футбольный чемпионат. Схема, которую используют киберпреступники, в целом не нова: потенциальной жертве сообщают о крупном выигрыше, для получения которого необходимо перевести на их счет несколько сотен рублей. Несложно догадаться, что, расставшись с деньгами, никакого приза жертва мошенников не получит. В мае 2018 года специалисты «Доктор Веб» добавили в базы Родительского и Офисного контроля несколько десятков адресов подобных ресурсов, однако похожие по тематике и оформлению сайты продолжают появляться с завидной регулярностью.

В мае участились случаи распространения ссылок на мошеннические сайты с использованием СМС и сообщений в программах-мессенджерах. Жулики предлагают потенциальным жертвам получить якобы полагающуюся им компенсацию за переплату предоставляемых населению коммунальных, медицинских услуг, либо услуг обязательного страхования.

Для «проверки» возможности получить компенсацию посетителю сайта предлагается ввести в специальную форму последние цифры какого-либо документа, а также свое имя и фамилию. Какие бы данные ни указал пользователь, на сайте появляется сообщение о возможности получить выплату, для чего мошенники просят перевести им небольшую денежную сумму. Более подробно об этой популярной схеме обмана интернет-пользователей мы рассказали в нашей статье.

В течение мая 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 1 388 093 интернет-адреса.

Другие события в сфере информационной безопасности

В мае вирусные аналитики «Доктор Веб» исследовали несколько новых модификаций троянцев, похищавших конфиденциальную информацию. Один из них, получивший наименование Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в поисках сохраненных паролей и файлов cookies браузеров, основанных на Chromium. Кроме того, этот троянец ворует информацию из мессенджера Telegram, FTP-клиента FileZilla, а также копирует файлы изображений и офисных документов по заранее заданному списку. Полученные данные троянец упаковывает в архив и сохраняет его на Яндекс.Диск.

Другая модификация этого троянца-шпиона получила наименование Trojan.PWS.Stealer.23700. Она крадет пароли и файлы cookies из браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Помимо этого, троянец копирует файлы ssfn из подпапки config приложения Steam, а также данные, необходимые для доступа к учетной записи Telegram. Кроме того, шпион создает копии изображений и документов, хранящихся на Рабочем столе Windows. Всю украденную информацию он упаковывает в архив и загружает в облачное хранилище pCloud.

Третья модификация стилера получила наименование Trojan.PWS.Stealer.23732. Этот троянец состоит из нескольких компонентов. Один из них представляет собой шпионский модуль, как и его предшественники, написанный на языке Python и преобразованный в исполняемый файл. Он ворует конфиденциальную информацию. Все остальные компоненты троянца написаны на языке Go. Один из них сканирует диски в поисках папок, в которых установлены браузеры, а еще один упаковывает похищенные данные в архивы и загружает их в хранилище pCloud.

Более подробно о методах распространения этих вредоносных программ мы рассказали в опубликованной на нашем сайте статье.

Вредоносное и нежелательное ПО для мобильных устройств

В мае было выявлено немало новых вредоносных и потенциально опасных программ для мобильных устройств, многие из которых распространялись через официальный каталог программ для ОС Android. В начале месяца вирусные аналитики компании «Доктор Веб» обнаружили в Google Play троянца Android.Click.248.origin, загружавший мошеннические веб-страницы, на которых пользователей подписывали на дорогостоящие услуги. Позднее там же наши специалисты зафиксировали троянца Android.FakeApp. Он переходил по ссылкам, которые получал от вирусописателей, и загружал веб-страницы, искусственно увеличивая их посещаемость. Кроме того, в Google Play распространялись вредоносные программы семейства Android.HiddenAds, предназначенные для показа рекламы. Среди обнаруженных в мае троянцев были также и шпионы Android.Spy.456.origin и Android.Spy.457.origin, применявшиеся для слежки за пользователями. А в конце месяца вирусные аналитики «Доктор Веб» добавили в вирусную базу запись для детектирования коммерческой программы-шпиона Program.Onespy.3.origin.

Наиболее заметные события, связанные с «мобильной» безопасностью в мае:

• выявление в Google Play новых Android-троянцев;
• обнаружение новой версии потенциально опасной шпионской программы для ОС Android.

Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.

28 апреля 2018 года

В апреле 2018 года компания «Доктор Веб» зафиксировала распространение опасного банковского троянца Android.BankBot.358.origin, заразившего свыше 60 000 мобильных устройств российских пользователей. Кроме того, в течение месяца вирусные аналитики выявили большое число троянцев семейства Android.Click, которые распространялись через каталог Google Play. Помимо них в каталоге был обнаружен троянец Android.RemoteCode.152.origin – он загружал другие вредоносные модули, с их помощью создавал рекламные баннеры, а после этого нажимал на них, зарабатывая для киберпреступников. Также в Google Play была найдена потенциально опасная программа Program.PWS.2, предоставляющая доступ к заблокированному на территории России сервису Telegram, но не обеспечивающая необходимую защиту конфиденциальных данных. Среди обнаруженных в апреле вредоносных приложений для ОС Android оказались и троянцы-шпионы, такие как Android.Hidden.5078, Android.Spy.443.origin и Android.Spy.444.origin.

Мобильная угроза месяца

В прошедшем месяце компания «Доктор Веб» сообщала о распространении банковского троянца Android.BankBot.358.origin, заразившего более 60 000 Android-смартфонов и планшетов. Большинство этих устройств принадлежало российским пользователям. Главной целью Android.BankBot.358.origin были клиенты одного из крупнейших банков.

Троянец распространялся с использованием различных мошеннических СМС-сообщений, в которых пользователям предлагалось перейти по ссылке для ознакомления с информацией об объявлениях, кредитах и денежных переводах. Если потенциальная жертва нажимала на такую ссылку, она попадала на веб-сайт, с которого на мобильное устройство загружался банкер.

Для кражи денег со счетов троянец использовал СМС-команды управления мобильным банком. Поэтому, даже если на устройстве жертвы не было установлено официальное приложение для доступа к услугам одного из крупнейших банков, владельцы зараженных устройств все равно могли потерять свои деньги. В результате атаки злоумышленников под угрозой оказалось свыше 78 000 000 рублей клиентов кредитной организации. Подробнее об Android.BankBot.358.origin рассказано в публикации, подготовленной нашими специалистами.

По данным антивирусных продуктов Dr.Web для Android

Android.Mobifun.4

Троянец, предназначенный для загрузки других Android-приложений.

Android.HiddenAds.248.origin

Android.HiddenAds.253

Android.HiddenAds.210.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.Packed.15893

Детект для Android-троянцев, защищенных программным упаковщиком.

Adware.Adtiming.1.origin

Adware.Adpush.601

Adware.Jiubang.2

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программы, предназначенные для незаметного запуска приложений без вмешательства пользователя.

Угрозы в Google Play

В уходящем месяце в каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили большое число новых вредоносных программ. Среди них были различные троянцы семейства Android.Click. Например, в середине месяца вирусная база Dr.Web пополнилась записью для детектирования троянца Android.Click.245.origin, который злоумышленники от имени разработчиков Roman Zencov и Sneil распространяли под видом известных приложений.

После запуска троянец загружал заданные киберпреступниками веб-сайты, на которых пользователей обманом подписывали на дорогостоящие услуги. При этом, если устройства потенциальных жертв подключались к Интернету через мобильную сеть, подписка производилась автоматически при нажатии нескольких кнопок на этих сайтах. Подробнее об одном из таких случаев рассказано в соответствующей публикации компании «Доктор Веб».

Позже в апреле вирусные аналитики выявили в Google Play другие аналогичные вредоносные программы. Они были добавлены в вирусную базу Dr.Web как Android.Click.246.origin и Android.Click.458. Как и в случае с Android.Click.245.origin, киберпреступники также распространяли этих троянцев под видом безобидных программ. Например, скрывающиеся под именем разработчика mendozapps злоумышленники добавили в Google Play около 40 таких вредоносных приложений.

А разработчики Trinh Repasi и Vashashlaba под видом программ Viber и Авито распространяли похожего троянца Android.Click.248.origin. Эта вредоносная программа написана на языке Kotlin. Она проверяет IP-адрес зараженного устройства и, в зависимости от страны, в которой находится пользователь, получает задание на загрузку определенных веб-сайтов. Злоумышленники управляют Android.Click.248.origin через облачный сервис Firebase.

В конце месяца вирусные аналитики «Доктор Веб» выявили в Google Play троянца Android.RemoteCode.152.origin, скрывавшегося в безобидных играх. Эта вредоносная программа незаметно скачивала и запускала дополнительные модули, которые использовались для создания невидимых рекламных баннеров. Троянец самостоятельно нажимал на эти баннеры, за что вирусописатели получали вознаграждение. С информацией об Android.RemoteCode.152.origin можно ознакомиться, прочитав соответствующую новость на нашем сайте.

Кроме того, в апреле специалисты компании «Доктор Веб» обнаружили в Google Play потенциально опасную программу Program.PWS.2, которая позволяет работать с заблокированным на территории России сервисом Telegram.

Это приложение работает через один из анонимайзеров, однако никак не шифрует передаваемые логины, пароли и другие конфиденциальные данные. В результате вся персональная информация пользователей находится под угрозой. Об аналогичной опасной программе компания «Доктор Веб» уже сообщала в июне 2017 года.

Значок Program.PWS.2 и внешний вид работающего приложения показаны на изображениях ниже:

Троянцы-шпионы

В апреле были обнаружены новые троянцы-шпионы, которые крадут конфиденциальную информацию пользователей Android-смартфонов и планшетов. Один из них был добавлен в нашу вирусную базу как Android.Hidden.5078. Эта вредоносная программа похищала переписку из популярных программ для общения, таких как Viber, Facebook Messenger, WhatsApp, WeChat, Telegram, Skype, Weibo, Twitter, Line и других. При создании троянца злоумышленники использовали обфускацию кода и приемы антиотладки, чтобы избежать детектирования антивирусами и затруднить его анализ.

Другие Android-шпионы, выявленные в уходящем месяце, получили имена Android.Spy.443.origin и Android.Spy.444.origin. Их под видом модуля настроек загружал и устанавливал на мобильные устройства троянец, добавленный в вирусную базу Dr.Web как Android.DownLoader.3557. Этот загрузчик распространялся через каталог Google Play в виде программы для онлайн-общения под названием Dardesh.

При запуске Android.DownLoader.3557 предлагал потенциальной жертве установить якобы необходимый для работы программы компонент, который в действительности был одним из троянцев-шпионов.

После установки и запуска Android.Spy.443.origin и Android.Spy.444.origin начинали следить за владельцем мобильного устройства. Они отслеживали местоположение зараженного смартфона или планшета, получали информацию обо всех доступных файлах, могли пересылать злоумышленникам документы пользователя, отправлять и красть СМС-сообщения, выполнять запись окружения при помощи встроенного в устройство микрофона, записывать видео, перехватывать телефонные звонки, похищать данные из телефонной книги и выполнять другие действия.

Злоумышленники продолжают активно распространять Android-троянцев, используя не только мошеннические веб-сайты, но и каталог Google Play. Для защиты мобильных устройств от вредоносных и нежелательных приложений пользователям смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.

28 апреля 2018 года

В начале апреля вирусные аналитики компании «Доктор Веб» обнаружили новую версию опасного банковского троянца, заражавшего мобильные устройства под управлением ОС Android. Кроме того, в середине месяца было зафиксировано распространение троянца-шифровальщика для Windows, который из-за ошибки вирусописателей повреждал файлы без возможности их последующей расшифровки.

Угроза месяца

Троянец-шифровальщик, получивший обозначение Trojan.Encoder.25129, детектируется превентивной защитой Антивируса Dr.Web под именем DPH:Trojan.Encoder.9. По задумке вирусописателей троянец не шифрует файлы, если IP-адрес зараженного устройства расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде энкодер шифрует файлы вне зависимости от географической принадлежности IP-адреса.

Trojan.Encoder.25129 шифрует с использованием алгоритмов AES-256-CBC содержимое папок текущего пользователя, Рабочего стола Windows, а также служебных папок AppData и LocalAppData. Зашифрованным файлам присваивается расширение .tron. Размер требуемого злоумышленниками выкупа варьируется от 0,007305 до 0,04 Btc.

Поскольку создатели троянца допустили в его коде ошибку, в большинстве случаев они не смогут расшифровать поврежденные этим энкодером файлы. Более подробно о принципах работы и особенностях Trojan.Encoder.25129 рассказано в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Статистика вредоносных программ в почтовом трафике

Trojan.PWS.Spy.20884

Представитель семейства троянцев-шпионов для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

JS.BtcMine.36

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Шифровальщики

В апреле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.11464 — 10.56% обращений;
• Trojan.Encoder.11539 — 9.73% обращений;
• Trojan.Encoder.858 — 8.70% обращений;
• Trojan.Encoder.25064 — 7.66% обращений;
• Trojan.Encoder.24249 — 4.76% обращений;
• Trojan.Encoder.761 — 2.28% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение апреля 2018 года в базу нерекомендуемых и вредоносных сайтов был добавлен 287 661 интернет-адрес.

март 2018	апрель 2018	Динамика
+ 624 474	+ 287 661	- 53,9%

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

В апреле специалисты компании «Доктор Веб» обнаружили новую модификацию опасного банковского троянца для ОС Android, который получил имя Android.BankBot.358.origin. Он атаковал российских клиентов одного из крупнейших банков и заразил более 60 000 мобильных устройств. Также в уходящем месяце вирусные аналитики обнаружили в каталоге Google Play множество вредоносных программ, относящихся к семейству Android.Click. Среди них – Android.Click.245.origin, Android.Click.246.origin и Android.Click.458. При запуске они загружали заданные киберпреступниками веб-сайты, на которых потенциальных жертв обманом подписывали на дорогостоящие контент-услуги. Позднее в каталоге Google Play была выявлена потенциально опасная программа Program.PWS.2, позволявшая подключаться к заблокированному в России сервису Telegram. Это приложение не шифровало передаваемую конфиденциальную информацию, что могло привести к утечке секретных данных владельцев Android-смартфонов и планшетов. В конце месяца специалисты «Доктор Веб» нашли в Google Play троянца Android.RemoteCode.152.origin – он скачивал и запускал вспомогательные модули, при помощи которых создавал рекламные баннеры. Затем вредоносная программа нажимала на них, принося киберпреступникам прибыль. Также в апреле были обнаружены новые троянцы-шпионы, которые следили за пользователями. Эти вредоносные программы получили по классификации компании «Доктор Веб» имена Android.Spy.443.origin и Android.Spy.444.origin.

Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:

• распространение опасного банковского троянца, заразившего более 60 000 мобильных устройств российских пользователей;
• появление новых троянцев-шпионов;
• обнаружение вредоносных и потенциально опасных программ в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

3 апреля 2018 года

В марте 2018 года компания «Доктор Веб» опубликовала результаты исследования троянца Android.Triada.231, которого злоумышленники встроили в прошивки десятков моделей Android-смартфонов. Кроме того, в прошедшем месяце вирусные аналитики выявили большое число вредоносных программ в каталоге Google Play. Среди них был Android-банкер Android.BankBot.344.origin, предназначенный для кражи денег у российских пользователей, а также троянцы семейства Android.Click, способные загружать и показывать любые веб-страницы. Также в марте специалисты «Доктор Веб» обнаружили новых банковских троянцев, созданных на основе исходного кода Android.BankBot.149.origin.

Мобильная угроза месяца

В прошедшем месяце компания «Доктор Веб» сообщила об обнаружении троянца Android.Triada.231 в прошивках более 40 моделей Android-смартфонов. Эта вредоносная программа, известная с 2017 года, заражает процессы всех работающих приложений и по команде киберпреступников может незаметно выполнять различные действия. Например, она способна устанавливать и удалять ПО. После того как специалисты «Доктор Веб» проинформировали производителей зараженных мобильных устройств о троянце, некоторые из этих компаний оперативно выпустили обновления прошивок, из которых Android.Triada.231 был удален.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.253

Android.HiddenAds.246.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.Mobifun.4

Троянец, предназначенный для загрузки других Android-приложений.

Android.RemoteCode.117.origin

Троянская программа, которая скачивает и запускает различные программные модули, в том числе вредоносные.

Android.Packed.15893

Детект для Android-троянцев, защищенных программным упаковщиком.

Adware.Adtiming.1.origin

Adware.Adpush.601

Adware.Jiubang.2

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программы, предназначенные для незаметного запуска приложений без вмешательства пользователя.

Банковские троянцы

В начале прошедшего месяца вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play троянца Android.BankBot.344.origin, который распространялся под видом универсального приложения для работы с системами онлайн-банкинга нескольких российских кредитных организаций. Вредоносная программа предлагала потенциальной жертве войти в банковскую учетную запись, указав логин и пароль, либо зарегистрироваться, предоставив сведения о банковской карте. Вся вводимая информация передавалась киберпреступникам, после чего они могли украсть деньги с пользовательских счетов. Подробнее о троянце рассказано в новости, опубликованной на сайте компании «Доктор Веб».

В середине марта специалисты «Доктор Веб» рассказали о новых Android-банкерах, созданных с использованием исходного кода вредоносного приложения Android.BankBot.149.origin. Один из них получил имя Android.BankBot.325.origin. Этот троянец отслеживает запуск банковских программ, а также ПО для работы с социальными сетями и криптовалютами и показывает поверх их окон мошеннические формы авторизации. После того как пользователи вводят логины, пароли и другую конфиденциальную информацию, Android.BankBot.325.origin передает ее злоумышленникам. Кроме того, вирусописатели могут использовать троянца для кибершпионажа и дистанционного доступа к зараженным устройствам.

Троянцы в Google Play

В марте специалисты «Доктор Веб» выявили в Google Play более 70 программ с троянцами семейства Android.Click. Вредоносные приложения, получившие имена Android.Click.415, Android.Click.416 и Android.Click.417, распространялись под видом известного ПО, внутри поддельных игр, в различных сборниках рецептов и пособиях по вязанию. Эти троянцы по команде управляющего сервера могли загружать и показывать любые веб-страницы, в том числе мошеннические.

Вредоносные программы для мобильных Android-устройств представляют серьезную угрозу, т. к. с их помощью злоумышленники крадут конфиденциальную информацию, управляют зараженными смартфонами и планшетами и похищают деньги с банковских счетов. Вирусописатели по-прежнему распространяют троянцев через каталог Google Play и встраивают их в прошивки. Для защиты мобильных устройств от вредоносных и нежелательных приложений пользователям следует установить антивирусные продукты Dr.Web для Android.

3 апреля 2018 года

В минувшем марте специалисты «Доктор Веб» выявили и исследовали множество новых вредоносных программ. В начале месяца была зафиксирована массовая фишинговая рассылка якобы от имени компании Mail.Ru. Также аналитики изучили несколько новых троянцев, относящихся к обширному семейству вредоносных программ Trojan.LoadMoney. Во второй половине месяца был обнаружен опасный троянец Trojan.PWS.Stealer.23012, похищающий с зараженного устройства файлы и другую конфиденциальную информацию. Наконец, в марте вирусные аналитики выявили целый ряд вредоносных программ для мобильной платформы Google Android.

Угроза месяца

Распространение вредоносной программы Trojan.PWS.Stealer.23012 началось 11 марта 2018 года. Ссылки на троянца вирусописатели размещали в комментариях к видео на популярном интернет-ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты.

Троянец собирает на инфицированном компьютере файлы Cookies, а также сохраненные логины и пароли из нескольких популярных браузеров, делает снимок экрана и копирует файлы с Рабочего стола Windows. Похищенная информация вместе с данными о расположении зараженного устройства отправляется на сервер злоумышленников. Более подробно о принципах работы Trojan.PWS.Stealer.23012 рассказано в опубликованной на нашем сайте статье.

По данным статистики Антивируса Dr.Web

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.Inject

Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.

Trojan.Zadved

Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

Trojan.Moneyinst.520

Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.

Trojan.Encoder.11432

Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.

По данным серверов статистики «Доктор Веб»

BackDoor.Meterpreter.56

Представитель семейства вредоносных программ, позволяющих злоумышленникам удаленно управлять зараженным компьютером и отдавать ему различные команды.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

BackDoor.IRC.Bot.4771

Представитель семейства вредоносных программ, позволяющих злоумышленникам удаленно управлять зараженным компьютером и отдавать ему различные команды. Управление этим троянцем осуществляется с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).

Trojan.Encoder.11432

Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.Encoder.24788

Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Java.Jrat.58

Вредоносная программа для удаленного управления компьютером (Remote Access Tools, RAT), написанная на языке Java.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В марте в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 15.38% обращений;
• Trojan.Encoder.11464 — 7.26% обращений;
• Trojan.Encoder.11539 — 6.62% обращений;
• Trojan.Encoder.24249 — 5.77% обращений;
• Trojan.Encoder.567 — 3.63% обращений;
• Trojan.Encoder.2667 — 2.35% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В начале марта компания «Доктор Веб» сообщила о массовой рассылке по электронной почте фишинговых писем якобы от имени компании Mail.Ru. В этих посланиях злоумышленники предупреждали получателей о блокировке их учетных записей на сервере Mail.Ru и предлагали пройти повторную авторизацию. Ссылка в письме вела на поддельный сайт Mail.Ru, а введенная пользователем информация незамедлительно передавалась злоумышленникам.

Адрес поддельного сайта был добавлен в базы Офисного и Родительского контроля Dr.Web.

В течение марта 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 624 474 интернет-адреса.

февраль 2018	март 2018	Динамика
+ 1 174 380	+ 624 474	- 46.8%

Узнайте больше о нерекомендуемых Dr.Web сайтах

Другие события в сфере информационной безопасности

Троянцы семейства Trojan.LoadMoney, скачивающие на зараженный компьютер другие вредоносные программы, известны с 2013 года. В марте вирусные аналитики «Доктор Веб» исследовали несколько новых представителей этого семейства. Вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, так что эти троянцы не проявляют себя в зараженной системе и обнаружить их вредоносную деятельность непросто. Более подробно об исследованных вредоносных программах семейства Trojan.LoadMoney рассказано в нашей обзорной статье.

Вредоносное и нежелательное ПО для мобильных устройств

В марте вирусные аналитики «Доктор Веб» опубликовали результаты исследования троянца Android.Triada.231, которого вирусописатели внедрили в прошивку более 40 моделей Android-смартфонов. Android.Triada.231 заражает процессы всех приложений и может незаметно выполнять различные вредоносные действия. В течение прошедшего месяца в каталоге Google Play было выявлено множество новых троянцев, среди которых – представители семейства Android.Click, способные загружать и показывать любые веб-страницы, а также Android-банкер Android.BankBot.344.origin. Кроме того, специалисты компании «Доктор Веб» обнаружили новых банковских троянцев, созданных на основе исходного кода вредоносного приложения Android.BankBot.149.origin. Один из них получил имя Android.BankBot.325.origin. Этот банкер показывал фишинговые окна, использовался для кибершпионажа и предоставлял злоумышленникам дистанционный доступ к зараженным устройствам.

Наиболее заметные события, связанные с «мобильной» безопасностью в марте:

• обнаружение троянца в десятках моделей Android-смартфонов;
• появление новых банковских троянцев;
• обнаружение вредоносных программ в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

28 февраля 2018 года

В феврале распространялся троянец-шифровальщик, заражавший компьютеры под управлением Microsoft Windows. Он присваивает зашифрованным файлам расширение *.GDCB. Также последний месяц зимы запомнится появлением Android-майнера. Этот троянец мог распространяться самостоятельно, заражая сетевые устройства, на которых включен режим отладки. Среди них — смартфоны, планшеты, медиаплееры, роутеры и «умные» телевизоры.

Угроза месяца

Нового троянца-шифровальщика, получившего наименование Trojan.Encoder.24384, вирусописатели назвали «GandCrab!». Он шифрует содержимое фиксированных, съемных и сетевых дисков, а зашифрованным файлам присваивает расширение *.GDCB. После запуска энкодер при определенных условиях проверяет наличие на зараженном компьютере антивирусов. Затем он завершает работающие программы по заданному вирусописателями списку и устанавливает себя в систему.

После перезагрузки компьютера Trojan.Encoder.24384 шифрует файлы на дисках, за исключением содержимого системных и служебных папок. Подробнее о принципах работы этой вредоносной программы мы рассказали в опубликованной на нашем сайте статье.

По данным статистики Антивируса Dr.Web

Trojan.Moneyinst.520

Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.Zadved

Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

Trojan.DnsChange.8268

Вредоносная программа, подменяющая в настройках соединения на инфицированном устройстве адреса серверов DNS.

Trojan.Inject

Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.

По данным серверов статистики «Доктор Веб»

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.DnsChange.8268

Вредоносная программа, подменяющая в настройках соединения на инфицированном устройстве адреса серверов DNS.

Trojan.Encoder.11432

Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.

BackDoor.Bebloh

Один из представителей семейства вредоносных программ, относящихся к категории банковских троянцев. Данное приложение представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.

Статистика вредоносных программ в почтовом трафике

BackDoor.Bebloh

Один из представителей семейства вредоносных программ, относящихся к категории банковских троянцев. Данное приложение представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Java.Jrat.46

Вредоносная программа для удаленного управления компьютером (Remote Access Tools, RAT), написанная на языке Java.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Шифровальщики

В феврале в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 24,33% обращений;
• Trojan.Encoder.567 — 8,25% обращений;
• Trojan.Encoder.24249 — 6,19% обращений;
• Trojan.Encoder.11539 — 3,92% обращений;
• Trojan.Encoder.11464 — 2,68% обращений;
• Trojan.Encoder.2667 — 2,67% обращений.

Опасные сайты

В течение февраля 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено на 278,9% интернет-адресов больше, чем в предыдущем месяце.

Вредоносное и нежелательное ПО для мобильных устройств

В феврале специалисты по информационной безопасности обнаружили троянца-майнера Android.CoinMine.15. Он мог удаленно заражать подключенные к сети Android-смартфоны, планшеты, телевизоры, роутеры, а также медиаплееры с активным режимом отладки. Если заражение удавалось, вредоносная программа пыталась обнаружить другие подключенные к сети устройства и устанавливала на них свою копию. Кроме того, в уходящем месяце киберпреступники распространяли через каталог Google Play банковского троянца Android.BankBot.336.origin, который похищал у пользователей конфиденциальные данные и деньги.

Наиболее заметные события, связанные с «мобильной» безопасностью в феврале:

• обнаружение троянца-майнера, способного автоматически заражать подключенные к сети Android-устройства;
• распространение нового банковского троянца.

Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.

28 февраля 2018 года

В феврале 2018 года был обнаружен троянец-майнер, который мог удаленно заражать различные Android-устройства с активным режимом отладки. Кроме того, в уходящем месяце пользователям угрожал троянец Android.BankBot.336.origin, кравший конфиденциальную информацию и похищавший деньги с банковских счетов.

Мобильная угроза месяца

В феврале получил распространение троянец Android.CoinMine.15, которого вирусописатели использовали для добычи криптовалюты Monero. Эта вредоносная программа представляла собой червя и могла самостоятельно заражать подключенные к сети смартфоны, планшеты, телевизоры, роутеры и другие Android-устройства, если на них был включен режим отладки Android Device Bridge (ADB). В случае успешного инфицирования очередного устройства один из компонентов троянца пытался обнаружить следующую доступную цель и устанавливал на нее копию Android.CoinMine.15.

По данным антивирусных продуктов Dr.Web для Android

Android.RemoteCode.121.origin

Android.RemoteCode.117.origin

Троянские программы, которые скачивают и запускают различные программные модули, в том числе вредоносные.

Android.HiddenAds.253

Android.HiddenAds.222.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.Mobifun.4

Троянец, загружающий другие вредоносные приложения.

Adware.Adpush.601

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Leadbolt.12.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.SilentInstaller.1.origin

Потенциально опасная программа, предназначенная для незаметного запуска приложений без вмешательства пользователя.

Банковский троянец

В уходящем месяце в каталоге Google Play был обнаружен троянец Android.BankBot.336.origin, которого вирусописатели распространяли под видом универсального приложения для работы с различными системами онлайн-банкинга. Вредоносная программа похищала логины и пароли от учетных записей пользователей, а также информацию о банковских картах, после чего могла незаметно переводить злоумышленникам деньги.

Вирусописатели продолжают совершенствовать вредоносные программы для ОС Android и распространяют их с применением как привычных, так и новых механизмов. При этом различные троянцы по-прежнему встречаются в каталоге Google Play. Для защиты смартфонов, планшетов и других устройств от этих угроз пользователям следует установить антивирусные продукты Dr.Web для Android.

31 января 2018 года

В январе 2018 года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play около трех десятков игр, в которые был встроен троянец. Он незаметно скачивал и запускал вредоносные модули, способные выполнять различные действия. Кроме того, в уходящем месяце владельцам смартфонов и планшетов угрожал очередной Android-банкер, предназначенный для кражи конфиденциальной информации и денег. Также в январе в вирусную базу Dr.Web были добавлены записи для детектирования нескольких троянцев-шпионов. Среди распространявшихся вредоносных программ оказался и новый троянец-майнер, который использовал мощности зараженных мобильных устройств для добычи криптовалюты Monero.

Мобильная угроза месяца

В январе специалисты компании «Доктор Веб» обнаружили в каталоге Google Play почти 30 игр, в которые был встроен троянец Android.RemoteCode.127.origin. Он входил в состав специализированной программной платформы для расширения функционала приложений. Android.RemoteCode.127.origin незаметно скачивал и запускал вспомогательные модули, которые могли выполнять самые разнообразные действия. Например, скрытно открывать веб-сайты и нажимать на расположенные на них рекламные ссылки и объявления, имитируя действия пользователей. Подробнее об этом троянце рассказано в нашем новостном материале.

По данным антивирусных продуктов Dr.Web для Android

Android.DownLoader.573.origin

Вредоносная программа, которая загружает других троянцев, а также нежелательное ПО.

Android.HiddenAds.171.origin

Android.HiddenAds.253

Android.HiddenAds.222.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.RemoteCode.117.origin

Троянская программа, которая скачивает и запускает различные программные модули, в том числе вредоносные.

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Allinone.1.origin

Adware.Adviator.6.origin

Adware.Leadbolt.12.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Банковский троянец

В уходящем месяце злоумышленники распространяли банковского троянца Android.BankBot.250.origin, который показывал поддельные окна ввода логина и пароля и передавал киберпреступникам вводимую конфиденциальную информацию. Он мог перехватывать СМС с проверочными кодами и незаметно подтверждал перевод денег на счета вирусописателей, а также другие операции в системах онлайн-банкинга.

Троянцы-шпионы

В январе в вирусную базу Dr.Web были добавлены новые записи для детектирования нескольких троянцев-шпионов. Одним из них был Android.Spy.422.origin, известный также под именем Dark Caracal. Злоумышленники использовали эту вредоносную программу для кибершпионажа. Android.Spy.422.origin похищал СМС-сообщения, отслеживал телефонные звонки, крал фотографии, историю веб-браузера и сохраненные в нем закладки, записывал окружение при помощи встроенного микрофона зараженного мобильного устройства и выполнял ряд прочих действий. Другие троянцы-шпионы представляли собой новые модификации вредоносной программы Android.Spy.410.origin, известной специалистам «Доктор Веб» с декабря 2017 года. Она отслеживает переписку в популярных программах, таких как Telegram, WhatsApp, Skype и других, перехватывает СМС-сообщения и телефонные звонки, а также похищает фотографии.

Android-майнер

Среди выявленных в январе вредоносных программ для ОС Android оказался и троянец-майнер, получивший имя Android.CoinMine.8. Киберпреступники распространяли его под видом игр и программ, доступных для бесплатного скачивания на одном из веб-сайтов. В действительности все эти приложения были троянцем, который использовал зараженные устройства для майнинга криптовалюты Monero.

Злоумышленники по-прежнему создают новые вредоносные и нежелательные приложения для ОС Android и распространяют их не только через мошеннические веб-сайты, но и каталог Google Play. Для защиты мобильных устройств от таких угроз рекомендуем установить антивирусные продукты Dr.Web для Android.

31 января 2018 года

Начало 2018 года ознаменовалось обнаружением в каталоге Google Play нескольких игр для ОС Android со встроенным троянцем, скачивавшим и запускавшим на инфицированных устройствах вредоносные модули. Также вирусные аналитики исследовали несколько троянцев-майнеров, заражавших серверы под управлением Windows. Все они использовали уязвимость в программном обеспечении Cleverence Mobile SMARTS Server.

Угроза месяца

Cleverence Mobile SMARTS Server — это комплекс приложений для автоматизации магазинов, складов, различных учреждений и производств. Уязвимость нулевого дня в этих программах аналитики «Доктор Веб» обнаружили еще в июле 2017 года и сообщили о ней разработчикам ПО. Вскоре те выпустили обновление безопасности для своего программного продукта. Однако далеко не все администраторы установили это обновление, что позволило злоумышленникам продолжить взломы уязвимых серверов. Для этого киберпреступники отправляют на уязвимый сервер специальный запрос, в результате чего происходит выполнение содержащейся в нем команды. Затем взломщики создают в системе нового пользователя с административными привилегиями и получают от его имени несанкционированный доступ к серверу по протоколу RDP. В некоторых случаях с помощью утилиты Process Hacker киберпреступники завершают процессы работающих на сервере антивирусов. Получив доступ к системе, они устанавливают в ней троянца-майнера.

Используемый взломщиками майнер непрерывно совершенствуется. Изначально они устанавливали несколько модификаций троянца, добавленных в вирусную базу Dr.Web под именами Trojan.BtcMine.1324, Trojan.BtcMine.1369 и Trojan.BtcMine.1404. Позже этот список пополнили Trojan.BtcMine.2024, Trojan.BtcMine.2025, Trojan.BtcMine.2033, а самой актуальной версией майнера на текущий момент является Trojan.BtcMine.1978.

Этот троянец запускается в качестве критически важного системного процесса, при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD). После старта майнер пытается остановить процессы и удались службы нескольких антивирусов. Киберпреступники используют Trojan.BtcMine.1978 для добычи криптовалют Monero (XMR) и Aeon. Специалисты компании «Доктор Веб» рекомендуют установить все выпущенные разработчиками обновления безопасности Cleverence Mobile SMARTS Server, а более подробную информацию об этом инциденте можно найти в опубликованной на нашем сайте обзорной статье.

По данным статистики Антивируса Dr.Web

Trojan.Moneyinst.520

Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.BPlug

Это надстройки (плагины) для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц.

Trojan.DownLoad

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Trojan.Zadved

Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.7, JS.BtcMine.2

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Статистика вредоносных программ в почтовом трафике

JS.BtcMine.7

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.Encoder.24348

Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В январе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 22,12% обращений;
• Trojan.Encoder.567 — 7,83% обращений;
• Trojan.Encoder.11539 — 6,45% обращений;
• Trojan.Encoder.2267 — 3,46% обращений;
• Trojan.Encoder.761 — 3,23% обращений;
• Trojan.Encoder.3953 — 3,20% обращений.

Опасные сайты

В течение января 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 309 933 интернет-адреса.

Вредоносное и нежелательное ПО для мобильных устройств

В январе вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.RemoteCode.127.origin, встроенного во множество доступных в каталоге Google Play Android-игр. Он незаметно загружал и запускал вредоносные модули, которые могли выполнять разнообразные действия. Помимо этого, в уходящем месяце пользователям угрожал банковский троянец Android.BankBot.250.origin, который крал логины и пароли для доступа к учетным записям онлайн-банкинга. Кроме того, в январе специалисты по информационной безопасности выявили вредоносную программу-майнер, получившую имя Android.CoinMine.8. Этот троянец использовал мощности зараженных смартфонов и планшетов для добычи криптовалюты Monero. В этом же месяце в вирусную базу Dr.Web было добавлено несколько записей для детектирования Android-шпионов, которых злоумышленники использовали для слежки. Одним из них был Android.Spy.422.origin. Другие вредоносные приложения являлись новыми модификациями троянца Android.Spy.410.origin, распространявшегося еще в декабре 2017 года.

Наиболее заметные события, связанные с «мобильной» безопасностью в январе:

• обнаружение в Google Play нового троянца;
• распространение нового Android-майнера, использовавшего зараженные мобильные устройства для добычи криптовалюты;
• выявление новых троянцев-шпионов.

Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.

29 декабря 2017 года

Последний месяц уходящего года запомнится специалистам по информационной безопасности появлением нового бэкдора для компьютеров и устройств, работающих под управлением Microsoft Windows. Также в декабре вирусные аналитики «Доктор Веб» установили, что злоумышленники стали взламывать веб-сайты с использованием Linux-троянца Linux.ProxyM. Кроме того, в течение месяца вирусные базы Dr.Web пополнились записями для новых вредоносных программ, ориентированных на мобильную платформу Android.

Угроза месяца

В декабре вирусные аналитики исследовали очередного представителя семейства троянцев Anunak, способных выполнять на зараженном компьютере команды злоумышленников. Новый бэкдор рассчитан на работу в 64-разрядных версиях Windows и получил наименование BackDoor.Anunak.142. Троянец может выполнять на зараженном компьютере следующие действия:

• скачивание файлов с заданного удаленного сервера;
• загрузка файлов на удаленный сервер;
• запуск файла на инфицированном устройстве;
• выполнение команд в консоли cmd.exe;
• перенаправление трафика между портами;
• загрузка и установка собственных модулей.

Подробнее об этой вредоносной программе рассказано в новостном материале, опубликованном на нашем сайте.

По данным статистики Антивируса Dr.Web

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.Encoder.11432

Червь-шифровальщик, также известный под именем WannaCry.

Trojan.Zadved

Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

JS.BtcMine.2

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

Trojan.BPlug

Это надстройки (плагины) для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.2

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.Inject

Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.

Trojan.Starter.7394

Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Статистика вредоносных программ в почтовом трафике

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

VBS.DownLoader

Семейство вредоносных файлов, написанных на языке сценариев VBScript. Загружают и устанавливают на компьютер другие вредоносные программы.

JS.BtcMine.2

Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

Шифровальщики

В декабре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 27,29% обращений;
• Trojan.Encoder.11539 — 12,55% обращений;
• Trojan.Encoder.3953 — 4,09% обращений;
• Trojan.Encoder.11464 — 3,41% обращений;
• Trojan.Encoder.2667 — 2,59% обращений;
• Trojan.Encoder.567 — 2,05% обращений.

Опасные сайты

В течение декабря 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 241 274 интернет-адреса

Вредоносные программы для ОС Linux

Троянец Linux.ProxyM известен вирусным аналитикам еще с мая 2017 года. Это довольно-таки простая вредоносная программа, запускающая на инфицированном устройстве SOCKS-прокси-сервер. С ее помощью злоумышленники рассылали до 400 спам-сообщений с каждого зараженного узла, а вскоре стали распространять фишинговые письма, в частности от имени сервиса DocuSign, позволяющего работать с электронными документами. Таким образом киберпреступники собирали учетные данные его пользователей.

В декабре, используя для анонимности реализованный в троянце прокси-сервер, злоумышленники стали предпринимать многочисленные попытки взлома веб-сайтов. Для этого использовались SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI) — метод атаки, позволяющий злоумышленникам удаленно читать файлы на атакуемом сервере с помощью специально сформированных команд. Подробности об этом инциденте рассказаны в опубликованном нами новостном материале.

Вредоносное и нежелательное ПО для мобильных устройств

В декабре в каталоге Google Play были выявлены банковские троянцы Android.BankBot.243.origin и Android.BankBot.255.origin, которые похищали логины и пароли для доступа к учетным записям клиентов кредитных организаций. Кроме того, похожий троянец распространялся и вне официального каталога ПО мобильной платформы Android. Он получил имя Android.Packed.15893. Также в декабре в вирусную базу Dr.Web был добавлена вредоносная программа Android.Spy.410.origin, которая шпионила за итальянскими пользователями.

Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:

• распространение новых банковских троянцев;
• обнаружение вредоносной программы-шпиона, кравшей конфиденциальную информацию.

Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.

29 декабря 2017 года

С точки зрения информационной безопасности уходящий 2017 год запомнится, безусловно, такими яркими событиями как глобальные атаки червей-шифровальщиков WannaCry, NePetya и BadRabbit, а также появлением значительного числа Linux-троянцев для так называемого «Интернета Вещей». Кроме того, этот год был отмечен распространением на многочисленных веб-сайтах вредоносных сценариев, предназначенных для майнинга (добычи) криптовалюты.

Весной 2017 года вирусные аналитики компании «Доктор Веб» исследовали новый бэкдор для операционной системы macOS — это была одна из немногих вредоносных программ для ОС компании Apple, добавленных в вирусные базы в этом году. Также в течение прошедших 12 месяцев появлялись новые банковские троянцы, предназначенные для хищения средств со счетов клиентов кредитных организаций: одну из таких вредоносных программ, Trojan.PWS.Sphinx.2, вирусные аналитики «Доктор Веб» исследовали в феврале, другую — Trojan.Gozi.64 — в ноябре 2017 года.

Высокую активность в уходящем году проявляли сетевые мошенники: компания «Доктор Веб» неоднократно сообщала о раскрытии новых схем обмана интернет-пользователей. В прошедшем марте сетевые жулики попытались выманить деньги у владельцев и администраторов различных интернет-ресурсов, для чего создали порядка 500 мошеннических веб-страниц. В своих спам-рассылках киберпреступники пытались выдать себя за сотрудников компаний «Яндекс» и «RU-Center», а также придумали мошенническую схему, в которой для получения несуществующей выплаты от потенциальной жертвы требовали указать Страховой номер индивидуального лицевого счета в системе пенсионного страхования (СНИЛС). Кроме того, в июле оказался скомпрометированным портал государственных услуг Российской Федерации (gosuslugi.ru), на страницы которого неизвестные внедрили потенциально опасный код. Эта уязвимость вскоре была устранена администрацией портала.

Неспокойным выдался 2017 год и для владельцев мобильных устройств, работающих под управлением ОС Google Android. Летом вирусные аналитики «Доктор Веб» исследовали многофункционального банковского Android-троянца, получавшего контроль над устройством и кравшего конфиденциальную информацию клиентов кредитно-финансовых организаций. Вскоре в каталоге Google Play была выявлена игра со встроенным троянцем-загрузчиком, которую скачали более миллиона пользователей. В течение года специалисты «Доктор Веб» обнаруживали Android-троянцев, предустановленных в заводские прошивки мобильных устройств, а также множество других вредоносных и потенциально опасных программ для этой платформы.

Наиболее интересные события 2017 года

Троянцы-энкодеры, шифрующие файлы и требующие выкуп за их восстановление, обычно распространялись либо под видом тех или иных «полезных» утилит, либо с использованием вредоносных рассылок. При этом чаще всего злоумышленники вкладывали в письма не сам шифровальщик, а небольшого троянца-загрузчика, который при попытке открыть вложение скачивал и запускал энкодер. В то же время черви, способные самостоятельно распространяться по сети, ранее не использовались для шифрования файлов, а имели совсем другие вредоносные функции — одного из представителей этого класса вредоносных программ специалисты «Доктор Веб» исследовали в начале минувшего года. Первым шифровальщиком, сочетающим в себе возможности энкодера и сетевого червя, стал Trojan.Encoder.11432, получивший известность под именем WannaCry.

Массовое распространение этой вредоносной программы началось в 10 утра 12 мая 2017 года. Чтобы заразить другие компьютеры, червь использовал уязвимость в протоколе SMB (MS17-10), при этом опасности подвергались как узлы локальной сети, так и компьютеры в Интернете со случайными IP-адресами. Червь состоял из нескольких компонентов, и шифровальщик являлся только одним из них.

Trojan.Encoder.11432 шифровал файлы с использованием случайного ключа, при этом в составе троянца имелся специальный модуль-декодер, позволявший расшифровать несколько файлов бесплатно в демонстрационном режиме. Примечательно, что эти выбранные случайным образом файлы шифровались при помощи совершенно другого ключа, поэтому их восстановление не гарантировало успешной расшифровки остальных данных. Подробное исследование этого энкодера было опубликовано на нашем сайте в мае 2017 года.

Вскоре разразилась еще одна эпидемия червя-шифровальщика, которого различные источники называли NePetya, Petya.A, ExPetya и WannaCry-2 (подобные наименования он получил благодаря мнимой схожести с ранее распространявшимся троянцем Petya — Trojan.Ransom.369). В вирусные базы Dr.Web NePetya был добавлен под именем Trojan.Encoder.12544.

Как и его предшественник WannaCry, червь-шифровальщик Trojan.Encoder.12544 использовал для своего распространения уязвимость в протоколе SMB, однако в этом случае достаточно быстро удалось установить первоначальный источник распространения червя. Им оказался модуль обновления программы M.E.Doc, предназначенной для ведения налоговой отчетности на территории Украины. Именно поэтому украинские пользователи и организации стали первыми жертвами Trojan.Encoder.12544. Специалисты «Доктор Веб» подробно исследовали программу M.E.Doc и установили, что один из ее компонентов содержит полноценный бэкдор, который способен собирать логины и пароли для доступа к почтовым серверам, загружать и запускать на компьютере любые приложения, выполнять в системе произвольные команды, а также передавать файлы с компьютера на удаленный сервер. Этим бэкдором и воспользовался NePetya, а до него — как минимум еще один троянец-шифровальщик.

Исследование Trojan.Encoder.12544 показало, что этот энкодер изначально не предполагал возможности расшифровки поврежденных файлов. Вместе с тем он обладал достаточно богатым арсеналом вредоносных функций. Для перехвата учетных данных пользователей Windows он использовал утилиты Mimikatz и при помощи этой информации (а также несколькими другими способами) распространялся по локальной сети. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 задействовал программу для управления удаленным компьютером PsExec или стандартную консольную утилиту для вызова объектов Wmic.exe. Кроме того, шифровальщик портил загрузочную запись диска С: (Volume Boot Record, VBR) и подменял оригинальную загрузочную запись Windows (MBR) собственной, при этом исходная MBR шифровалась и переносилась в другой сектор диска.

В июне компания «Доктор Веб» опубликовала подробное исследование червя-шифровальщика Trojan.Encoder.12544.

В октябре было зафиксировано распространение еще одного червя-энкодера, получившего наименование Trojan.BadRabbit. Известные образцы троянца распространялись в виде программы со значком установщика Adobe Flash. Архитектурно BadRabbit был похож на своих предшественников: он так же состоял из нескольких компонентов: дроппера, энкодера и сетевого червя, тоже содержал встроенный расшифровщик, более того, часть его кода была явно позаимствована у Trojan.Encoder.12544. Однако этот шифровальщик отличался одной примечательной чертой: при запуске он проверял наличие на атакуемом компьютере двух антивирусов — Dr.Web и McAfee — и в случае их обнаружения пропускал первый этап шифрования, видимо, с целью избежать преждевременного обнаружения.

С более подробной информацией об этой вредоносной программе можно ознакомиться в опубликованной компанией «Доктор Веб» обзорной статье.

Вирусная обстановка

Согласно сведениям, полученным с использованием серверов статистики «Доктор Веб», в 2017 году на компьютерах пользователей чаще всего выявлялись сценарии и вредоносные программы, предназначенные для загрузки из Интернета других троянцев, а также для установки опасных и нежелательных приложений. По сравнению с прошлым годом из этой статистики практически исчезли рекламные троянцы.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Trojan.InstallCore

Семейство установщиков нежелательных и вредоносных приложений.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Trojan.Inject

Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.

Trojan.DownLoad

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Схожая картина наблюдается и в анализе почтового трафика, однако здесь помимо загрузчиков встречаются также троянцы, предназначенные для хищения паролей и другой конфиденциальной информации.

JS.DownLoader

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.

Trojan.InstallCore

Семейство установщиков нежелательных и вредоносных приложений.

Trojan.PWS.Stealer

Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Trojan.DownLoader

Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

W97M.DownLoader

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

PowerShell.DownLoader

Семейство вредоносных файлов, написанных на языке сценариев PowerShell. Загружают и устанавливают на компьютер другие вредоносные программы.

Trojan.Inject

Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.

Троянцы-шифровальщики

2017 год можно смело назвать годом червей-энкодеров: именно в уходящем году шифровальщики научились массово распространяться по сети без участия пользователей, став причиной нескольких эпидемий. За прошедшие 12 месяцев в службу технической поддержки компании «Доктор Веб» обратились в общей сложности порядка 18 500 пользователей, пострадавших от действий шифровальщиков. Начиная с мая количество запросов постепенно снижалось, уменьшившись к концу года по сравнению с его началом более чем вдвое.

Согласно статистике, чаще всего в 2017 году на компьютеры проникал троянец Trojan.Encoder.858, второе место занимает Trojan.Encoder.3953, третьим по «популярности» является энкодер Trojan.Encoder.567.

Наиболее распространенные шифровальщики в 2017 году:

• Trojan.Encoder.858 — 26,55% обращений;
• Trojan.Encoder.3953 — 6,03% обращений;
• Trojan.Encoder.567 — 3,71% обращений;
• Trojan.Encoder.761 — 1,79% обращений;
• Trojan.Encoder.3976 — 1,07% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Вредоносные программы для Linux

Как и в прошлом году, в течение прошедших 12 месяцев было выявлено довольно много троянцев для ОС семейства Linux, при этом вирусописатели создавали версии опасных приложений для таких аппаратных архитектур как х86, ARM, MIPS, MIPSEL, PowerPC, Superh, Motorola 68000, SPARC — то есть, для очень широкого диапазона «умных» устройств. Среди них — всевозможные роутеры, телевизионные приставки, сетевые накопители и т.д. Объясняется такой интерес тем, что многие пользователи подобной аппаратуры не задумываются над необходимостью смены установленных по умолчанию учетных данных администратора системы, что заметно упрощает задачу злоумышленникам.

Уже в январе 2017 года вирусные аналитики «Доктор Веб» обнаружили несколько тысяч инфицированных устройств, зараженных троянцем Linux.Proxy.10. Эта вредоносная программа предназначена для запуска на зараженном устройстве SOCKS5-прокси-сервера, с использованием которого злоумышленники могут обеспечить себе анонимность в Интернете. Месяц спустя был выявлен Trojan.Mirai.1 — Windows-троянец, способный заражать устройства под управлением Linux.

В мае специалисты «Доктор Веб» исследовали новую модификацию сложного многокомпонентного троянца для ОС Linux, принадлежащего к семейству Linux.LuaBot. Эта вредоносная программа представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» устройств.

В июле вирусные базы Dr.Web пополнились записью для троянца Linux.MulDrop.14, который устанавливал на инфицированном устройстве приложение для добычи криптовалют. Тогда же вирусные аналитики исследовали вредоносную программу Linux.ProxyM, запускающего на зараженном устройстве прокси-сервер. Атаки с применением этого троянца фиксировались начиная с февраля 2017 года, но пика достигли во второй половине мая. Больше всего источников атак располагалось в России, на втором и третьем месте – Китай и Тайвань.



Вскоре злоумышленники начали использовать Linux.ProxyM для рассылки спама и фишинговых писем, в частности от имени сервиса DocuSign, предназначенного для работы с электронными документами. Специалистам «Доктор Веб» удалось установить, что киберпреступники отправляли порядка 400 спам-сообщений в сутки с каждого инфицированного устройства. Осенью 2017 года злоумышленники нашли для Linux.ProxyM еще одно применение: с помощью этого троянца они начали взламывать сайты. Использовалось несколько методов взлома: SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI) — метод атаки, позволяющий удаленно читать файлы на атакуемом сервере. График количества зафиксированных атак этого троянца представлен ниже.



Также в ноябре был обнаружен новый бэкдор для Linux, получивший наименование Linux.BackDoor.Hook.1. Он может скачивать заданные в поступившей от злоумышленников команде файлы, запускать приложения или подключаться к определенному удаленному узлу.

Число угроз для ОС Linux постепенно растет, и есть основания полагать, что эта тенденция продолжится и в следующем году.

Вредоносные программы для macOS

В течение года вирусные базы Dr.Web пополнились записями для целого ряда семейств вредоносных программ, способных инфицировать устройства Apple: это Mac.Pwnet, Mac.BackDoor.Dok, Mac.BackDoor.Rifer, Mac.BackDoor.Kirino и Mac.BackDoor.MacSpy. Одна из обнаруженных в 2017 году вредоносных программ — Mac.BackDoor.Systemd.1 — представляет собой бэкдор, способный выполнять следующие команды:

• получить список содержимого заданной директории;
• прочитать файл;
• записать в файл;
• получить содержимое файла;
• удалить файл или папку;
• переименовать файл или папку
• изменить права для файла или папки (команда chmod);
• изменить владельца файлового объекта (команда chown);
• создать папку;
• выполнить команду в оболочке bash;
• обновить троянца;
• переустановить троянца;
• сменить IP-адрес управляющего сервера;
• установить плагин.

Более подробные сведения об этом троянце изложены в опубликованной на сайте компании «Доктор Веб» статье.

Опасные и нерекомендуемые сайты

Специалисты «Доктор Веб» регулярно добавляют в базы Родительского (Офисного) контроля адреса потенциально опасных и нерекомендуемых веб-сайтов. К таковым относятся мошеннические, фишинговые ресурсы и сайты, распространяющие вредоносное ПО. Динамика пополнения этих баз в 2017 году показана на следующей диаграмме.



Нерекомендуемые сайты

Сетевое мошенничество

Интернет-мошенничество — весьма распространенное явление, и год от года сетевые жулики расширяют арсенал методик обмана доверчивых пользователей. В одной из весьма популярных мошеннических схем в 2017 году использовались так называемые «договорные матчи». Киберпреступники создают специальный сайт, на котором предлагают приобрести «достоверные и проверенные сведения об исходе спортивных состязаний». Впоследствии с помощью этой информации можно делать якобы гарантированно выигрышные ставки в букмекерских конторах. Этой весной жулики усовершенствовали схему: они предлагали потенциальным жертвам скачать защищенный паролем самораспаковывающийся RAR-архив, якобы содержащий текстовый файл с результатами того или иного матча. Пароль для архива жулики высылают после завершения состязания. Предполагается, что таким образом пользователь сможет сравнить предсказанный результат с реальным. Однако вместо архива с сайта мошенников скачивалась созданная ими программа, внешне неотличимая от самораспаковывающегося архива WinRAR. Этот поддельный «архив» содержит шаблон текстового файла, в который с помощью специального алгоритма подставляются нужные результаты матча в зависимости от того, какой пароль введет пользователь. Таким образом, после окончания спортивного соревнования жуликам достаточно отправить своей жертве соответствующий пароль, и из «архива» будет «извлечен» текстовый файл с правильным результатом (на самом деле он будет сгенерирован троянцем на основе шаблона).



В минувшем году киберпреступники пытались обмануть не только простых пользователей, но и владельцев веб-сайтов. Жулики рассылали им письма якобы от имени компании «Яндекс», по всей видимости позаимствовав адреса получателей из баз данных регистраторов доменов. В своем послании мошенники от имени «Яндекса» предлагали владельцу сайта повысить его позиции в поисковой выдаче. Для этих целей они создали более 500 веб-страниц, ссылки на которые сотрудники «Доктор Веб» добавили в базы нерекомендуемых сайтов.



Киберпреступники рассылали мошеннические письма не только от имени «Яндекса», но и от лица регистратора доменов «RU-Center». Ссылаясь на некие изменения в правилах ICANN, злоумышленники предлагали администраторам домена создать в корневой директории сайта php-файл определенного содержания, якобы с целью подтвердить право использования этого домена получателем сообщения. Файл, который предлагали сохранить в корневой папке сайта злоумышленники, содержал команду, способную выполнить заданный в переменной произвольный код.

Другая популярная методика обмана — обещание выплат крупных сумм, за вывод которых преступники просят жертву перевести им небольшой взнос. Компания «Доктор Веб» сообщала о подобной схеме, в которой для проверки якобы причитающихся пользователю страховых премий на мошенническом сайте требовалось указать номер страхового свидетельства СНИЛС или паспортные данные.

Можно предположить, что сетевые мошенники будут и дальше изобретать новые методики незаконного заработка, основанного на обмане.

Для мобильных устройств

Мобильные устройства по-прежнему остаются привлекательной мишенью для киберпреступников, поэтому неудивительно, что 2017 год был вновь отмечен появлением большого числа вредоносных и нежелательных программ. Среди основных целей злоумышленников снова стало незаконное обогащение, а также кража персональной информации.

Как и ранее, одну из основных угроз представляли банковские троянцы, с помощью которых вирусописатели получали доступ к счетам клиентов кредитных организаций и незаметно крали с них деньги. Среди таких вредоносных приложений стоит отметить Android.Banker.202.origin, который был встроен в безобидные программы и распространялся через каталог Google Play. Android.Banker.202.origin интересен своей многоступенчатой схемой атаки. При запуске он извлекал скрытого внутри него троянца Android.Banker.1426, который скачивал еще одну вредоносную программу-банкер. Именно она похищала логины, пароли и другую конфиденциальную информацию, необходимую для доступа к счетам пользователей.

Похожий банкер получил имя Android.BankBot.233.origin. Он извлекал из своих ресурсов и незаметно устанавливал троянца Android.BankBot.234.origin, который охотился за информацией о банковских картах. Эта вредоносная программа отслеживала запуск приложения «Play Маркет» и показывала поверх него мошенническую форму, в которой запрашивала соответствующие данные. Особенность Android.BankBot.233.origin заключалась в том, что он пытался получить доступ к специальным возможностям (Accessibility Service) зараженных устройств. С их помощью он начинал полностью контролировать смартфоны и планшеты и управлял их функциями. Именно благодаря доступу к специальному режиму работы операционной системы Android.BankBot.233.origin скрытно ставил второго троянца.



Android.BankBot.211.origin – еще один опасный банкер, который также использовал специальные возможности ОС Android. Троянец самостоятельно назначал себя администратором устройства и менеджером СМС по умолчанию. Кроме того, он мог фиксировать все происходящее на экране и делал скриншоты при каждом нажатии клавиатуры. Также Android.BankBot.211.origin показывал фишинговые окна для кражи логинов и паролей и передавал злоумышленникам другие секретные сведения.



Применение специальных возможностей ОС Android вредоносными программами сделало их намного более опасными и стало одним из основных этапов эволюции Android-троянцев в 2017 году.

По-прежнему актуальными оставались троянцы, которые без ведома пользователей скачивали и запускали различные приложения. Одним из них был найденный в январе Android.Skyfin.1.origin, внедрявшийся в процесс программы Play Маркет и загружавший ПО из Google Play. Android.Skyfin.1.origin накручивал счетчик установок в каталоге и искусственно увеличивал популярность приложений. А в июле вирусные аналитики «Доктор Веб» выявили и исследовали троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек сразу нескольких моделей мобильных Android-устройств. Этот троянец внедрялся в процессы всех работающих программ и мог незаметно загружать и запускать другие вредоносные модули, заданные в команде управляющего сервера. Вирусописатели начали применять подобный механизм заражения процессов еще в 2016 году, и специалисты «Доктор Веб» ожидали, что киберпреступники продолжат использовать этот вектор атак.

В 2017 году владельцы Android-смартфонов и планшетов вновь столкнулись с рекламными троянцами. Среди них был Android.MobiDash.44, который распространялся через каталог Google Play под видом приложений-руководств к популярным играм. Этот троянец показывал навязчивую рекламу и мог загружать дополнительные вредоносные компоненты. Кроме того, были выявлены и новые нежелательные рекламные модули, один из которых получил наименование Adware.Cootek.1.origin. Он был встроен в популярное приложение-клавиатуру и также распространялся через каталог Google Play. Adware.Cootek.1.origin показывал объявления и различные баннеры.



Серьезную опасность для пользователей мобильных устройств в 2017 году вновь представляли троянцы-вымогатели. Эти вредоносные приложения блокируют экран зараженных смартфонов и планшетов и требуют выкуп за разблокировку. При этом суммы, которые интересуют вирусописателей, могут доходить до нескольких сотен и даже тысяч долларов. На протяжении последних 12 месяцев антивирусные продукты Dr.Web для Android обнаруживали троянцев такого типа на устройствах пользователей более 177 000 раз.

Среди выявленных в прошлом году Android-вымогателей был Android.Locker.387.origin, скрывавшийся в приложении для оптимизации работы и «восстановления» аккумулятора. Другой Android-локер, получивший имя Android.Encoder.3.origin, не только блокировал экран атакуемых устройств, но и шифровал файлы. А троянец Android.Banker.184.origin помимо шифрования менял пароль разблокировки экрана.

В 2017 году немало угроз встречалось и в каталоге Google Play. В апреле в нем был найден троянец Android.BankBot.180.origin, который крал логины и пароли для доступа к банковским учетным записям и перехватывал СМС с проверочными кодами. Позднее был выявлен троянец Android.Dvmap.1.origin, пытавшийся получить root-доступ для незаметной установки вредоносного компонента Android.Dvmap.2.origin. Он скачивал другие модули троянца.

В начале июля вирусные аналитики «Доктор Веб» обнаружили в Google Play вредоносную программу Android.DownLoader.558.origin, которая незаметно загружала и запускала дополнительные компоненты. В этом же месяце в каталоге был найден троянец Android.RemoteCode.85.origin, скачивавший вредоносный плагин, который похищал СМС-сообщения.

Осенью специалисты по информационной безопасности нашли в Google Play троянца Android.SockBot.5, который превращал зараженные смартфоны и планшеты в прокси-серверы. А позднее в каталоге был обнаружен загрузчик, которой скачивал и предлагал пользователям установить различные программы. Это троянец получил имя Android.DownLoader.658.origin. Кроме того, среди выявленных в Google Play вредоносных приложений была и потенциально опасная программа Program.PWS.1, о которой компания «Доктор Веб» рассказала в одной из своих публикаций. Это приложение позволяло получить доступ к заблокированным на территории Украины социальным сетям «ВКонтакте» и «Одноклассники», однако не шифровало передаваемые данные, включая логины и пароли.



В минувшем году злоумышленники также атаковали владельцев мобильных Android-устройств с использованием троянцев-шпионов. Среди этих вредоносных программ были троянцы Android.Chrysaor.1.origin и Android.Chrysaor.2.origin, а также Android.Lipizzan.2, которые крали переписку в популярных программах для онлайн-общения, похищали СМС-сообщения, отслеживали координаты зараженных устройств и передавали киберпреступникам другие секретные сведения. Еще одна вредоносная программа-шпион получила имя Android.Spy.377.origin. Она принимала команды по протоколу Telegram и обладала широким функционалом. Например, троянец мог отправлять СМС с заданным текстом на нужные вирусописателям номера, собирал сведения обо всех доступных файлах и по указанию злоумышленников отправлял любой из них на управляющий сервер. Кроме того, Android.Spy.377.origin мог совершать телефонные звонки и отслеживать местоположение смартфонов и планшетов.

Среди обнаруженных вредоносных программ для мобильных устройств были и новые троянцы-майнеры – например, Android.CoinMine.3, который добывал криптовалюту Monero.

Перспективы и вероятные тенденции

Как и ранее, в наступающем году наибольшую опасность для пользователей будут представлять энкодеры и банковские троянцы. Можно ожидать появления новых червей-шифровальщиков, использующих для своего распространения ошибки и уязвимости в операционной системе и сетевых протоколах.

С высокой долей вероятности будет расти количество и ассортимент угроз для «умных» устройств, работающих под управлением операционной системы Linux. Число моделей таких устройств постепенно растет, а в сочетании с их невысокой стоимостью «Интернет вещей» неизбежно будет привлекателен не только для простых пользователей, но и для киберпреступников.

По всей видимости, в 2018 году не уменьшится количество вредоносных программ для платформы Android – по крайней мере, тенденций к снижению активности «мобильных» вирусописателей в настоящее время не наблюдается. Несмотря на все предпринимаемые меры защиты, троянцы для Android-смартфонов и планшетов будут появляться в каталоге Google Play, а также в заводской прошивке некоторых устройств. Наибольшую опасность для пользователей будут представлять мобильные банковские троянцы, способные похищать средства непосредственно со счетов в кредитных финансовых организациях, а также блокировщики и шифровальщики.

Среди троянцев-загрузчиков, распространяющихся во вредоносных рассылках, наверняка будут преобладать небольшие по объему сценарии, написанные с использованием синтаксиса VBScript, Java Script, Power Shell. Уже сейчас подобных скриптов, обнаруживаемых в сообщениях электронной почты антивирусными продуктами Dr.Web, достаточно много. Будут появляться новые способы добычи криптовалют без явного согласия пользователей. Одно можно утверждать со всей определенностью: в 2018 году угроз информационной безопасности точно не станет меньше.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

29 декабря 2017 года

В последнем месяце 2017 года в каталоге Google Play было найдено несколько новых троянцев, которые скрывались внутри безобидных приложений. Эти вредоносные программы представляли собой банкеров, кравших конфиденциальную информацию клиентов кредитных организаций. Другой «декабрьский» Adroid-троянец, который угрожал владельцам Android-устройств, распространялся вне официального каталога ПО. Он также похищал логины и пароли, необходимые для доступа к банковским учетным записям. Кроме того, в уходящем месяце злоумышленники распространяли вредоносную программу, которая шпионила за итальянскими пользователями.

Мобильная угроза месяца

В декабре в вирусную базу Dr.Web была добавлена запись для детектирования троянца Android.Spy.410.origin, который шпионил за итальянскими владельцами Android-устройств и крал их конфиденциальные данные. Так, он передавал злоумышленникам переписку из популярных программ для общения и работы с социальными сетями, таких как Skype, WhatsApp, Telegram и других. Кроме того, он перехватывал СМС-сообщения и телефонные звонки, а также мог похищать изображения, хранящиеся в памяти зараженного мобильного устройства.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.171.origin

Троянец, предназначенный для показа навязчивой рекламы.

Android.RemoteCode.71

Троянская программа, которая скачивает и запускает различные программные модули, в том числе вредоносные.

Android.Packed.15893

Троянец, который крадет логины и пароли доступа от банковских учетных записей.

Android.DownLoader.653.origin

Android.DownLoader.573.origin

Вредоносные программы, которые загружают других троянцев, а также нежелательное ПО.

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Saturn.1.origin

Adware.Adviator.6.origin

Adware.Leadbolt.12.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Банковские троянцы

В декабре в официальном каталоге Android-приложений Google Play были найдены очередные банковские троянцы, которые по классификации Dr.Web получили имена Android.BankBot.243.origin и Android.BankBot.255.origin. Киберпреступники встроили их в безобидные программы, чтобы не вызывать у потенциальных жертв лишних подозрений. Эти троянцы искали на зараженных смартфонах и планшетах заданные вирусописателями банковские приложения и показывали пользователям поддельные формы ввода логина и пароля для доступа к учетным записям. После этого банкеры передавали полученную информацию злоумышленникам.

Кроме того, в уходящем месяце пользователей Android-устройств атаковал троянец Android.Packed.15893. Он также демонстрировал мошеннические окна, в которых запрашивал логины и пароли от учетных записей мобильного банкинга и передавал киберпреступникам все введенные данные.

Банковские троянцы представляют серьезную угрозу, поскольку с их помощью вирусописатели крадут деньги владельцев мобильных устройств. Злоумышленники распространяют такие вредоносные программы как через каталог Google Play, так и через сторонние магазины приложений, а также взломанные или мошеннические веб-сайты. Для защиты Android-смартфонов и планшетов от этих и других угроз пользователям необходимо установить антивирусные продукты Dr.Web для Android.