Dr.Web® — инновационные технологии информационной безопасности. Комплексная защита от интернет-угроз.

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение сентября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 271 605 интернет-адресов.

Август 2018	Сентябрь 2018	Динамика
+ 538 480	+ 271 605	– 49,5%

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» вновь зафиксировали распространение в каталоге Google Play троянцев семейства Android.Click. Многие из них представляли собой программы, которые злоумышленники выдавали за официальные приложения букмекерских контор. Эти троянцы по команде управляющего сервера открывают веб-сайты букмекерских фирм, однако в любой момент могут загрузить любые веб-страницы, в том числе мошеннические. Кроме того, в каталог Google Play в очередной раз проникла вредоносная программа Android.Click.265.origin, которая распространялась под видом официального ПО от известных компаний. Android.Click.265.origin загружает сайты с премиум-услугами и автоматически нажимает на расположенную на них кнопку подтверждения подписки на дорогостоящий сервис.

Также среди выявленных в сентябре вредоносных программ, обнаруженных в официальном каталоге ПО для ОС Android, были банковские троянцы, такие как Android.Banker.2855, Android.Banker.2856 и Android.Banker.283.origin. Они скрывались в безобидных, на первый взгляд, программах.

Помимо этого, в первом осеннем месяце 2018 года киберпреступники распространяли опасного троянца Android.Spy.460.origin, который использовался для кибершпионажа. Среди прочих угроз, выявленных в сентябре, были новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Эти приложения следят за СМС-перепиской, историей телефонных звонков, определяют местоположение мобильных устройств, копируют список контактов из телефонной книги на удаленный сервер, могут красть историю посещения из веб-браузера и похищать другую персональную информацию пользователей.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

обнаружение в Google Play вредоносных приложений;
распространение троянца-шпиона;
выявление новой коммерческой программы, предназначенной для слежки за пользователями мобильных Android-устройств.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

28 сентября 2018 года

Сентябрь 2018 года был отмечен распространением банковского троянца, угрожавшего клиентам бразильских кредитных организаций. Специалисты «Доктор Веб» выявили более 300 уникальных образцов этой вредоносной программы, а также порядка 120 интернет-площадок, с которых банкер загружал собственные компоненты. Также в уходящем месяце был выявлен ряд новых опасных приложений для мобильной платформы Android.

Главные тенденции сентября

Распространение нового банковского троянца
Обнаружение новых вредоносных программ для ОС Android

Угроза месяца

Банковские троянцы, предназначенные для хищения денежных средств клиентов кредитных организаций, чрезвычайно распространены во всем мире. Новый банкер, исследованный в сентябре вирусными аналитиками «Доктор Веб» и получивший наименование Trojan.PWS.Banker1.28321, ориентирован на жителей Бразилии. На сегодняшний день известно 340 уникальных образцов Trojan.PWS.Banker1.28321, а также 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы.

Троянец распространяется под видом приложения для просмотра PDF-документов Adobe Reader. Он заражает компьютеры под управлением Microsoft Windows, в настройках которых в качестве основного установлен португальский язык. Все вредоносные функции Trojan.PWS.Banker1.28321 сосредоточены в зашифрованной и упакованной в архив динамической библиотеке, которую банкер скачивает с принадлежащих злоумышленникам сайтов.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, троянец незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля. В некоторых случаях он просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Затем эта информация передается злоумышленникам. Подробнее об этом инциденте мы рассказали в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.Encoder.567: Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
Trojan.SpyBot.699: Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.
Trojan.PWS.Stealer.1932: Представитель семейства троянцев для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.

Статистика вредоносных программ в почтовом трафике

Trojan.Encoder.567: Один из представителей семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
W97M.DownLoader: Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Шифровальщики

В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.567 — 16,94% обращений;
Trojan.Encoder.858 — 12,71% обращений;
Trojan.Encoder.11464 — 10,68% обращений;
Trojan.Encoder.25574 — 4,79% обращений;
Trojan.Encoder.24249 — 4,42% обращений;
Trojan.Encoder.11539 — 1,84% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение сентября 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 271 605 интернет-адресов.

Август 2018	Сентябрь 2018	Динамика
+ 538 480	+ 271 605	– 49,5%

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце специалисты компании «Доктор Веб» вновь зафиксировали распространение в каталоге Google Play троянцев семейства Android.Click. Многие из них представляли собой программы, которые злоумышленники выдавали за официальные приложения букмекерских контор. Эти троянцы по команде управляющего сервера открывают веб-сайты букмекерских фирм, однако в любой момент могут загрузить любые веб-страницы, в том числе мошеннические. Кроме того, в каталог Google Play в очередной раз проникла вредоносная программа Android.Click.265.origin, которая распространялась под видом официального ПО от известных компаний. Android.Click.265.origin загружает сайты с премиум-услугами и автоматически нажимает на расположенную на них кнопку подтверждения подписки на дорогостоящий сервис.

Также среди выявленных в сентябре вредоносных программ, обнаруженных в официальном каталоге ПО для ОС Android, были банковские троянцы, такие как Android.Banker.2855, Android.Banker.2856 и Android.Banker.283.origin. Они скрывались в безобидных, на первый взгляд, программах.

Помимо этого, в первом осеннем месяце 2018 года киберпреступники распространяли опасного троянца Android.Spy.460.origin, который использовался для кибершпионажа. Среди прочих угроз, выявленных в сентябре, были новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Эти приложения следят за СМС-перепиской, историей телефонных звонков, определяют местоположение мобильных устройств, копируют список контактов из телефонной книги на удаленный сервер, могут красть историю посещения из веб-браузера и похищать другую персональную информацию пользователей.

Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:

обнаружение в Google Play вредоносных приложений;
распространение троянца-шпиона;
выявление новой коммерческой программы, предназначенной для слежки за пользователями мобильных Android-устройств.

Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

31 августа 2018 года

В августе 2018 года специалисты компании «Доктор Веб» обнаружили троянца для ОС Android, способного подменять номера электронных кошельков в буфере обмера. Кроме того, вирусные аналитики выявили в каталоге Google Play множество троянцев, которых злоумышленники использовали в различных мошеннических схемах незаконного заработка. Также в течение месяца в официальном каталоге программ для ОС Android было зафиксировано несколько новых Android-банкеров и троянцев-загрузчиков, скачивавших на мобильные устройства другое вредоносное ПО. Помимо этого, в августе специалисты по информационной безопасности обнаружили опасного троянца-шпиона, которого вирусописатели могли встраивать в безобидные программы и распространять таким образом под видом оригинальных приложений.

ГЛАВНЫЕ ТЕНДЕНЦИИ АВГУСТА

Обнаружение Android-троянца, подменяющего номера электронных кошельков в буфере обмена
Распространение банковских троянцев
Обнаружение в каталоге Google Play множества вредоносных программ
Выявление опасного троянца-шпиона, которого злоумышленники могли встраивать в любые приложения

Мобильная угроза месяца

В начале уходящего месяца вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.Clipper.1.origin, который отслеживает буфер обмена и подменяет копируемые в него номера электронных кошельков популярных платежных систем и криптовалют. Вредоносную программу «интересуют» номера кошельков Qiwi, Webmoney, «Яндекс.Деньги», Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin. Когда пользователь копирует один из них в буфер обмена, троянец перехватывает его и передает на управляющий сервер. В ответ Android.Clipper.1.origin получает информацию о номере кошелька злоумышленников, на который заменяет номер жертвы. В результате владелец зараженного устройства рискует перевести деньги на счет вирусописателей. Подробнее об этом троянце рассказано в новостной публикации, размещенной на нашем сайте.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin: Троянская программа, которая выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства
Android.HiddenAds: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1
Adware.Adpush.2514
Adware.SalmonAds.3.origin
Adware.Jiubang.2
Adware.Patacore.1.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянцы в Google Play

В августе в каталоге Google Play было выявлено множество вредоносных программ. На протяжении всего месяца вирусные аналитики компании «Доктор Веб» отслеживали распространение в нем троянцев семейства Android.Click. Наши специалисты обнаружили 127 таких вредоносных приложений, которые злоумышленники выдавали за официальные программы букмекерских контор.

При запуске эти троянцы показывают пользователю заданный управляющим сервером веб-сайт. На момент обнаружения все выявленные представители семейства Android.Click открывали интернет-порталы букмекерских фирм. Однако в любой момент они способны получить команду на загрузку произвольного сайта, который может распространять другое вредоносное ПО или использоваться в фишинг-атаках.

Еще одним троянцем-кликером, обнаруженным в августе в Google Play, стал Android.Click.265.origin. Злоумышленники использовали его для подписки пользователей на дорогостоящие мобильные услуги. Вирусописатели распространяли эту вредоносную программу под видом официального приложения для работы с интернет-магазином «Эльдорадо».

Троянец Android.Click.248.origin, известный вирусным аналитикам «Доктор Веб» с апреля, в августе вновь появился в каталоге Google Play. Как и ранее, он распространялся под видом известного ПО. Android.Click.248.origin загружает мошеннические сайты, на которых предлагается скачать различные программы или сообщается о некоем выигрыше. Для получения приза или скачивания приложения у потенциальной жертвы запрашивается номер мобильного телефона, на который приходит код подтверждения. После ввода этого кода владелец мобильного устройства подписывается на дорогостоящую услугу. При этом, если Android-смартфон или планшет подключен к Интернету через мобильное соединение, подписка на платный сервис выполняется автоматически сразу после того, как киберпреступники получают номер.

Более подробную информацию об этих троянцах-кликерах можно получить, прочитав соответствующую новостную публикацию на нашем сайте.

В конце августа вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца Android.FakeApp.110, которого сетевые жулики использовали для незаконного заработка. Эта вредоносная программа загружала мошеннический сайт, на котором потенциальной жертве предлагалось за вознаграждение пройти опрос. После ответа на все вопросы требовалось выполнить некий идентификационный платеж в размере 100-200 рублей. Однако после перевода денег мошенникам никакой оплаты пользователь не получал.

Среди вредоносных программ, обнаруженных в каталоге Google Play в августе, оказались очередные Android-банкеры. Один из них получил имя Android.Banker.2843. Он распространялся под видом официального приложения одной из турецких кредитных организаций. Android.Banker.2843 крал логины и пароли для доступа к банковской учетной записи пользователя и передавал их злоумышленникам.

Другой банковский троянец, добавленный в вирусную базу Dr.Web как Android.Banker.2855, вирусописатели распространяли под видом различных сервисных утилит. Эта вредоносная программа извлекала из своих файловых ресурсов и запускала троянца Android.Banker.279.origin, который похищал банковские аутентификационные данные пользователей.

Некоторые модификации Android.Banker.2855 пытались скрыть свое присутствие на мобильном устройстве, показывая после запуска поддельное сообщение об ошибке и удаляя свой значок из списка приложений на главном экране.

Другой Android-банкер, получивший имя Android.BankBot.325.origin, скачивался на зараженные смартфоны и планшеты троянцем Android.DownLoader.772.origin. Злоумышленники распространяли эту вредоносную программу-загрузчик через каталог Google Play под видом полезных приложений – например, оптимизатора работы аккумулятора.

Кроме того, вирусные аналитики «Доктор Веб» выявили в Google Play загрузчика Android.DownLoader.768.origin, распространявшегося под видом приложения от корпорации Shell. Android.DownLoader.768.origin скачивал на мобильные устройства различных банковских троянцев.

Также в августе в Google Play был найден троянец-загрузчик, добавленный в вирусную базу Dr.Web как Android.DownLoader.784.origin. Он был встроен в приложение под названием Zee Player, позволявшее скрывать хранящиеся в памяти мобильных устройств фотографии и видео.

Android.DownLoader.784.origin загружал троянца Android.Spy.409.origin, которого злоумышленники могли использовать для кибершпионажа.

Android-шпион

В августе вирусная база Dr.Web пополнилась записью для детектирования троянца Android.Spy.490.origin, предназначенного для кибершпионажа. Злоумышленники могут встраивать его в любые безобидные приложения и распространять их модифицированные копии под видом оригинального ПО, не вызывая подозрений у пользователей. Android.Spy.490.origin способен отслеживать СМС-переписку и местоположение зараженного смартфона или планшета, перехватывать и записывать телефонные разговоры, передавать на удаленный сервер информацию обо всех совершенных звонках, а также снятые владельцем мобильного устройства фотографии и видео.

Каталог приложений Google Play является самым безопасным источником программ для устройств под управлением ОС Android. Однако злоумышленникам по-прежнему удается распространять через него различные вредоносные программы. Для защиты Android-смартфонов и планшетов пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

31 августа 2018 года

В августе специалисты «Доктор Веб» зафиксировали распространение троянцев-майнеров, предназначенных для добычи криптовалют без ведома пользователей. Подобные программы были предназначены как для устройств под управлением Windows, так и для Linux-устройств. В течение последнего летнего месяца киберпреступники рассылали мошеннические письма администраторам освобождающихся доменов в надежде обманным путем завладеть их деньгами. Кроме того, в августе вирусные базы Dr.Web пополнились новыми записями для Android-троянцев.

Главные тенденции августа

Распространение троянцев-майнеров для Windows и Linux
Мошеннические почтовые рассылки
Обнаружение новых вредоносных программ для Android

Угроза месяца

Вредоносную программу, добавленную в вирусные базы под именем Linux.BtcMine.82, злоумышленники начали использовать еще в июне. Этот троянец написан на языке Go и представляет собой дроппер, в теле которого хранится упакованный майнер. Дроппер сохраняет его на диск и запускает, после чего майнер приступает к добыче криптовалюты Monero (XMR). На принадлежащем злоумышленникам сервере аналитики «Доктор Веб» обнаружили еще несколько майнеров для ОС Windows.

Все выявленные аналитиками вредоносные программы были добавлены в вирусные базы Dr.Web. Более подробную информацию об этом инциденте можно получить из новостного материала, опубликованного на нашем сайте.

По данным серверов статистики «Доктор Веб»

JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.Encoder.11432: Червь-шифровальщик, также известный под именем WannaCry.
Trojan.BtcMine: Семейство вредоносных программ, которые втайне от пользователя применяют вычислительные ресурсы зараженного компьютера для добычи (майнинга) различных криптовалют, например Bitcoin.
Win32.HLLW.Shadow: Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера и запускать исполняемые файлы.

Статистика вредоносных программ в почтовом трафике

Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.Encoder.567, Trojan.Encoder.25843: Энкодеры, шифрующие файлы на компьютере и требующие у жертвы выкуп за расшифровку.
JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.Inject: Семейство троянцев, встраивающих вредоносный код в процессы других программ.

Шифровальщики

В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 20,00% обращений;
Trojan.Encoder.11464 — 14,23% обращений;
Trojan.Encoder.25574 — 9,24% обращений;
Trojan.Encoder.567 — 3,46% обращений;
Trojan.Encoder.24249 — 3,45% обращений;
Trojan.Encoder.10700 — 2,50% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В августе активизировались кибермошенники, целью которых на этот раз стали администраторы освобождающихся доменов, ранее пользовавшиеся услугами регистратора «Региональный Сетевой Информационный Центр» (RU-CENTER). В середине месяца они стали получать по электронной почте сообщения якобы от имени этой компании. В письмах содержалось напоминание об окончании оплаченного периода регистрации доменного имени. Злоумышленники утверждали, что администратор должен оплатить услугу продления домена в течение одного рабочего дня с момента получения письма, иначе этот домен будет исключен из реестра.

Ссылка в письме вела на взломанный веб-сайт, адрес которого был добавлен в базы нерекомендуемых интернет-ресурсов Офисного и Родительского контроля. Установленный там сценарий перенаправлял получателя письма на страницу платежной системы Яндекс.Деньги, позволяющую перевести денежные средства на электронный кошелек мошенников. Подробнее об этой рассылке мы рассказали в опубликованной на нашем сайте статье.

Также в августе многие пользователи Интернета получали электронные письма, в которых сетевые жулики сообщали получателю его пароль, ранее использованный при регистрации на одном из сайтов, либо комбинацию логина и пароля. Авторы сообщения утверждали, что они якобы разместили вирус на одном из порносайтов, и при его посещении включили камеру устройства, с помощью которой записали видеоролик с участием получателя письма. Чтобы избежать рассылки этого ролика по списку адресов, будто бы скопированному из адресной книги потенциальной жертвы, ей предлагалось заплатить выкуп в биткойнах, эквивалентный нескольким тысячам долларов США.

Разумеется, подобные сообщения являются пустой угрозой: по всей видимости, в руки злоумышленников попала база данных зарегистрированных пользователей, похищенная с одного или нескольких интернет-ресурсов. Чтобы не попадаться в руки мошенников, специалисты «Доктор Веб» рекомендуют чаще менять пароли и не использовать одинаковые учетные данные для регистрации на разных сайтах.

В течение августа 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 538 480 интернет-адресов.

Июль 2018	Август 2018	Динамика
+ 512 763	+ 538 480	+5%

Вредоносное и нежелательное ПО для мобильных устройств

В августе 2018 года вирусные аналитики компании «Доктор Веб» обнаружили троянца-клиппера Android.Clipper.1.origin, подменяющего номера электронных кошельков в буфере обмена зараженных Android-устройств. Помимо этого, в каталоге Google Play было выявлено множество различных вредоносных программ. Среди них – банковские троянцы Android.Banker.2843 и Android.Banker.2855, распространявшиеся под видом безобидных приложений. Кроме того, киберпреступники пытались заразить мобильные устройства пользователей при помощи троянцев-загрузчиков Android.DownLoader.768.origin, Android.DownLoader.772.origin и Android.DownLoader.784.origin, которые скачивали на смартфоны и планшеты различные вредоносные приложения. Также в течение уходящего месяца специалисты компании «Доктор Веб» обнаружили в Google Play большое число троянцев семейства Android.Click. Злоумышленники использовали их в мошеннических целях и зарабатывали с их помощью деньги. Еще один троянец, созданный для мошенничества, получил имя Android.FakeApp.110. Он также распространялся через каталог Google Play. Среди выявленных в августе вредоносных программ оказался опасный троянец-шпион Android.Spy.490.origin, которого вирусописатели могли встраивать в любые приложения и распространять их под видом оригиналов.

Наиболее заметные события, связанные с «мобильной» безопасностью в августе:

обнаружение троянца-клиппера, способного подменять номера электронных кошельков в буфере обмена Android-устройств;
обнаружение множества вредоносных программ в каталоге Google Play;
распространение банковских троянцев;
выявление опасного троянца-шпиона.

Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

31 июля 2018 года

В июле 2018 года злоумышленники вновь распространяли опасный Android-бэкдор Android.Backdoor.554.origin, который известен вирусным аналитикам компании «Доктор Веб» еще с апреля 2017 года. Этот троянец шпионил за пользователями и позволял киберпреступникам дистанционно управлять зараженными смартфонами и планшетами. Android.Backdoor.554.origin скрывал в себе Windows-червя, которого копировал на подключенную к мобильному устройству карту памяти для последующего заражения компьютеров под управлением ОС Windows. Кроме того, в уходящем месяце злоумышленники продолжили атаковать владельцев Android-смартфонов и планшетов с использованием банковских троянцев. Один из них, получивший имя Android.Banker.2746, был доступен для загрузки в Google Play. Ряд других банковских троянцев загружала на мобильные устройства вредоносная программа Android.DownLoader.753.origin, которая также была доступна в официальном каталоге программ ОС Android. Кроме того, в течение июля киберпреступники распространяли прочих банковских троянцев для ОС Android. Среди них был Android.BankBot.279.origin, которого вирусописатели выдавали за полезные приложения. Также в июле вирусные аналитики «Доктор Веб» обнаружили несколько новых коммерческих программ-шпионов, получивших имена Program.Shadspy.1.origin и Program.AppSpy.1.origin.

Главные тенденции июля

Распространение Android-бэкдора, который шпионил за пользователями и помогал злоумышленникам заражать компьютеры под управлением Windows
Появление в каталоге Google Play вредоносных программ
Распространение банковских троянцев

Мобильная угроза месяца

В июле специалисты по информационной безопасности зафиксировали очередную атаку бэкдора Android.Backdoor.554.origin на пользователей Android-смартфонов и планшетов. Этот троянец распространялся под видом новых версий известных программ для онлайн-общения, таких как WhatsApp и Telegram, а также системных и других важных обновлений.

Android.Backdoor.554.origin выполнял команды злоумышленников, а также позволял киберпреступникам контролировать зараженное мобильное устройство и шпионить за его владельцем. Троянец отслеживал местоположение Android-смартфона или планшета, перехватывал переписку в популярных программах обмена сообщениями, получал доступ к звонкам и СМС, крал информацию о контактах из телефонной книги и выполнял другие вредоносные действия. Кроме того, этот бэкдор скрывал в своих файловых ресурсах Windows-червя, получившего имя Win32.HLLW.Siggen.10482. После заражения мобильного устройства Android.Backdoor.554.origin копировал червя на карту памяти, помещая его в каталоги с изображениями. При этом исполняемый файл Win32.HLLW.Siggen.10482, имеющий расширение .pif, получал имя директории, в которой он размещался. В результате при последующем открытии или копировании этих каталогов на компьютер для просмотра изображений пользователь рисковал запустить червя.

На следующей иллюстрации показан список директорий, в которые троянец Android.Backdoor.554.origin помещал Win32.HLLW.Siggen.10482:

Примеры успешного копирования исполняемого файла червя в каталоги с изображениями на карте памяти инфицированного Android-устройства:

По данным антивирусных продуктов Dr.Web для Android

Android.Altamob.1.origin: Троянская рекламная платформа, которая незаметно загружает и запускает вредоносные модули.
Android.HiddenAds.288.origin
Android.HiddenAds.524: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.Mobifun.4: Троянец, загружающий другие вредоносные приложения.
Android.Xiny.197: Троянец, предназначенный для незаметной загрузки и установки других вредоносных приложений.

Adware.SalmonAds.3.origin
Adware.Altamob.1.origin
Adware.Appalytic.1.origin
Adware.Adtiming.1.origin
Adware.Jiubang.2: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Банковские троянцы

В уходящем месяце специалисты по информационной безопасности обнаружили в каталоге Google Play троянца, по классификации компании «Доктор Веб» получившего имя Android.DownLoader.753.origin. Эта вредоносная программа распространялась под видом финансовых приложений. Некоторые ее модификации действительно выполняли заявленные функции, в то время как остальные были бесполезны и лишь предлагали установить настоящее банковское ПО, загружая его страницы в программе Play Маркет.

Android.DownLoader.753.origin незаметно скачивал с удаленного сервера одного из банковских троянцев семейства Android.BankBot и пытался установить его, показывая стандартный диалог инсталляции.

В середине июля специалисты «Доктор Веб» проанализировали Android-банкера, получившего имя Android.Banker.2746. Вирусописатели распространяли этого троянца через каталог Google Play, выдавая вредоносную программу за официальное банковское приложение.

С его помощью они пытались получить доступ к учетным записям клиентов одной из турецких кредитных организаций. Android.Banker.2746 показывал поддельное окно ввода логина и пароля и перехватывал СМС с одноразовыми проверочными кодами.

Среди банковских троянцев, атаковавших пользователей в уходящем месяце, была вредоносная программа Android.BankBot.279.origin. Киберпреступники распространяли ее с использованием мошеннических веб-сайтов. При посещении одного из них с мобильного устройства троянец загружался под видом безобидных и полезных программ, таких как проигрыватель Adobe Flash Player, программы для онлайн-общения, клиенты для подключения к VPN-сервисам и другое ПО. Android.BankBot.279.origin отслеживал запуск установленных на смартфоне или планшете банковских приложений и показывал поверх их окон фишинговую форму ввода логина и пароля для доступа к учетной записи пользователя. Кроме того, банкер мог менять pin-код разблокировки экрана и блокировать зараженное устройство.

Примеры сайтов, с которых на Android-смартфоны и планшеты скачивался Android.BankBot.279.origin:

Программы-шпионы

В уходящем месяце специалисты «Доктор Веб» обнаружили несколько новых коммерческих программ-шпионов. Одна из них получила имя Program.AppSpy.1.origin. Она отслеживает местоположение зараженного устройства, прослушивает телефонные звонки и перехватывает СМС-сообщения. Другая программа для кибершпионажа была добавлена в вирусную базу Dr.Web как Program.Shadspy.1.origin. Это приложение обладает обширным функционалом. Program.Shadspy.1.origin отслеживает СМС-переписку, телефонные звонки, местоположение устройства, выполняет запись окружения с использованием встроенного микрофона, копирует историю посещения сайтов из веб-браузера, информацию о запланированных событиях из календаря пользователя, может делать снимки при помощи камеры смартфона или планшета, а также выполнять ряд других действий. Кроме того, при наличии root-полномочий Program.Shadspy.1.origin может перехватывать переписку в программах Facebook и WhatsApp.

Банковские троянцы представляют серьезную опасность для владельцев мобильных устройств. Злоумышленники продолжают распространять эти вредоносные программы не только с помощью мошеннических сайтов, но и через официальный каталог программ Google Play. Для защиты от этих и других Android-троянцев пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

31 июля 2018 года

В начале июля вирусные аналитики «Доктор Веб» проанализировали нового троянца-майнера, который использовал необычную схему распространения. Также в течение месяца проявляли активность спамеры, рекламировавшие мошеннические сайты. Кроме того, в июле вирусные базы Dr.Web пополнились новыми записями для вредоносных программ, ориентированных на мобильную платформу Android.

Главные тенденции июля

Обнаружение опасного троянца-майнера
Распространение мошеннических почтовых рассылок
Появление новых троянцев для Android

Угроза месяца

Специалисты по информационной безопасности уже сталкивались с распространением вредоносных программ при помощи механизма обновления приложений. Именно так попали к пользователям троянец-шифровальщик Trojan.Encoder.12544 (Petya, Petya.A, ExPetya и WannaCry-2) и бэкдор BackDoor.Dande. В июле в службу технической поддержки «Доктор Веб» обратился пользователь, на компьютере которого регулярно появлялось приложение для майнинга криптовалют, всякий раз удаляемое антивирусом. Проведенное аналитиками расследование показало, что виновником инцидента стала программа «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе.

Механизм обновления этой программы автоматически скачивал из Интернета и устанавливал в систему троянца-майнера Trojan.BtcMine.2869. На 9 июля специалисты «Доктор Веб» обнаружили 2700 зараженных этим троянцем компьютеров. Более подробная информация об этом инциденте изложена в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.

Статистика вредоносных программ в почтовом трафике

JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
JS.BtcMine: Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи (майнинга) криптовалют.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.Inject: Семейство троянцев, встраивающих вредоносный код в процессы других программ.

Шифровальщики

В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 17.69% обращений;
Trojan.Encoder.25574 — 11.38% обращений;
Trojan.Encoder.11464 — 8.06% обращений;
Trojan.Encoder.567 — 5.08% обращений;
Trojan.Encoder.5342 — 3.85% обращений;
Trojan.Encoder.24249 — 3.33% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В июле специалисты «Доктор Веб» зафиксировали несколько массовых почтовых рассылок с рекламой различных мошеннических ресурсов. В частности, спамеры отправляли сообщения якобы от имени компании «Яндекс» с предложением подтвердить привязку почтового адреса к аккаунту на портале passport.yandex.ru. При этом ссылка, по которой мошенники предлагали перейти получателю письма, действительно вела на портал «Яндекс». А вот другая ссылка, якобы анонсировавшая получение некоего приза, приводила потенциальную жертву на сайт сетевых мошенников, требовавших оплатить за обещанный подарок небольшой денежный взнос.

В ряде других мошеннических сообщений встречались ссылки на страницы публичных сервисов, подобных Google Docs, где злоумышленники размещали веб-страницу с картинкой, имитирующей стандартную панель автоматической защиты от роботов reCAPCHA. Щелчок мышью по этой картинке перенаправлял пользователей на различные фишинговые сайты.

Адреса всех выявленных аналитиками «Доктор Веб» мошеннических ресурсов были добавлены в базы нерекомендуемых сайтов Родительского и Офисного контроля Dr.Web.

В течение июля 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 512 763 интернет-адреса.

июнь 2018	июль 2018	Динамика
+ 395 477	+ 512 763	+29.6%

Вредоносное и нежелательное ПО для мобильных устройств

В уходящем месяце в каталоге Google Play было обнаружено несколько опасных вредоносных программ. Одной из них стал троянец Android.Banker.2746, который показывал поддельное окно ввода персональных данных при запуске банковских приложений. Другой троянец, получивший имя Android.DownLoader.753.origin, скачивал Android-банкеров с сервера злоумышленников, чтобы избежать обнаружения основной вредоносной программы в Google Play. Среди распространявшихся в июле троянцев были и другие банкеры. Один из них – Android.BankBot.279.origin. Он загружался на мобильные устройства при посещении мошеннических сайтов. Также в июле злоумышленники вновь распространяли вредоносное приложение-бэкдор, известное вирусным аналитикам «Доктор Веб» с апреля 2017 года. Оно шпионило за пользователями и распространяло червя, который заражал компьютеры под управлением ОС Windows. Кроме того, в уходящем месяце специалисты «Доктор Веб» обнаружили и исследовали несколько новых программ, предназначенных для кибершпионажа. Они получили имена Program.Shadspy.1.origin и Program.AppSpy.1.origin.

Наиболее заметные события, связанные с «мобильной» безопасностью в июле:

обнаружение троянцев в каталоге Google Play;
распространение Android-банкеров;
распространение Android-бэкдора, которого злоумышленники использовали для заражения компьютеров под управлением Windows;
выявление новых коммерческих программ-шпионов.

Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

3 июля 2018 года

Первый летний месяц оказался относительно спокойным с точки зрения информационной безопасности. Во второй половине июня вирусные аналитики «Доктор Веб» зафиксировали почтовую рассылку, с использованием которой сетевые мошенники пытались обмануть пользователей Интернета. Также в течение месяца были выявлены новые вредоносные программы для мобильной платформы Android.

Главные тенденции июня

Мошеннические почтовые рассылки
Распространение вредоносных программ для Android

Угроза месяца

Во второй половине июня было зафиксировано несколько массовых почтовых рассылок, с использованием которых злоумышленники завлекали потенциальных жертв на мошеннические сайты. Помимо электронной почты киберпреступники активно использовали для рассылки спама формы обратной связи, размещенные на различных интернет-ресурсах, при этом их не останавливало даже наличие «капчи». Сообщения содержали стандартный текст о получении пользователем некой транзакции или денежного перевода. Вот несколько примеров подобных сообщений: «Здравствуйте, мы отправили платеж в размере $33,50 USD Код счета на оплату: 2478347616. Уведомляем, что на вашем балансе достаточно средств для автоматического продления», «Текущий баланс лицевого счёта равен 13 300 R. Информируем вас о зачислении оплаты по счёту № 97724 на сумму - 1 017 рублей», «Уведомляем вас о зачислении оплаты по счёту на сумму - 0 031 rub. Текущий баланс лицевого счёта равен 37 561 rub», «Детали Вашего заказа: Увеличение баланса - 2 шт. - 379. 03 $. Благодарим Вас за использование безопасной системы онлайн заказов». Примечательно, что все ссылки в подобных письмах вели на бесплатный сервис Google Docs, где злоумышленники заранее разместили PDF-документ с предложением забрать некий денежный приз.

Нажав на ссылку в этом PDF-документе, потенциальная жертва попадала на один из мошеннических сайтов, предлагавших получить некий выигрыш или вознаграждение.

Дальнейшая схема жульничества довольно-таки проста, она используется сетевыми мошенниками уже очень давно: чтобы получить предлагаемый приз, посетителю сайта требуется перевести киберпреступникам небольшую сумму, после чего никакого вознаграждения жертва, разумеется, не получает. Адреса всех выявленных аналитиками «Доктор Веб» мошеннических интернет-ресурсов были добавлены в базы нерекомендуемых сайтов Родительского и Офисного контроля.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.36: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.Dimnie.5: Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.

Статистика вредоносных программ в почтовом трафике

Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.Dimnie.5: Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.
JS.BtcMine.36: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В июне в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 15,47% обращений;
Trojan.Encoder.25574 — 12,31% обращений;
Trojan.Encoder.11464 — 8,32% обращений;
Trojan.Encoder.13671 — 5,99% обращений;
Trojan.Encoder.24249 — 4,33% обращений;
Trojan.Encoder.10700 — 2,32% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение июня 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 395 477 интернет-адресов.

Май 2018	Июнь 2018	Динамика
+ 1 388 093	+ 395 477	-71.5%

Вредоносное и нежелательное ПО для мобильных устройств

В прошедшем месяце вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play большое число программ со встроенным нежелательным рекламным модулем Adware.Appalytic.1.origin. Этот модуль показывал надоедливые уведомления, предлагая загрузить различное ПО, а также самостоятельно открывал в Play Маркет страницы рекламируемых приложений. Позднее наши специалисты выявили в Google Play несколько новых троянцев семейства Android.FakeApp, которые по команде злоумышленников загружали всевозможные веб-сайты. Также в июне преступники распространяли троянца Android.Spy.461.origin, которого вирусописатели использовали для кибершпионажа. Кроме того, среди угрожавших владельцам Android-смартфонов и планшетов вредоносных программ был СМС-троянец Android.SmsSend.1989.origin, подписывавший пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в июне:

выявление в Google Play новых Android-троянцев;
распространение троянца-шпиона.

Более подробно о вирусной обстановке для мобильных устройств в июне читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

3 июля 2018 года

В июне 2018 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play более 30 приложений со встроенным рекламным модулем Adware.Appalytic.1.origin. Он показывал уведомления с предложением загрузить различное ПО, а также открывал в Google Play страницы рекламируемых программ. Кроме того, специалисты «Доктор Веб» обнаружили в официальном каталоге Android-приложений несколько новых троянцев семейства Android.FakeApp, по команде злоумышленников загружавших веб-сайты. Помимо этого, в прошедшем месяце под видом эротический игры киберпреступники распространяли троянца Android.Spy.461.origin, который шпионил за владельцами Android-смартфонов и планшетов. Также в июне пользователям мобильных устройств угрожал троянец Android.SmsSend.1989.origin, отправлявший платные СМС-сообщения на премиум-номера.

ГЛАВНЫЕ ТЕНДЕНЦИИ ИЮНЯ

Обнаружение в каталоге Google Play программ со встроенным нежелательным рекламным модулем
Распространение троянца-шпиона

Мобильная угроза месяца

В начале июня специалисты «Доктор Веб» обнаружили в каталоге Google Play 37 программ, в которых находился нежелательный рекламный модуль Adware.Appalytic.1.origin. Он настойчиво предлагал загрузить и установить различные приложения и игры. Кроме того, Adware.Appalytic.1.origin самостоятельно открывал в Google Play страницы рекламируемых программ.

Пример рекламируемого приложения из каталога Google Play:

Пример уведомлений, которые показывает этот модуль:

Особенности Adware.Appalytic.1.origin:

встроен в безобидные приложения, распространяемые через Google Play;
получает команды через облачный сервис Firebase;
самостоятельно открывает каталог Google Play и загружает в нем страницы рекламируемых приложений;
отображает в панели уведомлений надоедливые сообщения с предложением скачать и установить различные программы.

По данным антивирусных продуктов Dr.Web для Android

Android.Mobifun.4: Троянец, предназначенный для загрузки других Android-приложений.
Android.HiddenAds.280.origin
Android.HiddenAds.288.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.SmsSend.1338.origin: Вредоносная программа, отправляющая СМС на платные номера.
Android.DownLoader.573.origin: Троянец, предназначенный для загрузки других вредоносных приложений.

Adware.SalmonAds.3.origin
Adware.Jiubang.2
Adware.Appalytic.1.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
Tool.SilentInstaller.1.origin: Потенциально опасная программа, предназначенная для незаметного запуска приложений без вмешательства пользователя.

Троянцы в Google Play

В конце июня специалисты «Доктор Веб» обнаружили в каталоге Google Play несколько новых троянцев семейства Android.FakeApp. Как и ранее, эти вредоносные программы распространялись под видом полезных приложений – в частности, ПО для прослушивания музыки из социальной сети «ВКонтакте». Троянцы, добавленные в вирусную базу Dr.Web как Android.FakeApp.89, Android.FakeApp.90, Android.FakeApp.91 и Android.FakeApp.92, по команде злоумышленников переходили по заданным ими ссылкам и загружали различные веб-сайты, среди которых были мошеннические интернет-ресурсы.

На следующих изображениях показаны страницы загрузки обнаруженных в Google Play троянцев Android.FakeApp:

Android-шпион

В июне пользователям Android-смарфонов и планшетов угрожал троянец-шпион, которого злоумышленники распространяли под видом эротической игры. Эта вредоносная программа получила имя Android.Spy.461.origin. Троянец похищал СМС-сообщения и контакты из телефонной книги, записывал окружение с использованием встроенного в мобильное устройство микрофона, получал список хранящихся на смартфоне или планшете файлов и мог загружать их на сервер злоумышленников. Кроме того, Android.Spy.461.origin крал данные из буфера обмена.

СМС-троянец

В прошедшем месяце в злоумышленники распространяли СМС-троянца Android.SmsSend.1989.origin, который отправлял сообщения на платные номера и подписывал пользователей на дорогостоящие услуги. Эта вредоносная программа скрывалась в приложении, которое киберпреступники выдавали за популярную игру Fortnite. При этом ее официальная версия для устройств под управлением ОС Android все еще находится в разработке и недоступна для игроков.

Злоумышленники по-прежнему атакуют мобильные устройства под управлением ОС Android и распространяют вредоносные и нежелательные программы не только с использованием различных веб-сайтов, но и через официальный каталог приложений Google Play. Для защиты смартфонов и планшетов пользователям необходимо установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

31 мая 2018 года

В мае 2018 года вирусные аналитики компании «Доктор Веб» нашли в каталоге Google Play несколько приложений, в которые был встроен троянец Android.Click.248.origin. Он загружал мошеннические веб-страницы, на которых пользователей подписывали на дорогостоящие мобильные услуги. Кроме того, в Google Play была обнаружена вредоносная программа Android.FakeApp, распространявшаяся под видом известного ПО. Она переходила по заданным злоумышленниками ссылкам и накручивала счетчик посещений веб-сайтов. Среди других угроз, встретившихся в официальном каталоге приложений ОС Android, оказались троянцы семейства Android.HiddenAds, предназначенные для показа рекламы. Также в уходящем месяце специалисты по информационной безопасности выявили троянцев Android.Spy.456.origin и Android.Spy.457.origin, которых злоумышленники использовали для кибершпионажа. А в конце мая в вирусную базу Dr.Web была добавлена запись для детектирования новой версии коммерческой программы-шпиона Program.Onespy.

ГЛАВНЫЕ ТЕНДЕНЦИИ МАЯ

Обнаружение в каталоге Google Play очередных троянцев
Выявление новой версии программы-шпиона для ОС Android

Мобильная угроза месяца

В уходящем месяце специалисты «Доктор Веб» выявили в каталоге Google Play троянца Android.Click.248.origin, которого злоумышленники распространяли под видом таких известных программ как Skype и Алиса (голосовой помощник от компании «Яндекс», в действительности недоступный в виде отдельного приложения).

Троянец загружал мошеннические веб-сайты, на которых пользователей подписывали на платные услуги. Об аналогичных вредоносных приложениях компания «Доктор Веб» сообщала в апреле.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.210.origin
Android.HiddenAds.222.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.SmsSend.1338.origin: Вредоносная программа, отправляющая СМС на платные номера.
Android.Mobifun.4: Троянец, предназначенный для загрузки других Android-приложений.
Android.Xiny.1403: Троянец, предназначенный для незаметной загрузки и установки других вредоносных приложений.

Adware.Adtiming.1.origin
Adware.Jiubang.2
Adware.Adpush.601: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
Tool.SilentInstaller.1.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программы, предназначенные для незаметного запуска приложений без вмешательства пользователя.

Угрозы в Google Play

В мае в каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.FakeApp, распространявшегося под видом популярных приложений. По команде вирусописателей Android.FakeApp переходил по заданным ими ссылкам и загружал веб-сайты, накручивая счетчик их посещений.

Особенности троянца:

создан с использованием сервиса AppsGeyser, который за несколько элементарных шагов позволяет построить простые Android-программы;
распространялся под видом известных приложений;
не содержал никаких полезных функций;
выявлено 7 разработчиков, от имени которых троянец распространялся в Google Play.

Пример приложений-подделок, найденных в Google Play:

Кроме того, в мае в официальном каталоге ПО для ОС Android были обнаружены очередные представители троянцев семейства Android.HiddenAds, такие как Android.HiddenAds.267.origin и Android.HiddenAds.277.origin. Эти вредоносные программы распространялись под видом безобидных и известных приложений. Главная функция троянцев – показ рекламы.

Кибершпионаж

В уходящем месяце специалисты по информационной безопасности обнаружили несколько новых Android-троянцев, которых злоумышленники использовали для кибершпионажа. Один из них распространялся через Google Play и получил имя Android.Spy.456.origin. Вредоносная программа похищала фотографии, СМС-сообщения, а также контакты из телефонной книги зараженных мобильных устройств и загружала их на удаленный сервер киберпреступников. Другой мобильный троянец-шпион, выявленный в мае, был добавлен в вирусную базу Dr.Web как Android.Spy.457.origin. Он крал изображения и видеоролики, хранящиеся в памяти Android-смартфонов и планшетов, похищал СМС, отслеживал координаты мобильных устройств, а также мог прослушивать окружение и записывать телефонные разговоры.

В конце месяца специалисты компании «Доктор Веб» обнаружили новую версию коммерческой программы-шпиона Onespy, получившую имя Program.Onespy.3.origin. Это приложение способно перехватывать СМС-сообщения и телефонные звонки, отслеживать местоположение зараженного устройства, прослушивать окружение, красть фотографии, видео, документы и другие файлы, следить за перепиской в популярных программах для общения, таких как Skype, Viber, WhatsApp, Line, Facebook и других, а также выполнять прочие опасные действия.

Несмотря на усилия корпорации Google, злоумышленникам по-прежнему удается распространять Android-троянцев через каталог Google Play. Кроме того, вредоносные и потенциально опасные программы для мобильных устройств подстерегают пользователей и вне официального каталога приложений. Для защиты смартфонов и планшетов их владельцам следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

31 мая 2018 года

В мае компания «Доктор Веб» завершила исследование нескольких троянцев, угрожавших пользователям популярной игровой платформы Steam. Они похищали данные учетных записей поклонников компьютерных игр, а также подменяли игровые предметы при совершении сделок обмена. Также в течение последнего месяца весны было выявлено множество мошеннических сайтов, адреса которых пополнили базы нерекомендуемых интернет-ресурсов. Среди них нередко встречались веб-страницы, активно эксплуатирующие тематику грядущего Чемпионата мира по футболу 2018 года. В начале мая вирусные аналитики исследовали несколько троянцев-стилеров, кравших с зараженных устройств конфиденциальную информацию.

Главные тенденции мая

Распространение троянцев, угрожающих пользователям Steam
Обнаружение множества мошеннических сайтов
Появление троянцев-шпионов, ворующих приватную информацию

Угроза месяца

Создатель вредоносных программ, добавленных в вирусную базу Dr.Web под наименованиями Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278, разработал специальную схему для их распространения. От злоумышленников, пожелавших освоить незаконный заработок, не требуется ничего, кроме денег и, в некоторых случаях, домена: вирусописатель предоставляет им самого троянца, доступ к административной панели и техническую поддержку.

Заразив компьютер, Trojan.PWS.Steam.13604 отображает поддельное окно авторизации Steam. Если жертва вводит в него свои логин и пароль, троянец пытается авторизоваться с их помощью в сервисе Steam. Если эта попытка увенчалась успехом и на компьютере включен Steam Guard — система двухфакторной аутентификации для защиты учетной записи пользователя, — троянец выводит на экран поддельное окно для ввода кода авторизации. Вся эта информация отсылается на сервер злоумышленников.

Другая вредоносная программа того же автора, Trojan.PWS.Steam.15278, нацелена на хищение инвентаря в Steam. Для этого на многих обменных площадках троянец подменяет получателя игровых предметов с помощью веб-инжектов, в результате чего артефакты достаются злоумышленникам. А при обмене инвентаря с использованием официального сайта steamcommunity.com вредоносная программа подменяет отображение игровых предметов на компьютере жертвы с помощью перехвата и модификации трафика. В результате пользователю будет казаться, что он приобретает некий дорогостоящий инвентарь, в то время как в действительности в его игровой учетной записи появится совсем другой, гораздо более дешевый предмет.

Более подробную информацию о методах распространения этих троянцев и принципах их работы рассказано в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.36: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.MulDrop8.25070: Троянец-дроппер, устанавливающий в систему другие вредоносные программы.
Win32.HLLW.Shadow: Червь, использующий для своего распространения съемные носители и сетевые диски. Кроме того, может распространяться по сети с использованием стандартного протокола SMB. Способен загружать с управляющего сервера исполняемые файлы и запускать их.

Статистика вредоносных программ в почтовом трафике

Trojan.Dimnie.14: Троянец-шпион, способный красть с зараженного устройства конфиденциальную информацию и предоставлять несанкционированный доступ к инфицированному компьютеру. Также имеет в своем составе банковский модуль.
JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
JS.BtcMine.36: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Шифровальщики

В мае в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.11464 — 15.90% обращений;
Trojan.Encoder.858 — 11.33% обращений;
Trojan.Encoder.24249 — 6.16% обращений;
Trojan.Encoder.10700 — 3.78% обращений;
Trojan.Encoder.13671 — 3.70% обращений;
Trojan.Encoder.4592 — 2.39% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

С приближением Чемпионата мира по футболу активизировались многочисленные сетевые мошенники, которые начали использовать чрезвычайно актуальную тематику мундиаля. Чтобы привлечь посетителей, жулики размещают на своих веб-страницах официальную символику Чемпионата. Они предлагают всем желающим принять участие в розыгрышах призов, якобы организованных FIFA, крупными банками и международными инвестиционными фондами.

В качестве призов мошенники обещают дорогие автомобили, значительные денежные суммы, туристические путевки на зарубежные курорты, и, конечно, же, бесплатные билеты на футбольный чемпионат. Схема, которую используют киберпреступники, в целом не нова: потенциальной жертве сообщают о крупном выигрыше, для получения которого необходимо перевести на их счет несколько сотен рублей. Несложно догадаться, что, расставшись с деньгами, никакого приза жертва мошенников не получит. В мае 2018 года специалисты «Доктор Веб» добавили в базы Родительского и Офисного контроля несколько десятков адресов подобных ресурсов, однако похожие по тематике и оформлению сайты продолжают появляться с завидной регулярностью.

В мае участились случаи распространения ссылок на мошеннические сайты с использованием СМС и сообщений в программах-мессенджерах. Жулики предлагают потенциальным жертвам получить якобы полагающуюся им компенсацию за переплату предоставляемых населению коммунальных, медицинских услуг, либо услуг обязательного страхования.

Для «проверки» возможности получить компенсацию посетителю сайта предлагается ввести в специальную форму последние цифры какого-либо документа, а также свое имя и фамилию. Какие бы данные ни указал пользователь, на сайте появляется сообщение о возможности получить выплату, для чего мошенники просят перевести им небольшую денежную сумму. Более подробно об этой популярной схеме обмана интернет-пользователей мы рассказали в нашей статье.

В течение мая 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 1 388 093 интернет-адреса.

Апрель 2018	Май 2018	Динамика
+ 287 661	+ 1 388 093	+ 382.5%

Другие события в сфере информационной безопасности

В мае вирусные аналитики «Доктор Веб» исследовали несколько новых модификаций троянцев, похищавших конфиденциальную информацию. Один из них, получивший наименование Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в поисках сохраненных паролей и файлов cookies браузеров, основанных на Chromium. Кроме того, этот троянец ворует информацию из мессенджера Telegram, FTP-клиента FileZilla, а также копирует файлы изображений и офисных документов по заранее заданному списку. Полученные данные троянец упаковывает в архив и сохраняет его на Яндекс.Диск.

Другая модификация этого троянца-шпиона получила наименование Trojan.PWS.Stealer.23700. Она крадет пароли и файлы cookies из браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Помимо этого, троянец копирует файлы ssfn из подпапки config приложения Steam, а также данные, необходимые для доступа к учетной записи Telegram. Кроме того, шпион создает копии изображений и документов, хранящихся на Рабочем столе Windows. Всю украденную информацию он упаковывает в архив и загружает в облачное хранилище pCloud.

Третья модификация стилера получила наименование Trojan.PWS.Stealer.23732. Этот троянец состоит из нескольких компонентов. Один из них представляет собой шпионский модуль, как и его предшественники, написанный на языке Python и преобразованный в исполняемый файл. Он ворует конфиденциальную информацию. Все остальные компоненты троянца написаны на языке Go. Один из них сканирует диски в поисках папок, в которых установлены браузеры, а еще один упаковывает похищенные данные в архивы и загружает их в хранилище pCloud.

Более подробно о методах распространения этих вредоносных программ мы рассказали в опубликованной на нашем сайте статье.

Вредоносное и нежелательное ПО для мобильных устройств

В мае было выявлено немало новых вредоносных и потенциально опасных программ для мобильных устройств, многие из которых распространялись через официальный каталог программ для ОС Android. В начале месяца вирусные аналитики компании «Доктор Веб» обнаружили в Google Play троянца Android.Click.248.origin, загружавший мошеннические веб-страницы, на которых пользователей подписывали на дорогостоящие услуги. Позднее там же наши специалисты зафиксировали троянца Android.FakeApp. Он переходил по ссылкам, которые получал от вирусописателей, и загружал веб-страницы, искусственно увеличивая их посещаемость. Кроме того, в Google Play распространялись вредоносные программы семейства Android.HiddenAds, предназначенные для показа рекламы. Среди обнаруженных в мае троянцев были также и шпионы Android.Spy.456.origin и Android.Spy.457.origin, применявшиеся для слежки за пользователями. А в конце месяца вирусные аналитики «Доктор Веб» добавили в вирусную базу запись для детектирования коммерческой программы-шпиона Program.Onespy.3.origin.

Наиболее заметные события, связанные с «мобильной» безопасностью в мае:

выявление в Google Play новых Android-троянцев;
обнаружение новой версии потенциально опасной шпионской программы для ОС Android.

Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

28 апреля 2018 года

В апреле 2018 года компания «Доктор Веб» зафиксировала распространение опасного банковского троянца Android.BankBot.358.origin, заразившего свыше 60 000 мобильных устройств российских пользователей. Кроме того, в течение месяца вирусные аналитики выявили большое число троянцев семейства Android.Click, которые распространялись через каталог Google Play. Помимо них в каталоге был обнаружен троянец Android.RemoteCode.152.origin – он загружал другие вредоносные модули, с их помощью создавал рекламные баннеры, а после этого нажимал на них, зарабатывая для киберпреступников. Также в Google Play была найдена потенциально опасная программа Program.PWS.2, предоставляющая доступ к заблокированному на территории России сервису Telegram, но не обеспечивающая необходимую защиту конфиденциальных данных. Среди обнаруженных в апреле вредоносных приложений для ОС Android оказались и троянцы-шпионы, такие как Android.Hidden.5078, Android.Spy.443.origin и Android.Spy.444.origin.

ГЛАВНЫЕ ТЕНДЕНЦИИ АПРЕЛЯ

Массовое распространение банковского троянца среди российских пользователей мобильных Android-устройств
Обнаружение в Google Play новых вредоносных и потенциально опасных программ
Выявление новых троянцев-шпионов для ОС Android

Мобильная угроза месяца

В прошедшем месяце компания «Доктор Веб» сообщала о распространении банковского троянца Android.BankBot.358.origin, заразившего более 60 000 Android-смартфонов и планшетов. Большинство этих устройств принадлежало российским пользователям. Главной целью Android.BankBot.358.origin были клиенты одного из крупнейших банков.

Троянец распространялся с использованием различных мошеннических СМС-сообщений, в которых пользователям предлагалось перейти по ссылке для ознакомления с информацией об объявлениях, кредитах и денежных переводах. Если потенциальная жертва нажимала на такую ссылку, она попадала на веб-сайт, с которого на мобильное устройство загружался банкер.

Для кражи денег со счетов троянец использовал СМС-команды управления мобильным банком. Поэтому, даже если на устройстве жертвы не было установлено официальное приложение для доступа к услугам одного из крупнейших банков, владельцы зараженных устройств все равно могли потерять свои деньги. В результате атаки злоумышленников под угрозой оказалось свыше 78 000 000 рублей клиентов кредитной организации. Подробнее об Android.BankBot.358.origin рассказано в публикации, подготовленной нашими специалистами.

По данным антивирусных продуктов Dr.Web для Android

Android.Mobifun.4: Троянец, предназначенный для загрузки других Android-приложений.
Android.HiddenAds.248.origin
Android.HiddenAds.253
Android.HiddenAds.210.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.Packed.15893: Детект для Android-троянцев, защищенных программным упаковщиком.
Adware.Adtiming.1.origin
Adware.Adpush.601
Adware.Jiubang.2: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
Tool.SilentInstaller.1.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программы, предназначенные для незаметного запуска приложений без вмешательства пользователя.

Угрозы в Google Play

В уходящем месяце в каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили большое число новых вредоносных программ. Среди них были различные троянцы семейства Android.Click. Например, в середине месяца вирусная база Dr.Web пополнилась записью для детектирования троянца Android.Click.245.origin, который злоумышленники от имени разработчиков Roman Zencov и Sneil распространяли под видом известных приложений.

После запуска троянец загружал заданные киберпреступниками веб-сайты, на которых пользователей обманом подписывали на дорогостоящие услуги. При этом, если устройства потенциальных жертв подключались к Интернету через мобильную сеть, подписка производилась автоматически при нажатии нескольких кнопок на этих сайтах. Подробнее об одном из таких случаев рассказано в соответствующей публикации компании «Доктор Веб».

Позже в апреле вирусные аналитики выявили в Google Play другие аналогичные вредоносные программы. Они были добавлены в вирусную базу Dr.Web как Android.Click.246.origin и Android.Click.458. Как и в случае с Android.Click.245.origin, киберпреступники также распространяли этих троянцев под видом безобидных программ. Например, скрывающиеся под именем разработчика mendozapps злоумышленники добавили в Google Play около 40 таких вредоносных приложений.

А разработчики Trinh Repasi и Vashashlaba под видом программ Viber и Авито распространяли похожего троянца Android.Click.248.origin. Эта вредоносная программа написана на языке Kotlin. Она проверяет IP-адрес зараженного устройства и, в зависимости от страны, в которой находится пользователь, получает задание на загрузку определенных веб-сайтов. Злоумышленники управляют Android.Click.248.origin через облачный сервис Firebase.

В конце месяца вирусные аналитики «Доктор Веб» выявили в Google Play троянца Android.RemoteCode.152.origin, скрывавшегося в безобидных играх. Эта вредоносная программа незаметно скачивала и запускала дополнительные модули, которые использовались для создания невидимых рекламных баннеров. Троянец самостоятельно нажимал на эти баннеры, за что вирусописатели получали вознаграждение. С информацией об Android.RemoteCode.152.origin можно ознакомиться, прочитав соответствующую новость на нашем сайте.

Кроме того, в апреле специалисты компании «Доктор Веб» обнаружили в Google Play потенциально опасную программу Program.PWS.2, которая позволяет работать с заблокированным на территории России сервисом Telegram.

Это приложение работает через один из анонимайзеров, однако никак не шифрует передаваемые логины, пароли и другие конфиденциальные данные. В результате вся персональная информация пользователей находится под угрозой. Об аналогичной опасной программе компания «Доктор Веб» уже сообщала в июне 2017 года.

Значок Program.PWS.2 и внешний вид работающего приложения показаны на изображениях ниже:

Троянцы-шпионы

В апреле были обнаружены новые троянцы-шпионы, которые крадут конфиденциальную информацию пользователей Android-смартфонов и планшетов. Один из них был добавлен в нашу вирусную базу как Android.Hidden.5078. Эта вредоносная программа похищала переписку из популярных программ для общения, таких как Viber, Facebook Messenger, WhatsApp, WeChat, Telegram, Skype, Weibo, Twitter, Line и других. При создании троянца злоумышленники использовали обфускацию кода и приемы антиотладки, чтобы избежать детектирования антивирусами и затруднить его анализ.

Другие Android-шпионы, выявленные в уходящем месяце, получили имена Android.Spy.443.origin и Android.Spy.444.origin. Их под видом модуля настроек загружал и устанавливал на мобильные устройства троянец, добавленный в вирусную базу Dr.Web как Android.DownLoader.3557. Этот загрузчик распространялся через каталог Google Play в виде программы для онлайн-общения под названием Dardesh.

При запуске Android.DownLoader.3557 предлагал потенциальной жертве установить якобы необходимый для работы программы компонент, который в действительности был одним из троянцев-шпионов.

После установки и запуска Android.Spy.443.origin и Android.Spy.444.origin начинали следить за владельцем мобильного устройства. Они отслеживали местоположение зараженного смартфона или планшета, получали информацию обо всех доступных файлах, могли пересылать злоумышленникам документы пользователя, отправлять и красть СМС-сообщения, выполнять запись окружения при помощи встроенного в устройство микрофона, записывать видео, перехватывать телефонные звонки, похищать данные из телефонной книги и выполнять другие действия.

Злоумышленники продолжают активно распространять Android-троянцев, используя не только мошеннические веб-сайты, но и каталог Google Play. Для защиты мобильных устройств от вредоносных и нежелательных приложений пользователям смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

28 апреля 2018 года

В начале апреля вирусные аналитики компании «Доктор Веб» обнаружили новую версию опасного банковского троянца, заражавшего мобильные устройства под управлением ОС Android. Кроме того, в середине месяца было зафиксировано распространение троянца-шифровальщика для Windows, который из-за ошибки вирусописателей повреждал файлы без возможности их последующей расшифровки.

Главные тенденции апреля

Появление опасного банковского троянца для ОС Android
Распространение троянца-шифровальщика, заражавшего Windows-устройства

Угроза месяца

Троянец-шифровальщик, получивший обозначение Trojan.Encoder.25129, детектируется превентивной защитой Антивируса Dr.Web под именем DPH:Trojan.Encoder.9. По задумке вирусописателей троянец не шифрует файлы, если IP-адрес зараженного устройства расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде энкодер шифрует файлы вне зависимости от географической принадлежности IP-адреса.

Trojan.Encoder.25129 шифрует с использованием алгоритмов AES-256-CBC содержимое папок текущего пользователя, Рабочего стола Windows, а также служебных папок AppData и LocalAppData. Зашифрованным файлам присваивается расширение .tron. Размер требуемого злоумышленниками выкупа варьируется от 0,007305 до 0,04 Btc.

Поскольку создатели троянца допустили в его коде ошибку, в большинстве случаев они не смогут расшифровать поврежденные этим энкодером файлы. Более подробно о принципах работы и особенностях Trojan.Encoder.25129 рассказано в опубликованной на нашем сайте статье.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.36: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Статистика вредоносных программ в почтовом трафике

Trojan.PWS.Spy.20884: Представитель семейства троянцев-шпионов для ОС Windows, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

март 2018	апрель 2018	Динамика
+ 624 474	+ 287 661	- 53,9%

3 апреля 2018 года

В марте 2018 года компания «Доктор Веб» опубликовала результаты исследования троянца Android.Triada.231, которого злоумышленники встроили в прошивки десятков моделей Android-смартфонов. Кроме того, в прошедшем месяце вирусные аналитики выявили большое число вредоносных программ в каталоге Google Play. Среди них был Android-банкер Android.BankBot.344.origin, предназначенный для кражи денег у российских пользователей, а также троянцы семейства Android.Click, способные загружать и показывать любые веб-страницы. Также в марте специалисты «Доктор Веб» обнаружили новых банковских троянцев, созданных на основе исходного кода Android.BankBot.149.origin.

ГЛАВНЫЕ ТЕНДЕНЦИИ МАРТА

Выявление опасного троянца в прошивках десятков моделей мобильных Android-устройств
Обнаружение вредоносных программ в Google Play
Появление новых банковских троянцев

Мобильная угроза месяца

В прошедшем месяце компания «Доктор Веб» сообщила об обнаружении троянца Android.Triada.231 в прошивках более 40 моделей Android-смартфонов. Эта вредоносная программа, известная с 2017 года, заражает процессы всех работающих приложений и по команде киберпреступников может незаметно выполнять различные действия. Например, она способна устанавливать и удалять ПО. После того как специалисты «Доктор Веб» проинформировали производителей зараженных мобильных устройств о троянце, некоторые из этих компаний оперативно выпустили обновления прошивок, из которых Android.Triada.231 был удален.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.253
Android.HiddenAds.246.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.Mobifun.4: Троянец, предназначенный для загрузки других Android-приложений.
Android.RemoteCode.117.origin: Троянская программа, которая скачивает и запускает различные программные модули, в том числе вредоносные.
Android.Packed.15893: Детект для Android-троянцев, защищенных программным упаковщиком.
Adware.Adtiming.1.origin
Adware.Adpush.601
Adware.Jiubang.2: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
Tool.SilentInstaller.1.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программы, предназначенные для незаметного запуска приложений без вмешательства пользователя.

Банковские троянцы

В начале прошедшего месяца вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play троянца Android.BankBot.344.origin, который распространялся под видом универсального приложения для работы с системами онлайн-банкинга нескольких российских кредитных организаций. Вредоносная программа предлагала потенциальной жертве войти в банковскую учетную запись, указав логин и пароль, либо зарегистрироваться, предоставив сведения о банковской карте. Вся вводимая информация передавалась киберпреступникам, после чего они могли украсть деньги с пользовательских счетов. Подробнее о троянце рассказано в новости, опубликованной на сайте компании «Доктор Веб».

В середине марта специалисты «Доктор Веб» рассказали о новых Android-банкерах, созданных с использованием исходного кода вредоносного приложения Android.BankBot.149.origin. Один из них получил имя Android.BankBot.325.origin. Этот троянец отслеживает запуск банковских программ, а также ПО для работы с социальными сетями и криптовалютами и показывает поверх их окон мошеннические формы авторизации. После того как пользователи вводят логины, пароли и другую конфиденциальную информацию, Android.BankBot.325.origin передает ее злоумышленникам. Кроме того, вирусописатели могут использовать троянца для кибершпионажа и дистанционного доступа к зараженным устройствам.

Троянцы в Google Play

В марте специалисты «Доктор Веб» выявили в Google Play более 70 программ с троянцами семейства Android.Click. Вредоносные приложения, получившие имена Android.Click.415, Android.Click.416 и Android.Click.417, распространялись под видом известного ПО, внутри поддельных игр, в различных сборниках рецептов и пособиях по вязанию. Эти троянцы по команде управляющего сервера могли загружать и показывать любые веб-страницы, в том числе мошеннические.

Вредоносные программы для мобильных Android-устройств представляют серьезную угрозу, т. к. с их помощью злоумышленники крадут конфиденциальную информацию, управляют зараженными смартфонами и планшетами и похищают деньги с банковских счетов. Вирусописатели по-прежнему распространяют троянцев через каталог Google Play и встраивают их в прошивки. Для защиты мобильных устройств от вредоносных и нежелательных приложений пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

3 апреля 2018 года

В минувшем марте специалисты «Доктор Веб» выявили и исследовали множество новых вредоносных программ. В начале месяца была зафиксирована массовая фишинговая рассылка якобы от имени компании Mail.Ru. Также аналитики изучили несколько новых троянцев, относящихся к обширному семейству вредоносных программ Trojan.LoadMoney. Во второй половине месяца был обнаружен опасный троянец Trojan.PWS.Stealer.23012, похищающий с зараженного устройства файлы и другую конфиденциальную информацию. Наконец, в марте вирусные аналитики выявили целый ряд вредоносных программ для мобильной платформы Google Android.

Главные тенденции марта

Массовая рассылка фишинговых сообщений по электронной почте
Распространение новых представителей семейства Trojan.LoadMoney
Появление опасного троянца, похищающего конфиденциальную информацию

Угроза месяца

Распространение вредоносной программы Trojan.PWS.Stealer.23012 началось 11 марта 2018 года. Ссылки на троянца вирусописатели размещали в комментариях к видео на популярном интернет-ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты.

Троянец собирает на инфицированном компьютере файлы Cookies, а также сохраненные логины и пароли из нескольких популярных браузеров, делает снимок экрана и копирует файлы с Рабочего стола Windows. Похищенная информация вместе с данными о расположении зараженного устройства отправляется на сервер злоумышленников. Более подробно о принципах работы Trojan.PWS.Stealer.23012 рассказано в опубликованной на нашем сайте статье.

По данным статистики Антивируса Dr.Web

Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.Inject: Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.
Trojan.Zadved: Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
Trojan.Moneyinst.520: Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.
Trojan.Encoder.11432: Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.

февраль 2018	март 2018	Динамика
+ 1 174 380	+ 624 474	- 46.8%

28 февраля 2018 года

В феврале распространялся троянец-шифровальщик, заражавший компьютеры под управлением Microsoft Windows. Он присваивает зашифрованным файлам расширение *.GDCB. Также последний месяц зимы запомнится появлением Android-майнера. Этот троянец мог распространяться самостоятельно, заражая сетевые устройства, на которых включен режим отладки. Среди них — смартфоны, планшеты, медиаплееры, роутеры и «умные» телевизоры.

Главные тенденции февраля

Распространение нового энкодера для Windows
Появление троянца-майнера для Android

Угроза месяца

Нового троянца-шифровальщика, получившего наименование Trojan.Encoder.24384, вирусописатели назвали «GandCrab!». Он шифрует содержимое фиксированных, съемных и сетевых дисков, а зашифрованным файлам присваивает расширение *.GDCB. После запуска энкодер при определенных условиях проверяет наличие на зараженном компьютере антивирусов. Затем он завершает работающие программы по заданному вирусописателями списку и устанавливает себя в систему.

После перезагрузки компьютера Trojan.Encoder.24384 шифрует файлы на дисках, за исключением содержимого системных и служебных папок. Подробнее о принципах работы этой вредоносной программы мы рассказали в опубликованной на нашем сайте статье.

По данным статистики Антивируса Dr.Web

Trojan.Moneyinst.520: Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.Zadved: Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
Trojan.DnsChange.8268: Вредоносная программа, подменяющая в настройках соединения на инфицированном устройстве адреса серверов DNS.
Trojan.Inject: Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.

По данным серверов статистики «Доктор Веб»

JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.DnsChange.8268: Вредоносная программа, подменяющая в настройках соединения на инфицированном устройстве адреса серверов DNS.
Trojan.Encoder.11432: Сетевой червь, запускающий на компьютере жертвы опасного троянца-шифровальщика. Известен также под именем WannaCry.
BackDoor.Bebloh: Один из представителей семейства вредоносных программ, относящихся к категории банковских троянцев. Данное приложение представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.

Статистика вредоносных программ в почтовом трафике

BackDoor.Bebloh: Один из представителей семейства вредоносных программ, относящихся к категории банковских троянцев. Данное приложение представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Java.Jrat.46: Вредоносная программа для удаленного управления компьютером (Remote Access Tools, RAT), написанная на языке Java.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Шифровальщики

В феврале в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 24,33% обращений;
Trojan.Encoder.567 — 8,25% обращений;
Trojan.Encoder.24249 — 6,19% обращений;
Trojan.Encoder.11539 — 3,92% обращений;
Trojan.Encoder.11464 — 2,68% обращений;
Trojan.Encoder.2667 — 2,67% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение февраля 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено на 278,9% интернет-адресов больше, чем в предыдущем месяце.

январь 2018	февраль 2018	Динамика
+ 309 933	+ 1 174 380	+278.9%

Вредоносное и нежелательное ПО для мобильных устройств

В феврале специалисты по информационной безопасности обнаружили троянца-майнера Android.CoinMine.15. Он мог удаленно заражать подключенные к сети Android-смартфоны, планшеты, телевизоры, роутеры, а также медиаплееры с активным режимом отладки. Если заражение удавалось, вредоносная программа пыталась обнаружить другие подключенные к сети устройства и устанавливала на них свою копию. Кроме того, в уходящем месяце киберпреступники распространяли через каталог Google Play банковского троянца Android.BankBot.336.origin, который похищал у пользователей конфиденциальные данные и деньги.

Наиболее заметные события, связанные с «мобильной» безопасностью в феврале:

обнаружение троянца-майнера, способного автоматически заражать подключенные к сети Android-устройства;
распространение нового банковского троянца.

Более подробно о вирусной обстановке для мобильных устройств в феврале читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

28 февраля 2018 года

В феврале 2018 года был обнаружен троянец-майнер, который мог удаленно заражать различные Android-устройства с активным режимом отладки. Кроме того, в уходящем месяце пользователям угрожал троянец Android.BankBot.336.origin, кравший конфиденциальную информацию и похищавший деньги с банковских счетов.

ГЛАВНЫЕ ТЕНДЕНЦИИ ФЕВРАЛЯ

Распространение троянца-майнера, способного самостоятельно заражать некоторые Android-устройства
Распространение очередного банковского троянца

Мобильная угроза месяца

В феврале получил распространение троянец Android.CoinMine.15, которого вирусописатели использовали для добычи криптовалюты Monero. Эта вредоносная программа представляла собой червя и могла самостоятельно заражать подключенные к сети смартфоны, планшеты, телевизоры, роутеры и другие Android-устройства, если на них был включен режим отладки Android Device Bridge (ADB). В случае успешного инфицирования очередного устройства один из компонентов троянца пытался обнаружить следующую доступную цель и устанавливал на нее копию Android.CoinMine.15.

По данным антивирусных продуктов Dr.Web для Android

Android.RemoteCode.121.origin
Android.RemoteCode.117.origin: Троянские программы, которые скачивают и запускают различные программные модули, в том числе вредоносные.
Android.HiddenAds.253
Android.HiddenAds.222.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.Mobifun.4: Троянец, загружающий другие вредоносные приложения.

Adware.Adpush.601
Adware.Jiubang.2
Adware.Jiubang.1
Adware.Leadbolt.12.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
Tool.SilentInstaller.1.origin: Потенциально опасная программа, предназначенная для незаметного запуска приложений без вмешательства пользователя.

Банковский троянец

В уходящем месяце в каталоге Google Play был обнаружен троянец Android.BankBot.336.origin, которого вирусописатели распространяли под видом универсального приложения для работы с различными системами онлайн-банкинга. Вредоносная программа похищала логины и пароли от учетных записей пользователей, а также информацию о банковских картах, после чего могла незаметно переводить злоумышленникам деньги.

Вирусописатели продолжают совершенствовать вредоносные программы для ОС Android и распространяют их с применением как привычных, так и новых механизмов. При этом различные троянцы по-прежнему встречаются в каталоге Google Play. Для защиты смартфонов, планшетов и других устройств от этих угроз пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

31 января 2018 года

В январе 2018 года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play около трех десятков игр, в которые был встроен троянец. Он незаметно скачивал и запускал вредоносные модули, способные выполнять различные действия. Кроме того, в уходящем месяце владельцам смартфонов и планшетов угрожал очередной Android-банкер, предназначенный для кражи конфиденциальной информации и денег. Также в январе в вирусную базу Dr.Web были добавлены записи для детектирования нескольких троянцев-шпионов. Среди распространявшихся вредоносных программ оказался и новый троянец-майнер, который использовал мощности зараженных мобильных устройств для добычи криптовалюты Monero.

ГЛАВНЫЕ ТЕНДЕНЦИИ ЯНВАРЯ

Обнаружение в Google Play множества игр со встроенным троянцем
Распространение вредоносных программ, которые шпионили за владельцами мобильных устройств
Выявление нового Android-банкера, кравшего у пользователей деньги
Распространение нового троянца-майнера

Мобильная угроза месяца

В январе специалисты компании «Доктор Веб» обнаружили в каталоге Google Play почти 30 игр, в которые был встроен троянец Android.RemoteCode.127.origin. Он входил в состав специализированной программной платформы для расширения функционала приложений. Android.RemoteCode.127.origin незаметно скачивал и запускал вспомогательные модули, которые могли выполнять самые разнообразные действия. Например, скрытно открывать веб-сайты и нажимать на расположенные на них рекламные ссылки и объявления, имитируя действия пользователей. Подробнее об этом троянце рассказано в нашем новостном материале.

По данным антивирусных продуктов Dr.Web для Android

Android.DownLoader.573.origin: Вредоносная программа, которая загружает других троянцев, а также нежелательное ПО.
Android.HiddenAds.171.origin
Android.HiddenAds.253
Android.HiddenAds.222.origin: Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.
Android.RemoteCode.117.origin: Троянская программа, которая скачивает и запускает различные программные модули, в том числе вредоносные.

Adware.Jiubang.2
Adware.Jiubang.1
Adware.Allinone.1.origin
Adware.Adviator.6.origin
Adware.Leadbolt.12.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Банковский троянец

В уходящем месяце злоумышленники распространяли банковского троянца Android.BankBot.250.origin, который показывал поддельные окна ввода логина и пароля и передавал киберпреступникам вводимую конфиденциальную информацию. Он мог перехватывать СМС с проверочными кодами и незаметно подтверждал перевод денег на счета вирусописателей, а также другие операции в системах онлайн-банкинга.

Троянцы-шпионы

В январе в вирусную базу Dr.Web были добавлены новые записи для детектирования нескольких троянцев-шпионов. Одним из них был Android.Spy.422.origin, известный также под именем Dark Caracal. Злоумышленники использовали эту вредоносную программу для кибершпионажа. Android.Spy.422.origin похищал СМС-сообщения, отслеживал телефонные звонки, крал фотографии, историю веб-браузера и сохраненные в нем закладки, записывал окружение при помощи встроенного микрофона зараженного мобильного устройства и выполнял ряд прочих действий. Другие троянцы-шпионы представляли собой новые модификации вредоносной программы Android.Spy.410.origin, известной специалистам «Доктор Веб» с декабря 2017 года. Она отслеживает переписку в популярных программах, таких как Telegram, WhatsApp, Skype и других, перехватывает СМС-сообщения и телефонные звонки, а также похищает фотографии.

Android-майнер

Среди выявленных в январе вредоносных программ для ОС Android оказался и троянец-майнер, получивший имя Android.CoinMine.8. Киберпреступники распространяли его под видом игр и программ, доступных для бесплатного скачивания на одном из веб-сайтов. В действительности все эти приложения были троянцем, который использовал зараженные устройства для майнинга криптовалюты Monero.

Злоумышленники по-прежнему создают новые вредоносные и нежелательные приложения для ОС Android и распространяют их не только через мошеннические веб-сайты, но и каталог Google Play. Для защиты мобильных устройств от таких угроз рекомендуем установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

31 января 2018 года

Начало 2018 года ознаменовалось обнаружением в каталоге Google Play нескольких игр для ОС Android со встроенным троянцем, скачивавшим и запускавшим на инфицированных устройствах вредоносные модули. Также вирусные аналитики исследовали несколько троянцев-майнеров, заражавших серверы под управлением Windows. Все они использовали уязвимость в программном обеспечении Cleverence Mobile SMARTS Server.

Главные тенденции января

Появление в каталоге Google Play опасного троянца для Android
Распространение новых версий троянцев-майнеров, заражающих Windows-серверы

Угроза месяца

Cleverence Mobile SMARTS Server — это комплекс приложений для автоматизации магазинов, складов, различных учреждений и производств. Уязвимость нулевого дня в этих программах аналитики «Доктор Веб» обнаружили еще в июле 2017 года и сообщили о ней разработчикам ПО. Вскоре те выпустили обновление безопасности для своего программного продукта. Однако далеко не все администраторы установили это обновление, что позволило злоумышленникам продолжить взломы уязвимых серверов. Для этого киберпреступники отправляют на уязвимый сервер специальный запрос, в результате чего происходит выполнение содержащейся в нем команды. Затем взломщики создают в системе нового пользователя с административными привилегиями и получают от его имени несанкционированный доступ к серверу по протоколу RDP. В некоторых случаях с помощью утилиты Process Hacker киберпреступники завершают процессы работающих на сервере антивирусов. Получив доступ к системе, они устанавливают в ней троянца-майнера.

Используемый взломщиками майнер непрерывно совершенствуется. Изначально они устанавливали несколько модификаций троянца, добавленных в вирусную базу Dr.Web под именами Trojan.BtcMine.1324, Trojan.BtcMine.1369 и Trojan.BtcMine.1404. Позже этот список пополнили Trojan.BtcMine.2024, Trojan.BtcMine.2025, Trojan.BtcMine.2033, а самой актуальной версией майнера на текущий момент является Trojan.BtcMine.1978.

Этот троянец запускается в качестве критически важного системного процесса, при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD). После старта майнер пытается остановить процессы и удались службы нескольких антивирусов. Киберпреступники используют Trojan.BtcMine.1978 для добычи криптовалют Monero (XMR) и Aeon. Специалисты компании «Доктор Веб» рекомендуют установить все выпущенные разработчиками обновления безопасности Cleverence Mobile SMARTS Server, а более подробную информацию об этом инциденте можно найти в опубликованной на нашем сайте обзорной статье.

По данным статистики Антивируса Dr.Web

Trojan.Moneyinst.520: Вредоносная программа, устанавливающая на компьютер жертвы различное ПО, в том числе других троянцев.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.BPlug: Это надстройки (плагины) для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц.
Trojan.DownLoad: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.Zadved: Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.7, JS.BtcMine.2: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Статистика вредоносных программ в почтовом трафике

JS.BtcMine.7: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.Encoder.24348: Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.

Шифровальщики

В январе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 22,12% обращений;
Trojan.Encoder.567 — 7,83% обращений;
Trojan.Encoder.11539 — 6,45% обращений;
Trojan.Encoder.2267 — 3,46% обращений;
Trojan.Encoder.761 — 3,23% обращений;
Trojan.Encoder.3953 — 3,20% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение января 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 309 933 интернет-адреса.

декабрь 2017	январь 2018	Динамика
+ 241 274	+ 309 933	+28.4%

Вредоносное и нежелательное ПО для мобильных устройств

В январе вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.RemoteCode.127.origin, встроенного во множество доступных в каталоге Google Play Android-игр. Он незаметно загружал и запускал вредоносные модули, которые могли выполнять разнообразные действия. Помимо этого, в уходящем месяце пользователям угрожал банковский троянец Android.BankBot.250.origin, который крал логины и пароли для доступа к учетным записям онлайн-банкинга. Кроме того, в январе специалисты по информационной безопасности выявили вредоносную программу-майнер, получившую имя Android.CoinMine.8. Этот троянец использовал мощности зараженных смартфонов и планшетов для добычи криптовалюты Monero. В этом же месяце в вирусную базу Dr.Web было добавлено несколько записей для детектирования Android-шпионов, которых злоумышленники использовали для слежки. Одним из них был Android.Spy.422.origin. Другие вредоносные приложения являлись новыми модификациями троянца Android.Spy.410.origin, распространявшегося еще в декабре 2017 года.

Наиболее заметные события, связанные с «мобильной» безопасностью в январе:

обнаружение в Google Play нового троянца;
распространение нового Android-майнера, использовавшего зараженные мобильные устройства для добычи криптовалюты;
выявление новых троянцев-шпионов.

Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

29 декабря 2017 года

Последний месяц уходящего года запомнится специалистам по информационной безопасности появлением нового бэкдора для компьютеров и устройств, работающих под управлением Microsoft Windows. Также в декабре вирусные аналитики «Доктор Веб» установили, что злоумышленники стали взламывать веб-сайты с использованием Linux-троянца Linux.ProxyM. Кроме того, в течение месяца вирусные базы Dr.Web пополнились записями для новых вредоносных программ, ориентированных на мобильную платформу Android.

Главные тенденции декабря

Появление нового бэкдора для Linux
Взломы сайтов с использованием Linux-троянца
Распространение вредоносных программ для Android

Угроза месяца

В декабре вирусные аналитики исследовали очередного представителя семейства троянцев Anunak, способных выполнять на зараженном компьютере команды злоумышленников. Новый бэкдор рассчитан на работу в 64-разрядных версиях Windows и получил наименование BackDoor.Anunak.142. Троянец может выполнять на зараженном компьютере следующие действия:

скачивание файлов с заданного удаленного сервера;
загрузка файлов на удаленный сервер;
запуск файла на инфицированном устройстве;
выполнение команд в консоли cmd.exe;
перенаправление трафика между портами;
загрузка и установка собственных модулей.

Подробнее об этой вредоносной программе рассказано в новостном материале, опубликованном на нашем сайте.

По данным статистики Антивируса Dr.Web

Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.Encoder.11432: Червь-шифровальщик, также известный под именем WannaCry.
Trojan.Zadved: Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
JS.BtcMine.2: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
Trojan.BPlug: Это надстройки (плагины) для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц.

По данным серверов статистики «Доктор Веб»

JS.BtcMine.2: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.Inject: Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Статистика вредоносных программ в почтовом трафике

Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
VBS.DownLoader: Семейство вредоносных файлов, написанных на языке сценариев VBScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.BtcMine.2: Сценарий на языке JavaScript, предназначенный для скрытой добычи (майнинга) криптовалют.

Шифровальщики

В декабре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.858 — 27,29% обращений;
Trojan.Encoder.11539 — 12,55% обращений;
Trojan.Encoder.3953 — 4,09% обращений;
Trojan.Encoder.11464 — 3,41% обращений;
Trojan.Encoder.2667 — 2,59% обращений;
Trojan.Encoder.567 — 2,05% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение декабря 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 241 274 интернет-адреса

ноябрь 2017	декабрь 2017	Динамика
+331 895	+241 274	-27,3%

Вредоносные программы для ОС Linux

Троянец Linux.ProxyM известен вирусным аналитикам еще с мая 2017 года. Это довольно-таки простая вредоносная программа, запускающая на инфицированном устройстве SOCKS-прокси-сервер. С ее помощью злоумышленники рассылали до 400 спам-сообщений с каждого зараженного узла, а вскоре стали распространять фишинговые письма, в частности от имени сервиса DocuSign, позволяющего работать с электронными документами. Таким образом киберпреступники собирали учетные данные его пользователей.

В декабре, используя для анонимности реализованный в троянце прокси-сервер, злоумышленники стали предпринимать многочисленные попытки взлома веб-сайтов. Для этого использовались SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI) — метод атаки, позволяющий злоумышленникам удаленно читать файлы на атакуемом сервере с помощью специально сформированных команд. Подробности об этом инциденте рассказаны в опубликованном нами новостном материале.

Вредоносное и нежелательное ПО для мобильных устройств

В декабре в каталоге Google Play были выявлены банковские троянцы Android.BankBot.243.origin и Android.BankBot.255.origin, которые похищали логины и пароли для доступа к учетным записям клиентов кредитных организаций. Кроме того, похожий троянец распространялся и вне официального каталога ПО мобильной платформы Android. Он получил имя Android.Packed.15893. Также в декабре в вирусную базу Dr.Web был добавлена вредоносная программа Android.Spy.410.origin, которая шпионила за итальянскими пользователями.

Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:

распространение новых банковских троянцев;
обнаружение вредоносной программы-шпиона, кравшей конфиденциальную информацию.

Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

29 декабря 2017 года

С точки зрения информационной безопасности уходящий 2017 год запомнится, безусловно, такими яркими событиями как глобальные атаки червей-шифровальщиков WannaCry, NePetya и BadRabbit, а также появлением значительного числа Linux-троянцев для так называемого «Интернета Вещей». Кроме того, этот год был отмечен распространением на многочисленных веб-сайтах вредоносных сценариев, предназначенных для майнинга (добычи) криптовалюты.

Весной 2017 года вирусные аналитики компании «Доктор Веб» исследовали новый бэкдор для операционной системы macOS — это была одна из немногих вредоносных программ для ОС компании Apple, добавленных в вирусные базы в этом году. Также в течение прошедших 12 месяцев появлялись новые банковские троянцы, предназначенные для хищения средств со счетов клиентов кредитных организаций: одну из таких вредоносных программ, Trojan.PWS.Sphinx.2, вирусные аналитики «Доктор Веб» исследовали в феврале, другую — Trojan.Gozi.64 — в ноябре 2017 года.

Высокую активность в уходящем году проявляли сетевые мошенники: компания «Доктор Веб» неоднократно сообщала о раскрытии новых схем обмана интернет-пользователей. В прошедшем марте сетевые жулики попытались выманить деньги у владельцев и администраторов различных интернет-ресурсов, для чего создали порядка 500 мошеннических веб-страниц. В своих спам-рассылках киберпреступники пытались выдать себя за сотрудников компаний «Яндекс» и «RU-Center», а также придумали мошенническую схему, в которой для получения несуществующей выплаты от потенциальной жертвы требовали указать Страховой номер индивидуального лицевого счета в системе пенсионного страхования (СНИЛС). Кроме того, в июле оказался скомпрометированным портал государственных услуг Российской Федерации (gosuslugi.ru), на страницы которого неизвестные внедрили потенциально опасный код. Эта уязвимость вскоре была устранена администрацией портала.

Неспокойным выдался 2017 год и для владельцев мобильных устройств, работающих под управлением ОС Google Android. Летом вирусные аналитики «Доктор Веб» исследовали многофункционального банковского Android-троянца, получавшего контроль над устройством и кравшего конфиденциальную информацию клиентов кредитно-финансовых организаций. Вскоре в каталоге Google Play была выявлена игра со встроенным троянцем-загрузчиком, которую скачали более миллиона пользователей. В течение года специалисты «Доктор Веб» обнаруживали Android-троянцев, предустановленных в заводские прошивки мобильных устройств, а также множество других вредоносных и потенциально опасных программ для этой платформы.

Главные тенденции года

Появление опасных червей-шифровальщиков, способных распространяться без участия пользователей;
Рост количества Linux-троянцев для «Интернета вещей»;
Распространение опасных вредоносных программ для мобильной платформы Android.

Наиболее интересные события 2017 года

Троянцы-энкодеры, шифрующие файлы и требующие выкуп за их восстановление, обычно распространялись либо под видом тех или иных «полезных» утилит, либо с использованием вредоносных рассылок. При этом чаще всего злоумышленники вкладывали в письма не сам шифровальщик, а небольшого троянца-загрузчика, который при попытке открыть вложение скачивал и запускал энкодер. В то же время черви, способные самостоятельно распространяться по сети, ранее не использовались для шифрования файлов, а имели совсем другие вредоносные функции — одного из представителей этого класса вредоносных программ специалисты «Доктор Веб» исследовали в начале минувшего года. Первым шифровальщиком, сочетающим в себе возможности энкодера и сетевого червя, стал Trojan.Encoder.11432, получивший известность под именем WannaCry.

Массовое распространение этой вредоносной программы началось в 10 утра 12 мая 2017 года. Чтобы заразить другие компьютеры, червь использовал уязвимость в протоколе SMB (MS17-10), при этом опасности подвергались как узлы локальной сети, так и компьютеры в Интернете со случайными IP-адресами. Червь состоял из нескольких компонентов, и шифровальщик являлся только одним из них.

Trojan.Encoder.11432 шифровал файлы с использованием случайного ключа, при этом в составе троянца имелся специальный модуль-декодер, позволявший расшифровать несколько файлов бесплатно в демонстрационном режиме. Примечательно, что эти выбранные случайным образом файлы шифровались при помощи совершенно другого ключа, поэтому их восстановление не гарантировало успешной расшифровки остальных данных. Подробное исследование этого энкодера было опубликовано на нашем сайте в мае 2017 года.

Вскоре разразилась еще одна эпидемия червя-шифровальщика, которого различные источники называли NePetya, Petya.A, ExPetya и WannaCry-2 (подобные наименования он получил благодаря мнимой схожести с ранее распространявшимся троянцем Petya — Trojan.Ransom.369). В вирусные базы Dr.Web NePetya был добавлен под именем Trojan.Encoder.12544.

Как и его предшественник WannaCry, червь-шифровальщик Trojan.Encoder.12544 использовал для своего распространения уязвимость в протоколе SMB, однако в этом случае достаточно быстро удалось установить первоначальный источник распространения червя. Им оказался модуль обновления программы M.E.Doc, предназначенной для ведения налоговой отчетности на территории Украины. Именно поэтому украинские пользователи и организации стали первыми жертвами Trojan.Encoder.12544. Специалисты «Доктор Веб» подробно исследовали программу M.E.Doc и установили, что один из ее компонентов содержит полноценный бэкдор, который способен собирать логины и пароли для доступа к почтовым серверам, загружать и запускать на компьютере любые приложения, выполнять в системе произвольные команды, а также передавать файлы с компьютера на удаленный сервер. Этим бэкдором и воспользовался NePetya, а до него — как минимум еще один троянец-шифровальщик.

Исследование Trojan.Encoder.12544 показало, что этот энкодер изначально не предполагал возможности расшифровки поврежденных файлов. Вместе с тем он обладал достаточно богатым арсеналом вредоносных функций. Для перехвата учетных данных пользователей Windows он использовал утилиты Mimikatz и при помощи этой информации (а также несколькими другими способами) распространялся по локальной сети. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 задействовал программу для управления удаленным компьютером PsExec или стандартную консольную утилиту для вызова объектов Wmic.exe. Кроме того, шифровальщик портил загрузочную запись диска С: (Volume Boot Record, VBR) и подменял оригинальную загрузочную запись Windows (MBR) собственной, при этом исходная MBR шифровалась и переносилась в другой сектор диска.

В июне компания «Доктор Веб» опубликовала подробное исследование червя-шифровальщика Trojan.Encoder.12544.

В октябре было зафиксировано распространение еще одного червя-энкодера, получившего наименование Trojan.BadRabbit. Известные образцы троянца распространялись в виде программы со значком установщика Adobe Flash. Архитектурно BadRabbit был похож на своих предшественников: он так же состоял из нескольких компонентов: дроппера, энкодера и сетевого червя, тоже содержал встроенный расшифровщик, более того, часть его кода была явно позаимствована у Trojan.Encoder.12544. Однако этот шифровальщик отличался одной примечательной чертой: при запуске он проверял наличие на атакуемом компьютере двух антивирусов — Dr.Web и McAfee — и в случае их обнаружения пропускал первый этап шифрования, видимо, с целью избежать преждевременного обнаружения.

С более подробной информацией об этой вредоносной программе можно ознакомиться в опубликованной компанией «Доктор Веб» обзорной статье.

Вирусная обстановка

Согласно сведениям, полученным с использованием серверов статистики «Доктор Веб», в 2017 году на компьютерах пользователей чаще всего выявлялись сценарии и вредоносные программы, предназначенные для загрузки из Интернета других троянцев, а также для установки опасных и нежелательных приложений. По сравнению с прошлым годом из этой статистики практически исчезли рекламные троянцы.

JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
Trojan.InstallCore: Семейство установщиков нежелательных и вредоносных приложений.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.Inject: Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.
Trojan.DownLoad: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

Схожая картина наблюдается и в анализе почтового трафика, однако здесь помимо загрузчиков встречаются также троянцы, предназначенные для хищения паролей и другой конфиденциальной информации.

JS.DownLoader: Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.InstallCore: Семейство установщиков нежелательных и вредоносных приложений.
Trojan.PWS.Stealer: Семейство троянцев, предназначенных для хищения на инфицированном компьютере паролей и другой конфиденциальной информации.
Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
W97M.DownLoader: Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
PowerShell.DownLoader: Семейство вредоносных файлов, написанных на языке сценариев PowerShell. Загружают и устанавливают на компьютер другие вредоносные программы.
Trojan.Inject: Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.

Троянцы-шифровальщики

2017 год можно смело назвать годом червей-энкодеров: именно в уходящем году шифровальщики научились массово распространяться по сети без участия пользователей, став причиной нескольких эпидемий. За прошедшие 12 месяцев в службу технической поддержки компании «Доктор Веб» обратились в общей сложности порядка 18 500 пользователей, пострадавших от действий шифровальщиков. Начиная с мая количество запросов постепенно снижалось, уменьшившись к концу года по сравнению с его началом более чем вдвое.

Согласно статистике, чаще всего в 2017 году на компьютеры проникал троянец Trojan.Encoder.858, второе место занимает Trojan.Encoder.3953, третьим по «популярности» является энкодер Trojan.Encoder.567.

Наиболее распространенные шифровальщики в 2017 году:

Trojan.Encoder.858 — 26,55% обращений;
Trojan.Encoder.3953 — 6,03% обращений;
Trojan.Encoder.567 — 3,71% обращений;
Trojan.Encoder.761 — 1,79% обращений;
Trojan.Encoder.3976 — 1,07% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Вредоносные программы для Linux

Как и в прошлом году, в течение прошедших 12 месяцев было выявлено довольно много троянцев для ОС семейства Linux, при этом вирусописатели создавали версии опасных приложений для таких аппаратных архитектур как х86, ARM, MIPS, MIPSEL, PowerPC, Superh, Motorola 68000, SPARC — то есть, для очень широкого диапазона «умных» устройств. Среди них — всевозможные роутеры, телевизионные приставки, сетевые накопители и т.д. Объясняется такой интерес тем, что многие пользователи подобной аппаратуры не задумываются над необходимостью смены установленных по умолчанию учетных данных администратора системы, что заметно упрощает задачу злоумышленникам.

Уже в январе 2017 года вирусные аналитики «Доктор Веб» обнаружили несколько тысяч инфицированных устройств, зараженных троянцем Linux.Proxy.10. Эта вредоносная программа предназначена для запуска на зараженном устройстве SOCKS5-прокси-сервера, с использованием которого злоумышленники могут обеспечить себе анонимность в Интернете. Месяц спустя был выявлен Trojan.Mirai.1 — Windows-троянец, способный заражать устройства под управлением Linux.

В мае специалисты «Доктор Веб» исследовали новую модификацию сложного многокомпонентного троянца для ОС Linux, принадлежащего к семейству Linux.LuaBot. Эта вредоносная программа представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» устройств.

В июле вирусные базы Dr.Web пополнились записью для троянца Linux.MulDrop.14, который устанавливал на инфицированном устройстве приложение для добычи криптовалют. Тогда же вирусные аналитики исследовали вредоносную программу Linux.ProxyM, запускающего на зараженном устройстве прокси-сервер. Атаки с применением этого троянца фиксировались начиная с февраля 2017 года, но пика достигли во второй половине мая. Больше всего источников атак располагалось в России, на втором и третьем месте – Китай и Тайвань.

Вскоре злоумышленники начали использовать Linux.ProxyM для рассылки спама и фишинговых писем, в частности от имени сервиса DocuSign, предназначенного для работы с электронными документами. Специалистам «Доктор Веб» удалось установить, что киберпреступники отправляли порядка 400 спам-сообщений в сутки с каждого инфицированного устройства. Осенью 2017 года злоумышленники нашли для Linux.ProxyM еще одно применение: с помощью этого троянца они начали взламывать сайты. Использовалось несколько методов взлома: SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI) — метод атаки, позволяющий удаленно читать файлы на атакуемом сервере. График количества зафиксированных атак этого троянца представлен ниже.

Также в ноябре был обнаружен новый бэкдор для Linux, получивший наименование Linux.BackDoor.Hook.1. Он может скачивать заданные в поступившей от злоумышленников команде файлы, запускать приложения или подключаться к определенному удаленному узлу.

Число угроз для ОС Linux постепенно растет, и есть основания полагать, что эта тенденция продолжится и в следующем году.

Вредоносные программы для macOS

В течение года вирусные базы Dr.Web пополнились записями для целого ряда семейств вредоносных программ, способных инфицировать устройства Apple: это Mac.Pwnet, Mac.BackDoor.Dok, Mac.BackDoor.Rifer, Mac.BackDoor.Kirino и Mac.BackDoor.MacSpy. Одна из обнаруженных в 2017 году вредоносных программ — Mac.BackDoor.Systemd.1 — представляет собой бэкдор, способный выполнять следующие команды:

получить список содержимого заданной директории;
прочитать файл;
записать в файл;
получить содержимое файла;
удалить файл или папку;
переименовать файл или папку
изменить права для файла или папки (команда chmod);
изменить владельца файлового объекта (команда chown);
создать папку;
выполнить команду в оболочке bash;
обновить троянца;
переустановить троянца;
сменить IP-адрес управляющего сервера;
установить плагин.

Более подробные сведения об этом троянце изложены в опубликованной на сайте компании «Доктор Веб» статье.

Опасные и нерекомендуемые сайты

Специалисты «Доктор Веб» регулярно добавляют в базы Родительского (Офисного) контроля адреса потенциально опасных и нерекомендуемых веб-сайтов. К таковым относятся мошеннические, фишинговые ресурсы и сайты, распространяющие вредоносное ПО. Динамика пополнения этих баз в 2017 году показана на следующей диаграмме.

Сетевое мошенничество

Интернет-мошенничество — весьма распространенное явление, и год от года сетевые жулики расширяют арсенал методик обмана доверчивых пользователей. В одной из весьма популярных мошеннических схем в 2017 году использовались так называемые «договорные матчи». Киберпреступники создают специальный сайт, на котором предлагают приобрести «достоверные и проверенные сведения об исходе спортивных состязаний». Впоследствии с помощью этой информации можно делать якобы гарантированно выигрышные ставки в букмекерских конторах. Этой весной жулики усовершенствовали схему: они предлагали потенциальным жертвам скачать защищенный паролем самораспаковывающийся RAR-архив, якобы содержащий текстовый файл с результатами того или иного матча. Пароль для архива жулики высылают после завершения состязания. Предполагается, что таким образом пользователь сможет сравнить предсказанный результат с реальным. Однако вместо архива с сайта мошенников скачивалась созданная ими программа, внешне неотличимая от самораспаковывающегося архива WinRAR. Этот поддельный «архив» содержит шаблон текстового файла, в который с помощью специального алгоритма подставляются нужные результаты матча в зависимости от того, какой пароль введет пользователь. Таким образом, после окончания спортивного соревнования жуликам достаточно отправить своей жертве соответствующий пароль, и из «архива» будет «извлечен» текстовый файл с правильным результатом (на самом деле он будет сгенерирован троянцем на основе шаблона).

В минувшем году киберпреступники пытались обмануть не только простых пользователей, но и владельцев веб-сайтов. Жулики рассылали им письма якобы от имени компании «Яндекс», по всей видимости позаимствовав адреса получателей из баз данных регистраторов доменов. В своем послании мошенники от имени «Яндекса» предлагали владельцу сайта повысить его позиции в поисковой выдаче. Для этих целей они создали более 500 веб-страниц, ссылки на которые сотрудники «Доктор Веб» добавили в базы нерекомендуемых сайтов.

Киберпреступники рассылали мошеннические письма не только от имени «Яндекса», но и от лица регистратора доменов «RU-Center». Ссылаясь на некие изменения в правилах ICANN, злоумышленники предлагали администраторам домена создать в корневой директории сайта php-файл определенного содержания, якобы с целью подтвердить право использования этого домена получателем сообщения. Файл, который предлагали сохранить в корневой папке сайта злоумышленники, содержал команду, способную выполнить заданный в переменной произвольный код.

Другая популярная методика обмана — обещание выплат крупных сумм, за вывод которых преступники просят жертву перевести им небольшой взнос. Компания «Доктор Веб» сообщала о подобной схеме, в которой для проверки якобы причитающихся пользователю страховых премий на мошенническом сайте требовалось указать номер страхового свидетельства СНИЛС или паспортные данные.

Можно предположить, что сетевые мошенники будут и дальше изобретать новые методики незаконного заработка, основанного на обмане.

Для мобильных устройств

Мобильные устройства по-прежнему остаются привлекательной мишенью для киберпреступников, поэтому неудивительно, что 2017 год был вновь отмечен появлением большого числа вредоносных и нежелательных программ. Среди основных целей злоумышленников снова стало незаконное обогащение, а также кража персональной информации.

Как и ранее, одну из основных угроз представляли банковские троянцы, с помощью которых вирусописатели получали доступ к счетам клиентов кредитных организаций и незаметно крали с них деньги. Среди таких вредоносных приложений стоит отметить Android.Banker.202.origin, который был встроен в безобидные программы и распространялся через каталог Google Play. Android.Banker.202.origin интересен своей многоступенчатой схемой атаки. При запуске он извлекал скрытого внутри него троянца Android.Banker.1426, который скачивал еще одну вредоносную программу-банкер. Именно она похищала логины, пароли и другую конфиденциальную информацию, необходимую для доступа к счетам пользователей.

Похожий банкер получил имя Android.BankBot.233.origin. Он извлекал из своих ресурсов и незаметно устанавливал троянца Android.BankBot.234.origin, который охотился за информацией о банковских картах. Эта вредоносная программа отслеживала запуск приложения «Play Маркет» и показывала поверх него мошенническую форму, в которой запрашивала соответствующие данные. Особенность Android.BankBot.233.origin заключалась в том, что он пытался получить доступ к специальным возможностям (Accessibility Service) зараженных устройств. С их помощью он начинал полностью контролировать смартфоны и планшеты и управлял их функциями. Именно благодаря доступу к специальному режиму работы операционной системы Android.BankBot.233.origin скрытно ставил второго троянца.

Android.BankBot.211.origin – еще один опасный банкер, который также использовал специальные возможности ОС Android. Троянец самостоятельно назначал себя администратором устройства и менеджером СМС по умолчанию. Кроме того, он мог фиксировать все происходящее на экране и делал скриншоты при каждом нажатии клавиатуры. Также Android.BankBot.211.origin показывал фишинговые окна для кражи логинов и паролей и передавал злоумышленникам другие секретные сведения.

Применение специальных возможностей ОС Android вредоносными программами сделало их намного более опасными и стало одним из основных этапов эволюции Android-троянцев в 2017 году.

По-прежнему актуальными оставались троянцы, которые без ведома пользователей скачивали и запускали различные приложения. Одним из них был найденный в январе Android.Skyfin.1.origin, внедрявшийся в процесс программы Play Маркет и загружавший ПО из Google Play. Android.Skyfin.1.origin накручивал счетчик установок в каталоге и искусственно увеличивал популярность приложений. А в июле вирусные аналитики «Доктор Веб» выявили и исследовали троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек сразу нескольких моделей мобильных Android-устройств. Этот троянец внедрялся в процессы всех работающих программ и мог незаметно загружать и запускать другие вредоносные модули, заданные в команде управляющего сервера. Вирусописатели начали применять подобный механизм заражения процессов еще в 2016 году, и специалисты «Доктор Веб» ожидали, что киберпреступники продолжат использовать этот вектор атак.

В 2017 году владельцы Android-смартфонов и планшетов вновь столкнулись с рекламными троянцами. Среди них был Android.MobiDash.44, который распространялся через каталог Google Play под видом приложений-руководств к популярным играм. Этот троянец показывал навязчивую рекламу и мог загружать дополнительные вредоносные компоненты. Кроме того, были выявлены и новые нежелательные рекламные модули, один из которых получил наименование Adware.Cootek.1.origin. Он был встроен в популярное приложение-клавиатуру и также распространялся через каталог Google Play. Adware.Cootek.1.origin показывал объявления и различные баннеры.

Серьезную опасность для пользователей мобильных устройств в 2017 году вновь представляли троянцы-вымогатели. Эти вредоносные приложения блокируют экран зараженных смартфонов и планшетов и требуют выкуп за разблокировку. При этом суммы, которые интересуют вирусописателей, могут доходить до нескольких сотен и даже тысяч долларов. На протяжении последних 12 месяцев антивирусные продукты Dr.Web для Android обнаруживали троянцев такого типа на устройствах пользователей более 177 000 раз.

Среди выявленных в прошлом году Android-вымогателей был Android.Locker.387.origin, скрывавшийся в приложении для оптимизации работы и «восстановления» аккумулятора. Другой Android-локер, получивший имя Android.Encoder.3.origin, не только блокировал экран атакуемых устройств, но и шифровал файлы. А троянец Android.Banker.184.origin помимо шифрования менял пароль разблокировки экрана.

В 2017 году немало угроз встречалось и в каталоге Google Play. В апреле в нем был найден троянец Android.BankBot.180.origin, который крал логины и пароли для доступа к банковским учетным записям и перехватывал СМС с проверочными кодами. Позднее был выявлен троянец Android.Dvmap.1.origin, пытавшийся получить root-доступ для незаметной установки вредоносного компонента Android.Dvmap.2.origin. Он скачивал другие модули троянца.

В начале июля вирусные аналитики «Доктор Веб» обнаружили в Google Play вредоносную программу Android.DownLoader.558.origin, которая незаметно загружала и запускала дополнительные компоненты. В этом же месяце в каталоге был найден троянец Android.RemoteCode.85.origin, скачивавший вредоносный плагин, который похищал СМС-сообщения.

Осенью специалисты по информационной безопасности нашли в Google Play троянца Android.SockBot.5, который превращал зараженные смартфоны и планшеты в прокси-серверы. А позднее в каталоге был обнаружен загрузчик, которой скачивал и предлагал пользователям установить различные программы. Это троянец получил имя Android.DownLoader.658.origin. Кроме того, среди выявленных в Google Play вредоносных приложений была и потенциально опасная программа Program.PWS.1, о которой компания «Доктор Веб» рассказала в одной из своих публикаций. Это приложение позволяло получить доступ к заблокированным на территории Украины социальным сетям «ВКонтакте» и «Одноклассники», однако не шифровало передаваемые данные, включая логины и пароли.

В минувшем году злоумышленники также атаковали владельцев мобильных Android-устройств с использованием троянцев-шпионов. Среди этих вредоносных программ были троянцы Android.Chrysaor.1.origin и Android.Chrysaor.2.origin, а также Android.Lipizzan.2, которые крали переписку в популярных программах для онлайн-общения, похищали СМС-сообщения, отслеживали координаты зараженных устройств и передавали киберпреступникам другие секретные сведения. Еще одна вредоносная программа-шпион получила имя Android.Spy.377.origin. Она принимала команды по протоколу Telegram и обладала широким функционалом. Например, троянец мог отправлять СМС с заданным текстом на нужные вирусописателям номера, собирал сведения обо всех доступных файлах и по указанию злоумышленников отправлял любой из них на управляющий сервер. Кроме того, Android.Spy.377.origin мог совершать телефонные звонки и отслеживать местоположение смартфонов и планшетов.

Среди обнаруженных вредоносных программ для мобильных устройств были и новые троянцы-майнеры – например, Android.CoinMine.3, который добывал криптовалюту Monero.

Перспективы и вероятные тенденции

Как и ранее, в наступающем году наибольшую опасность для пользователей будут представлять энкодеры и банковские троянцы. Можно ожидать появления новых червей-шифровальщиков, использующих для своего распространения ошибки и уязвимости в операционной системе и сетевых протоколах.

С высокой долей вероятности будет расти количество и ассортимент угроз для «умных» устройств, работающих под управлением операционной системы Linux. Число моделей таких устройств постепенно растет, а в сочетании с их невысокой стоимостью «Интернет вещей» неизбежно будет привлекателен не только для простых пользователей, но и для киберпреступников.

По всей видимости, в 2018 году не уменьшится количество вредоносных программ для платформы Android – по крайней мере, тенденций к снижению активности «мобильных» вирусописателей в настоящее время не наблюдается. Несмотря на все предпринимаемые меры защиты, троянцы для Android-смартфонов и планшетов будут появляться в каталоге Google Play, а также в заводской прошивке некоторых устройств. Наибольшую опасность для пользователей будут представлять мобильные банковские троянцы, способные похищать средства непосредственно со счетов в кредитных финансовых организациях, а также блокировщики и шифровальщики.

Среди троянцев-загрузчиков, распространяющихся во вредоносных рассылках, наверняка будут преобладать небольшие по объему сценарии, написанные с использованием синтаксиса VBScript, Java Script, Power Shell. Уже сейчас подобных скриптов, обнаруживаемых в сообщениях электронной почты антивирусными продуктами Dr.Web, достаточно много. Будут появляться новые способы добычи криптовалют без явного согласия пользователей. Одно можно утверждать со всей определенностью: в 2018 году угроз информационной безопасности точно не станет меньше.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

29 декабря 2017 года

В последнем месяце 2017 года в каталоге Google Play было найдено несколько новых троянцев, которые скрывались внутри безобидных приложений. Эти вредоносные программы представляли собой банкеров, кравших конфиденциальную информацию клиентов кредитных организаций. Другой «декабрьский» Adroid-троянец, который угрожал владельцам Android-устройств, распространялся вне официального каталога ПО. Он также похищал логины и пароли, необходимые для доступа к банковским учетным записям. Кроме того, в уходящем месяце злоумышленники распространяли вредоносную программу, которая шпионила за итальянскими пользователями.

ГЛАВНЫЕ ТЕНДЕНЦИИ ДЕКАБРЯ

Распространение новых банковских троянцев
Обнаружение троянца-шпиона, кравшего персональную информацию

Мобильная угроза месяца

В декабре в вирусную базу Dr.Web была добавлена запись для детектирования троянца Android.Spy.410.origin, который шпионил за итальянскими владельцами Android-устройств и крал их конфиденциальные данные. Так, он передавал злоумышленникам переписку из популярных программ для общения и работы с социальными сетями, таких как Skype, WhatsApp, Telegram и других. Кроме того, он перехватывал СМС-сообщения и телефонные звонки, а также мог похищать изображения, хранящиеся в памяти зараженного мобильного устройства.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.171.origin: Троянец, предназначенный для показа навязчивой рекламы.
Android.RemoteCode.71: Троянская программа, которая скачивает и запускает различные программные модули, в том числе вредоносные.
Android.Packed.15893: Троянец, который крадет логины и пароли доступа от банковских учетных записей.
Android.DownLoader.653.origin
Android.DownLoader.573.origin

Вредоносные программы, которые загружают других троянцев, а также нежелательное ПО.

Adware.Jiubang.2
Adware.Jiubang.1
Adware.Saturn.1.origin
Adware.Adviator.6.origin
Adware.Leadbolt.12.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Банковские троянцы

В декабре в официальном каталоге Android-приложений Google Play были найдены очередные банковские троянцы, которые по классификации Dr.Web получили имена Android.BankBot.243.origin и Android.BankBot.255.origin. Киберпреступники встроили их в безобидные программы, чтобы не вызывать у потенциальных жертв лишних подозрений. Эти троянцы искали на зараженных смартфонах и планшетах заданные вирусописателями банковские приложения и показывали пользователям поддельные формы ввода логина и пароля для доступа к учетным записям. После этого банкеры передавали полученную информацию злоумышленникам.

Кроме того, в уходящем месяце пользователей Android-устройств атаковал троянец Android.Packed.15893. Он также демонстрировал мошеннические окна, в которых запрашивал логины и пароли от учетных записей мобильного банкинга и передавал киберпреступникам все введенные данные.

Банковские троянцы представляют серьезную угрозу, поскольку с их помощью вирусописатели крадут деньги владельцев мобильных устройств. Злоумышленники распространяют такие вредоносные программы как через каталог Google Play, так и через сторонние магазины приложений, а также взломанные или мошеннические веб-сайты. Для защиты Android-смартфонов и планшетов от этих и других угроз пользователям необходимо установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

29 декабря 2017 года

События в сфере информационной безопасности уходящего года показали, что интерес киберпреступников к мобильным устройствам по-прежнему высок. Об этом говорит как появление новых вредоносных Android-программ, так и расширение их функционала. Так, на протяжении последних 12 месяцев владельцам смартфонов и планшетов угрожали троянцы, которые использовали специальные возможности (Accessibility Service) платформы Android. С их помощью они незаметно выполняли вредоносные действия – например, меняли системные настройки, а также скрытно скачивали и устанавливали ПО.

Серьезную опасность вновь представляли банковские троянцы, похищавшие логины, пароли и другую секретную информацию и помогавшие злоумышленникам красть деньги со счетов жертв. Публикация в 2016 году исходных кодов одного из Android-банкеров упростила вирусописателям создание новых вредоносных приложений такого типа.

Актуальной осталась проблема Android-вымогателей – троянцев, которые блокируют мобильные устройства и требуют выкуп за восстановление их работоспособности. В 2017 году среди этих вредоносных программ вновь встречались и энкодеры, шифровавшие файлы.

Нельзя не отметить появление в каталоге Google Play множества новых угроз. Среди них оказались как троянские, так и нежелательные программы.

Кроме того, в 2017 году получили распространение вредоносные приложения, которые открывали веб-сайты для накрутки их популярности, выполняли переходы по ссылкам и нажимали на рекламные баннеры. Были обнаружены и новые троянцы, предназначенные для добычи криптовалют.

Главные тенденции года

Появление троянцев, использующих специальные возможности ОС Android
Обнаружение большого числа вредоносных и нежелательных программ в каталоге Google Play
Появление новых банковских троянцев
Распространение вредоносных приложений, которые открывали веб-сайты для накрутки счетчика их посещений, нажимали на расположенные на них рекламные баннеры и переходили по ссылкам
Обнаружение новых троянцев, которые добывали криптовалюты с использованием мощностей зараженных мобильных устройств

Наиболее интересные события

В 2017 году получили распространение вредоносные программы, которые задействовали специальный режим работы (Accessibiliy Service) ОС Android. Функции этого режима облегчают использование смартфонов и планшетов людьми с ограниченными возможностями. Однако, получив доступ к таким функциям, троянец фактически будет полностью контролировать зараженное устройство и сможет выполнять вредоносные действия без вмешательства владельца аппарата. Например, имитировать нажатие кнопок в диалоговых окнах, открывать и изменять различные настройки, а также автоматически устанавливать другие приложения.

Одним из таких троянцев был Android.BankBot.211.origin. Получив необходимые полномочия, он самостоятельно добавлялся в список администраторов устройства, назначал себя менеджером СМС по умолчанию и мог фиксировать все, что происходило на экране устройства. Android.BankBot.211.origin показывал поддельные формы авторизации при запуске банковских и других программ, делал скриншоты при каждом нажатии клавиатуры, а также передавал злоумышленникам информацию обо всех СМС и телефонных звонках.

Android.DownLoader.504.origin – еще один троянец, который использовал специальные возможности ОС Android для автоматического выполнения вредоносных действий. Он незаметно скачивал различные приложения, а также других троянцев, после чего самостоятельно устанавливал их.

Кроме того, в прошлом году была выявлена вредоносная программа Android.BankBot.233.origin с аналогичным функционалом. Она извлекала из своих ресурсов и с использованием специальных возможностей незаметно инсталлировала банковского троянца Android.BankBot.234.origin. Он отслеживал запуск Play Маркет и поверх окна приложения показывал фишинговую форму настройки платежного сервиса, в которой запрашивал информацию о банковской карте. Полученные сведения Android.BankBot.234.origin передавал вирусописателям, после чего те могли украсть деньги со счета жертвы.

Киберпреступники используют большинство вредоносных и нежелательных Android-программ для получения прибыли. Наряду с кражей денег с применением банковских троянцев другим популярным источником незаконного заработка злоумышленников является загрузка и установка приложений на мобильные устройства без ведома их владельцев. В 2016 году специалисты «Доктор Веб» отмечали появление и широкое распространение созданных для таких целей троянцев и нежелательных программ. В 2017 году эта тенденция продолжилась. В январе компания «Доктор Веб» рассказывала о троянце Android.Skyfin.1.origin, который внедрялся в процесс программы Play Маркет и скачивал от ее имени приложения из каталога Google Play. Android.Skyfin.1.origin не устанавливал загружаемое ПО, однако полностью имитировал его инсталляцию, подменяя различные параметры при обращении к серверу компании Google и обманывая его. В результате троянец искусственно накручивал счетчик установок и увеличивал популярность программ. Кроме того, он мог самостоятельно оставлять поддельные отзывы, поднимая рейтинг приложений и делая их более привлекательными для пользователей.

В мае в каталоге Google Play был найден Android.RemoteCode.28, который также загружал другие программы из Интернета. А в июле вирусные аналитики «Доктор Веб» обнаружили троянца Android.Triada.231. Злоумышленники встроили его в одну из системных библиотек ОС Android и поместили в прошивку нескольких моделей мобильных устройств. Android.Triada.231 внедрялся в процессы всех программ и мог незаметно скачивать и запускать дополнительные вредоносные модули.

Другой распространенный метод заработка киберпреступников – загрузка веб-сайтов для накрутки их посещаемости, а также нажатие («клики») на расположенные на них баннеры и другие элементы. Одной из вредоносный программ, которые злоумышленники использовали в 2017 году для этих целей, был распространявшийся через Google Play троянец Android.RemoteCode.106.origin. Он скачивал вспомогательные модули и с их помощью открывал сайты, после чего переходил по имеющимся на них ссылкам и нажимал на объявления.

Схожий функционал был и в обнаруженных в 2017 году новых троянцах семейства Android.Click. Например, Android.Click.132.origin по указанию управляющего сервера незаметно загружал веб-страницы и автоматически нажимал на расположенные на них рекламные объекты. Вредоносные программы Android.Click.268, Android.Click.269 и Android.Click.274 также открывали веб-страницы и нажимали на заданных злоумышленниками областях, накручивая счетчик переходов по рекламным объявлениям. Кроме того, они получали от управляющего центра адреса веб-сайтов, на которые отправляли по 10 миллионов пустых запросов. В результате пользователи, которые установили этих троянцев, невольно становились участниками DDoS-атак.

Показ агрессивной рекламы по-прежнему является популярным источником дохода для вирусописателей и недобросовестных разработчиков ПО. В марте 2017 года компания «Доктор Веб» рассказывала об одном из нежелательных рекламных модулей, получившем имя Adware.Cootek.1.origin. Он был встроен в безобидное приложение-клавиатуру под названием TouchPal и распространялся через каталог Google Play. В общей сложности эту программу загрузили более 50 000 000 пользователей. Adware.Cootek.1.origin показывал надоедливые объявления и даже встраивал баннеры в экран блокировки.

А в апреле в Google Play был найден троянец Android.MobiDash.44, который распространялся под видом руководств к популярным играм. Он показывал навязчивую рекламу, а также мог загружать дополнительные вредоносные модули.

Добычу (майнинг) криптовалют с использованием мобильных устройств нельзя назвать эффективным источником заработка. Тем не менее, этот способ обогащения по-прежнему привлекает киберпреступников. В ноябре 2017 года в каталоге Google Play был обнаружен троянец-майнер Android.CoinMine.3. Эта вредоносная программа незаметно загружала веб-сайт со встроенным в него скриптом, который добывал криптовалюту Monero.

Однако злоумышленники используют вредоносные программы не только для получения прибыли. Некоторые троянцы применяются для слежки и кибершпионажа. Так, в апреле 2017 года появилась информация о вредоносных приложениях Android.Chrysaor.1.origin и Android.Chrysaor.2.origin, задействованных в таргетированных атаках. Они крали переписку из множества программ для общения, таких как Skype, Viber, WhatsApp, Twitter, Facebook, почтовых клиентов и других, перехватывали СМС, осуществляли прослушку через микрофон зараженных смартфонов и планшетов и записывали телефонные звонки. Кроме того, эти троянцы отслеживали местоположение мобильных устройств, похищали историю браузера, передавали злоумышленникам информацию о контактах из телефонной книги и собирали другие конфиденциальные данные.

А уже в июле стало известно о похожем троянце, который получил имя Android.Lipizzan.2. Он также крал переписку из популярных мессенджеров и почтовых клиентов, перехватывал и записывал телефонные разговоры, выполнял прослушку с использованием микрофона, делал скриншоты экрана и отслеживал местоположение зараженных устройств.

Помимо этого, в 2017 году компания «Доктор Веб» обнаружила вредоносную программу Android.Spy.377.origin, которая шпионила за иранскими пользователями. Злоумышленники управляли ей при помощи команд, передаваемых через протокол обмена сообщениями онлайн-мессенджера Telegram. Android.Spy.377.origin отправлял киберпреступникам информацию обо всех доступных на устройстве файлах и мог загружать любой из них на управляющий сервер. Кроме того, по команде вирусописателей троянец рассылал СМС-сообщения, выполнял телефонные звонки, отслеживал координаты зараженного смартфона или планшета, крал все входящие и исходящие СМС, а также другие конфиденциальные сведения.

Вирусная обстановка в сегменте мобильных устройств

Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, в 2017 году на Android-устройствах наиболее часто встречались троянцы, которые без разрешения загружали другие вредоносные программы и скачивали ненужное ПО. Кроме того, существенную долю среди обнаруженных угроз составили рекламные троянцы.

Android.DownLoader.337.origin: Троянец, выполняющий загрузку заданных вирусописателями приложений.
Android.HiddenAds: Представители семейства троянцев, предназначенных для показа навязчивой рекламы.
Android.Triada.63: Многофункциональный троянец, выполняющий разнообразные вредоносные действия.
Android.Click.171.origin: Представитель семейства троянцев, предназначенных для накрутки количества посещений заданных злоумышленниками веб-сайтов.
Android.Loki.19.origin: Вредоносная программа, предназначенная для загрузки других троянцев.
Android.Cooee.1.origin: Троянская программа, которая незаметно загружает и устанавливает приложения, а также показывает рекламу.
Android.CallPay.1.origin: Вредоносная программа, которая предоставляет владельцам Android-устройств доступ к эротическим материалам, но в качестве оплаты этой «услуги» незаметно совершает звонки на премиум-номера.

Что же касается нежелательных и потенциально опасных программ, которые были выявлены на смартфонах и планшетах в 2017 году, то здесь, как и годом ранее, наблюдалась аналогичная картина. За последние 12 месяцев на мобильных Android-устройствах чаще всего встречались нежелательные программные модули, которые показывали рекламу.

Adware.Jiubang.1
Adware.Jiubang.2
Adware.Leadbolt.12.origin
Adware.Airpush.31.origin
Adware.Adpush.7
Adware.SalmonAds.1.origin
Adware.Avazu.8.origin
Adware.Patacore.2
Adware.Fly2tech.2
Adware.Appsad.3.origin

Нежелательные модули, которые разработчики ПО и вирусописатели встраивают в приложения для показа агрессивной рекламы.

Банковские троянцы

Банковские троянцы – одни из самых опасных вредоносных приложений, поскольку с их помощью киберпреступники похищают деньги. В течение 2017 года Android-банкеры проникали на мобильные устройства более 1 900 000 раз, что на 9,5% меньше, чем годом ранее. Динамика обнаружения этих вредоносных программ за последние 12 месяцев показана на следующей иллюстрации:

Заметным событием уходящего года стало распространение Android-банкеров, созданных на основе опубликованного исходного кода вредоносной программы Android.BankBot.149.origin. Среди них был Android.BankBot.179.origin, обнаруженный в каталоге Google Play в апреле. Этот троянец показывал поддельные формы ввода логина и пароля при запуске более чем 200 банковских приложений. В результате владельцы зараженных смартфонов и планшетов не подозревали, что видят мошенническое окно, и указывали секретную информацию, которая затем передавалась злоумышленникам. Android.BankBot.179.origin перехватывал все поступающие от кредитных организаций СМС с проверочными кодами и автоматически подтверждал перевод денег на счета киберпреступников.

Другие троянцы, созданные на основе опубликованных исходных кодов, получили имена Android.BankBot.160.origin и Android.BankBot.163.origin. Они были встроены в приложения для показа прогноза погоды и также распространялись через каталог Google Play. Эти вредоносные программы отслеживали запуск банковских приложений и демонстрировали поддельные окна авторизации при их открытии.

Среди прочих Android-банкеров, которые атаковали пользователей мобильных устройств в 2017 году, был Android.Banker.202.origin. Он скрывался в безобидных программах и распространялся через каталог Google Play. После старта Android.Banker.202.origin извлекал из своих файловых ресурсов и запускал вредоносное приложение Android.Banker.1426. Оно, в свою очередь, скачивало с управляющего сервера один из Android-банкеров семейства Android.BankBot, который крал логины, пароли и другую конфиденциальную информацию.

Троянцы-вымогатели

Вредоносные программы-вымогатели представляют серьезную опасность. Они блокируют мобильные устройства и даже шифруют файлы на них, после чего требуют выкуп. В 2017 году владельцы Android-смартфонов и планшетов вновь столкнулись с подобными локерами. В течение 12 месяцев антивирусные продукты Dr.Web для Android обнаружили этих троянцев более 177 000 раз. Динамика детектирования Android-вымогателей показана на следующем графике:

Один из таких троянцев был найден в каталоге Google Play в январе и получил имя Android.Locker.387.origin. Он скрывался в приложении под названием Energy Rescue, которое якобы восстанавливало некие поврежденные и слабые ячейки аккумулятора. В действительности же Android.Locker.387.origin не мог выполнить обещанной процедуры и лишь имитировал бурную деятельность. Вместо восстановления батареи он блокировал экран зараженного устройства, для чего запрашивал доступ к функциям администратора и требовал заплатить злоумышленникам.

Уже в июне широкую известность получил вымогатель Android.Encoder.3.origin, который атаковал китайских пользователей и шифровал файлы на карте памяти Android-устройств. Он интересен тем, что его окно с требованием выкупа было оформлено в стиле нашумевшего троянца-шифровальщика WannaCry, заразившего сотни тысяч компьютеров по всему миру в мае 2017 года.

А в конце лета в вирусную базу Dr.Web была добавлена запись для детектирования троянца-вымогателя Android.Banker.184.origin. Он запрашивал доступ к специальным возможностям (Accessibility Service), самостоятельно добавлял себя в список администраторов зараженного устройства, устанавливал собственный пин-код разблокировки экрана, после чего шифровал фотографии, видео, документы и другие файлы.

Угрозы в Google Play

Несмотря на попытки корпорации Google обеспечить безопасность официального каталога приложений Android, в нем по-прежнему встречаются вредоносные и нежелательные программы. В 2017 году в Google Play было выявлено множество различных угроз. В апреле в нем был найден троянец Android.BankBot.180.origin, который скрывался в приложении-фонарике. Он показывал поддельные формы ввода логина и пароля для доступа к банковским учетным записям, а также перехватывал СМС с кодами проверки.

В июне в Google Play был обнаружен троянец Android.Dvmap.1.origin, который с использованием набора эксплойтов пытался получить root-доступ и незаметно устанавливал вредоносный модуль Android.Dvmap.2.origin. Этот модуль соединялся с управляющим сервером и по его команде мог скачивать дополнительные компоненты.

В том же месяце в каталоге Google Play была найдена потенциально опасная программа Program.PWS.1. Она обеспечивала доступ к заблокированным на территории Украины социальным сетям «ВКонтакте» и «Одноклассники». Это приложение использовало сервер-анонимайзер для обхода ограничений, но никак не шифровало передаваемые логин, пароль и другую информацию при работе в соцсетях, что ставило под угрозу конфиденциальность владельцев мобильных устройств.

Позднее в официальном каталоге программ для ОС Android были выявлены СМС-троянцы Android.SmsSend.1907.origin и Android.SmsSend.1908.origin, которые отправляли СМС на платные номера и подписывали пользователей на дорогостоящие услуги.

В июле компания «Доктор Веб» рассказала о троянце Android.DownLoader.558.origin. Он был встроен в специализированную программную платформу, применяемую при разработке ПО (SDK, Software Development Kit), которая использовалась для оптимизации и упрощения обновлений приложений. Android.DownLoader.558.origin мог незаметно загружать и запускать дополнительные модули. В этом же месяце в Google Play был найден Android.RemoteCode.85.origin. Этот троянец скачивал и запускал вредоносный плагин, передававший вирусописателям СМС-сообщения пользователя.

В сентябре в Google Play был выявлен троянец Android.SockBot.5, который использовал зараженные устройства в качестве прокси-сервера, реализованного через протокол SOCKS. А уже в ноябре в каталоге был обнаружен Android.DownLoader.658.origin, предлагавший скачать и установить различные приложения.

Кроме того, в течение года в Google Play были найдены новые модификации троянца Android.Spy.308.origin, о котором компания «Доктор Веб» сообщала еще в 2016 году. Как и ранее, вредоносная программа была встроена в безобидное ПО. Основная функция Android.Spy.308.origin – показ навязчивой рекламы, а также загрузка и запуск дополнительных модулей.

Перспективы и тенденции

Киберпреступники постоянно совершенствуют механизмы распространения вредоносных программ, а также их функциональные возможности. Одну из основных угроз для пользователей мобильных устройств под управлением ОС Android представляют банковские троянцы. В 2016 году специалисты «Доктор Веб» отмечали, что все больше таких вредоносных приложений для кражи конфиденциальной информации отслеживают запуск программ «банк-клиент» и показывают поверх них поддельные формы ввода персональных данных. В 2017 году эта тенденция продолжилась. Можно не сомневаться, что киберпреступники и дальше будут задействовать указанный вектор атаки, а также создавать новых банкеров.

Использование троянцами функций специальных возможностей (Accessibility Service) ОС Android значительно расширило функционал вредоносных программ и сделало их намного более опасными, поскольку благодаря этим полномочиям они фактически получают полный контроль над зараженными устройствами. Угроза для владельцев смартфонов и планшетов настолько серьезна, что компания Google решила значительно ограничить применение таких функций в программах, которые размещаются в каталоге Google Play. Если приложения не предназначены для помощи людям с ограниченными возможностями, они могут быть удалены из официального каталога. Разработчики должны доказать, что их ПО действительно необходимы указанные функции, а также пояснить пользователям, для чего именно они нужны. Тем не менее, с большой уверенностью можно сказать, что вирусописатели найдут способ обхода ограничений и продолжат распространять троянцев с таким функционалом.

Другая вероятная тенденция 2018 года – совершенствование методов противодействия обнаружению и усложнение анализа троянцев. Киберпреступники все чаще используют многоуровневые вредоносные программы, когда основной функционал скрыт в загружаемых модулях или вспомогательных троянских приложениях, расположенных на управляющих серверах. Кроме того, широкое распространение получили всевозможные упаковщики. Наиболее вероятно, что вирусописатели и далее будут применять эти и другие приемы для защиты вредоносных программ.

Также в 2018 году стоит ожидать очередных случаев заражения прошивок мобильных устройств и появления новых троянцев-вымогателей, в том числе шифрующих файлы.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

30 ноября 2017 года

В ноябре в каталоге Google Play было найдено множество вредоносных приложений.

В начале месяца в нем был обнаружен троянец-майнер, использовавший вычислительные мощности мобильных устройств для добычи криптовалюты. Позже специалисты по информационной безопасности выявили СМС-троянцев, подписывавших пользователей на платные услуги. В середине ноября вирусные аналитики «Доктор Веб» обнаружили вредоносную программу, которая скачивала и запускала дополнительные троянские модули. Эти модули загружали веб-сайты и переходили по расположенным на них рекламным ссылкам и баннерам. Кроме того, в Google Play распространялся троянец, предназначенный для загрузки различных приложений. Помимо этого в каталоге были найдены Android-банкеры, которые крали конфиденциальные сведения пользователей и похищали деньги с их счетов.

Главные тенденции ноября

Обнаружение в каталоге Google Play большого числа троянцев, которые были встроены в безобидные приложения

Мобильная угроза месяца

В ноябре вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play 9 программ, в которые был встроен троянец Android.RemoteCode.106.origin. В общей сложности эти приложения были загружены не менее 2 370 000 раз. После запуска Android.RemoteCode.106.origin скачивает и запускает дополнительные вредоносные модули. Они используются для автоматического открытия заданных управляющим сервером веб-страниц и нажатия на расположенные на них рекламные баннеры и ссылки. Подробнее об Android.RemoteCode.106.origin рассказано в публикации, размещенной на сайте компании «Доктор Веб».

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.238: Троянцы, предназначенные для показа навязчивой рекламы.
Android.Triada.63
Android.Triada.152: Представитель семейства троянцев, выполняющих разнообразные вредоносные действия.
Android.DownLoader.653.origin: Троянец, загружающий другие вредоносные программы.
Android.Click.171.origin: Троянец, который с определенной периодичностью обращается к заданным веб-сайтам и может использоваться для накрутки их популярности, а также перехода по рекламным ссылкам.

Adware.Jiubang.2
Adware.Jiubang.1
Adware.Adviator.6.origin
Adware.Airpush.31.origin
Adware.SalmonAds.1.origin: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянец-майнер

В начале ноября в каталоге Google Play был выявлен троянец Android.CoinMine.3, который использовал вычислительные мощности Android-смартфонов и планшетов для добычи криптовалюты Monero. Эта вредоносная программа скрывалась в приложении под названием XCOOEEP, предназначенном для доступа к онлайн-чату Club Cooee.

Android.CoinMine.3 загружал в невидимом окне WebView веб-сайт с расположенным на нем скриптом для майнинга, который запускался автоматически. В результате интенсивной работы процессора при добыче криптовалюты зараженное мобильное устройство могло снизить свою производительность и нагреться, а его аккумулятор – разряжаться быстрее.

СМС-троянцы

Среди распространявшихся через Google Play вредоносных приложений, выявленных в прошедшем месяце, оказалось несколько СМС-троянцев. Они были встроены в приложения Secret Notepad, Delicate Keyblard и Super Emotion, детектируемые Dr.Web как Android.SmsSend.23371, Android.SmsSend.23373 и Android.SmsSend.23374. Эти вредоносные программы пытались отправить дорогостоящие СМС и подписать абонентский номер владельца зараженного устройства на ненужные услуги.

Троянец-загрузчик

В ноябре в каталоге Google Play были обнаружены новые модификации троянца Android.DownLoader.658.origin, который по команде управляющего сервера предлагал владельцам мобильных устройств скачать и установить различные приложения. Кроме того, он мог самостоятельно загружать ПО. Особенности Android.DownLoader.658.origin:

встроен в безобидные приложения;
задействует вредоносный функционал только в случае выполнения ряда условий (например, если он не запущен в эмуляторе или на мобильном устройстве выключены функции для разработчиков);
может показывать уведомления, в которых предлагает скачать и установить ту или иную программу;
для защиты от обнаружения и анализа авторы троянца используют специальный упаковщик, детектируемый антивирусом Dr.Web как Android.Packed.1.

Банковские троянцы

В прошедшем месяце в каталоге Google Play был выявлен троянец Android.Banker.202.origin, который скрывался в безобидных приложениях. После старта он извлекал из своих файловых ресурсов и запускал вредоносную программу Android.Banker.1426. Этот троянец скачивал с управляющего сервера один из Android-банкеров семейства Android.BankBot, предназначенный для кражи логинов, паролей и другой конфиденциальной информации.

Аналогичная схема применялась в ряде троянцев семейства Android.Banker, которые тоже были обнаружены в Google Play в ноябре. Они извлекали и запускали скрытый внутри них вредоносный компонент, который также извлекал из своих файловых ресурсов и запускал другой троянский компонент. Он, в свою очередь, скачивал с удаленного центра и пытался установить одного из банковских троянцев.

Обнаружение большого числа вредоносных приложений в каталоге Google Play говорит о том, что злоумышленники по-прежнему находят способы обхода его защитных механизмов. Чтобы обезопасить мобильные устройства от троянцев и других нежелательных программ, владельцам Android-смартфонов и планшетов необходимо установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web

Первый российский антивирус для Android

Более 135 миллионов скачиваний только с Google Play

Бесплатный для пользователей домашних продуктов Dr.Web

30 ноября 2017 года

В ноябре специалисты компании «Доктор Веб» исследовали нового представителя семейства банковских троянцев Trojan.Gozi. В отличие от своих предшественников, обновленный троянец полностью состоит из набора модулей, а также лишился механизма генерации имен управляющих серверов: теперь они «зашиты» в конфигурации вредоносной программы.

Также в ноябре был обнаружен новый бэкдор для ОС семейства Linux и выявлено несколько мошеннических сайтов, выманивающих у доверчивых пользователей Интернета деньги от имени несуществующего общественного фонда.

Главные тенденции ноября

Появление нового банковского троянца
Распространение бэкдора для ОС семейства Linux
Возникновение нового вида мошенничества в Интернете

Угроза месяца

Семейство банковских троянцев Gozi хорошо знакомо вирусным аналитикам — один из его представителей запомнился тем, что использовал в качестве словаря для генерации адресов управляющих серверов текстовый файл, скачанный с сервера NASA. Новая версия банковского троянца, получившая наименование Trojan.Gozi.64, может заражать компьютеры под управлением 32- и 64-разрядных версий Microsoft Windows 7 и выше, в более ранних версиях этой ОС вредоносная программа не запускается.

Основное предназначение Trojan.Gozi.64 заключается в выполнении веб-инжектов, то есть он может встраивать в просматриваемые пользователем веб-страницы постороннее содержимое – например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент.

При этом, поскольку модификация веб-страниц происходит непосредственно на зараженном компьютере, URL такого сайта в адресной строке браузера остается корректным, что может ввести пользователя в заблуждение и усыпить его бдительность. Введенные в поддельную форму данные передаются злоумышленникам, в результате чего учетная запись жертвы троянца может быть скомпрометирована.

Более подробную информацию о функциях, принципах работы и возможностях Trojan.Gozi.64 вы можете получить, ознакомившись с опубликованной на нашем сайте статьей.

По данным статистики Антивируса Dr.Web

Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.Starter.7394: Представитель семейства троянцев, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.Encoder.11432: Многокомпонентный сетевой червь, известный под именем WannaCry. Способен заражать компьютеры под управлением Microsoft Windows без участия пользователя. Шифрует файлы на компьютере и требует выкуп. Расшифровка тестовых и всех остальных файлов выполняется с использованием разных ключей – следовательно, никаких гарантий успешного восстановления поврежденных шифровальщиком данных даже в случае оплаты выкупа не существует.
Trojan.Zadved: Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

По данным серверов статистики «Доктор Веб»

Trojan.DownLoader25.54584, Trojan.DownLoad3.46852: Представители семейств троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.Inject: Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.
PowerShell.DownLoader: Семейство вредоносных файлов, написанных на языке сценариев PowerShell. Загружают и устанавливают на компьютер другие вредоносные программы.

Статистика вредоносных программ в почтовом трафике

Trojan.DownLoader: Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
PowerShell.DownLoader: Семейство вредоносных файлов, написанных на языке сценариев PowerShell. Загружают и устанавливают на компьютер другие вредоносные программы.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.Inject: Семейство вредоносных программ, встраивающих вредоносный код в процессы других программ.

По данным бота Dr.Web для Telegram

Android.HiddenAds.200.origin: Троянец, предназначенный для показа навязчивой рекламы. Распространяется под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают его в системный каталог.
Android.Locker: Семейство Android-троянцев, предназначенных для вымогательства. Они показывают навязчивое сообщение якобы о нарушении закона и о последовавшей в связи с этим блокировке мобильного устройства, для снятия которой пользователю предлагается заплатить определенную сумму.
Android.Spy.337.origin: Представитель семейства троянцев для ОС Android, способных похищать конфиденциальную информацию, в том числе пользовательские пароли.
Joke.Locker.1.origin: Программа-шутка для ОС Android, блокирующая экран мобильного устройства и выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).

Шифровальщики

В ноябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:

Trojan.Encoder.3953 — 17,88% обращений;
Trojan.Encoder.858 — 8,39% обращений;
Trojan.Encoder.11539 — 6,39% обращений;
Trojan.Encoder.567 — 5,66% обращений;
Trojan.Encoder.3976 — 2,37% обращений;
Trojan.Encoder.761 — 2,37% обращений.

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В течение ноября 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 331 895 интернет-адресов.

октябрь 2017	ноябрь 2017	Динамика
+256 429	+331 895	+29.4%

В ноябре компания «Доктор Веб» рассказала о новом виде мошенничества, получившем распространение в российском сегменте Интернета. Злоумышленники рассылали спам со ссылкой на сайт, якобы принадлежащий некоему «Межрегиональному общественному фонду развития». Ссылаясь на несуществующее постановление Правительства РФ, мошенники предлагали посетителям проверить якобы причитающиеся им выплаты от различных страховых компаний по номеру пенсионного страхового свидетельства (СНИЛС) или паспорта. Независимо от того, какие данные введет жертва (это может быть даже произвольная последовательность цифр), она получит сообщение о том, что ей положены страховые выплаты на достаточно крупную сумму, — несколько сотен тысяч рублей, однако для вывода этих «накоплений» жулики требовали оплатить денежный взнос.

На серверах, где размещаются веб-страницы «Межрегионального общественного фонда развития», вирусные аналитики обнаружили множество других мошеннических проектов. Подробнее об этом рассказано в опубликованной на сайте «Доктор Веб» обзорной статье.

Вредоносные программы для ОС Linux

В конце последнего осеннего месяца вирусные аналитики «Доктор Веб» исследовали новый бэкдор для Linux, получивший название Linux.BackDoor.Hook.1. Троянец может скачивать заданные в поступившей от злоумышленников команде файлы, запускать приложения или подключаться к определенному удаленному узлу. О других особенностях этой вредоносной программы мы рассказали в посвященном Linux.BackDoor.Hook.1 новостном материале.

Вредоносное и нежелательное ПО для мобильных устройств

В ноябре вирусные аналитики «Доктор Веб» выявили в каталоге Google Play троянца Android.RemoteCode.106.origin, скачивающего дополнительные вредоносные модули. Они загружали веб-сайты и нажимали на расположенные на них рекламные ссылки и баннеры. Кроме того, в каталоге были обнаружены вредоносные программы семейства Android.SmsSend, которые отправляли дорогостоящие СМС. Также в прошедшем месяце в Google Play распространялся троянец Android.CoinMine.3, использовавший зараженные смартфоны и планшеты для добычи криптовалюты Monero. Помимо этого в официальном каталоге Android-приложений было найдено большое число банковских троянцев семейства Android.Banker, предназначенных для кражи конфиденциальных данных и хищения денег со счетов владельцев Android-устройств.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

обнаружение множества троянцев в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающий курс

Просветительские проекты

Брошюры

27 октября 2017 года

В октябре в каталоге Google Play был обнаружен очередной Android-троянец, встроенный в безобидные приложения. Он позволял злоумышленникам использовать зараженные мобильные устройства в качестве прокси-серверов. Кроме того, в прошедшем месяце широкую известность получил троянец-вымогатель, который шифровал файлы на Android-смартфонах и планшетах, менял пароль разблокировки экрана и требовал выкуп.

ГЛАВНЫЕ ТЕНДЕНЦИИ ОКТЯБРЯ

Появление в СМИ информации об Android-троянце, который изменял PIN-код разблокировки экрана мобильных устройств и шифровал файлы.
Обнаружение в Google Play вредоносной программы, превращавшей Android-устройства в прокси-серверы.

Мобильная угроза месяца

В октябре в каталоге Google Play был выявлен троянец Android.SockBot.5, который был добавлен в вирусную базу Dr.Web еще в июне 2017 года. Злоумышленники встроили его в следующие приложения:

PvP skins for Minecraft
Game Skins for Minecraft
Military Skins for minecraft
Cartoon skins for Minecraft
Hot Skins for Minecraft PE
Skins Herobrine for Minecraft
Skins FNAF for Minecraft
Assassins skins for Minecraft

Эти программы позволяли изменять внешний вид персонажей в мобильной версии популярной игры Minecraft.

После запуска троянец незаметно подключался к удаленному командному центру и устанавливал соединение с заданным сетевым адресом, используя протокол SOCKS. В результате киберпреступники превращали смартфоны и планшеты в прокси-серверы и могли пропускать через них сетевой трафик.

По данным антивирусных продуктов Dr.Web для Android

Android.Click.171.origin
Android.Click.173.origin: Троянцы, которые с определенной периодичностью обращаются к заданным веб-сайтам и могут использоваться для накрутки их популярности, а также перехода по рекламным ссылкам.
Android.HiddenAds.68.origin: Троянец, предназначенный для показа навязчивой рекламы.
Android.CallPay.1.origin: Вредоносная программа, которая предоставляет владельцам Android-устройств доступ к эротическим материалам, но в качестве оплаты этой «услуги» незаметно совершает звонки на премиум-номера.
Android.Sprovider.10: Троянец, который загружает на мобильные Android-устройства различные приложения и пытается их установить. Кроме того, он может показывать рекламу.

Adware.Jiubang.2
Adware.Fly2tech.2
Adware.SalmonAds.1.origin
Adware.Jiubang.1
Adware.Fly2tech.4: Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянец-вымогатель

В прошедшем месяце в СМИ появилась информация о распространении опасного троянца-вымогателя для ОС Android, который изменял PIN-код разблокировки экрана смартфонов и планшетов, шифровал файлы пользователя и требовал выкуп за восстановление работоспособности устройства. Эта вредоносная программа была добавлена в вирусную базу Dr.Web как Android.Banker.184.origin еще в августе 2017 года, поэтому она не представляла опасности для наших пользователей.

После запуска троянец пытается получить доступ к специальным возможностям (Accessibility Service), с использованием которых самостоятельно добавляет себя в список администраторов устройства. Затем он изменяет PIN-код разблокировки экрана, шифрует доступные пользовательские файлы (фотографии, видео, документы, музыку и т. д.) и демонстрирует сообщение с требованием оплаты выкупа. При этом существуют версии вредоносной программы, которые не шифруют файлы размером больше 10 Мбайт.

Несмотря на то что функционал Android.Banker.184.origin в некоторых публикациях называется уникальным, другие троянцы ранее уже использовали аналогичные возможности. Еще в 2014 году компания «Доктор Веб» обнаружила Android-вымогателя Android.Locker.38.origin, который устанавливал собственный код на разблокировку экрана. В том же году появился и первый троянец-энкодер для ОС Android, получивший имя Android.Locker.2.origin. Выполнение же вредоносных действий с использованием функций Accessibility Service (таких, как автоматическое добавление вредоносного приложения в список администраторов) также уже применялось в Android-троянцах, например в Android.BankBot.211.origin.

Злоумышленники по-прежнему пытаются распространять троянцев через официальный каталог Android-приложений Google Play и продолжают совершенствовать вредоносные программы. Для защиты мобильных устройств от потенциального заражения владельцам смартфонов и планшетов необходимо использовать антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите
Используйте Dr.Web