Бинарные опционы Foxmail

Рейтинг надежности брокеров бинарных опционов за 2020 год:

Мой Антивирус

6 сентября 2020 года

В первых числах сентября 2020 года сотрудники компании «Доктор Веб» — ведущего российского разработчика средств информационной безопасности — провели специальное исследование для выявления интернет-ресурсов сомнительного содержания. Всего в результате этого в базы Родительского контроля Dr.Web было добавлено более 200 адресов веб-сайтов, содержащих материалы порнографического характера либо реализующих различные схемы подпольного бизнеса.

Вскоре после выявления многочисленных случаев взлома веб-сайтов , расположенных в российском сегменте Интернета, в распоряжении аналитиков компании «Доктор Веб» оказался список доменов, на которые осуществлялось перенаправление пользователей с подвергшихся компрометации ресурсов. Проанализировав эту информацию, специалисты компании выяснили, что на каждом из IP-адресов таких узлов, как правило, размещается еще несколько сайтов, многие из которых содержат различный сомнительный контент — поддельные службы файлового обмена, а также сайты, предлагающие на платной основе различные услуги, например, гадания, хиромантию, подбор диет, составление родословных, поиск угнанных автомобилей и даже лечение от прыщей. Встречались среди них и откровенно порнографические ресурсы. Множество подобных веб-сайтов содержало ссылки на другие узлы, для которых также составлялся список соседствующих с ними на одном хосте сайтов. Все полученные ссылки проверялись вручную. Таким образом была выявлена целая сеть, состоящая из сайтов сомнительного содержания. Один из фрагментов такой сети показан на предложенной ниже иллюстрации.

Большинство выявленных IP-адресов принадлежали провайдерам из Великобритании, Нидерландов, Виргинских островов, Гибралтара, и лишь незначительная их часть располагалась на территории Российской Федерации. Обнаруженные в ходе проверки адреса были добавлены в списки Родительского контроля Dr.Web. Есть основания предполагать, что число подобных сомнительных ресурсов сильно недооценено: только на одном хосте может располагаться более полусотни фальшивых файлообменников или иных сайтов схожей тематики.

Компания «Доктор Веб» отмечает, что работа по выявлению и блокировке сайтов сомнительного содержания будет продолжена и в дальнейшем.

Бинарные опционы Foxmail

31 декабря 2020 года

Компания «Доктор Веб» представляет обзор вирусной активности за минувший год, выдавшийся весьма богатым на события, связанные с распространением угроз информационной безопасности. Наиболее яркой тенденцией 2020 года можно считать появление троянцев-блокировщиков и даже первых шифровальщиков для мобильной платформы Google Android, также возросло количество вновь обнаруженных банковских троянцев и троянцев-шпионов для этой операционной системы. Значительно выросло число обнаруженных вредоносных программ для операционных систем семейства Linux. По-прежнему часты случаи заражения компьютеров под управлением Microsoft Windows различными вариантами троянцев-энкодеров. И, конечно же, вирусописатели не обошли своим вниманием пользователей операционной системы Mac OS X, для которой в течение минувшего года также были обнаружены новые вредоносные приложения.

Вирусная обстановка

Согласно статистическим данным, собранным в течение 2020 года с использованием лечащей утилиты Dr.Web CureIt!, за истекшие двенадцать месяцев абсолютным лидером по числу обнаружений на компьютерах пользователей стал установщик нежелательных приложений, внесенный в вирусные базы под именем Trojan.Packed.24524. На втором и третьем местах по итогам года расположились рекламные надстройки для браузеров Trojan.BPlug.123 и Trojan.BPlug.100. Подобные плагины, детектируемые антивирусным ПО Dr.Web как вредоносные программы семейства Trojan.BPlug, могут быть установлены на компьютер без ведома пользователя различными способами (например, в процессе инсталляции других бесплатных приложений) и способны встраивать в просматриваемые веб-страницы рекламу, «продвигающую» различные мошеннические ресурсы.

Десять вредоносных программ, обнаруживаемых лечащей утилитой Dr.Web CureIt! на компьютерах пользователей в 2020 году наиболее часто, показаны в приведенной ниже таблице:

Название %
Trojan.Packed.24524 1.60
Trojan.BPlug.123 0.80
Trojan.BPlug.100 0.71
Trojan.MulDrop5.10078 0.55
Trojan.BPlug.218 0.54
Trojan.BPlug.48 0.53
Trojan.BPlug.28 0.46
Trojan.Admess.4 0.44
Trojan.DownLoader11.3101 0.38
Trojan.Click3.8536 0.36

Данная статистика наглядно демонстрирует, что среди общего числа вредоносных файлов, выявленных при помощи лечащей утилиты Dr.Web CureIt!, преобладают установщики нежелательных приложений, а также рекламные надстройки к браузерам и троянцы, предназначенные для демонстрации назойливой рекламы при просмотре веб-страниц. В течение года активность различных партнерских программ, распространяющих подобный «рекламный мусор», заметно возросла. Судя по всему, обусловлено это тем, что такие рекламные троянцы приносят своим создателям и распространителям довольно неплохой доход, и в будущем киберпреступники вряд ли откажутся упускать из своих рук легкую прибыль. Следовательно, тенденция к распространению рекламных троянцев должна сохраниться и в новом году.

Лучшие отечественные брокеры бинарных опционов:

Надежной защитой от подобных вредоносных программ является компонент SpIDer Gate, входящий в Dr.Web Security Space 10.0. Он предотвращает доступ пользователя к подозрительным сайтам и интернет-ресурсам, замеченным в распространении вредоносного ПО, что значительно снижает вероятность заражения.

Согласно данным, собранным серверами статистики Dr.Web, в 2020 году на компьютерах пользователей по числу обнаружений также лидировал установщик нежелательных программ Trojan.Packed.24524, на втором месте расположился рекламный троянец Trojan.InstallMonster.51 — один из представителей семейства вредоносных приложений, распространяемых в рамках партнерской программы Installmonster (также известной как Zipmonster). Эти опасные утилиты способны устанавливать на компьютеры пользователей другие нежелательные приложения. Так, в 2020 году партнерская программа Installmonster была замечена в распространении троянцев Trojan.Click3.9243, который предназначен для «накручивания» числа переходов по рекламным ссылкам, и Trojan.Admess.1, способного подменять рекламные блоки при просмотре пользователем различных веб-страниц, а также некоторых других. Двадцатка наиболее «популярных» согласно данным серверов статистики Dr.Web вредоносных приложений в 2020 году приведена в следующей таблице:

1 Trojan.Packed.24524 0.30%
2 Trojan.InstallMonster.51 0.21%
3 Trojan.MulDrop5.10078 0.20%
4 BackDoor.IRC.NgrBot.42 0.18%
5 Trojan.LoadMoney.15 0.17%
6 BackDoor.PHP.Shell.6 0.16%
7 Trojan.LoadMoney.1 0.14%
8 Trojan.Fraudster.524 0.14%
9 Trojan.LoadMoney.262 0.13%
10 Trojan.InstallMonster.242 0.12%
11 Win32.HLLW.Shadow 0.12%
12 Trojan.MulDrop4.25343 0.12%
13 Trojan.InstallMonster.209 0.11%
14 Win32.HLLW.Autoruner.59834 0.11%
15 Trojan.LoadMoney.263 0.11%
16 Trojan.Triosir.1 0.10%
17 BackDoor.Infector.133 0.10%
18 BackDoor.Andromeda.404 0.09%
19 Win32.HLLW.Gavir.ini 0.09%
20 Trojan.LoadMoney.336 0.09%

В минувшем году в почтовом трафике антивирусное ПО Dr.Web наиболее часто обнаруживало троянца-загрузчика BackDoor.Andromeda.404. Этот троянец предназначен для скачивания и установки на компьютер жертвы других опасных приложений, и в течение года злоумышленники массово распространяли его в виде вложений в сообщения электронной почты:

На втором месте в почтовом трафике числится троянец Trojan.Redirect.197, добавленный в вирусные базы в июле 2020 года — это массово распространявшийся по электронной почте небольшой файл, при открытии письма перенаправлявший потенциальную жертву на вредоносный сайт, с которого на компьютер загружались другие троянские приложения, в частности, предназначенный для кражи конфиденциальной информации троянец Trojan.PWS.Papras.334.

На третьем месте расположилась вредоносная программа BackDoor.Tishop.122 — это троянец-загрузчик, который сами вирусописатели называют Smoke Loader, распространяющийся в том числе путем массовых почтовых рассылок. Назначение данного троянца заключается в загрузке на инфицированный компьютер и запуске других вредоносных приложений. В 2020 году злоумышленники часто рассылали BackDoor.Tishop.122 под видом писем от различных популярных интернет-ресурсов. Так, в июне он массово распространялся якобы от имени интернет-портала Amazon c информацией о поступившем заказе.

После своего запуска BackDoor.Tishop.122 выполняет проверку окружения на наличие «песочницы» или виртуальной машины, создает свою копию в одной из папок на диске компьютера, регистрирует себя в отвечающей за автозагрузку ветви реестра Windows и встраивается в ряд системных процессов. При наличии подключения к Интернету троянец пытается загрузить на инфицированную машину другие вредоносные программы, после чего запускает их.

Также в числе наиболее «популярных» среди спамеров опасных приложений неизменно присутствуют представители семейства банковских троянцев Trojan.PWS.Panda. Эти вредоносные программы обладают широчайшим набором функциональных возможностей — они «умеют» фиксировать нажатия клавиш на инфицированном ПК, выполнять поступающие от злоумышленников команды, создавать снимки экрана, но основное их предназначение — кража средств со счетов пользователей систем дистанционного банковского обслуживания и похищение иной конфиденциальной информации. Двадцатка вредоносных программ, обнаруживаемых антивирусным ПО Dr.Web в течение 2020 года в почтовом трафике наиболее часто, представлена в следующей таблице:

1 BackDoor.Andromeda.404 0.55%
2 Trojan.Redirect.197 0.40%
3 BackDoor.Tishop.122 0.35%
4 Trojan.PWS.Panda.655 0.34%
5 Trojan.Fraudster.778 0.33%
6 Trojan.Redirect.195 0.32%
7 Trojan.DownLoad3.32784 0.29%
8 Trojan.PWS.Panda.5676 0.29%
9 Trojan.DownLoad3.28161 0.26%
10 BackDoor.Andromeda.559 0.25%
11 Trojan.PWS.Panda.4795 0.24%
12 Trojan.DownLoad3.33795 0.23%
13 Win32.HLLM.MyDoom.54464 0.23%
14 Trojan.Hottrend 0.21%
15 Trojan.Oficla.zip 0.21%
16 Trojan.PWS.Stealer.4118 0.21%
17 Trojan.PWS.Panda.2401 0.20%
18 Trojan.Fraudster.517 0.19%
19 BackDoor.Comet.884 0.18%
20 Trojan.PWS.Multi.911 0.18%

Троянцы-загрузчики, рассылаемые злоумышленниками по электронной почте, могут превратить незащищенный компьютер в настоящий заповедник для различных вредоносных программ, а бэкдоры и троянцы, предназначенные для хищения конфиденциальной информации, например, часто встречающиеся в приведенной выше статистической таблице банковские троянцы семейства Trojan.PWS.Panda, способны похищать не только пароли и сведения из заполняемых пользователем веб-форм, но и денежные средства при атаках на системы дистанционного банковского обслуживания.

Полноценной защитой от вредоносных программ, распространяемых злоумышленниками по каналам электронной почты, является компонент SpIDer Mail, входящий в комплект поставки Dr.Web Security Space и Антивируса Dr.Web 10.0. Данный компонент позволяет оперативно выявлять и удалять не только опасные программы, прикрепленные к электронным сообщениями в качестве вложения, но также блокировать письма, содержащие подозрительные ссылки или опасные скрипты.

Троянцы-энкодеры

В 2020 году троянцы-энкодеры, шифрующие данные на компьютерах своих жертв и требующие выкуп за их расшифровку, представляли одну из наиболее распространенных и опасных угроз. За истекшие 12 месяцев в службу технической поддержки компании «Доктор Веб» обратилось более 10 000 пользователей, пострадавших от действий троянцев-энкодеров. При этом начиная с июля ежемесячное число обращений постепенно росло и в августе увеличилось практически в два раза по сравнению с январскими показателями. Это хорошо видно на представленной ниже диаграмме, помесячно демонстрирующей количество обратившихся за помощью в компанию «Доктор Веб» пользователей в 2020 году: наименьшее число обращений — 507 — зафиксировано в апреле, наибольшее — 1609 — в октябре:

Следует отметить, что 2020 год принес значительные успехи в борьбе с распространяющими энкодеры злоумышленниками: специалисты компании «Доктор Веб» разработали уникальные методы расшифровки файлов, пострадавших от некоторых представителей этого семейства вредоносных программ. Так, в июле появилась возможность расшифровки файлов, зашифрованных троянцем Trojan.Encoder.293, известным еще с сентября 2020 года и являющимся более поздней модификацией семейства Trojan.Encoder.102. Данные троянцы выполняют шифрование файлов в два приема: сначала с использованием алгоритма XOR, затем — алгоритма RSA. Зашифровав хранящиеся на дисках компьютера пользовательские файлы, вредоносная программа демонстрирует сообщение с требованием оплаты их расшифровки, при этом для связи злоумышленники используют различные адреса электронной почты.

Позже, в ноябре 2020 года, появилась возможность восстановления файлов, пострадавших от действия троянской программы Trojan.Encoder.398, расшифровка которых ранее считалась невозможной. Троянец-шифровальщик Trojan.Encoder.398 написан на языке Delphi и по ряду признаков представляет собой усовершенствованную версию вредоносной программы Trojan.Encoder.225. Ключи для шифрования файлов пользователя Trojan.Encoder.398 получает с сервера злоумышленников. Для связи киберпреступники обычно используют следующие адреса электронной почты: mrcrtools@aol.com, back_files@aol.com, backyourfile@aol.com, vernut2020@qq.com, yourfiles2020@yahoo.com, restorefiles2020@yahoo.fr, filescrypt2020@foxmail.com и некоторые другие.

Возможность восстановления поврежденных данным троянцем файлов стала результатом проведенной специалистами компании «Доктор Веб» исследовательской работы по созданию эффективных алгоритмов расшифровки. Эти усилия принесли свои плоды: на момент разработки данного метода «Доктор Веб» являлась единственной компанией, специалисты которой с вероятностью в 90% были способны восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398. В настоящий момент злоумышленники изменили алгоритм шифрования, и эти показатели несколько снизились. Вместе с тем, компания «Доктор Веб» продолжает исследования, направленные на борьбу с троянцами-шифровальщиками.

Из представленной выше информации становится очевидно, что троянцы-шифровальщики представляют очень серьезную угрозу для пользователей, и количество заражений этими вредоносными программами постепенно возрастает. Можно предположить, что данная тенденция сохранится и в следующем году.

Если вы стали жертвой этой вредоносной программы, воспользуйтесь следующими рекомендациями:

  • обратитесь с соответствующим заявлением в полицию;
  • ни в коем случае не пытайтесь переустановить операционную систему;
  • не удаляйте никакие файлы на вашем компьютере;
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
  • обратитесь в службу технической поддержки компании «Доктор Веб», воспользовавшись формой по адресу https://support.drweb.ru/new/free_unlocker/?keyno=&for_decode=1 (услуга предоставляется лицензионным пользователям);
  • к тикету приложите зашифрованный троянцем .DOC-файл;
  • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Защитить владельцев персональных компьютеров от действия троянцев-шифровальщиков может своевременное резервное копирование данных, разумное разделение прав пользователей операционной системы, и, безусловно, современный антивирус, обладающий эффективными средствами противодействия подобным типам угроз. Именно таким антивирусным решением является Dr.Web Security Space версии 10.0, который включает специальные компоненты превентивной защиты данных от действия троянцев-вымогателей. Чтобы обезопасить себя от потери ценных файлов, воспользуйтесь следующими советами:

1. Убедитесь, что в настройках Антивируса включена «Превентивная защита», которая бережет ваш ПК от угроз, еще не известных вирусной базе Dr.Web.

2. После этого включите «Защиту от потери данных» в разделе «Инструменты» и настройте параметры хранилища резервной копии важных для вас файлов.

3. Создайте резервную копию ценных данных и настройте их автоматическое сохранение по удобному для вас графику, выбрав подходящий временной интервал.

Ботнеты

В течение минувшего года вирусные аналитики компании «Доктор Веб» внимательно следили за функционированием нескольких бот-сетей, созданных киберпреступниками с использованием различного вредоносного ПО. Так, ежемесячная активность состоящего из двух подсетей ботнета, образованного персональными компьютерами, инфицированными файловым вирусом Win32.Rmnet.12, постепенно менялась, причем к концу года активность бот-сети значительно возросла. Вирус состоит из нескольких модулей, его основной вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент, перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Также вирус «умеет» красть пароли от популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla и Bullet Proof FTP. Помимо этого, вредоносная программа запускает на инфицированной машине локальный FTP-сервер. Еще один компонент Win32.Rmnet.12 способен выполнять поступающие от удаленных центров команды и передавать на сайты злоумышленников похищенную с инфицированного компьютера информацию. Вирус обладает способностью к самокопированию, заражая исполняемые файлы, сменные носители информации, а также способен распространяться с помощью встраиваемых в веб-страницы сценариев, написанных на языке VBScript.

Проследить активность ботнета Win32.Rmnet.12 можно с помощью представленных ниже графиков:

Показатели среднестатистической активности инфицированных узлов в ботнете Win32.Rmnet.12 в 2020 году
(1-я подсеть)

Показатели среднестатистической активности инфицированных узлов в ботнете Win32.Rmnet.12 в 2020 году
(2-я подсеть)

Еще одна бот-сеть, за поведением которой с мая 2020 года стали пристально следить специалисты «Доктор Веб», создана злоумышленниками с использованием полиморфного файлового вируса Win32.Sector, известного с 2008 года. Вирус способен распространяться самостоятельно (без участия пользователей) и заражать файловые объекты. Его основная функция — загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов. Эта вредоносная программа «умеет» встраиваться в запущенные на инфицированном компьютере процессы, а также обладает возможностью останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков. Вирусные аналитики компании «Доктор Веб» получили возможность подсчитать среднестатистическую активность узлов ботнета и оценить масштабы распространения вируса — до конца июня активность ботнета неуклонно росла, а позже стала понемногу снижаться. Эта тенденция продемонстрирована на представленной ниже диаграмме:

Показатели среднестатистической активности инфицированных узлов в ботнете Win32.Sector в 2020 году

Понемногу снижается и численность ботнета, состоящего из инфицированных троянцем BackDoor.Flashback.39 Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X. Если в начале года в данной бот-сети проявляло активность порядка 39 304 ботов, то к декабрю их среднестатистическое количество снизилось до 22 686. Общая численность бот-сети BackDoor.Flashback.39 сократилась за минувший год на 42%.

Показатели среднестатистической активности инфицированных узлов в ботнете BackDoor.Flashback.39 в 2020 году

Угрозы для Linux

2020 год оказался чрезвычайно урожайным на новые вредоносные программы, угрожающие операционным системам семейства Linux. Особенно высокую активность проявляли китайские вирусописатели, создавшие значительное число новых Linux-троянцев, предназначенных для осуществления DDoS-атак.

Так, рекордное по сравнению с предыдущими месяцами количество троянцев для ОС Linux было исследовано специалистами компании «Доктор Веб» в апреле-мае 2020 года: среди них — Linux.DDoS.3, который позволяет осуществлять DDoS-атаки на заданный сервер с использованием протоколов TCP/IP (TCP flood), UDP (UDP flood), а также отправлять запросы на серверы DNS для усиления эффективности атак (DNS Amplification). Еще одна модификация данной угрозы, получившая наименование Linux.DDoS.22, ориентирована на работу с дистрибутивами Linux для процессоров ARM, а Linux.DDoS.24 способен инфицировать серверы и рабочие станции, на которых используются 32-разрядные версии Ubuntu и CentOS. Семейство Linux.DnsAmp включает сразу нескольких представителей: некоторые вредоносные программы этого семейства используют сразу два управляющих сервера и способны инфицировать как 32-разрядные (Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5), так и 64-разрядные (Linux.DnsAmp.2, Linux.DnsAmp.4) версии Linux. Данные вредоносные приложения обладают достаточно широким функционалом по организации DDoS-атак различных типов по команде, поступающей от удаленного сервера.

Троянцы Linux.DnsAmp.3 (для 32-разрядных версий Linux) и Linux.DnsAmp.4 (для 64-разрядных Linux-дистрибутивов) представляют собой модификации первой версии Linux.DnsAmp с предельно упрощенной системой команд. Также следует упомянуть о вредоносной программе для ARM-совместимых дистрибутивов Linux, получившей наименование Linux.Mrblack. Этот троянец также предназначен для выполнения DDoS-атак с использованием протоколов TCP/IP и HTTP.

Вредоносные программы другого семейства, получившего наименование Linux.BackDoor.Gates, сочетают в себе функциональные возможности классического бэкдора и троянца для организации DDoS-атак. Угроза ориентирована на 32-разрядные дистрибутивы Linux, и по ряду признаков можно сделать вывод о том, что ее авторами являются те же вирусописатели, которые разработали троянцев семейств Linux.DnsAmp и Linux.DDoS.

Еще один DDoS-троянец, которому было присвоено наименование Linux.BackDoor.Fgt.1, был исследован специалистами компании «Доктор Веб» в ноябре 2020 года. Это приложение реализует любопытный алгоритм самораспространения: троянец обладает специальной функцией, с использованием которой он в течение одного цикла осуществляет сканирование 256 удаленных IP-адресов, выбранных случайным образом, при этом цикл запускается по команде злоумышленников. В процессе генерации IP-адресов Linux.BackDoor.Fgt.1 проверяет, не попадают ли они в диапазоны, которые используются для адресации внутри локальных сетей, — такие адреса игнорируются. Если же связь установлена, вредоносная программа пытается соединиться с портом удаленного узла, используемым службой Telnet, и получить от атакуемой машины запрос логина. Отправив на удаленный узел логин из заранее сформированного списка, Linux.BackDoor.Fgt.1 выполняет анализ поступающих от него откликов. Если среди них встречается запрос для ввода пароля, троянец пытается выполнить авторизацию методом перебора паролей по списку. В случае успеха на атакуемый узел направляется команда загрузки специального скрипта. Тот, в свою очередь, скачивает из Интернета и запускает во взломанной системе исполняемый файл самого троянца Linux.BackDoor.Fgt.1. Примечательно, что на принадлежащем вирусописателям сервере имеется значительное количество исполняемых файлов Linux.BackDoor.Fgt.1, скомпилированных для разных версий и дистрибутивов Linux, в том числе для встраиваемых систем с архитектурой MIPS и SPARC-серверов. Таким образом, троянец может инфицировать не только подключенные к Интернету серверы и рабочие станции под управлением Linux, но и другие устройства, например, маршрутизаторы.

Иными словами, в течение года в вирусные базы Dr.Web было добавлено значительное число новых семейств Linux-троянцев, которое можно с полным основанием назвать рекордным. Среди них — семейства троянцев, предназначенных для организации массовых DDoS-атак: Linux.DnsAmp, Linux.BackDoor.Gates, Linux.Mrblack (для архитектуры ARM), Linux.Myk, Linux.DDoS. Новые троянцы-бэкдоры для Linux объединены следующими семействами: Linux.BackDoor.CNGame, Linux.BackDoor.BossaBot, Linux.BackDoor.Fgt, Linux.BackDoor.WopBot, а также к упомянутой категории относится использовавшийся для компрометации веб-серверов бэкдор Linux.Roopre. Был выявлен червь для Linux, относящийся к семейству Linux.Themoon. В 2020 году в вирусные базы Dr.Web были добавлены записи для руткита, инфицирующего ОС Linux — этот троянец получил наименование Linux.Azazel. Кроме того, злоумышленниками было создано несколько Linux-троянцев, предназначенных для майнинга (добычи) криптовалют — это Linux.BtcMine и Linux.CpuMiner. Наконец, в течение минувшего года было выявлено и добавлено в базы несколько сложных троянцев для Linux, таких как Linux.BackDoor.Fysbis (Sednit), Linux.BackDoor.Turla и Linux.BackDoor.Finfisher.

Число образцов вредоносных программ для ОС Linux, поступивших в вирусную лабораторию компании Dr.Web в 2020 году

Значительный рост количества вредоносных программ для Linux — одна из наиболее явных тенденций 2020 года. Основная цель, преследуемая злоумышленниками, — организация массированных DDoS-атак с использованием инфицированных устройств. Защитить пользователей от данной категории вредоносного ПО призван Антивирус Dr.Web для Linux — надежный и проверенный способ защиты ОС Linux от современного вредоносного ПО.

Угрозы для Mac OS X

В минувшем году вирусописатели не обошли своим вниманием и пользователей операционной системы Mac OS X. Так, еще в феврале 2020 года специалистами «Доктор Веб» был обнаружен троянец Trojan.CoinThief, предназначенный для хищения криптовалюты Bitcoin на «персоналках» производства компании Apple. Trojan.CoinThief заражает компьютеры, работающие под управлением Mac OS X, при этом первые образцы этого троянца получили распространение еще осенью 2020 года, в период бурного роста курса электронной криптовалюты Bitcoin. Программа маскируется под легитимные утилиты для добычи (майнинга) этой криптовалюты, такие как, в частности, BitVanity, StealthBit, Bitcoin Ticker TTM, Litecoin Ticker.

Статья года:  Как тестировать стратегии при торговле бинарными опционами на истории

С помощью другой вредоносной программы для Apple, получившей наименование Mac.BackDoor.iWorm, злоумышленники создали полноценный ботнет, насчитывавший в сентябре 2020 года 18 519 уникальных IP-адресов инфицированных компьютеров. Данная программа открывает перед злоумышленниками возможность выполнять на инфицированном «маке» широкий набор команд, которые можно разделить на два типа: различные директивы в зависимости от поступивших бинарных данных или Lua-скрипты. Собранная специалистами компании «Доктор Веб» статистика показывает, наибольшее количество IP-адресов инфицированных «маков» (26.1% от общего числа) приходилось на долю США, на втором месте — Канада с показателем 7%, третье место занимала Великобритания: здесь выявлено 6,9% IP-адресов инфицированных компьютеров от их общего числа.

Помимо прочего, в 2020 году были обнаружены новые бэкдоры для Mac OS X, среди которых следует отметить Mac.BackDoor.WireLurker, Mac.BackDoor.XSLCmd, Mac.BackDoor.Ventir, BackDoor.LaoShu и BackDoor.DaVinci (этот троянец известен с 2020 года, однако в 2020 появились его новые образцы). Также в вирусные базы были добавлены рекламные троянцы для Mac OS X Trojan.Genieo, Trojan.Vsearch и Trojan.Conduit.

Количество образцов вредоносных программ для Mac OS X, поступивших в вирусную лабораторию «Доктор Веб» в 2020 году, показано на следующей иллюстрации:

Число образцов вредоносных программ для Mac OS X, поступивших в вирусную лабораторию компании «Доктор Веб» в 2020 году

Защитить пользователей Apple-совместимых компьютеров от различных угроз призван Антивирус Dr.Web для Mac OS X 10.0. В продукт включен новый компонент — веб-антивирус SpIDer Gate, — предназначенный для проверки HTTP-трафика и контроля доступа к интернет-ресурсам. С появлением в Dr.Web для Mac OS X веб-антивируса SpIDer Gate в режиме реального времени производится проверка любого трафика по всем портам, перехватываются все HTTP-соединения и обеспечивается безопасность от фишинговых и других опасных интернет-ресурсов. Это позволяет получить дополнительную защиту и в тех случаях, когда пользователь самостоятельно рискует загрузить на свой «мак» вредоносное приложение. Кроме того, SpIDer Gate дает возможность ограничить доступ к Интернету по «черным» спискам нерекомендуемых сайтов.

Сетевые мошенничества

В течение 2020 года сетевые жулики продолжали изыскивать все новые и новые способы обмана доверчивых пользователей Интернета. Для борьбы с этим явлением служат компоненты Dr.Web Security Space SpIDer Gate и Родительский контроль, в базы которого еженедельно в среднем добавляется от 2000 до 6000 ссылок на мошеннические, подозрительные и нерекомендуемые сайты.

Так, нередко злоумышленники наживаются на людях, желающих поправить свое финансовое положение, не прилагая к этому каких-либо усилий, — в минувшем году значительную популярность в Интернете набрали так называемые «бинарные опционы». Сетевые мошенники рекламируют подобные интернет-ресурсы преимущественно при помощи спам-рассылок, содержащих обращение к пользователю якобы от имени успешного коммерсанта, заработавшего в Интернете миллионы за считанные дни, либо от лица блогера, попробовавшего новый способ заработка и достигшего на этом поприще заметных результатов.

На подобных страничках пространно рассказывается об «уникальном» способе биржевой торговли, называемом «бинарными опционами». Согласно представленным на мошеннических сайтах сведениям, «бинарные опционы» представляют собой ставку на то, будет ли какой-либо актив (валюта, драгоценные металлы, пакет акций, и т. д.) расти в цене или дешеветь. Если пользователь угадал, его первоначальная ставка увеличивается на определенный процент, если нет — ставка сгорает.

Для организации торгового процесса мошенниками были разработаны специальные сайты, на которых якобы действуют программы-роботы, принимающие ставки, однако никакой связи с международными валютными рынками или фондовыми биржами подобные интернет-ресурсы не имеют: пользователь «играет» с локально работающей на сервере программой-роботом. При этом, если жертва мошенников пожелает вывести заработанные деньги из игровой системы, она, как правило, сталкивается с различными непредвиденными трудностями, которые делают эту операцию неосуществимой.

Другой популярный вид мошенничества в 2020 году получил широкое распространение в период проведения зимних Олимпийских игр в Сочи, хотя был известен и ранее. Как и в большинстве случаев сетевого жульничества, преступники пытаются сыграть на стремлении некоторых граждан обогатиться без усилий. Специально для подобной категории пользователей предприимчивые интернет-коммерсанты и разработали сайты, на которых предлагается приобрести «надежную и проверенную информацию» о договорных спортивных состязаниях, исход которых, якобы, заранее известен. С помощью этих сведений, по утверждениям сетевых жуликов, можно с уверенностью делать ставки в букмекерских конторах и в кратчайшие сроки заработать себе скромный многомиллионный капитал.

Потенциальной жертве «торговцы счастьем» предлагают приобрести сведения об исходе какого-либо спортивного состязания, либо оплатить подписку, по условиям которой подобные данные будут предоставляться на регулярной основе. Стоимость этой услуги редко превышает 150 долларов. Для усыпления бдительности потенциальных покупателей на подобных сайтах зачастую публикуются снимки экрана, демонстрирующие якобы выигравшие букмекерские ставки, а также восторженные отзывы внезапно озолотившихся «клиентов» — разумеется, поддельные.

На практике в лучшем случае жертва получает обычный прогноз об исходе того или иного матча, зачастую составленный профессиональными спортивными аналитиками и опубликованный ранее в свободном доступе. Иными словами, мошенники выдают за предрешенный результат обычный спортивный прогноз, который, разумеется, не может служить стопроцентной гарантией выигрыша. Иногда сетевые жулики предлагают своим клиентам «гарантии» в виде возврата вложенных ими средств, если предоставленная им информация окажется неверной, однако они все равно останутся с прибылью, поскольку части покупателей обычно предоставляется прогноз с одним исходом матча, а другой части — прямо противоположный. При этом даже в случае проигрыша вернуть деньги порой становится нетривиальной задачей: разгневанному покупателю вместо возврата средств обычно предлагается «еще один бесплатный прогноз».

Зачастую жертвами сетевых мошенников становятся поклонники многопользовательских игр, многие из которых представляют собой целые виртуальные миры со своими традициями, историей, культурой и даже своеобразной экономической моделью, позволяющей покупать и продавать как отдельные виртуальные предметы, так и целых персонажей, «прокачанных» игроком до определенного уровня.

Приобретая аккаунт на игровом сервере, покупатель стремится получить не просто персонажа с максимальным количеством различных «навыков» и баллов опыта, но также игровую амуницию, доспехи, ездовых животных (иногда довольно редких), набор умений и профессий, доступных для данного героя, иные игровые артефакты и возможности. Основным фактором риска для покупателя персонажей является то, что выставленный на продажу мошенниками игровой аккаунт может быть возвращен им по первому обращению в службу технической поддержки. Если же выяснится, что учетная запись в нарушение правил была продана, ее просто заблокируют.

Помимо прочего, у потенциального покупателя имеется ненулевой шанс стать обладателем ворованного игрового аккаунта, ранее «угнанного» у другого пользователя. Также злоумышленники с помощью системы личных сообщений могут рассылать от имени игрока фишинговые ссылки — например, публикуя информацию об «акции от разработчика игры», требующей зарегистрироваться на стороннем сайте со своим логином и паролем, или рекламируя программы для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы.

Для защиты от различных способов мошенничества в Интернете служит компонент Родительский контроль, входящий в комплект поставки Dr.Web Security Space 10.0. Родительский контроль позволяет ограничивать доступ к интернет-сайтам определенной тематики, осуществляет фильтрацию подозрительного контента, а также, используя базы нерекомендуемых ссылок, защищает пользователя от мошеннических, потенциально опасных сайтов, шокирующего контента, а также ресурсов, замеченных в распространении вредоносного ПО.

Атаки на мобильные устройства

2020 год запомнился и большим числом всевозможных атак на пользователей мобильных устройств. Как и раньше, основной целью для «мобильных» злоумышленников стали смартфоны и планшеты под управлением ОС Android. За последние 12 месяцев вирусная база Dr.Web пополнилась большим числом записей для разнообразных вредоносных и нежелательных Android-программ, и на конец минувшего года ее объем составил 5 681 запись, показав рост на 102% по сравнению с тем же показателем 2020 года.

Динамика пополнения вирусной базы Dr.Web записями для вредоносных, нежелательных и потенциально опасных Android-программ в период с 2020 по 2020 год

Главной целью вирусописателей, создававших вредоносное ПО для Android-устройств, в очередной раз стало стремление извлечь как можно большую финансовую выгоду. В частности, для своего незаконного обогащения кибержулики вновь активно использовали проверенный временем мошеннический механизм с отправкой дорогостоящих СМС-сообщений и подпиской абонентских номеров на платные контент-услуги. В этом им активно помогали разнообразные СМС-троянцы семейства Android.SmsSend, которые исторически являются самыми старыми и наиболее многочисленными среди всех известных вредоносных Android-программ. По итогам года вирусная база Dr.Web содержала 2689 записей для данных троянцев, в то время как в 2020 году это число было почти в 2 раза меньше и равнялось 1377 записям.

Число вирусных записей для СМС-троянцев Android.SmsSend в вирусной базе Dr.Web

Однако «классические» СМС-троянцы – уже далеко не единственный инструмент для обогащения вирусописателей. В 2020 году ассортимент вредоносных приложений, предназначенных для извлечения прибыли за счет отправки дорогостоящих СМС-сообщений, значительно вырос. Например, существенно увеличилась численность троянцев семейства Android.SmsBot, способных не только подписывать телефоны пользователей на платные услуги, но и выполнять по команде злоумышленников множество других нежелательных действий на зараженных мобильных устройствах. Кроме того, вирусописатели обзавелись и еще одним «помощником» в лице троянцев семейства Android.Bodkel. Данные вредоносные программы также активно рассылают дорогостоящие СМС-сообщения, однако больше всего они интересны тем, что при попытке владельца инфицированного Android-смартфона или планшета выполнить их удаление стараются напугать свою жертву безвозвратной потерей всех сохраненных на устройстве данных, хотя в действительности подобных действий они не выполняют.

Помимо отправки премиум-сообщений, у киберпреступников есть и другие источники незаконного заработка, в частности, кража конфиденциальной финансовой информации и незаконные денежные переводы при помощи зараженных банковскими троянцами мобильных устройств пользователей. Попадая на смартфон или планшет потенциальной жертвы, подобные вредоносные приложения могут не только обманом заполучить аутентификационные данные для доступа к управлению банковскими счетами, но и автоматически выполнить кражу всех денежных средств в случае, если у владельца зараженного устройства подключена услуга мобильного банкинга. В 2020 году число атак с применением различных банковских троянцев заметно выросло, а инциденты с их участием были отмечены во множестве стран. Например, среди угрожавших российским пользователям банковских троянцев были зафиксированы опасные вредоносные программы Android.BankBot.33.origin и Android.BankBot.34.origin, которые могли похищать деньги у своих жертв и автоматически переводить их на счета злоумышленников. Для этого троянцы отправляли СМС-запрос в службу мобильного банкинга ряда кредитных организаций, пытаясь получить информацию о доступных банковских картах и балансе счетов пользователей. Если работающие на мобильном устройстве троянцы получали положительный ответ, при помощи специальных СМС-команд они производили денежную транзакцию в пользу киберпреступников, при этом все поступавшие от системы безопасности банков уведомления скрывались от жертв атаки. В ряде случаев подобные троянцы могли красть и различную персональную информацию пользователей, например, номера телефонов, пароли от электронных почтовых ящиков и т. п.

Весьма активно киберпреступники использовали банковских троянцев и в Южной Корее. Многие из циркулировавших в этой стране Android-троянцев в 2020 году распространялись вирусописателями при помощи нежелательных СМС-сообщений, в которых содержалась ссылка на загрузку той или иной вредоносной программы. За последние 12 месяцев специалисты компании «Доктор Веб» зафиксировали более 1760 подобных спам-кампаний, жертвами каждой из которых могли стать от нескольких сотен до нескольких десятков тысяч человек.

Количество зафиксированных в 2020 году спам-кампаний, организованных с целью распространения Android-троянцев среди южнокорейских владельцев Android-устройств

Многие из обнаруженных в 2020 году южнокорейских Android-банкеров характеризуются чрезвычайно широким вредоносным функционалом, а также современными техническими решениями, заложенными в них вирусописателями. Например, некоторые троянцы (в частности, Android.Banker.28.origin) похищали ценную банковскую информацию пользователей как обманом, (имитируя внешний вид настоящих банковских приложений при их запуске), так и более радикально, удаляя соответствующие версии программ и заменяя их поддельными копиями. Большое число распространявшихся в Южной Корее троянцев-банкеров снабжалось разного рода защитой. Так, вирусописатели использовали всевозможные программные упаковщики, сложные методы запутывания кода, распространяли троянцев с составе других вредоносных программ и даже наделяли их возможностью удалять антивирусные приложения.

Нельзя не отметить и многофункционального банковского троянца Android.Wormle.1.origin, ставшего поистине интернациональной вредоносной программой. В ноябре 2020 года Android.Wormle.1.origin заразил более 15 000 мобильных Android-устройств жителей порядка 30 стран, включая Россию, Украину, США, Беларусь, Узбекистан, Казахстан, Таджикистан и Китай. Получая команды от злоумышленников, троянец мог не только незаметно перевести им деньги с принадлежащих жертвам банковских счетов, но также был способен выполнять множество других нежелательных действий, например, отправлять СМС, удалять установленные на зараженном устройстве программы и файлы, красть различную конфиденциальную информацию и даже осуществлять DDoS-атаки на веб-сайты. Кроме того, Android.Wormle.1.origin мог распространяться при помощи СМС-сообщений, содержащих ссылку на загрузку собственной копии.

Число пользователей, пострадавших в ноябре 2020 от троянца Android.Wormle.1.origin

Но главным событием прошедшего года стало появление в арсенале киберпреступников совершенно новых типов Android-троянцев, предназначенных для получения прибыли за счет пользователей мобильных устройств. Одними из таких вредоносных программ стали троянцы-блокировщики, «настольные» версии которых не дают спокойно жить многим пользователям до сих пор. Появление мобильных версий таких вредоносных программ было ожидаемым: огромный рынок мобильных Android-устройств и легкость создания подобных вредоносных приложений не могли остаться незамеченными киберпреступниками. Первые Android-блокировщики были обнаружены в мае 2020 года, и уже тогда среди них был зафиксирован чрезвычайно опасный экземпляр. Троянец, получивший по классификации компании «Доктор Веб» имя Android.Locker.2.origin, не просто блокировал заражаемые устройства, но и шифровал почти все ценные файлы пользователей, включая изображения, музыку, документы, архивы и видео. Фактически, Android.Locker.2.origin – первый в истории троянец-энкодер для ОС Android.

К «счастью» для пользователей, прочие Android-вымогатели, появившиеся в 2020 году, были не столь кровожадны и лишь блокировали экран мобильных устройств сообщением с требованием оплаты выкупа. Однако при этом в большинстве случаев пользователи получали полностью непригодный для работы смартфон или планшет, т. к. троянцы семейства Android.Locker препятствовали закрытию своего окна, не давали запустить прочие программы и открывать системные настройки.

Некоторые из этих троянцев имели еще более опасные функции. Например, обнаруженный в сентябре Android.Locker.38.origin помимо блокировки смартфона или планшета сообщением с требованием оплаты выкупа мог дополнительно установить свой пароль на выход устройства из режима ожидания, тем самым еще больше усложняя возможность удаления троянца из системы.

Менее чем за 8 месяцев с момента появления первых представителей семейства Android.Locker численность троянцев-вымогателей для ОС Android заметно возросла, и на конец 2020 года вирусная база Dr.Web содержала 137 записей для детектирования множества подобных вредоносных приложений.

Другим типом вредоносных программ, созданных в 2020 году злоумышленниками для обогащения за счет пользователей Android-устройств, стали троянцы-майнеры, предназначенные для добычи различных электронных криптовалют. Например, в марте были обнаружены троянцы Android.CoinMine.1.origin и Android.CoinMine.2.origin, распространявшиеся злоумышленниками в модифицированных ими популярных приложениях. Особенностью этих вредоносных программ было то, что они активизировались только в случае долгого отсутствия какой-либо активности со стороны пользователя. Т. к. данные троянцы задействовали аппаратные ресурсы зараженных смартфонов и планшетов, это могло негативно повлиять на работоспособность инфицированных устройств и стать, в худшем случае, причиной выхода их из строя.

Чуть позже вирусописатели «исправились», и выпустили в свет обновленные версии этих троянцев. В отличие от оригиналов, новые модификации вредоносных программ не использовали аппаратные ресурсы инфицированных мобильных устройств на полную мощность. Однако для пользователей это все равно не сулило ничего хорошего, т. к. их «девайсы» работали впустую и приносили прибыль вирусописателям.

Таким образом, по итогам 2020 года можно сделать вывод о том, что киберпреступники не только сохранили повышенный интерес к деньгам пользователей мобильных устройств под управлением ОС Android, но и значительно усилили атаки в данном направлении, желая получить еще больше выгоды за чужой счет. В связи с этим владельцам Android-смартфонов и планшетов необходимо с особой осторожностью относиться к устанавливаемым приложениям и при малейшем сомнении относительно той или иной программы отказаться от ее использования. Также всем без исключения пользователям рекомендуется установить антивирусное ПО, а пользователям банковских систем — постоянно контролировать историю операций с банковскими картами и счетами.

Кража конфиденциальных данных – еще один выгодный для киберпреступников вид незаконной деятельности – в 2020 году вновь стала актуальной проблемой для пользователей Android-устройств. Вирусописатели создали множество разнообразных троянцев-шпионов, а совершаемые с их помощью атаки были выявлены по всему миру. Так, обнаруженный в январе троянец Android.Spy.67.origin, получивший распространение в Китае, выполнял сбор и отправку на сервер злоумышленников различной конфиденциальной информации, среди которой была история СМС-сообщений, журнал вызовов и GPS-координаты. Кроме того, он мог активировать камеру и микрофон мобильного устройства, а также выполнял индексацию имеющихся фотографий, создавая для них специальные файлы-миниатюры. Android.Spy.67.origin обладал еще одной особенностью: при наличии root-доступа троянец нарушал работу ряда популярных в Китае антивирусных продуктов, удаляя их вирусные базы, а также устанавливал скрытую внутри него вредоносную программу, которая могла осуществлять инсталляцию других опасных приложений. Весной на просторах подпольных хакерских форумов вирусописатели начали продажу троянца Android.Dendroid.1.origin, который мог быть встроен в любое безобидное Android-приложение и позволял злоумышленникам со всего мира осуществлять на зараженных мобильных устройствах целый ряд противоправных действий. В частности, Android.Dendroid.1.origin мог перехватывать телефонные звонки и СМС-сообщения, получать информацию о текущем местоположении пользователя, записях его телефонной книги и истории веб-браузера, активировать встроенную камеру и микрофон, отправлять СМС-сообщения и т. п. Также в 2020 году были обнаружены весьма примечательные Android-троянцы, способные не только красть секретные сведения пользователей, но и выполнять по команде киберпреступников множество других вредоносных действий. В частности, в марте южнокорейские вирусописатели создали бэкдор Android.Backdoor.53.origin, взяв за основу легитимную программу, позволявшую осуществлять дистанционное управление мобильными устройствами. После запуска этот троянец скрывал свое присутствие в системе, удаляя собственный ярлык с главного экрана, после чего связывался со своими создателями и открывал им полный доступ к зараженному устройству. Другой не менее интересный бэкдор, получивший имя Android.Backdoor.96.origin, был выявлен в августе. Этот троянец мог выполнять кражу разнообразных конфиденциальных данных, таких как сведения об СМС-сообщениях, история звонков и посещенных веб-страниц, GPS-координаты, контакты из телефонной книги, и т. п. Также Android.Backdoor.96.origin имел возможность демонстрировать на экране различные сообщения, выполнять USSD-запросы, активировать встроенный микрофон устройства, записывать совершаемые телефонные звонки в аудиофайлы и загружать всю полученную информацию на принадлежавший злоумышленникам сервер.

Но одним из наиболее примечательных троянцев-шпионов в 2020 году стала вредоносная программа Android.SpyHK.1.origin, распространявшаяся среди жителей Гонконга. После запуска троянец передавал на управляющий сервер ряд общих сведений о зараженном мобильном устройстве, после чего ожидал поступления от своих создателей дальнейших указаний. В частности, Android.SpyHK.1.origin мог выполнять прослушивание телефонных разговоров, красть СМС-переписку, определить местоположение устройства, загружать на сервер хранящиеся на карте памяти файлы, активировать диктофонную запись, получить историю посещений веб-браузера, украсть контакты из телефонной книги и т. п.

Разнообразные шпионские Android-приложения, обнаруженные в 2020 году, в очередной раз подтверждают тот факт, что мобильные Android-устройства являются прекрасным источником ценной для злоумышленников информации. В связи с этим пользователям не стоит легкомысленно относиться к потенциальным рискам хищения секретных сведений и уповать на то, что те или иные персональные данные не заинтересуют киберпреступников: если для вас подобная информация кажется несущественной, то это не значит, что сетевые мошенники не найдут ей выгодное для себя применение.

Еще одной серьезной угрозой для пользователей ОС Android в 2020 году стали вредоносные программы, предустановленные на мобильных устройствах, либо встроенные в распространяемые злоумышленниками файлы-прошивки операционной системы. В течение прошедших 12 месяцев было выявлено большое число подобных инцидентов, самым ярким из которых стало появление первого в истории буткита для ОС Android. В частности, обнаруженный в январе троянец Android.Oldboot.1, заразивший большое число мобильных устройств, располагался в скрытом разделе файловой системы и при включении смартфона или планшета запускался до фактического старта ОС Android. После активации Android.Oldboot.1 извлекал из себя несколько компонентов и помещал их в системные каталоги, устанавливая их таким образом как обычные приложения. В дальнейшем эти вредоносные объекты подключались к удаленному серверу и на основании получаемых с него команд могли выполнять нежелательные для пользователей действия, главными из которых были незаметная загрузка, установка и удаление различных программ.

Статья года:  Отзывы о STForex, обзор форекс брокера c удобным интерфейсом

В феврале вирусные аналитики компании «Доктор Веб» обнаружили двух встроенных в предустановленную на бюджетных устройствах китайского производства операционную систему Android СМС-троянцев, основным предназначением которых была оплата использования китайского музыкального сервиса. Троянцы, получившие имена Android.SmsSend.1081.origin и Android.SmsSend.1067.origin, без спроса отправляли специально сформированные СМС-сообщения, каждое из которых могло стоить в рублевом эквиваленте 5-7 рублей. Также в ноябре на целом ряде бюджетных Android-устройств был обнаружен предустановленный злоумышленниками троянец Android.Becu.1.origin. Эта вредоносная программа обладала модульной архитектурой и могла использоваться вирусописателями для установки на целевые устройства других нежелательных программ.

В декабре вновь были выявлены троянцы, предустановленные злоумышленниками на различных мобильных устройствах. Например, вредоносная программа Android.Backdoor.126.origin позволяла киберпреступникам реализовывать разного рода мошенничества: троянец размещал среди СМС-сообщений пользователя специально сформированные СМС, содержимое которых задавалось вирусописателями. А другой троянец, получивший имя Android.Backdoor.130.origin, мог без ведома владельца инфицированного мобильного устройства отправлять СМС-сообщения, совершать звонки, демонстрировать рекламу, загружать, устанавливать и запускать приложения, а также передавать на управляющий сервер различную конфиденциальную информацию, включая историю звонков, СМС-переписку и данные о местоположении мобильного устройства, а также выполнять ряд других нежелательных действий.

Таким образом, вполне очевидно, что в настоящее время соблюдение базовых норм безопасности при использовании Android-устройств становится все менее достаточным и требует не только загрузки приложений из надежных источников и установки антивирусного ПО, но и серьезного подхода в выборе самих мобильных устройств. В частности, необходимо удостовериться в надежности производителя Android-смартфона или планшета, а также поставщика, выполняющего продажу конкретного аппарата. Кроме того, следует избегать использования вызывающих сомнение сборок операционной системы Android, а также отказаться от загрузки файлов прошивок из ненадежных источников.

Защитить пользователей ОС Android призван Антивирус Dr.Web для Android, обладающий всем необходимым арсеналом для обеспечения безопасности современных смартфонов, планшетов и иных мобильных устройств.

Однако помимо многочисленных атак на пользователей Android-устройств, злоумышленники не обошли стороной и владельцев смартфонов и планшетов под управлением iOS. Стоит отметить, что большинство зафиксированных вредоносных программ могли заразить лишь «взломанные» мобильные Apple-устройства, однако среди них был и троянец, способный инфицировать обычные iOS-смартфоны и планшеты. Например, в марте был обнаружен угрожавший китайским пользователям троянец IPhoneOS.Spad.1. Эта вредоносная программа определенным образом модифицировала параметры ряда рекламных систем, встроенных в различные iOS-приложения. В результате оплата за демонстрируемую в них рекламу направлялась на счета предприимчивых злоумышленников, минуя авторов этих программ. В апреле был выявлен троянец IPhoneOS.PWS.Stealer.1, осуществлявший кражу логина и пароля от учетной записи Apple ID. Троянец IPhoneOS.PWS.Stealer.2, обнаруженный в мае, также предназначался для кражи реквизитов доступа к данной учетной записи, однако помимо этого мог покупать за счет ничего не подозревающей жертвы различные приложения в каталоге приложений App Store, загружать и устанавливать их. Выявленный в сентябре троянец IPhoneOS.Xsser.1 представлял для пользователей iOS-устройств довольно серьезную угрозу. Так, по команде злоумышленников он мог совершать кражу целого ряда конфиденциальных данных, например, похищать содержимое телефонной книги, фотографии пользователя, разнообразные пароли, получать информацию об СМС-переписке, истории звонков и местоположении девайса. А уже в декабре владельцы «взломанных» iOS-устройств снова столкнулись с угрозой кражи персональных данных, исходившей от опасного троянца IPhoneOS.Cloudatlas.1, который предназначался для сбора широкого спектра секретных сведений пользователей. Однако наибольшую опасность для пользователей iOS в 2020 году представлял троянец IPhoneOS.BackDoor.WireLurker. Эта вредоносная программа интересна тем, что она могла устанавливаться не только на взломанные Apple-устройства, но также и на iOS-смартфоны и планшеты, не подвергшиеся программной модификации. Вирусописатели достигли этой цели благодаря «настольному» собрату данного троянца. В частности, заражавшее компьютеры под управлением Mac OS X вредоносное приложение Mac.BackDoor.WireLurker.1, которое распространялось злоумышленниками в пиратских версиях легитимных программ, отслеживало подключение целевых мобильных устройств через USB-соединение и при помощи специального «корпоративного» цифрового сертификата устанавливало на них мобильного троянца IPhoneOS.BackDoor.WireLurker. После успешного внедрения на iOS-смартфон или планшет IPhoneOS.BackDoor.WireLurker мог выполнять кражу разнообразной конфиденциальной информации пользователей, в частности, контактов из телефонной книги, а также СМС-сообщений, сведения о которых после похищения передавалась на сервер киберпреступников.

Выявленные в 2020 году атаки на смартфоны и планшеты производства корпорации Apple дают их пользователям четкий сигнал о том, что опасность со стороны вредоносных приложений более чем реальна и что хитроумные киберпреступники не упустят возможности извлечь выгоду за счет поклонников мобильных устройств под управлением альтернативных платформ. В связи с этим приверженцам мобильных Apple-устройств рекомендуется с особой внимательностью относиться к устанавливаемым приложениям (в том числе к приложениям для настольных компьютеров и ноутбуков Apple), а также избегать посещения сомнительных веб-ресурсов и перехода по ссылкам, пришедшим в подозрительных СМС-сообщениях.

Перспективы и вероятные тенденции

Исходя из анализа ситуации, сложившейся в сфере информационной безопасности в 2020 году, можно предположить, что в будущем наверняка сохранятся тенденции к распространению троянцев-шифровальщиков, будет расширяться их ассортимент, совершенствоваться используемые злоумышленниками технологии.

Одной из весьма вероятных перспектив наступающего года является появление новых вредоносных программ для альтернативных операционных систем, таких как Linux и Mac OS X. Наверняка будут появляться новые банковские троянцы, а также более совершенные вредоносные программы, ориентированные на хищение конфиденциальных данных из систем дистанционного банковского обслуживания; часть из них будет активно взаимодействовать с вредоносным ПО, работающим на мобильных устройствах.

С развитием и широчайшим распространением всевозможных мобильных устройств, таких как планшетные компьютеры, смартфоны, GPS-навигаторы, интересы киберпреступников будут все более отчетливо смещаться в сферу мобильных платформ. Так, развитие банковских технологий наверняка не останется без внимания вирусописателей, поэтому в 2020 году с большой долей вероятности можно ожидать появления новых банковских троянцев для ОС Google Android. Наверняка останутся актуальными и потенциальные угрозы, связанные с рассылкой платных СМС-сообщений, также вероятно появление новых троянцев-блокировщиков и шифровальщиков для мобильной платформы Android. Можно предположить, что не снизится и опасность хищения различных персональных данных, хранящихся на мобильных устройствах.

В 2020 году бдительность следует проявлять и пользователям мобильных устройств производства компании Apple, работающих под управлением операционной системы iOS. Текущий год показал, что интерес злоумышленников к этой платформе неуклонно растет, наверняка сохранится он и в наступающем году.

Бинарные опционы Foxmail

Страница может отображаться некорректно.

Другие наши ресурсы

  • free.dataprotection.com.ua — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.dataprotection.com.ua — сетевая лечащая утилита Dr.Web CureNet!

Закрыть

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

  • Все: —
  • Незакрытые: —
  • Последний: —

Свяжитесь с нами Незакрытые запросы:

Новости по темам

Горячая лента угроз

4 октября 2020 года

Специалисты вирусной лаборатории «Доктор Веб» обнаружили вредоносную копию сайта Федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей троянцем Trojan.DownLoader28.58809.

Копия сайта ФССП России была обнаружена нашими специалистами по адресу 199.247.***.***. Внешне подделка почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются некоторые элементы.

При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.

Этот троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.

Запустившись на устройстве жертвы, троянец может:

  • получить информацию о дисках;
  • получить информацию о файле;
  • получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
  • получить список файлов в папке;
  • удалить файлы;
  • создать папку;
  • переместить файл;
  • запустить процесс;
  • остановить процесс;
  • получить список процессов.

Согласно нашим данным, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.

Все версии этого троянца успешно детектируются и удаляются антивирусом Dr.Web и не представляют опасности для наших пользователей.

8 августа 2020 года

Троянцы-кликеры — распространенные вредоносные программы для накрутки посещений веб-сайтов и монетизации онлайн-трафика. Они имитируют действия пользователей на веб-страницах, нажимая на расположенные на них ссылки и другие интерактивные элементы. Вирусные аналитики «Доктор Веб» выявили очередного такого троянца в Google Play.

Троянец представляет собой вредоносный модуль, который по классификации Dr.Web получил имя Android.Click.312.origin . Он встроен в обычные приложения — словари, онлайн-карты, аудиоплееры, сканеры штрих-кодов и другое ПО. Все эти программы работоспособны, и для владельцев Android-устройств выглядят безобидными. Кроме того, при их запуске Android.Click.312.origin начинает вредоносную деятельность лишь через 8 часов, чтобы не вызвать подозрений у пользователей.

Начав работу, троянец передает на управляющий сервер следующую информацию о зараженном устройстве:

  • производитель и модель;
  • версия ОС;
  • страна проживания пользователя и установленный по умолчанию язык системы;
  • идентификатор User-Agent;
  • наименование мобильного оператора;
  • тип интернет-соединения;
  • параметры экрана;
  • временная зона;
  • информация о приложении, в которое встроен троянец.

В ответ сервер отправляет ему необходимые настройки. Часть функций вредоносного приложения реализована с использованием рефлексии, и в этих настройках содержатся имена методов и классов вместе с параметрами для них. Эти параметры применяются, например, для регистрации приемника широковещательных сообщений и контент-наблюдателя, с помощью которых Android.Click.312.origin следит за установкой и обновлением программ.

При инсталляции нового приложения или скачивании apk-файла клиентом Play Маркет троянец передает на управляющий сервер информацию об этой программе вместе с некоторыми техническими данными об устройстве. В ответ Android.Click.312.origin получает адреса сайтов, которые затем открывает в невидимых WebView, а также ссылки, которые он загружает в браузере или каталоге Google Play.

Таким образом, в зависимости от настроек управляющего сервера и поступающих от него указаний троянец может не только рекламировать приложения в Google Play, но и незаметно загружать любые сайты, в том числе с рекламой (включая видео) или другим сомнительным содержимым. Например, после установки приложений, в которые был встроен этот троянец, пользователи жаловались на автоматические подписки на дорогостоящие услуги контент-провайдеров.

Специалистам «Доктор Веб» не удалось воссоздать условия для загрузки троянцем таких сайтов, однако потенциальная реализация этой мошеннической схемы в случае с Android.Click.312.origin достаточно проста. Поскольку троянец сообщает управляющему серверу информацию о типе текущего интернет-соединения, то при наличии подключения через сеть мобильного оператора сервер может передать команду на открытие веб-сайта одного из партнерских сервисов, поддерживающих технологию WAP-Сlick. Эта технология упрощает подключение различных премиальных сервисов, однако часто применяется для незаконной подписки пользователей на премиум-услуги. Указанную проблему наша компания освещала в 2020 и 2020 годах. В некоторых случаях для подключения ненужной услуги не требуется подтверждение пользователя — за него это сможет сделать скрипт, размещенный на той же странице, или же сам троянец. Он и «нажмет» на кнопку подтверждения. А поскольку Android.Click.312.origin откроет страницу такого сайта в невидимом WebView, вся процедура пройдет без ведома и участия жертвы.

Вирусные аналитики «Доктор Веб» выявили 34 приложения, в которые был встроен Android.Click.312.origin . Их установили свыше 51 700 000 пользователей. Кроме того, модификацию троянца, получившую имя Android.Click.313.origin , загрузили по меньшей мере 50 000 000 человек. Таким образом, общее число владельцев мобильных устройств, которым угрожает этот троянец, превысило 101 700 000. Ниже представлен список программ, в которых был найден этот кликер:

GPS Fix
QR Code Reader
ai.type Free Emoji Keyboard
Cricket Mazza Live Line
English Urdu Dictionary Offline — Learn English
EMI Calculator — Loan & Finance Planner
Pedometer Step Counter — Fitness Tracker
Route Finder
PDF Viewer — EBook Reader
GPS Speedometer
GPS Speedometer PRO
Notepad — Text Editor
Notepad — Text Editor PRO
Who unfriended me?
Who deleted me?
GPS Route Finder & Transit: Maps Navigation Live
Muslim Prayer Times & Qibla Compass
Qibla Compass — Prayer Times, Quran, Kalma, Azan
Full Quran MP3 — 50+ Audio Translation & Languages
Al Quran Mp3 — 50 Reciters & Translation Audio
Prayer Times: Azan, Quran, Qibla Compass
Ramadan Times: Muslim Prayers, Duas, Azan & Qibla
OK Google Voice Commands (Guide)
Sikh World — Nitnem & Live Gurbani Radio
1300 Math Formulas Mega Pack
Обществознание — школьный курс. ЕГЭ и ОГЭ.
Bombuj — Filmy a seriály zadarmo
Video to MP3 Converter, RINGTONE Maker, MP3 Cutter
Power VPN Free VPN
Earth Live Cam — Public Webcams Online
QR & Barcode Scanner
Remove Object from Photo — Unwanted Object Remover
Cover art IRCTC Train PNR Status, NTES Rail Running Status

Компания «Доктор Веб» передала информацию об этом троянце в корпорацию Google, после чего некоторые из найденных программ были оперативно удалены из Google Play. Кроме того, для нескольких приложений были выпущены обновления, в которых троянский компонент уже отсутствует. Тем не менее, на момент публикации этой новости большинство приложений все еще содержали вредоносный модуль и оставались доступными для загрузки.

Вирусные аналитики рекомендуют разработчикам ответственно выбирать модули для монетизации приложений и не интегрировать сомнительные SDK в свое ПО. Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют программы, в которые встроены известные модификации троянца Android.Click.312.origin , поэтому для наших пользователей он опасности не представляет.

Ваш Andro > Скачать бесплатно

#Android, #Google_Play, #кликер

12 июля 2020 года

Компания «Доктор Веб» выявила в Google Play новый троянец-бэкдор, который выполняет команды злоумышленников, позволяет им дистанционно управлять инфицированными Android-устройствами и шпионить за пользователями.

Вредоносная программа получила имя Android.Backdoor.736.origin . Она распространяется под видом приложения OpenGL Plugin для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений.

При запуске Android.Backdoor.736.origin запрашивает доступ к нескольким важным системным разрешениям, которые позволят ему собирать конфиденциальную информацию и работать с файловой системой. Кроме того, он пытается получить допуск к показу экранных форм поверх интерфейса других программ.

В окне вредоносного приложения имеется кнопка для «проверки» обновлений графического программного интерфейса OpenGL ES. После ее нажатия троянец имитирует процесс поиска новых версий OpenGL ES, однако на самом деле никаких проверок он не выполняет и лишь вводит пользователя в заблуждение.

После того как жертва закрывает окно приложения, Android.Backdoor.736.origin убирает свой значок из списка программ меню главного экрана и создает ярлык для своего запуска. Это делается для того, чтобы в дальнейшем пользователю было сложнее удалить троянца, поскольку удаление ярлыка не затронет саму вредоносную программу.

Android.Backdoor.736.origin постоянно активен в фоновом режиме и может запускаться не только через значок или ярлык, но также автоматически при старте системы и по команде злоумышленников через Firebase Cloud Messaging. Основной вредоносный функционал троянца расположен во вспомогательном файле, который зашифрован и хранится в каталоге с ресурсами программы. Он расшифровывается и загружается в память при каждом старте Android.Backdoor.736.origin .

Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды злоумышленников и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging. Android.Backdoor.736.origin способен выполнять следующие действия:

  • передать на сервер информацию о контактах из телефонной книги;
  • передать на сервер информацию об СМС-сообщениях (в исследованной версии троянца для этого нет необходимых разрешений);
  • передать на сервер информацию о телефонных вызовах;
  • передать на сервер информацию о местоположении устройства;
  • загрузить и запустить apk- или dex-файл с использованием класса DexClassLoader;
  • передать на сервер сведения об установленных программах;
  • скачать и запустить исполняемый файл;
  • загрузить файл с сервера;
  • отправить заданный файл на сервер;
  • передать на сервер информацию о файлах в заданном каталоге или о файлах на карте памяти;
  • выполнить shell-команду;
  • запустить активность, заданную в команде;
  • загрузить и установить Android-приложение;
  • показать уведомление, заданное в команде;
  • запросить заданное в команде разрешение;
  • передать на сервер список разрешений, предоставленных троянцу;
  • не позволять устройству переходить в спящий режим в течение заданного времени.

Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.

Android.Backdoor.736.origin способен устанавливать приложения сразу несколькими способами:

  • автоматически, если в системе есть root-доступ (с использованием shell-команды);
  • при помощи системного менеджера пакетов (только для системного ПО);
  • показав стандартный системный диалог установки программ, где пользователь должен согласиться на инсталляцию.

Таким образом, этот бэкдор представляет серьезную опасность. Он не только занимается кибершпионажем, но также может использоваться для фишинга, т. к. способен показывать окна и уведомления с любым содержимым. Кроме того, он может загружать и устанавливать любые другие вредоносные приложения, а также выполнять произвольный код. Например, по команде злоумышленников Android.Backdoor.736.origin может скачать и запустить эксплойт для получения root-полномочий, после чего ему уже не потребуется участие пользователя для инсталляции других программ.

Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на момент публикации этого материала он уже был удален из Google Play.

Android.Backdoor.736.origin и его компоненты надежно детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей он опасности не представляет.

#Android, #backdoor, #Google_Play, #слежка

Ваш Andro > Скачать бесплатно

19 июня 2020 года

В лаборатории «Доктор Веб» исследован троянец-загрузчик, написанный на JavaScript и использующий для запуска Node.js. Вредоносное ПО распространяется через сайты с читами для популярных видеоигр и получило название Trojan.MonsterInstall.

Компания «Яндекс» передала на исследование в вирусную лабораторию «Доктор Веб» образец редкого Node.js-троянца. Эта вредоносная программа, которая распространяется через сайты с читами для видеоигр, имеет несколько версий и компонентов.

При попытке скачать чит пользователь загружает на свой компьютер архив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.

Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.

Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.

Ресурсы, принадлежащие разработчику троянца:

  • румайнкрафт[.]рф;
  • clearcheats[.]ru;
  • mmotalks[.]com;
  • minecraft-chiter[.]ru;
  • torrent-igri[.]com;
  • worldcodes[.]ru;
  • cheatfiles[.]ru.

Кроме того, троянцем заражены некоторые файлы на сайте proplaying[.]ru.

Специалисты «Доктор Веб» рекомендуют пользователям вовремя обновлять антивирус и не загружать сомнительное ПО.

Компания «Доктор Веб» также благодарит специалистов компании «Яндекс» за предоставленный образец и дополнительную информацию об источниках распространения вредоносной программы.

#JavaScript #игры #майнинг

14 июня 2020 года

Специалисты компании «Доктор Веб» обнаружили троянца Android.FakeApp.174 , который загружает в Google Chrome сомнительные веб-сайты, где пользователей подписывают на рекламные уведомления. Они приходят даже если браузер закрыт и могут быть ошибочно приняты за системные. Такие уведомления не только мешают работе с Android-устройствами, но и способны привести к краже денег и конфиденциальной информации.

Технология Web Push позволяет сайтам с согласия пользователя отправлять ему уведомления даже когда соответствующие веб-страницы не открыты в браузере. При работе с безобидными ресурсами эта функция полезна и удобна. Например, социальные сети таким образом могут информировать о новых сообщениях, а новостные агентства ― о свежих публикациях. Однако злоумышленники и недобросовестные рекламодатели злоупотребляют ей, распространяя с ее помощью рекламу и мошеннические уведомления, которые поступают со взломанных или вредоносных сайтов.

Статья года:  NewTrend - стратегия для 11-ти минутных опционов

Эти уведомления поддерживаются в браузерах как ПК и ноутбуков, так и мобильных устройств. Обычно жертва попадает на сомнительный ресурс-спамер, перейдя по специально сформированной ссылке или рекламному баннеру. Android.FakeApp.174 — один из первых троянцев, которые «помогают» злоумышленникам увеличить число посетителей этих сайтов и подписать на такие уведомления именно пользователей смартфонов и планшетов.

Android.FakeApp.174 распространяется под видом полезных программ – например, официального ПО известных брендов. Две такие модификации троянца вирусные аналитики «Доктор Веб» обнаружили в начале июня в каталоге Google Play. После обращения в корпорацию Google вредоносные программы были удалены, но их успели загрузить свыше 1100 пользователей.

При запуске троянец загружает в браузере Google Chrome веб-сайт, адрес которого указан в настройках вредоносного приложения. С этого сайта в соответствии с его параметрами поочередно выполняется несколько перенаправлений на страницы различных партнерских программ. На каждой из них пользователю предлагается разрешить получение уведомлений. Для убедительности жертве сообщается, что выполняется некая проверка (например, что пользователь — не робот), либо просто дается подсказка, какую кнопку диалогового окна необходимо нажать. Это делается для увеличения числа успешных подписок. Примеры таких запросов показаны на изображениях ниже:

После активации подписки сайты начинают отправлять пользователю многочисленные уведомления сомнительного содержания. Они приходят даже если браузер закрыт, а сам троянец уже был удален, и отображаются в панели состояния операционной системы. Их содержимое может быть любым. Например, ложные уведомления о поступлении неких денежных бонусов или переводов, о новых сообщениях в соцсетях, реклама гороскопов, казино, товаров и услуг и даже различные «новости».

Многие из них выглядят как настоящие уведомления реальных онлайн-сервисов и приложений, которые могут быть установлены на устройстве. Например, в них отображается логотип того или иного банка, сайта знакомств, новостного агентства или социальной сети, а также привлекательный баннер. Владельцы Android-устройств могут получать десятки таких спам-сообщений в день.

Несмотря на то, что в этих уведомлениях указан и адрес сайта, с которого оно пришло, неподготовленный пользователь может просто его не заметить, либо не придать этому особого значения. Примеры мошеннических уведомлений:

При нажатии на такое уведомление пользователь перенаправляется на сайт с сомнительным контентом. Это может быть реклама казино, букмекерских контор и различных приложений в Google Play, предложение скидок и купонов, поддельные онлайн-опросы и фиктивные розыгрыши призов, сайт-агрегатор партнерских ссылок и другие онлайн-ресурсы, которые разнятся в зависимости от страны пребывания пользователя. Примеры таких сайтов представлены ниже:

Многие из этих ресурсов замешаны в известных мошеннических схемах кражи денег, однако злоумышленники способны в любое время организовать атаку для похищения конфиденциальных данных. Например, отправив через браузер «важное» уведомление от имени банка или социальной сети. Потенциальная жертва может принять поддельное уведомление за настоящее, нажмет на него и перейдет на фишинговый сайт, где у нее попросят указать имя, логин, пароль, адрес электронной почты, номер банковской карты и другие конфиденциальные сведения.

Специалисты «Доктор Веб» полагают, что злоумышленники будут активнее использовать этот метод продвижения сомнительных услуг, поэтому пользователям мобильных устройств при посещении веб-сайтов следует внимательно ознакомиться с их содержимым и не подписываться на уведомления, если ресурс незнаком или выглядит подозрительным. Если же подписка на нежелательные спам-уведомления уже произошла, нужно выполнить следующие действия:

  • зайти в настройки Google Chrome, выбрать опцию «Настройки сайтов» и далее — «Уведомления»;
  • в появившемся списке веб-сайтов и уведомлений найти адрес интересующего ресурса, нажать на него и выбрать опцию «Очистить и сбросить».

Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации Android.FakeApp.174 , поэтому для наших пользователей этот троянец опасности не представляет.

Ваш Andro > Скачать бесплатно

8 мая 2020 года

Специалисты «Доктор Веб» обнаружили угрозу для операционной системы macOS, позволяющую загружать и исполнять на устройстве пользователя любой код на языке Python. Кроме того, сайты, распространяющие это вредоносное ПО, также заражают опасным шпионским троянцем пользователей ОС Windows.

Новая угроза для устройств под управлением macOS была обнаружена нашими специалистами 29 апреля. Это вредоносное ПО получило название Mac.BackDoor.Siggen.20 и представляет собой бэкдор, позволяющий загружать с удаленного сервера вредоносный код и исполнять его.

Mac.BackDoor.Siggen.20 попадает на устройства через сайты, принадлежащие его разработчикам. Один такой ресурс оформлен как сайт-визитка с портфолио несуществующего человека, а второй замаскирован под страницу с приложением WhatsApp.

При посещении этих ресурсов встроенный код определяет операционную систему пользователя и в зависимости от нее загружает бэкдор или троянца. Если посетитель использует macOS, его устройство заражается Mac.BackDoor.Siggen.20 , а на устройства с ОС Windows загружается BackDoor.Wirenet.517 (NetWire). Последнее является давно известным RAT-троянцем, с помощью которого хакеры могут удаленно управлять компьютером жертвы, включая использование камеры и микрофона на устройстве. Кроме того, распространяемый RAT-троянец имеет действительную цифровую подпись.

По нашим данным, сайт, распространяющий Mac.BackDoor.Siggen.20 под видом приложения WhatsApp, открывали около 300 посетителей с уникальными IP адресами. Вредоносный ресурс работает с 24.03.2020 и пока не использовался хакерами в масштабных кампаниях. Тем не менее специалисты «Доктор Веб» рекомендуют проявлять осторожность и вовремя обновлять антивирус. На данный момент все компоненты Mac.BackDoor.Siggen.20 успешно детектируются только продуктами Dr.Web.

12 апреля 2020 года

Вирусные аналитики компании «Доктор Веб» исследовали троянца Android.InfectionAds.1, который использует несколько уязвимостей в ОС Android. С их помощью он заражает программы, а также может устанавливать и удалять приложения без участия пользователей. Другая функция Android.InfectionAds.1 — показ рекламы.

Злоумышленники встраивают троянца в изначально безобидное ПО, модифицированные копии которого затем распространяются через популярные сторонние каталоги Android-приложений – например, Nine Store и Apkpure. Наши специалисты обнаружили Android.InfectionAds.1 в таких играх и программах как HD Camera, ORG 2020_19 \Tabla Piano Guitar Robab Guitar, Euro Farming Simulator 2020 и Touch on Girls. Некоторые из них установили по меньшей мере несколько тысяч владельцев смартфонов и планшетов. Однако число зараженных приложений и пострадавших пользователей может оказаться намного больше.

При запуске программы, в которую внедрен троянец, тот извлекает из своих файловых ресурсов вспомогательные модули, после чего расшифровывает их и запускает. Один из них предназначен для показа надоедливой рекламы, а другие используются для заражения приложений и автоматической установки ПО.

Android.InfectionAds.1 перекрывает рекламными баннерами интерфейс системы и работающих приложений, мешая нормальной работе с устройствами. Кроме того, по команде управляющего сервера троянец может модифицировать код популярных рекламных платформ Admob, Facebook и Mopub, которые используются во многих программах и играх. Он подменяет уникальные рекламные идентификаторы собственным идентификатором, в результате чего вся прибыль от показа рекламы в зараженных приложениях поступает вирусописателям.

Android.InfectionAds.1 эксплуатирует критическую уязвимость CVE-2020-13315 в ОС Android, которая позволяет троянцу запускать системные активности. В результате он может автоматически устанавливать и удалять программы без вмешательства владельца мобильного устройства. При создании троянца использован демонстрационный код (PoC — Proof of Concept) китайских исследователей, который те создали для доказательства возможности эксплуатации этой системной бреши.

CVE-2020-13315 относится к классу уязвимостей, которые получили общее название EvilParcel. Их суть заключается в том, что ряд системных компонентов содержит ошибку, из-за которой при обмене данными между приложениями и операционной системой возможно их видоизменение. Конечное значение специально сформированного фрагмента передаваемых данных будет отличаться от первоначального. Таким образом, программы способны обходить проверки операционной системы, получать более высокие полномочия и выполнять действия, которые ранее были им недоступны. На данный момент известно о 7 уязвимостях такого типа, однако их число со временем может возрасти.

Используя EvilParcel, Android.InfectionAds.1 устанавливает скрытый внутри него apk-файл, который содержит все компоненты троянца. Кроме того, аналогичным образом Android.InfectionAds.1 способен инсталлировать собственные обновления, которые он загружает с управляющего сервера, а также любые другие программы, в том числе и вредоносные. Например, при анализе троянец скачал с сервера и установил вредоносную программу Android.InfectionAds.4, которая является одной из его модификаций.

Пример того, как троянец без разрешения устанавливает приложения, показан ниже:

Наряду с EvilParcel троянец эксплуатирует и другую уязвимость ОС Android, известную под названием Janus (CVE-2020-13156). C использованием этой системной бреши он заражает уже установленные приложения, внедряя в них свою копию. Android.InfectionAds.1 подключается к управляющему серверу и получает от него список программ, которые ему необходимо заразить. Если же соединиться с удаленным центром ему не удалось, он инфицирует приложения, которые указаны в его первоначальных настройках. В зависимости от модификации троянца этот список может содержать различные позиции. Вот пример такого перечня в одной из исследованных версий Android.InfectionAds.1:

  • com.whatsapp (WhatsApp Messenger);
  • com.lenovo.anyshare.gps (SHAREit — Transfer & Share);
  • com.mxtech.videoplayer.ad (MX Player);
  • com.jio.jioplay.tv (JioTV — Live TV & Catch-Up);
  • com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
  • com.jiochat.jiochatapp (JioChat: HD Video Call);
  • com.jio.join (Jio4GVoice);
  • com.good.gamecollection;
  • com.opera.mini.native (Opera Mini — fast web browser);
  • in.startv.hotstar (Hotstar);
  • com.meitu.beautyplusme (PlusMe Camera — Previously BeautyPlus Me);
  • com.domobile.applock (AppLock);
  • com.touchtype.swiftkey (SwiftKey Keyboard);
  • com.flipkart.android (Flipkart Online Shopping App);
  • cn.xender (Share Music & Transfer Files – Xender);
  • com.eterno (Dailyhunt (Newshunt) — Latest News, LIVE Cricket);
  • com.truecaller (Truecaller: Caller ID, spam blocking & call record);
  • com.ludo.king (Ludo King™).

При заражении программ троянец добавляет свои компоненты в структуру apk-файлов, не изменяя их цифровую подпись. Затем он устанавливает модифицированные версии приложений вместо оригиналов. Поскольку из-за уязвимости цифровая подпись инфицированных файлов остается прежней, программы инсталлируются как их собственные обновления. При этом установка также выполняется с использованием уязвимости EvilParcel без участия пользователя. В результате атакованные программы продолжают нормально работать, но содержат в себе копию Android.InfectionAds.1, которая незаметно функционирует вместе с ними. При заражении приложений троянцу становятся доступны их данные. Например, при инфицировании WhatsApp ― переписка пользователя, а при инфицировании браузера ― сохраненные в нем логины и пароли.

Единственный способ избавиться от троянца и восстановить безопасность зараженных программ — удалить содержащие его приложения и вновь установить их заведомо чистые версии из надежных источников, таких как Google Play. В обновленной версии Dr.Web Security Space для Android появилась возможность обнаруживать уязвимости класса EvilParcel. Эта функция доступна в Аудиторе безопасности. Скачать новый дистрибутив программы можно с официального сайта «Доктор Веб», в ближайшее время он будет доступен и в Google Play.

Все антивирусные продукты Dr.Web для Android успешно детектируют и удаляют известные модификации Android.InfectionAds.1, поэтому для наших пользователей троянец опасности не представляет.

#Android, #троянец, #вредоносное_ПО

Исследователи из лаборатории «Доктор Веб» обнаружили, что официальный сайт популярной программы для обработки видео и звука VSDC был скомпрометирован. Хакеры заменили ссылку на скачивание, и вместе с редактором пользователи загружали опасного банковского троянца Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer).

VSDC – популярное бесплатное ПО для обработки видео и звука. Согласно данным SimilarWeb, ежемесячная посещаемость официального сайта, с которого можно загрузить этот редактор, составляет около 1.3 миллиона пользователей. Однако меры безопасности, предпринимаемые владельцами ресурса, часто оказываются недостаточными для сайта с такой посещаемостью, что подвергает риску множество пользователей.

В прошлом году неизвестные хакеры получили доступ к административной части сайта VSDC и заменили ссылки на скачивание файлов. Вместо редактора видео пользователи скачивали JavaScript-файл, который затем загружал AZORult Stealer, X-Key Keylogger и DarkVNC backdoor. Компания VSDC сообщила о закрытии уязвимости, но не так давно нам стало известно о других случаях заражения.

По данным наших специалистов, с момента последнего заражения компьютер разработчика VSDC был скомпрометирован еще несколько раз. Один из взломов привел к компрометации сайта в период с 21.02.2020 по 23.03.2020. На этот раз хакеры использовали другой метод распространения вредоносного ПО: на сайт VSDC они встроили вредоносный JavaScript-код. Его задача заключалась в определении геолокации посетителей сайта и замене ссылки на скачивание для пользователей из Великобритании, США, Канады и Австралии. Вместо стандартных ссылок VSDC использовались ссылки на другой скомпрометированный ресурс:

  • https://thedoctorwithin[.]com/video_editor_x64.exe
  • https://thedoctorwithin[.]com/video_editor_x32.exe
  • https://thedoctorwithin[.]com/video_converter.exe

Пользователи, загрузившие программу с этого ресурса, также скачали опасного банковского троянца – Win32.Bolik.2. Как и его аналог Win32.Bolik.1 , это вредоносное ПО имеет свойства многокомпонентного полиморфного файлового вируса. Такие троянцы предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций. В настоящий момент нам известно по меньшей мере о 565 случаях заражения этим троянцем через сайт videosoftdev.com. Стоит отметить, что все файлы троянца успешно определяются пока что только продуктами Dr.Web.

Кроме того, 22.03.2020 хакеры заменили Win32.Bolik.2 на другое вредоносное ПО – один из вариантов Trojan.PWS.Stealer (KPOT Stealer). Этот троянец крадет информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ. За один день его загрузили на свои устройства 83 пользователя.

Разработчики VSDC уведомлены о компрометации сайта, и на данный момент ссылки на скачивание файлов восстановлены. Тем не менее, специалисты «Доктор Веб» рекомендуют всем пользователям продуктов VSDC проверить свои устройства с помощью нашего антивируса.

#банкер #банковский_троянец #вирус

8 апреля 2020 года

«Доктор Веб» предупреждает: хакеры используют формы подписки на рассылки от известных иностранных компаний для распространения ссылки на фишинговый сайт. Письма, отправленные с официальных почтовых адресов компаний, вызывают доверие пользователей и проходят спам-фильтры почтовых сервисов, что позволяет хакерам увеличить число потенциальных жертв.

На электронную почту российских пользователей начали поступать фишинговые письма от известных иностранных компаний, таких как Audi, Austrian Airlines и S-Bahn Berlin. Письма отправляются с официальных почтовых адресов и, на первый взгляд, не вызывают подозрений. Заголовок и само письмо написаны на английском или немецком языке, но среди текста выделяются слова на русском: «ВАМ ДЕНЬГИ».

В начале письма размещена ссылка, при переходе по которой пользователь перенаправляется на страницу на сайте знакомств. Затем, за счет вредоносного кода, встроенного в страницу-заглушку сайта, через цепочку редиректов попадает на фишинговый ресурс.

Там пользователь видит сообщение о том, что его электронный почтовый адрес выиграл возможность участвовать в международной акции «Счастливый e-mail». После чего предлагается пройти опрос и получить денежное вознаграждение в размере от 10 до 3000 EUR. Для убедительности на сайт добавлены отзывы людей, якобы уже получивших деньги, в том числе и отзывы недовольных низкой суммой выигрыша.

После нескольких заданных вопросов отображается информация об акции, сумма выигрыша и условия вывода средств. Одно из условий – необходимость оплатить комиссию за перевод валюты в рубли.

Для оплаты комиссии пользователя переводят на страницу, где предлагается ввести данные банковской карты. После ввода данных пользователя просят указать также проверочный код из SMS. Когда все указанные действия выполнены, со счета пользователя списываются средства, а данные банковской карты остаются у владельцев мошеннического сайта. При этом никакого выигрыша жертва не получает.

Интересно то, каким образом хакеры отправляют фишинговые письма. Для этого используются официальные формы подписки на рассылки компаний. Благодаря тому, что в полях ввода текста этих форм можно использовать различные символы, хакеры получают возможность отправлять от лица крупных компаний письма с вредоносными ссылками. Для этого в графе «Имя» указывается «ВАМ ДЕНЬГИ», а вместо фамилии указывается ссылка на фишинговый сайт. В результате на e-mail жертвы приходит письмо для подтверждения подписки на рассылку с официальной почты компании.

Специалисты компании «Доктор Веб» рекомендуют пользователям быть осторожными при переходе по подобным ссылкам и не указывать свои личные данные на непроверенных ресурсах.

26 марта 2020 года

Вирусные аналитики компании «Доктор Веб» обнаружили в популярном мобильном браузере UC Browser скрытую возможность загрузки и запуска непроверенного кода. Приложение способно скачивать вспомогательные программные модули в обход серверов Google Play. Это нарушает правила корпорации Google и представляет серьезную угрозу, поскольку таким образом на Android-устройства может быть загружен любой код, в том числе вредоносный.

На данный момент число загрузок UC Browser из Google Play превысило 500 000 000. Всем установившим эту программу угрожает потенциальная опасность. Специалисты компании «Доктор Веб» обнаружили в ней скрытую возможность загрузки вспомогательных компонентов из Интернета. Браузер принимает от управляющего сервера команды для скачивания новых библиотек и модулей — они добавляют в программу новые функции и могут использоваться для ее обновления.

Например, при анализе UC Browser загрузил с удаленного сервера исполняемую Linux-библиотеку, которая не является вредоносной и предназначена для работы с документами офисного пакета MS Office, а также файлами формата PDF. Изначально эта библиотека отсутствует в составе браузера. После скачивания программа сохранила ее в свой рабочий каталог и запустила на исполнение. Таким образом, фактически приложение получает и выполняет код в обход серверов Google Play. Это нарушает правила корпорации Google для программ, распространяемых через ее каталог ПО. Согласно действующей политике скачанные из Google Play приложения не могут изменять собственный код, а также загружать какие-либо программные компоненты из сторонних источников. Данные правила появились для борьбы с модульными троянцами, которые скачивают и запускают вредоносные плагины. Яркие примеры таких троянцев — Android.RemoteCode.127.origin и Android.RemoteCode.152.origin , о них наша компания сообщала в январе и апреле 2020 года.

Потенциально опасная функция обновления присутствует в UC Browser как минимум с 2020 года. Несмотря на то, что приложение не было замечено в распространении троянских или нежелательных программ, его способность загружать и запускать новые и непроверенные модули представляет потенциальную угрозу. Нет гарантии, что злоумышленники не получат доступ к серверам разработчика браузера и не используют встроенную в него функцию обновления для заражения сотен миллионов Android-устройств.

Уязвимая функция UC Browser может использоваться для выполнения атак типа «человек посередине» — MITM (Man in the Middle). Для загрузки новых плагинов браузер делает запрос к управляющему серверу и получает от него ссылку на файл. Поскольку программа общается с сервером по незащищенному каналу (протоколу HTTP вместо шифрованного HTTPS), злоумышленники способны перехватывать сетевые запросы приложения. Атакующие могут подменять поступающие команды, указывая в них адрес вредоносного ресурса. В результате программа скачает новые модули с него, а не с настоящего управляющего сервера. Т. к. UC Browser работает с неподписанными плагинами, он запустит вредоносные модули без какой-либо проверки.

Ниже приведен пример такой атаки, смоделированной нашими вирусными аналитиками. На видео показано, как потенциальная жертва скачивает через UC Browser и пытается просмотреть в нем pdf-документ. Для открытия файла браузер пытается скачать с управляющего сервера соответствующий плагин, однако из-за подмены адреса сервера «человеком посередине» UC Browser загружает и запускает другую библиотеку. Эта библиотека создает СМС-сообщение с текстом «PWNED!».

Таким образом, с использованием MITM-атаки злоумышленники могут распространять через UC Browser вредоносные плагины, способные выполнять самые разнообразные действия. Например, показывать фишинговые сообщения для похищения логинов, паролей, информации о банковских картах и других персональных данных. Кроме того, троянские модули смогут получить доступ к защищенным файлам браузера и украсть сохраненные в нем пароли от веб-сайтов, которые находятся в рабочем каталоге программы.

Подробнее об этой уязвимости можно прочитать по ссылке.

Возможность загрузки непроверенных компонентов в обход серверов Google Play есть и у «младшего брата» браузера — приложения UC Browser Mini. Эта функция появилась в нем не позднее декабря 2020 года. К настоящему времени программу загрузили свыше 100 000 000 пользователей Google Play, все они также находятся под угрозой. Однако, в отличие от UC Browser, в UC Browser Mini описанная выше MITM-атака не сработает.

После обнаружения опасной функции в UC Browser и UC Browser Mini специалисты «Доктор Веб» связались с их разработчиком, однако тот отказался от комментариев. Вслед за этим вирусные аналитики сообщили о находке в компанию Google, но на момент выхода этой публикации оба браузера все еще были доступны для загрузки и по-прежнему могли скачивать новые компоненты в обход серверов Google Play. Владельцы Android-устройств должны самостоятельно решить, продолжить ли использовать эти программы или удалить их и подождать выхода их обновления с исправлением потенциальной уязвимости.

Компания «Доктор Веб» продолжает следить за развитием ситуации.

Эти брокеры дают наибольший бонус за открытие счета:
Понравилась статья? Поделиться с друзьями:
Рейтинг лучших брокеров бинарных опционов
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: