Сегодня 23 апреля 2018
18+
MWC 2018
Теги → вирусы
Быстрый переход

Рекламный вирус в Android-приложениях заразил не меньше миллиона устройств

Киберпреступникам удалось установить на сотни тысяч устройств под управлением Android вредоносное ПО, спрятав его в нескольких приложениях. Вирус попал в Google Play в обличье семи программ — шести сканеров QR-кодов и одного «умного компаса».

После установки приложения должно было пройти шесть часов, прежде чем оно начнёт показывать на весь экран вредоносную рекламу, открывать навязчивые объявления на интернет-страницах и присылать уведомления с подозрительными ссылками.

Предположительно, вирус под названием Andr/HiddnAd-AJ, обнаруженный SophosLabs, заразил устройства как минимум миллиона пользователей. Эта цифра может быть гораздо больше — одно из приложений было загружено 500 тысяч раз, прежде чем его удалили из Google Play.

При первом запуске заражённое приложение отправляет запрос на сервер злоумышленников, чтобы получить необходимую конфигурацию. Чтобы это скрыть, в первые несколько часов после установки программа не производит никаких вредоносных действий.

После этого приложение получает доступ к списку ссылок, сообщений и иконок, которые вскоре начинают захламлять смартфон жертвы. Вирусу «помогает» специальный код, замаскированный под обычную библиотеку Android.

В дополнение к стандартным компонентам злоумышленники оснастили приложения «графической» секцией. Она выглядит невинно, но содержит инструкции по получению всей информации и файлов для запуска вредоносной рекламы.

SophosLabs уведомила Google о проблеме, и та удалила приложения с вирусами из магазина. Несмотря на то, что калифорнийскому гиганту самостоятельно не удалось выявить вредоносный код в этих приложениях, SophosLabs рекомендует загружать программы только из Google Play.

«Лаборатория Касперского» обнаружила созданный правительством шпионский вирус

«Лаборатория Касперского» опубликовала уведомление о новом вирусе, который, вероятно, создан по заказу правительства англоязычной страны. В момент заражения инструмент с кодовым названием Slingshot подменивает один из файлов DLL-библиотек, а затем загружает дополнительные компоненты.

Атака происходит на двух уровнях: компонент Canhadr выполняет низкоуровневый код ядра, который обеспечивает наивысший уровень привилегий на устройстве; компонент GollumApp выполняет функции пользователя и поддерживает работу вируса. В «Лаборатории Касперского» оба компонента называют «произведением искусства».

Slingshot может воровать любую информацию, следить за трафиком и выполнять на компьютере любые операции.

По мнению экспертов, сложная структура вируса и мастерство авторов кода указывают, что Slingshot создан при поддержке правительства. Его сравнивают со Stuxnet, который на некоторое время сорвал работу атомных станций Ирана, а также с вирусом Regin, который британские спецслужбы использовали для слежки за данными бельгийского оператора сотовой связи Belgacom. Некоторые элементы кода позволяют предположить, что вирус создан носителями английского языка.

В «Лаборатории Касперского» описали, как вирус загружается на компьютер с роутера компании MikroTik. При этом существуют и другие методы заражения. Жертвами Slingshot стали граждане и правительственные организации из Афганистана, Ирака, Иордании, Кении, Ливии и Турции.

Вирус существует с 2012, но до сих пор его существование было скрыто от общественности.

В 2017 году российские банки потеряли из-за хакерских атак более 1 млрд рублей

В 2017 году российские банки из-за хакерских атак с использованием вируса Cobalt Strike понесли потери в размере более чем 1 млрд рублей, сообщил на X Уральском форуме «Информационная безопасность финансовой сферы» заместитель председателя Центробанка Дмитрий Скобелкин.

REUTERS/Kacper Pempel

REUTERS/Kacper Pempel

По его словам, за прошедший год было зарегистрировано не менее 21 волны атак с использованием Cobalt Strike, нацеленных на компьютерные сети более 240 кредитных организаций. Из них 11 оказались успешными. В результате хакерами было похищено более 1,156 млрд рублей.

«При этом 8 из 11 пострадавших организаций являются участниками информационного обмена с ФинЦЕРТом», — отметил Скобелкин. ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) начал работу в Банке России с 2015 года. Его главной задачей является осуществление координации действий финансовых организаций и своевременное информирование об инцидентах и происшествиях. Как сообщил Скобелкин, ФинЦЕРТ предупредил более чем 400 организаций с указанием электронных почтовых адресов, которые использовала группа Cobalt для отправки фишинговых писем.

Ранее в интервью RNS заместитель начальника Главного управления по безопасности и защите информации (ГУБиЗИ) Банка России Артем Сычев предупредил, что в 2018 году основными видами угроз в сфере информационной безопасности будут использование хакерами методов социальной инженерии, а также вредоносного ПО Cobalt Strike для взлома сетей организации с целью получения контроля над её инфраструктурой.

Cobalt Strike — это набор инструментов, применяемый для проверки киберзащиты организации на прочность, но он также использовался хакерами для атак на компьютерные сети банков в России и других странах мира.

AV-TEST выбрала лучшие антивирусы для macOS Sierra

Платформа macOS традиционно считается более безопасной, чем Windows. Однако это не значит, что пользователям macOS вовсе не стоит думать о вопросах безопасности, особенно если на компьютере хранятся важные данные.

Компания AV-TEST представила результаты исследования популярных современных антивирусных программ. Специалисты исследовали эффективность работы антивирусов на платформе macOS Sierra и предложили пользователям 13 лучших программ. 

Вначале исследователи отобрали те антивирусные программы, которые способны наиболее эффективно обнаружить угрозу безопасности на macOS. 100 % вредоносных программ на macOS Sierra удалось обнаружить следующим антивирусам: Avast Security, Bitdefender Antivirus для Mac, Лаборатория Касперского для Mac, Sophos Home, Symantec Norton Security и Trend Micro Antivirus. Близкий к идеальному результат показал Intego Mac Internet Security X9 — 99,4 %, в то время как F-Secure смог обнаружить лишь 93,8 % вирусов. Самый низкий результат исследования составил 38,1 % при работе программы Comodo Antivirus.

Также экспертов интересовало влияние антивирусных программ на производительность системы. Чтобы определить, не замедляет ли антивирус работу macOS, они параллельно с процессом диагностики запустили загрузку и копирование файлов с диска объемом 27,28 Гбайт. Работа Антивируса Касперского, Trend Micro и Symantec добавила 1–2 секунды к процессу загрузки, в то время как Bitdefender и Sophos Home замедлили систему на 6–13 секунд. Наибольшее влияние на производительность macOS оказала программа Avast — 73 дополнительных секунды.

Следует отметить, что все тестируемые компанией AV-TEST программы сработали корректно, не приняв за вирус чистые, полезные приложения macOS Sierra.

В 2017 году информационная инфраструктура Москвы подверглась 65 крупным хакерским атакам

Заместитель главы департамента информационных технологий Москвы Александр Горбатько сообщил о 65 крупных хакерских атаках на информационную инфраструктуру города, зафиксированных в 2017 г.

«Хакеры не дремлют и в Москве, буквально за 2016 г. мы фиксировали 44 крупные атаки (на IT-инфраструктуру), в 2017 г. атак было уже 65. География атак очень разнообразная, они идут не только из России», — рассказал Горбатько в ходе Национального форума по информационной безопасности.

По его словам, защита информационных ресурсов столицы обеспечивается с помощью комплексного подхода, включая привлечение к поиску уязвимостей в защите IT-инфраструктуры города так называемых «белых» хакеров.

В свою очередь, заместитель директора Федеральной службы по техническому и экспортному контролю (ФСТЭК) России Виталий Лютиков заявил, что успех атак вируса WannaCry на российские объекты информационной инфраструктуры объясняется невыполнением элементарных требований информационной безопасности.

«Проанализировали все случаи (атак вируса Wannacry), которые были у нас в России на объектах, которые находятся в сфере ведения ФСТЭК. Можем однозначно констатировать, что основной причиной проникновения вредоносного ПО было невыполнение элементарных требований по обеспечению информационной безопасности, в частности, это необновление актуального программного обеспечения и блокирование соответствующих интерфейсов, которые не должны вовне иметь выход», — отметил Лютиков.

Сбербанк не считает вирусы основной киберугрозой для клиентов

Сбербанк выделил из целого ряда киберугроз для клиентов основную. Как оказалось, это не компьютерные вирусы или хакерские атаки, а социальная инженерия, на которую приходится порядка 80 % атак на клиентов.

«Для нас сейчас технические вопросы перестали быть актуальными, мы научились бороться с вирусами, компьютерными атаками, развиваем наш антифрод, у него достаточно высокая эффективность. Сейчас для нас основная проблема — социальная инженерия, которая составляет 80 % всех атак на наших клиентов», — сообщил руководитель службы информационной безопасности банка Сергей Лебедь на форуме по борьбе с кибермошенничеством Antifraud Russia 2017.

Каждый день Сбербанк фиксирует около 2 тыс. обращений клиентов, связанных с мошенничеством. Но попытки заручиться поддержкой правоохранительных органов пока не находят надлежащего отклика.

«В год в наших блэк-листах мы накапливаем около 50 тыс. записей о мошенниках по физическим лицам и несколько тыс. по юридическим лицам. Вопрос: почему эта информация не востребована правоохранительной системой, почему ей никто не занимается?», — задаёт вопрос глава службы информбезопасности Сбербанка. По его словам, в силовых структурах пока нет на сегодняшний день понимания, что этим нужно заниматься.

Сергей Лебедь отметил, что операторы связи тоже фиксируют случаи банковского мошенничества. Его слова подтвердил руководитель департамента по гарантированию доходов и управлению фродом «МегаФона» Сергей Хренов, рассказавший, что операторы связи видят банковские «трояны». В ходе одной из хакерских атак оператором за неделю было заблокировано 30 млн СМС со ссылкой на загрузку «трояна».

Касперский: в 2017 году появилось 90 млн новых зловредов

Евгений Касперский рассказал о развитии информационных угроз в уходящем году: количество вредоносных программ стремительно растёт, а сложность кибератак повышается.

По словам господина Касперского, по итогам 2017 года во всём мире появится свыше 90 млн зловредов. На данный момент в глобальном масштабе насчитывается в общей сложности 500 млн «уникальных вирусных файлов». Ежедневно «Лаборатория Касперского» фиксирует свыше 300 тысяч новых вирусов.

«20 лет назад, когда я только создал свою компанию, то есть в 1997 году, мы зафиксировали всего 500 вредоносных программ, через десять лет, в 2007 году, наша коллекция уже пополнилась более чем 2 млн образцов компьютерных вирусов, прежде не имевших прецедента. В 2017 году мы ожидаем насчитать свыше 90 млн новых образцов, и это всего за один год», — приводит ТАСС слова Евгения Касперского.

Растущая информатизация бизнес-процессов предоставляет злоумышленникам множество возможностей для атак. Целевые атаки при этом становятся всё сложнее: преступники учатся эффективнее использовать уязвимые места, незамеченными проникая в корпоративные сети.

Наряду с банковскими троянами, вымогателями и прочими угрозами, которые можно без тени сомнения отнести к вредоносному ПО, пользователям приходится иметь дело с многочисленными пограничными приложениями: рекламными ботами и модулями, партнёрскими программами и прочим нежелательным софтом.

В этом году заметно выросла популярность майнеров криптовалюты. В 2013 году продукты «Лаборатории Касперского» заблокировали попытки установки майнеров на 205 тыс. компьютеров. В 2014 году это число выросло до 701 тыс., а за 8 месяцев 2017 года достигло 1,65 млн. 

Bad Rabbit: в России грядёт эпидемия нового шифровальщика

«Лаборатория Касперского» предупреждает о том, что в России наблюдаются атаки опасной вредоносной программы — шифровальщика Bad Rabbit. Эти нападения могут вылиться в очередную масштабную эпидемию.

Предварительный анализ показывает, что зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети.

После проникновения на компьютер жертвы вредоносная программа шифрует пользовательские файлы. Для восстановления доступа к закодированным данным предлагается заплатить выкуп в размере 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам США или 15 700 рублям. При этом злоумышленники предупреждают, что в случае промедления цена за расшифровку вырастет.

Подробности о схеме распространения Bad Rabbit пока отсутствуют. Не ясно и то, можно ли расшифровать файлы. Но уже известно, что большинство жертв атаки находятся в России. Кроме того, похожие нападения зафиксированы в Украине, Турции и Германии, но в значительно меньшем количестве.

В нынешнем году российские пользователи уже попадали под удар двух нашумевших шифровальщиков. Речь идёт о зловредах WannaCry и ExPetr (он же Petya). «Лаборатория Касперского» отмечает, что организаторы атаки Bad Rabbit используются методы, похожие на те, что наблюдались в ходе киберкампании ExPetr. Однако связь между двумя этими атаками пока не подтверждена.

По имеющимся данным, из-за атаки Bad Rabbit пострадали российское информационное агентство «Интерфакс» и онлайн-издание «Фонтанка». На момент написания заметки корреспондентам 3DNews не удалось открыть эти ресурсы.

«Из-за хакерской атаки в работе серверов Интерфакса возник сбой. Технические службы предпринимают все меры для восстановления работы систем», — пишет в Twitter «Интерфакс».

Очевидно, что атака Bad Rabbit тщательно готовилась. Эксперты по вопросам информационной безопасности занимаются изучением проблемы и поиском методов расшифровки файлов. Мы будем следить за развитием событий. 

Обнаружена новая версия опасного банковского Android-трояна Svpeng

«Лаборатория Касперского» предупреждает о появлении новой модификации вредоносной программы Svpeng, атакующей устройства под управлением операционных систем Android.

Svpeng — это мобильный банковский троян. Обнаруженная версия зловреда получила функциональность кейлоггера: программа способна записывать нажатия клавиш на устройстве, что позволяет перехватывать конфиденциальную информацию, скажем, логины и пароли.

Троян распространяется через вредоносные веб-сайты под видом фальшивого Flash-плеера. После проникновения на устройство Svpeng запрашивает права доступа к функциям для людей с ограниченными возможностями. В результате, зловред приобретает много дополнительных привилегий: например, получает доступ к интерфейсу других приложений и возможность делать скриншоты экрана каждый раз, когда на виртуальной клавиатуре набирается символ.

Вредоносная программа способна перекрывать окна других приложений. Это позволяет трояну выводить собственное фишинговое окно поверх интерфейса банковского приложения — такая тактика позволяет ввести жертву в заблуждение и получить конфиденциальные данные.

Кроме того, троян назначает себя приложением для SMS по умолчанию, получает доступ к контактам, а также выдаёт себе права совершать звонки. Плюс ко всему блокируются любые попытки отключить администраторские привилегии зловреда. Таким образом, троян делает своё удаление максимально трудным.

Основная часть атак новой версии Svpeng пришлась на Россию (29 %), Германию (27 %), Турцию (15 %), Польшу (6 %) и Францию (3 %). 

Check Point рассказала о найденных в Google Play вирусах

Считается, что инсталляция программ из официальных магазинов приложений абсолютно безопасна с точки зрения вероятности подхватить какой-нибудь вирус, но на самом деле даже размещённый в них софт может таить в себе вредоносные функции. Специалисты компании Check Point рассказали, какие угрозы они обнаружили в Google Play за последнее время.

В поле зрения экспертов по вопросам кибербезопасности попала утилита DU Antivirus Security, изначальное назначение которой — обеспечивать конфиденциальность личных данных, хранящихся в мобильном устройстве под управлением операционной системы Android. Однако, как оказалось, приложение само собирает и использует в коммерческих целях информацию о действиях пользователя: кому звонил, сколько длился разговор и т. п. Разумеется, всё это делалось без разрешения владельца гаджета, поэтому, когда стало известно о наличии в программе данной шпионской функции, Google удалила её из каталога Play Маркета. Произошло это ещё 24 августа, но уже 28 августа DU Antivirus Security снова стала доступна для скачивания в обновлённой версии и без функции слежки.

Гораздо больше неприятностей может доставить зловред, который без ведома пользователя отправляет платные SMS и подписывает его аккаунт на платные сервисы. Конечно, чтобы совершить перечисленные действия, трояну нужно получить необходимые для этого разрешения. Но многие пользователи предоставляют их добровольно, не подозревая, что после этого, скорее всего, не досчитаются денег на своём мобильном счёте. По данным Google, подобный вредоносный код содержался в 50 приложениях, которые были скачаны от 1 до 4,2 млн раз, прежде чем их удалили. Однако и тогда опасность не миновала: на просторах Play Маркета был обнаружен новый «штамм» вируса под названием ExpensiveWall, полученным в честь приложения Lovely Wallpaper, которое в числе прочих он использовал для заражения гаджетов. Вместе с обновлённой версией общее число загрузок вируса, согласно подсчётам CheckPoint, превысило 21 млн.

Обнаружен новый инструмент кибергруппировки Turla

Компания ESET сообщает об обнаружении ранее неизвестной вредоносной программы, которая используется в атаках на правительственные и дипломатические учреждения Европы и бывших союзных республик.

Речь идёт о киберпреступной программе под названием Turla. От действий злоумышленников пострадали пользователи в более чем 45 странах. Причём за этой масштабной атакой, предположительно, стоят русскоязычные организаторы.

Кибергруппа Turla специализируется на кибершпионаже. Хакеры используют широкий спектр инструментов, один из которых — обнаруженный бэкдор под названием Gazer.

Исследование показало, что зловред установлен на компьютерах в ряде стран мира, но преимущественно в Европе. Gazer получает задачи в зашифрованном виде с удалённого командного сервера и выполняет их в заражённой системе или на других машинах сети. В каждом образце Gazer предусмотрены уникальные ключи для шифрования и расшифровки отправляемых и получаемых данных. Авторы Gazer используют собственную библиотеку для шифрования 3DES и RSA, вместо общедоступных.

Любопытно, что злоумышленники применяют виртуальную файловую систему, чтобы избежать обнаружения вредоносной программы антивирусными продуктами. Это позволяет продолжать атаки даже в том случае, если на компьютере применяются современные средства обеспечения безопасности.

«Авторы Gazer проделали большую работу, чтобы избежать его детектирования. Для этого, в частности, предназначено удаление файлов из скомпрометированной системы и изменение строк кода», — говорят эксперты. 

Kaspersky Virus Hunters VR: борьба с вирусами в виртуальной реальности

«Лаборатория Касперского» представила довольно необычный для себя продукт — мобильную игру под названием Kaspersky Virus Hunters VR.

Это шутер в виртуальной реальности, посвящённый борьбе с вредоносными программами. Для работы потребуются VR-очки, такие как Gear VR или Google Cardboard.

По сюжету игрок находится внутри смартфона, который инфицирован различными вирусами. Они уничтожают всё на своём пути, пытаются стереть данные, контакты, SMS и даже поразить части самого устройства.

Единственная возможность спасти смартфон — проникнуть в лабиринт микросхем и сразиться со зловредами. Враги могут прятаться в любом уголке аппарата, а задача игрока заключается в том, чтобы нейтрализовать все угрозы.

«Во-первых, формат мобильных игр сейчас — наглядный и простой способ донести любую идею до пользователя, в том числе и о цифровых угрозах и способах борьбы с ними. Во-вторых, VR-игры — это рынок будущего. Сейчас он только формируется, и главная его проблема сегодня — отсутствие большого числа совместимых мобильных приложений. Стремясь быть инновационной компанией во всём, мы решили поэкспериментировать с VR-технологиями. И не исключено, что мы продолжим работу в таком формате», — заявляют в «Лаборатории Касперского».

Игру Kaspersky Virus Hunters VR можно скачать уже сейчас: она доступна в магазинах приложений Google Play и Oculus

Количество жертв программ-шифровальщиков быстро растёт

«Лаборатория Касперского» подсчитала, что количество пострадавших от программ-вымогателей за год увеличилось практически в два раза.

Схема работы зловредов-вымогателей сводится к следующему. Проникнув на устройство жертвы, вредоносная программа шифрует файлы распространённых форматов. Далее на экран выводится сообщение о проведённом кодировании, которое сопровождается предложением заплатить выкуп за восстановление доступа к данным. Как правило, злоумышленники требуют вознаграждение в криптовалюте.

Итак, по данным «Лаборатории Касперского»,  количество пострадавших от троянов, шифрующих файлы, выросло практически вдвое — с 718 536 в 2015–2016 годах до 1 152 299 в 2016–2017. При этом число пользователей, ставших жертвами всех программ-вымогателей, за тот же период выросло только на 11,4 %: с 2 315 931 до 2 581 026.

Лаборатория Касперского

Лаборатория Касперского

Эксперты отмечают, что всё чаще шифровальщики нацелены на финансовую и промышленную инфраструктуру. Причина такой тенденции очевидна: преступники считают целевые вредоносные атаки на организации гораздо более прибыльными, чем массовые атаки на рядовых пользователей. В таком случае целью киберпреступников становятся не только деньги компании, но и ценная информация, которую можно использовать для шантажа или саботажа.

Злоумышленники также активно осваивают новые территории. Например, Россия ранее входила в десятку государств, отличающихся наиболее интенсивным ростом количества инцидентов с программами-вымогателями, но по итогам отчётного периода уступила место таким странам, как Турция, Вьетнам и Япония. 

Пользователи портала госуслуг не пострадали от вредоносного кода

Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) прокомментировало ситуацию с появлением вредоносного кода на портале государственных услуг (gosuslugi.ru).

О возникшей проблеме мы рассказывали накануне. Компания «Доктор Веб» сообщила, что внедрённый на сайт вредоносный код заставляет браузер любого посетителя незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

Впрочем, за последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен, либо ответ не содержит вредоносного кода.

В Минкомсвязи посчитали  проблему несущественной. В ведомстве сообщили, что персональные данные пользователей портала госуслуг не пострадали в результате взлома ресурса.

«Оперативно проведены мероприятия по устранению потенциальной возможности нарушения конфиденциальности пользовательских данных портала госуслуг. Пользователям портала и их данным не было нанесено никакого ущерба, данные и компьютеры пользователей не пострадали», — сообщили в Минкомсвязи. 

Обнаружен сложный бекдор, задействованный в атаках шифраторов Petya и XData

Компания ESET опубликовала новую информацию об атаках опасного шифровальщика Petya (Diskcoder.C), который поразил компьютеры во многих странах по всему миру.

Как удалось выяснить, первыми жертвами зловреда стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчётности и документооборота. Злоумышленники получили доступ к серверу обновлений M.E.Doc и с его помощью направили пользователям вредоносные апдейты с автоматической установкой.

Теперь экспертам ESET удалось обнаружить очень сложный бекдор, задействованный в атаках шифратора Petya, а также XData. Оказалось, что этот зловред был скрытно встроен в один из модулей M.E.Doc. Специалисты полагают, что проделать такую работу можно только при наличии доступа к исходному коду программы документооборота.

Более того, выяснилось, что бекдор был интегрирован как минимум в три обновления M.E.Doc — от 14 апреля, 15 мая и 22 июня нынешнего года. Через несколько дней после выхода последнего из названных апдейтов и началась эпидемия Petya.

Бекдор позволяет загружать и выполнять в заражённой системе другое вредоносное ПО — именно так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и электронной почты, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.