Сегодня 19 января 2018
18+
CES 2018
Теги → доктор веб
Быстрый переход

В магазине Google Play обнаружены игры с троянским модулем

«Доктор Веб» предупреждает о появлении в магазине Google Play ряда игр для операционной системы Android, в состав которых интегрирован вредоносный компонент.

Сообщается, что в небезопасные приложения встроен троянский модуль, который незаметно скачивает и запускает дополнительные компоненты. Они могут выполнять различные функции — например, скрытно открывать те или иные сайты и «нажимать» на определённые элементы на этих страницах.

В процессе работы вредоносный модуль загружает с указанного управляющим сервером адреса скрипт, которому предоставляет возможность совершать различные действия на странице, в том числе симулировать клики по указанным скриптом элементам. Таким образом, если в задании трояна был переход по ссылкам или рекламным объявлениям, злоумышленники получают прибыль за накрутку счётчика посещений веб-страниц и нажатия на баннеры.

Теоретически на мобильное устройство жертвы могут также загружаться модули для демонстрации рекламы или отображения фишинговых окон с целью кражи логинов, паролей и другой конфиденциальной информации, скажем, данных банковских карт.

«Доктор Веб» отмечает, что троянский модуль обнаружен примерно в трёх десятках игр (перечень доступен здесь), которые были загружены пользователями Android в общей сложности более 4,5 млн раз. Специалисты уже проинформировали корпорацию Google о наличии троянского компонента в обнаруженных небезопасных приложениях. 

Модульный банковский троян атакует пользователей Windows

«Доктор Веб» предупреждает о появлении новой вредоносной программы, созданной с целью хищения средств с банковских счетов пользователей Интернета.

Зловред относится к семейству Trojan.Gozi, представители которого уже довольно длительное время «гуляют» по просторам Всемирной сети. Новый троян получил обозначение Trojan.Gozi.64: как и предшественники, он атакует компьютеры под управлением операционных систем Windows.

Особенность вредоносной программы заключается в том, что она полностью состоит из отдельных загружаемых плагинов. Модули скачиваются с управляющего сервера специальной библиотекой-загрузчиком, при этом протокол обмена данными использует шифрование. Зловред, в частности, может получать плагины для браузеров, с помощью которых выполняются веб-инжекты. Конфигурация этих веб-инжектов определяется целями злоумышленников.

Установлено, что троян может использовать плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, зловред получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате троян может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое — например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на заражённом компьютере, URL такого сайта в адресной строке браузера остаётся корректным, что может ввести пользователя в заблуждение.

Таким образом, троян позволяет киберпреступникам красть банковские данные, которые затем могут быть использованы для снятия средств жертвы. Дополнительно троян может фиксировать нажатия клавиш, воровать учётные данные из почтовых клиентов и выполнять другие функции. 

Новый бэкдор атакует Linux-системы

Компания «Доктор Веб» предупреждает о появлении новой вредоносной программы, нацеленной на компьютеры с операционными системами на ядре Linux.

Зловред получил обозначение Linux.BackDoor.Hook.1. Этот бэкдор обнаружен в библиотеке libz, которая используется некоторыми программами для функций сжатия и распаковки.

Linux.BackDoor.Hook.1 работает только с бинарными файлами, обеспечивающими обмен данными по протоколу SSH. При этом зловред не работает, если имя запускаемого файла совпадает с /usr/sbin/sshds.

Специалисты выделяют весьма необычный способ подключения злоумышленников к бэкдору: в отличие от других похожих программ, Linux.BackDoor.Hook.1 вместо текущего открытого сокета использует первый открытый сокет из 1024, а остальные 1023 закрывает.

В число функций зловреда входит возможность запускать приложения или подключаться к определённому удалённому узлу. Кроме того, бэкдор способен скачивать файлы, заданные в поступившей от злоумышленников команде. Протокол связи шифруется с использованием алгоритма RC4.

Более подробную информацию о вредоносной программе Linux.BackDoor.Hook.1 можно найти здесь

Приложения с трояном загрузили из Google Play миллионы пользователей

«Доктор Веб» предупреждает о появлении в магазине Google Play ряда приложений со встроенной троянской программой: от этого зловреда могли пострадать миллионы пользователей Android по всему миру.

Троян носит обозначение Android.RemoteCode.106.origin. Он внедрён как минимум в девять приложений, с перечнем которых можно ознакомиться ниже.

После попадания на мобильное устройство зловред выполняет ряд проверок. Если на смартфоне или планшете отсутствует определённое количество фотографий, контактов в телефонной книге и записей о звонках в журнале вызовов, троян никак себя не проявляет. В противном случае программа пытается связаться с управляющим сервером и приступает к работе.

Основным предназначением вредоносной программы является загрузка и запуск дополнительных модулей, которые используются для накрутки счётчика посещений веб-сайтов, а также для перехода по рекламным объявлениям. Это приносит злоумышленникам определённый доход.

Кроме того, троян может использоваться для проведения фишинговых атак и кражи конфиденциальной информации.

По различным оценкам, инфицированные приложения могли загрузить в общей сложности от 2,4 до 11,7 млн раз. Компания Google уже проинформирована о проблеме, однако полностью она пока не устранена. К тому же ничто не мешает злоумышленникам интегрировать вредоносный код в другие программы. Перечень обнаруженных заражённых приложений выглядит следующим образом:

  • Sweet Bakery Match 3 — Swap and Connect 3 Cakes версии 3.0;
  • Bible Trivia версии 1.8;
  • Bible Trivia – FREE версии 2.4;
  • Fast Cleaner light версии 1.0;
  • Make Money 1.9;
  • Band Game: Piano, Guitar, Drum версии 1.47;
  • Cartoon Racoon Match 3 — Robbery Gem Puzzle 2017 версии 1.0.2;
  • Easy Backup & Restore версии 4.9.15;
  • Learn to Sing версии 1.2.  

Новый Windows-троян написан на языке Python

Компания «Доктор Веб» обнаружила новую вредоносную программу с функциями бекдора, атакующую компьютеры под управлением операционных систем Windows.

Главная особенность зловреда, получившего обозначение Python.BackDoor.33, заключается в том, что он написан на высокоуровневом языке программирования Python. Внутри файла трояна хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы.

После проникновения на ПК вредоносная программа сохраняет свою копию в одной из папок на накопителе, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции выполняются после перезагрузки системы.

В частности, зловред пытается инфицировать все подключенные к компьютеру накопители с именами от C до Z. Далее программа пытается связаться с управляющим сервером в Интернете: если это удаётся сделать, троян загружает и запускает на инфицированном устройстве сценарий на языке Python, который предназначен для кражи паролей, перехвата нажатия клавиш и удалённого выполнения команд.

Зловред способен красть информацию из популярных браузеров, делать снимки экрана, загружать дополнительные модули на Python и исполнять их, скачивать файлы и сохранять их на носителе инфицированного устройства, запрашивать информацию о системе и пр. 

Dr.Web Light 11.0.0 для macOS использует новую концепцию

Компания «Доктор Веб» объявила о выпуске антивирусного продукта Dr.Web Light 11.0.0 для macOS, в котором реализовано значительное количество изменений и улучшений.

Сообщается, что решение переведено на полностью новую концепцию. В частности, на смену главному окну пришёл единый агент, гармонично расширяющий функциональность операционной системы, не выходя за пределы меню состояния.

В одиннадцатой версии продукта оптимизирована работа всех подсистем. В результате, повысилась эффективность работы и уменьшилась нагрузка на аппаратную часть устройства.

Решение защищает компьютер от вирусов и вредоносных объектов с помощью наиболее современных технологий Dr.Web. Встроенный сканер поможет проверить систему и обезвредить найденные угрозы. Защиту от ещё неизвестных вирусов обеспечит эвристический анализатор.

В то же время, как отмечается, пакет имеет ограниченные возможности по сравнению с полной версией Dr.Web для macOS. Дело в том, что отсутствуют полноценный файловый монитор и возможность лечения многих видов угроз, поскольку приложение не поддерживает работу с правами суперпользователя.

С выходом Dr.Web Light 11.0.0 для macOS прекращена поддержка устройств под управлением macOS версий 10.7 и 10.8. Для обновления Dr.Web Light для macOS до редакции 11.0.0 необходимо открыть магазин приложений Mac App Store и на вкладке обновлений нажать на кнопку Update рядом с названием продукта. 

Спам от «умных» устройств: новая угроза Интернета вещей

Компания «Доктор Веб» обнаружила новую угрозу, исходящую от устройств Интернета вещей (IoT): мусорные рассылки по электронной почте.

Концепция IoT стремительно набирает популярность. По оценкам, в мире сейчас насчитывается более 6 миллиардов «умных» устройств с сетевым подключением. Само собой, это не могло остаться без внимания со стороны киберпреступников.

Как показало проведённое специалистами «Доктор Веб» исследование, злоумышленники начали использовать инфицированные IoT-устройства для рассылки спама. Для заражения применяется вредоносная программа Linux.ProxyM, нацеленная на платформу Linux. Этот троян запускает на инфицированном устройстве SOCKS-прокси-сервер. Зловред способен детектировать так называемые «ханипоты» — специальные ресурсы, созданные исследователями вредоносных программ в качестве приманки для злоумышленников.

Существуют сборки трояна для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Иными словами, зловред работоспособен практически на любом устройстве под управлением Linux. Это могут быть, скажем, IP-камеры, роутеры, телевизионные приставки и пр.

Для рассылки почтового мусора троян получает от управляющего сервера команду, содержащую адрес SMTP-сервера, логин и пароль для доступа к нему, список почтовых адресов и сам шаблон сообщения. В спам-письмах рекламируются различные сайты категории «для взрослых». Анализ показывает, что в среднем в течение суток каждое заражённое зловредом устройство рассылает около 400 сообщений. 

Новый троян-майнер нацелен на платформу Linux

«Доктор Веб» предупреждает о появлении новой вредоносной программы, главной задачей которой является использование вычислительных ресурсов инфицированных компьютеров для добычи криптовалют.

Обнаруженный зловред атакует системы под управлением Linux: майнер получил обозначение Linux.BtcMine.26. Программа предназначена для добычи Monero (XMR) — криптовалюты, созданной в 2014 году.

Схема распространения зловреда сводится к следующему. Злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нём программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троян Linux.BtcMine.26.

Любопытно, что в коде загрузчика несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. С чем это связано, пока не совсем ясно.

В настоящее время известны сборки вредоносной программы для аппаратных архитектур x86-64 и ARM. Характерными признаками присутствия майнера могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы. 

В прошивке ряда Android-устройств обнаружен троян, заражающий процессы приложений

«Доктор Веб» предупреждает о том, что в прошивках ряда доступных на рынке мобильных устройств присутствует довольно опасная вредоносная программа, способная инфицировать процессы приложений.

Зловред получил обозначение Android.Triada.231. Трояны этого семейства внедряются в системный процесс компонента Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря этому зловреды проникают в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое.

Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Причём, как отмечает «Доктор Веб», внедрение произведено на уровне исходного кода. Иными словами, к заражению причастны инсайдеры или недобросовестные партнёры, которые участвовали в создании прошивок заражённых мобильных устройств.

Зловред получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Главной задачей трояна является незаметная загрузка и запуск других вредоносных модулей. Это могут быть, скажем, плагины для кражи конфиденциальной информации из банковских приложений, модули для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Ситуация усугубляется тем, что удалить вредоносную программу стандартными методами невозможно, поскольку она интегрирована в одну из библиотек операционной системы и расположена в системном разделе. Поэтому требуется установка заведомо безопасной прошивки.

Подробнее о проблеме можно узнать здесь

Опасный банковский троян получает контроль над Android-устройствами

«Доктор Веб» предупреждает о появлении опасной вредоносной программы, атакующей владельцев мобильных устройств на базе операционных систем семейства Android.

Зловред Android.BankBot.211.origin — это банковский троян, угрожающий пользователям десятков стран по всему миру. Программа распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После проникновения на устройство жертвы зловред пытается получить доступ к специальным возможностям (Accessibility Service). Для этого троян показывает окно с запросом, которое при каждом его закрытии появляется вновь и не даёт работать с устройством.

Режим специальных возможностей упрощает работу со смартфонами и планшетами на базе Android. Он применяется в том числе для помощи пользователям с ограниченными возможностями: этот режим позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню.

В случае Android.BankBot.211.origin режим специальных возможностей эксплуатируется для выполнения вредоносных действий. Так, троян добавляет себя в список администраторов устройства, устанавливает менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана.

Зловред крадёт конфиденциальную информацию клиентов кредитно-финансовых организаций. Так, троян способен показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ, а также отображать фишинговое окно настроек платёжного сервиса с запросом ввода информации. Свои действия вредоносная программа согласует с управляющим сервером. 

«Доктор Веб»: портал госуслуг РФ содержит вредоносный код

«Доктор Веб» сообщает о том, что на портале государственных услуг Российской Федерации (gosuslugi.ru) зафиксировано наличие потенциально вредоносного программного кода.

Сообщается, что дату и время взлома ресурса пока определить не удаётся. Более того, администрация сайта на запросы компании «Доктор Веб» не реагирует.

Иными словами, посетители портала госуслуг РФ рискуют стать жертвами сетевых мошенников.  Вредоносный код заставляет браузер любого пользователя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

«В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя», — пишет «Доктор Веб».

Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки: «site:gosuslugi.ru "A1996667054"».

Важно отметить, что на момент написания этого материала портал госуслуг РФ, по данным «Доктора Веба», не предпринял мер по устранению проблемы. Администрации сайта и компетентным органам рекомендуется осуществить проверку безопасности ресурса. Более подробно о проблеме можно узнать здесь

Игру с трояном загрузили из магазина Google Play более 1 млн пользователей

«Доктор Веб» обнаружил в магазине Google Play игру со встроенным трояном-загрузчиком: программа способна скачивать на мобильное устройство, устанавливать и запускать те или иные модули.

Вредоносное приложение — Android.DownLoader.558.origin — интегрировано в популярную игру BlazBlue RR - Real Action Game. Её загрузили уже более 1 млн владельцев смартфонов и планшетов под управлением операционных систем Android.

Троян является частью специализированного SDK-комплекта под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ. Этот инструмент позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета.

Однако, отмечает «Доктор Веб», платформа Excelliance работает как троян-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play.

Зловред начинает работу при первом старте игры, в которую он встроен. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает заражённое приложение.

Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек программа может загружать различные компоненты: это apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. При наличии root-доступа возможна скрытная установка apk-файлов. Таким образом, злоумышленники имеют возможность распространять рекламные модули, сторонние программы и другие троянские компоненты. 

Новый троян-майнер атакует пользователей Windows-компьютеров

«Доктор Веб» сообщает о распространении новой вредоносной программы, предназначенной для добычи криптовалюты — майнинга.

Зловред получил обозначение Trojan.BtcMine.1259. Он атакует компьютеры под управлением операционных систем Windows.

Основное предназначение трояна — использование вычислительных ресурсов инфицированного устройства для добычи криптовалюты Monero (XMR). Кроме того, вредоносная программа устанавливает в систему компонент Gh0st RAT с функциональностью бэкдора.

Сразу после старта троян проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удалённого администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT.

Основной модуль, предназначенный для добычи криптовалюты Monero, также реализован в виде библиотеки. Причём вредоносная программа может задействовать как 32-разрядную, так и 64-разрядную версию модуля для добычи криптовалюты.

Зловред способен использовать определённое количество ядер и вычислительных ресурсов. При этом троян отслеживает работающие на заражённом компьютере процессы и при попытке запустить диспетчер задач завершает свою работу. 

Анатомия WannaCry: анализ опасного шифровальщика

«Доктор Веб» обнародовал предварительные результаты анализа вредоносной программы WannaCry, поразившей компьютеры под управлением Windows по всему миру.

Напомним, что в пятницу, 12 мая, была зафиксирована масштабная атака вымогателя. Зловред кодирует файлы распространённых форматов и требует выкуп в размере до 600 долларов США в биткоинах. Причём WannaCry использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Как сообщает «Доктор Веб», WannaCry — это сетевой червь, способный заражать Windows-компьютеры без участия пользователя. Зловред атакует все системы в локальной сети, а также удалённые интернет-узлы со случайными IP-адресами, пытаясь установить соединение с портом 445.

Вредоносная программа состоит из нескольких компонентов. После запуска троян регистрирует себя в качестве системной службы с именем mssecsvc2.0. Далее червь начинает опрашивать узлы, доступные в локальной сети заражённого ПК, а также компьютеры в Интернете. В случае успешного соединения зловред предпринимает попытку заразить эти компьютеры с использованием уязвимости в протоколе SMB.

В состав WannaCry входит дроппер — компонент, предназначенный для установки в операционную систему вредоносного исполняемого файла. В случае WannaCry дроппер содержит большой защищённый паролем ZIP-архив, в котором хранится зашифрованный файл с трояном-энкодером, обои рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приёма биткойнов, а также архив с программами для работы в сети Tor. Основная задача дроппера — сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.

Собственно энкодер WannaCry шифрует файлы со случайным ключом. Троян содержит в себе авторский декодер, который удаляет на заражённом компьютере теневые копии и отключает функцию восстановления системы. Декодер позволяет расшифровать несколько тестовых файлов — приватный ключ, необходимый для их расшифровки, хранится в одном из компонентов вредоносной программы. «Однако расшифровка тестовых и всех остальных файлов выполняется с использованием разных ключей. Следовательно, никаких гарантий успешного восстановления повреждённых шифровальщиком данных даже в случае оплаты выкупа не существует», — говорит «Доктор Веб».

Более подробно с результатами исследования можно ознакомиться здесь

Вышел антивирус Dr.Web Light 10.0 для Android

«Доктор Веб» сообщил о доступности решения Dr.Web Light 10.0 для Android, которое обеспечивает базовую защиту мобильных устройств от угроз в киберпространстве.

Бесплатный антивирус Dr.Web Light обеспечивает возможность быстрого или полного сканирования файловой системы, а также проверку сканером отдельных файлов и папок по запросу пользователя. Благодаря технологии Origins Tracing обеспечивается детектирование новых неизвестных вредоносных программ.

Десятая версия Dr.Web Light для Android подверглась существенным усовершенствованиям с точки зрения как интерфейса, так и функциональных возможностей. В частности, теперь программа обладает единым окном событий, где собраны все уведомления о возникающих угрозах.

Решение получило новый антивирусный «движок»; улучшено детектирование вредоносных объектов. Для локализации возникающих проблем добавлена система сбора и записи дополнительной информации.

Немаловажным изменением является добавление поддержки операционной системы Android версии 7.1.

Для пользователей Dr.Web Light для Android обновление до версии 10.0 пройдёт автоматически. Загрузить бесплатный антивирус можно из онлайнового магазина Google Play