«Доктор Веб» предупреждает о появлении в магазине Google Play ряда игр и приложений с внедрённой вредоносной программой Android.RemoteCode.152.origin. Сообщается, что от зловреда могли пострадать миллионы пользователей.

После проникновения на смартфон или планшет жертвы троян незаметно скачивает и запускает дополнительные модули, включая рекламные плагины. С их помощью вредоносная программа загружает невидимые объявления и нажимает на них. В результате, злоумышленники получают определённое денежное вознаграждение.

Кроме того, зловред поддерживает работу с мобильной маркетинговой сетью AppLovin, через которую также загружает рекламные объявления для получения дополнительного дохода.

Нужно отметить, что после первого запуска инфицированного приложения троян автоматически начинает работу через определённые интервалы времени и самостоятельно активируется после каждой перезагрузки мобильного устройства. Таким образом, для работы зловреда не требуется, чтобы владелец смартфона или планшета постоянно использовал изначально заражённую программу.

На сегодняшний день приложения с трояном были загружены из магазина Google Play в общей сложности более 6,5 млн раз. «Доктор Веб» уже передал в Google сведения об этих программах. 

«Доктор Веб» предупреждает о появлении новой вредоносной программы, которая атакует пользователей операционных систем Windows с целью наживы.

Зловред получил обозначение Trojan.Encoder.25129. Это троян-шифровальщик, кодирующий данные на инфицированном компьютере. Увы, из-за ошибки вирусописателей восстановление повреждённых шифровальщиком файлов в большинстве случаев невозможно.

После проникновения на ПК зловред проверяет географическое расположение пользователя по IP-адресу. По задумке злоумышленников, троян не должен кодировать файлы, если компьютер расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде программа шифрует файлы вне зависимости от географической принадлежности IP-адреса.

Троян кодирует содержимое папок текущего пользователя, рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron.

За восстановление доступа к файлам злоумышленники требуют выкуп в криптовалюте — биткоинах. Но, даже заплатив деньги, что категорически не рекомендуется, жертвы зловреда не смогут вернуть свои данные. 

«Доктор Веб» предупреждает о том, что сетевые злоумышленники используют популярный видеохостинг YouTube с целью распространения опасной вредоносной программы, инфицирующей компьютеры под управлением операционных систем Windows.

Зловред, получивший обозначение Trojan.PWS.Stealer.23012, написан на языке Python. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр с применением специальных приложений. Как раз за такие программы и другие полезные утилиты злоумышленники и выдают трояна.

При попытке перейти по указанной ссылке на компьютер жертвы загружается самораспаковывающийся RAR-архив с вредоносным кодом. После его запуска происходит инфицирование ПК, и зловред приступает к работе.

Главной задачей трояна является сбор конфиденциальной информации. Вредоносная программа похищает сохранённые логины/пароли из браузеров, копирует файлы с рабочего стола, делает снимки экрана.

Полученная таким образом информация упаковывается в архив spam.zip, который вместе с данными о расположении заражённого устройства отправляется на сервер злоумышленников. В результате, преступники могут получить доступ к учётным записям жертвы в социальных сетях и различных веб-сервисах, а также завладеть сведениями персонального характера. 

«Доктор Веб» предупреждает о появлении новой вредоносной программы, атакующей пользователей мобильных устройств под управлением операционной системы Android.

Зловред, получивший название Android.BankBot.344.origin, представляет угрозу для клиентов российских банков. Троян замаскирован под приложение, якобы предоставляющее онлайн-доступ к финансовым услугам сразу нескольких кредитных организаций. Однако на деле программа имеет совершенно иную функциональность.

После установки на смартфон или планшет зловред предлагает пользователям либо войти в уже существующую учётную запись мобильного банкинга, используя имеющиеся логин и пароль, либо зарегистрироваться, введя информацию о банковской карте. Полученные данные сразу же передаются злоумышленникам, что позволяет им украсть деньги обманутых владельцев мобильных устройств.

Троян способен перехватывать входящие SMS. Таким образом, жертва даже не подозревает, что у неё снимают деньги, даже если подключена функция SMS-оповещений о списаниях.

Зловред был обнаружен в приложении «ВСЕБАНКИ — Все банки в одном месте», которое распространялось через магазин Google Play. Сейчас это приложение удалено, но ничто не мешает злоумышленникам интегрировать вредоносный код в другие программы. 

Исследователь безопасности Скотт Гельм (Scott Helme) обнаружил 4275 легитимных сайтов, многие из которых принадлежат правительственным службам и агентствам, на которых при этом работают теневые веб-скрипты, использующие компьютеры посетителей для добычи криптовалют.

Источником столь широкой проблемы стал модуль BrowseAloud, встроенный во все поражённые сайты. Он может озвучивать текст и призван сделать веб-ресурсы более доступными для тех, кто страдает нарушением зрения или сталкивается с другими сложностями в восприятии информации. Именно правительственные сайты обязаны предоставлять подобную функциональность, чтобы обеспечить доступ максимально широкому кругу лиц.

При этом ни владельцы затронутых сайтов, ни компания TextHelp — разработчик модуля BrowseAloud — не несут прямой ответственности за внедрение вредоносного кода. Это произошло в воскресенье 11 февраля по вине третьей стороны, модифицировавшей BrowseAloud для скрытного внедрения криптовалютного кода CoinHive. В настоящее время TextHelp приостановила работу плагина до устранения проблем безопасности.

Случаи внедрения подобного рода кода, задействующего мощности большого количества компьютеров посредством веб-браузера, довольно распространены, но характерна для сомнительного рода ресурсов вроде бесплатных или поддельных файлохранилищ. Такой вид фонового заработка для владельцев сайтов часто более приемлем, чем демонстрация навязчивой рекламы, отталкивающей посетителей. При этом использование веб-скриптов, исполняющихся на центральном процессоре, является, пожалуй, наименее эффективным способом добычи криптовалют, особенно нежелательным для мобильных устройств, которые будут быстро разряжаться и греться.

Появление подобного рода зловредов на сайтах с максимальным уровнем доверия является прецедентом, требующим обратить более серьёзное внимание на вопросы безопасности в Интернете, особенно связанные с использованием готовых сторонних модулей. К счастью, в данном случае исследователи безопасности быстро выявили проблему.

Скотт Гельм рекомендует владельцам сайтов использовать инструменты SRI и CSP, чтобы избежать подобного рода внедрений нежелательного кода. Рядовые же пользователи могут установить плагин No Coin для браузеров Firefox, Chrome. С недавних пор мобильная и настольная версии Opera имеют встроенную защиту от добычи криптовалют.

«Доктор Веб» сообщает о появлении новой вредоносной программы, главной задачей которой является скрытый майнинг криптовалют.

Зловред получил обозначение Android.CoinMine.15, но он известен также как ADB.miner. Заражению подвержены Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB). В ОС Android отладчик ADB по умолчанию отключен, однако некоторые производители всё же оставляют его включенным. Кроме того, ADB по каким-либо причинам может быть включен самим пользователем.

Сообщается, что под ударом оказались не только смартфоны и планшеты, но и «умные» телевизоры, телевизионные приставки, роутеры, медиаплееры и ресиверы.

В процессе работы зловред в непрерывном цикле случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. В случае успеха троян предпринимает попытку заразить обнаруженное устройство с использованием интерфейса отладчика ADB. В отдельном потоке Android.CoinMine.15 запускает приложение-майнер.

Таким образом, вредоносная программа способна распространяться самостоятельно — без участия пользователя. Майнинговая функциональность зловреда может привести к заметному снижению быстродействия устройства, его нагреву, а также быстрому расходованию ресурса аккумулятора.

Более подробную информацию о вредоносной программе можно найти здесь. 

Компания ESET раскрыла новую схему атак на рабочие станции, которую практикует нашумевшая кибергруппировка Turla.

За кибершпионской кампанией Turla, предположительно, стоят русскоязычные организаторы. От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, а также фармацевтические компании. Причём участники Turla используют широкий спектр инструментов.

Как теперь показало исследование ESET, хакеры Turla объединили в пакет собственный бэкдор и программу-установщик Adobe Flash Player, а также внедрили специальные техники, чтобы домены и IP-адреса загрузки поддельного софта внешне напоминали легитимную инфраструктуру Adobe.

Такой приём вводит потенциальную жертву в заблуждение: у пользователя создаётся впечатление, что он загружает подлинное ПО с сайта adobe.com, хотя это не соответствует действительности — подмена легитимного установщика вредоносным производится на одном из этапов пути от серверов Adobe к рабочей станции.

После запуска поддельного инсталлятора Flash Player на компьютер жертвы будет установлен один из бэкдоров группы Turla. Далее злоумышленники извлекают уникальный идентификатор скомпрометированной машины, имя пользователя, список установленных продуктов безопасности и ARP-таблицу. На финальной стадии процесса поддельный инсталлятор загружает и запускает легитимное приложение Flash Player.

Подобная схема применяется в атаках, нацеленных на сотрудников посольств и консульств. Более подробно об исследовании можно узнать здесь. 

Русскоязычная кибергруппировка Fancy Bear продолжает активную деятельность, о чём свидетельствуют данные, собранные специалистами компании ESET.

Команда Fancy Bear также известна под именами Sofacy, Sednit, STRONTIUM и APT28. Она действует как минимум с 2004 года. Этим злоумышленникам приписывают атаки на Национальный комитет Демократической партии США, парламент Германии и французский телеканал TV5 Monde, а также взлом базы данных допингового агентства WADA.

Группировка проводит атаки с использованием сложных инструментов. Некоторые из них обладают свойством взаимозаменяемости: это означает, что компьютер жертвы заражается несколькими вредоносными программами, одна из которых может восстановить остальные в случае их блокировки или удаления средствами защиты.

Fancy Bear используют в атаках фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплойтов. Идентифицировав интересную цель, группа развёртывает на скомпрометированном устройстве набор программ для шпионажа, обеспечивающих долгосрочный доступ к данным жертвы.

Один из инструментов Fancy Bear — качественно спроектированный бэкдор Xagent с модульной архитектурой. Он совместим со всеми распространёнными программными платформами, включая Windows, macOS, Linux и Android.

В уходящем году специалисты ESET обнаружили новую версию Xagent для Windows. Вредоносная программа использует новые методы обфускации данных и алгоритм генерации доменов (DGA), что усложняет работу специалистов по безопасности. Развитие данного вредоносного инструмента свидетельствует о том, что группа готовит новые атаки на государственные учреждения по всему миру. Специалисты полагают, что Fancy Bear снова громко заявит о себе в 2018 году. 

Компания ESET сообщает о том, что специалистам по вопросам кибербезопасности удалось ликвидировать сеть ботнетов Gamarue (Andromeda), которая действовала с 2011 года.

В операции, которая стартовала 29 ноября, приняли участие ФБР, Интерпол и Европол, специалисты ряда компаний, включая ESET и Microsoft, и другие структуры. При этом началу активных действий предшествовала длительная и всесторонняя подготовка, в ходе которой эксперты следили за деятельностью Gamarue, идентифицировали серверы и анализировали применяемые злоумышленниками вредоносные инструменты.

Семейство зловредов Gamarue предназначено для кражи учётных данных, загрузки и выполнения в заражённых системах других вредоносных программ. При этом организаторы атак могут менять функциональность, внедряя дополнительные модули. Это могут быть, скажем, компоненты для перехвата данных в веб-формах или инструменты для удалённого управления системой.

Зловреды Gamarue продавались на киберпреступном рынке, из-за чего за годы существования вредоносного семейства появились сотни независимых ботнетов. Операторы Gamarue использовали для его распространения разные способы: социальные сети, мессенджеры, съёмные носители, спам-рассылки, наборы эксплойтов.

В рамках проекта ликвидации была обезврежена сеть из 464 отдельных ботнетов, заражавшая более 1,1 млн компьютеров ежемесячно. Нейтрализована инфраструктура ботнета — 1214 доменов и IP-адресов, которые использовались операторами в качестве серверов управления и контроля. Таким образом, можно с уверенностью сказать, что инфраструктура Gamarue повержена. 

Евгений Касперский рассказал о развитии информационных угроз в уходящем году: количество вредоносных программ стремительно растёт, а сложность кибератак повышается.

По словам господина Касперского, по итогам 2017 года во всём мире появится свыше 90 млн зловредов. На данный момент в глобальном масштабе насчитывается в общей сложности 500 млн «уникальных вирусных файлов». Ежедневно «Лаборатория Касперского» фиксирует свыше 300 тысяч новых вирусов.

«20 лет назад, когда я только создал свою компанию, то есть в 1997 году, мы зафиксировали всего 500 вредоносных программ, через десять лет, в 2007 году, наша коллекция уже пополнилась более чем 2 млн образцов компьютерных вирусов, прежде не имевших прецедента. В 2017 году мы ожидаем насчитать свыше 90 млн новых образцов, и это всего за один год», — приводит ТАСС слова Евгения Касперского.

Растущая информатизация бизнес-процессов предоставляет злоумышленникам множество возможностей для атак. Целевые атаки при этом становятся всё сложнее: преступники учатся эффективнее использовать уязвимые места, незамеченными проникая в корпоративные сети.

Наряду с банковскими троянами, вымогателями и прочими угрозами, которые можно без тени сомнения отнести к вредоносному ПО, пользователям приходится иметь дело с многочисленными пограничными приложениями: рекламными ботами и модулями, партнёрскими программами и прочим нежелательным софтом.

В этом году заметно выросла популярность майнеров криптовалюты. В 2013 году продукты «Лаборатории Касперского» заблокировали попытки установки майнеров на 205 тыс. компьютеров. В 2014 году это число выросло до 701 тыс., а за 8 месяцев 2017 года достигло 1,65 млн. 

Компания Group-IB предупреждает о новой волне атак мобильных троянов, замаскированных под приложения ведущих российских банков.

Специалисты зафиксировали массированную атаку на пользователей устройств под управлением операционной системы Android. Анализ показал, что вредоносные программы распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах. Ситуация ухудшается тем, что интенсивность нападений постоянно растёт.

Схема внедрения зловредов на мобильные аппараты россиян сводится к следующему. После ввода в поисковике запроса вида «скачать приложение банка ХХХ» в результатах отображаются ссылки на специально сформированные веб-страницы, через которые распространяются трояны, замаскированные под запрашиваемые банковские приложения.

«Качество приложений-подделок, как по дизайну, так и по механике заражения постоянно растёт, что сбивает с толку многих пользователей, не обращающих внимание на критичные детали: название домена, переадресацию на сторонний ресурс и др.», — говорят специалисты.

После проникновения на смартфон фальшивое банковское приложение запрашивает ряд разрешений, в том числе на чтение и отправку SMS. Далее запрашиваются логин и пароль от личного кабинета и реквизиты платёжной карты. В результате, в руках злоумышленников оказывается персональная информация, необходимая для хищения средств. Причём жертва даже не подозревает об осуществляемых транзакциях, поскольку SMS-уведомления перехватываются трояном. 

«Доктор Веб» предупреждает о появлении новой вредоносной программы, созданной с целью хищения средств с банковских счетов пользователей Интернета.

Зловред относится к семейству Trojan.Gozi, представители которого уже довольно длительное время «гуляют» по просторам Всемирной сети. Новый троян получил обозначение Trojan.Gozi.64: как и предшественники, он атакует компьютеры под управлением операционных систем Windows.

Особенность вредоносной программы заключается в том, что она полностью состоит из отдельных загружаемых плагинов. Модули скачиваются с управляющего сервера специальной библиотекой-загрузчиком, при этом протокол обмена данными использует шифрование. Зловред, в частности, может получать плагины для браузеров, с помощью которых выполняются веб-инжекты. Конфигурация этих веб-инжектов определяется целями злоумышленников.

Установлено, что троян может использовать плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, зловред получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате троян может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое — например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на заражённом компьютере, URL такого сайта в адресной строке браузера остаётся корректным, что может ввести пользователя в заблуждение.

Таким образом, троян позволяет киберпреступникам красть банковские данные, которые затем могут быть использованы для снятия средств жертвы. Дополнительно троян может фиксировать нажатия клавиш, воровать учётные данные из почтовых клиентов и выполнять другие функции. 

Компания ESET предупреждает о новой волне нападений на пользователей устройств под управлением мобильной операционной системы Android.

Схема атаки предусматривает внедрение в магазин Google Play троянов-загрузчиков, замаскированных под легитимные приложения. Чтобы избежать обнаружения, вредоносные программы используют весьма сложную структуру: она включает многоступенчатую архитектуру, шифрование и продвинутые механизмы маскировки.

Зловреды могут легко ввести в заблуждение своих жертв. Дело в том, что после попадания на устройство приложения не запрашивают дополнительные права и выполняют ожидаемые действия. Вредоносная активность остаётся невидимой для пользователя и осуществляется в несколько этапов.

В частности, сначала в фоновом режиме производится расшифровка и выполнение двух компонентов, входящих в состав зловреда. Далее выполняется скрытная загрузка дополнительного компонента под видом популярного приложения, например, Adobe Flash Player. Данный компонент предназначен для расшифровки, наделения необходимыми правами и выполнения основного модуля: это может быть банковский троян, шпион и пр.

Таким образом, вредоносная программа позволяет заражать мобильные устройства любым зловредом на выбор атакующих. В Google Play обнаружены как минимум восемь опасных приложений: сейчас они удалены, но нет гарантий, что вредоносный код не встроен в другие доступные продукты. К тому же злоумышленники могут повторить атаку на Google Play. 

«Лаборатория Касперского» рассказала о развитии киберугроз в мобильном сегменте в третьем квартале нынешнего года.

Сообщается, что по сравнению со второй четвертью 2017-го количество вредоносных установочных пакетов, нацеленных на смартфоны и планшеты, увеличилось в 1,2 раза. Страной с самым большим процентом атакованных мобильных пользователей в третьем квартале остался Иран (35,12 %) — эту позицию он занимает с начала года. На второй и третьей строках находятся Бангладеш (28,3 %) и Китай (27,38 %), только они поменялись местами по сравнению с предыдущим кварталом. Россия в рейтинге находится на 35 месте (8,68 %).

С конца прошлого года наблюдается снижение числа установочных пакетов мобильных банковских троянов. Так, в прошлом квартале их количество сократилось в 1,4 раза по сравнению со второй четвертью текущего года. При этом Россия продолжает лидировать по интенсивности атак зловредов данного типа.

География мобильных банковских угроз в третьем квартале 2017 года (процент атакованных пользователей)

Наблюдается также сокращение числа установочных пакетов мобильных троянов-вымогателей. В течение минувшего квартала их число уменьшилось практически в два раза. Чаще всего мобильные вымогатели атакуют пользователей в Соединённых Штатах.

В третьем квартале отмечен рост активности мобильных вредоносных программ, крадущих деньги пользователей посредством подписок. Такие зловреды могут посещать сайты, позволяющие оплачивать услуги средствами со счёта мобильного телефона пользователя.

Традиционно львиная доля атак в мобильном сегменте направлена на владельцев устройств под управлением операционных систем Android. Более подробно об исследовании можно узнать здесь. 

В минувший вторник, 24 октября, в России была зафиксирована масштабная атака шифровальщика BadRabbit, от которого пострадали средства массовой информации (СМИ), различные компании и рядовые пользователи. После предварительного анализа зловреда специалисты по вопросам информационной безопасности поделились первыми выводами.

Как ранее сообщала «Лаборатория Касперского», атака направлена прежде всего на корпоративные сети. За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу составляет около $280, или примерно 16 тыс. рублей.

По данным вирусной лаборатории ESET, атакам BadRabbit (Diskcoder.D) подверглись СМИ, транспортные компании и государственные учреждения. «Система телеметрии ESET в настоящее время фиксирует сотни атак Diskcoder.D. Большинство срабатываний антивирусных продуктов ESET приходится на Россию и Украину, затронуты также Турция, Болгария и некоторые другие страны», — говорится в сообщении.

«Лаборатория Касперского» уже высказывала предположения, что атака BadRabbit может быть связана с киберкампанией ExPetr (она же Petya или NotPetya). Теперь эту информацию подтверждают специалисты Group-IB. В частности, установлено, что BadRabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код BadRabbit включает в себя части, полностью повторяющие NotPetya.

Экспертами Group-IB установлено, что вредоносная программа распространялась с помощью веб-трафика со взломанных интернет-ресурсов. На таких сайтах в HTML-код был загружен JavaScript-инжект, который демонстрировал посетителям поддельное окно, предлагающее установить обновление плеера Adobe Flash. В случае согласия происходила загрузка и запуск вредоносного файла.

BadRabbit имеет модуль распространения с использованием протокола SMB. Установлено также, что в атаке используется программа Mimikatz, которая перехватывает на заражённой машине логины и пароли.

Для защиты от BadRabbit эксперты рекомендуют создать файл C:\windows\infpub.dat и задать для него атрибут «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы. Разумеется, нельзя пренебрегаться антивирусными средствами и обновлением операционной системы, а также инструментов безопасности.

Некоторые дополнительные подробности о киберкампании BadRabbit можно найти здесь.