Сегодня 14 декабря 2017
18+
Теги → троян
Быстрый переход

Мобильный банковский троян атакует пользователей Google Play

Компания ESET предупреждает о том, что сетевые злоумышленники организовали новую атаку на пользователей Android, загружающих полезные приложения и игры через магазин Google Play.

Сообщается, что преступники разместили в Google Play ряд программ и утилит для скрытой загрузки на смартфоны и планшеты жертв мобильного банковского трояна. Речь идёт о зловреде BankBot.

В частности, в Google Play выявлены приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями. Кроме того, обнаружены опасные приложения для игры в пасьянс и софт для очистки памяти устройства.

После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна — его установочный пакет замаскирован под обновление Google Play.

Для кражи банковских реквизитов зловред отображает поддельные формы для ввода логина и пароля при запуске пользователем легитимного банковского приложения. Похищенные сведения отсылаются злоумышленникам, что позволяет им опустошать счета жертв.

О том, сколько пользователей Google Play пострадали от действий преступников, не сообщается. Но ESET отмечает, что приложения с вредоносными функциями могут расходиться многими тысячами копий, прежде чем администрация Google Play удаляет такие программы. 

Модульный банковский троян атакует пользователей Windows

«Доктор Веб» предупреждает о появлении новой вредоносной программы, созданной с целью хищения средств с банковских счетов пользователей Интернета.

Зловред относится к семейству Trojan.Gozi, представители которого уже довольно длительное время «гуляют» по просторам Всемирной сети. Новый троян получил обозначение Trojan.Gozi.64: как и предшественники, он атакует компьютеры под управлением операционных систем Windows.

Особенность вредоносной программы заключается в том, что она полностью состоит из отдельных загружаемых плагинов. Модули скачиваются с управляющего сервера специальной библиотекой-загрузчиком, при этом протокол обмена данными использует шифрование. Зловред, в частности, может получать плагины для браузеров, с помощью которых выполняются веб-инжекты. Конфигурация этих веб-инжектов определяется целями злоумышленников.

Установлено, что троян может использовать плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, зловред получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате троян может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое — например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на заражённом компьютере, URL такого сайта в адресной строке браузера остаётся корректным, что может ввести пользователя в заблуждение.

Таким образом, троян позволяет киберпреступникам красть банковские данные, которые затем могут быть использованы для снятия средств жертвы. Дополнительно троян может фиксировать нажатия клавиш, воровать учётные данные из почтовых клиентов и выполнять другие функции. 

Сложный троян-загрузчик атакует Android-пользователей через Google Play

Компания ESET предупреждает о новой волне нападений на пользователей устройств под управлением мобильной операционной системы Android.

Схема атаки предусматривает внедрение в магазин Google Play троянов-загрузчиков, замаскированных под легитимные приложения. Чтобы избежать обнаружения, вредоносные программы используют весьма сложную структуру: она включает многоступенчатую архитектуру, шифрование и продвинутые механизмы маскировки.

Зловреды могут легко ввести в заблуждение своих жертв. Дело в том, что после попадания на устройство приложения не запрашивают дополнительные права и выполняют ожидаемые действия. Вредоносная активность остаётся невидимой для пользователя и осуществляется в несколько этапов.

В частности, сначала в фоновом режиме производится расшифровка и выполнение двух компонентов, входящих в состав зловреда. Далее выполняется скрытная загрузка дополнительного компонента под видом популярного приложения, например, Adobe Flash Player. Данный компонент предназначен для расшифровки, наделения необходимыми правами и выполнения основного модуля: это может быть банковский троян, шпион и пр.

Таким образом, вредоносная программа позволяет заражать мобильные устройства любым зловредом на выбор атакующих. В Google Play обнаружены как минимум восемь опасных приложений: сейчас они удалены, но нет гарантий, что вредоносный код не встроен в другие доступные продукты. К тому же злоумышленники могут повторить атаку на Google Play. 

Приложения с трояном загрузили из Google Play миллионы пользователей

«Доктор Веб» предупреждает о появлении в магазине Google Play ряда приложений со встроенной троянской программой: от этого зловреда могли пострадать миллионы пользователей Android по всему миру.

Троян носит обозначение Android.RemoteCode.106.origin. Он внедрён как минимум в девять приложений, с перечнем которых можно ознакомиться ниже.

После попадания на мобильное устройство зловред выполняет ряд проверок. Если на смартфоне или планшете отсутствует определённое количество фотографий, контактов в телефонной книге и записей о звонках в журнале вызовов, троян никак себя не проявляет. В противном случае программа пытается связаться с управляющим сервером и приступает к работе.

Основным предназначением вредоносной программы является загрузка и запуск дополнительных модулей, которые используются для накрутки счётчика посещений веб-сайтов, а также для перехода по рекламным объявлениям. Это приносит злоумышленникам определённый доход.

Кроме того, троян может использоваться для проведения фишинговых атак и кражи конфиденциальной информации.

По различным оценкам, инфицированные приложения могли загрузить в общей сложности от 2,4 до 11,7 млн раз. Компания Google уже проинформирована о проблеме, однако полностью она пока не устранена. К тому же ничто не мешает злоумышленникам интегрировать вредоносный код в другие программы. Перечень обнаруженных заражённых приложений выглядит следующим образом:

  • Sweet Bakery Match 3 — Swap and Connect 3 Cakes версии 3.0;
  • Bible Trivia версии 1.8;
  • Bible Trivia – FREE версии 2.4;
  • Fast Cleaner light версии 1.0;
  • Make Money 1.9;
  • Band Game: Piano, Guitar, Drum версии 1.47;
  • Cartoon Racoon Match 3 — Robbery Gem Puzzle 2017 версии 1.0.2;
  • Easy Backup & Restore версии 4.9.15;
  • Learn to Sing версии 1.2.  

Троян CryptoShuffler ворует криптовалюты

Пока биткоин ставит новые рекорды стоимости, сетевые злоумышленники ищут способы нажиться на владельцах криптовалютных кошельков. «Лаборатория Касперского» предупреждает о появлении вредоносной программы, созданной специально для кражи криптоденег.

Зловред получил название CryptoShuffler. Он охотится за такими валютами, как Bitcoin, Ethereum, Zcash, Dash, Monero и другими. По оценкам, преступникам уже удалось похитить средства, эквивалентные примерно $140 тыс.

Троян CryptoShuffler эксплуатирует человеческую невнимательность и особенности схемы перевода криптовалют. Дело в том, что для перечисления средств с одного криптокошелька на другой пользователю необходимо указать идентификационный номер получателя. Он состоит из множества символов, поэтому запомнить его практически невозможно. В итоге операция выполняется функцией «копировать — вставить». И именно здесь кроется опасность.

После проникновения на компьютер CryptoShuffler начинает следить за буфером обмена устройства, ища там адреса криптовалютных кошельков. Большинство из них имеют стандартный вид с фиксированной длиной и заранее заданным началом, а поэтому обнаружить требуемую последовательность символов не составляет особого труда.

При появлении в буфере обмена адреса криптокошелька зловред подменяет его на свой собственный. В результате, если пользователь на замечает подлога, деньги отправляются напрямую злоумышленникам. 

Новый Windows-троян написан на языке Python

Компания «Доктор Веб» обнаружила новую вредоносную программу с функциями бекдора, атакующую компьютеры под управлением операционных систем Windows.

Главная особенность зловреда, получившего обозначение Python.BackDoor.33, заключается в том, что он написан на высокоуровневом языке программирования Python. Внутри файла трояна хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы.

После проникновения на ПК вредоносная программа сохраняет свою копию в одной из папок на накопителе, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции выполняются после перезагрузки системы.

В частности, зловред пытается инфицировать все подключенные к компьютеру накопители с именами от C до Z. Далее программа пытается связаться с управляющим сервером в Интернете: если это удаётся сделать, троян загружает и запускает на инфицированном устройстве сценарий на языке Python, который предназначен для кражи паролей, перехвата нажатия клавиш и удалённого выполнения команд.

Зловред способен красть информацию из популярных браузеров, делать снимки экрана, загружать дополнительные модули на Python и исполнять их, скачивать файлы и сохранять их на носителе инфицированного устройства, запрашивать информацию о системе и пр. 

Обнаружена новая версия опасного банковского Android-трояна Svpeng

«Лаборатория Касперского» предупреждает о появлении новой модификации вредоносной программы Svpeng, атакующей устройства под управлением операционных систем Android.

Svpeng — это мобильный банковский троян. Обнаруженная версия зловреда получила функциональность кейлоггера: программа способна записывать нажатия клавиш на устройстве, что позволяет перехватывать конфиденциальную информацию, скажем, логины и пароли.

Троян распространяется через вредоносные веб-сайты под видом фальшивого Flash-плеера. После проникновения на устройство Svpeng запрашивает права доступа к функциям для людей с ограниченными возможностями. В результате, зловред приобретает много дополнительных привилегий: например, получает доступ к интерфейсу других приложений и возможность делать скриншоты экрана каждый раз, когда на виртуальной клавиатуре набирается символ.

Вредоносная программа способна перекрывать окна других приложений. Это позволяет трояну выводить собственное фишинговое окно поверх интерфейса банковского приложения — такая тактика позволяет ввести жертву в заблуждение и получить конфиденциальные данные.

Кроме того, троян назначает себя приложением для SMS по умолчанию, получает доступ к контактам, а также выдаёт себе права совершать звонки. Плюс ко всему блокируются любые попытки отключить администраторские привилегии зловреда. Таким образом, троян делает своё удаление максимально трудным.

Основная часть атак новой версии Svpeng пришлась на Россию (29 %), Германию (27 %), Турцию (15 %), Польшу (6 %) и Францию (3 %). 

Троян Joao атакует пользователей онлайновых игр

Компания ESET предупреждает о появлении новой вредоносной программы, жертвами которой становятся поклонники онлайновых игр.

Зловред носит имя Joao. Он распространяется вместе с играми разработчика Aeria Games, доступными на неофициальных площадках. Главное предназначение Joao — загрузка и запуск в заражённой системе другого вредоносного кода.

Joao запускается на компьютере жертвы в фоновом режиме одновременно с игровым приложением, чтобы избежать подозрений пользователя. Инфицированная версия игры отличается только наличием «лишнего» файла mskdbe.dll в установочной папке.

После проникновения на ПК зловред собирает различную информацию. Это, в частности, имя устройства, версия операционной системы, сведения об учётной записи пользователя и привилегиях. Эта информация затем отправляется на сервер злоумышленников. Киберпреступники, в свою очередь, могут отдать трояну команды на установку тех или иных компонентов.

География распространения трояна

География распространения трояна

В зависимости от целей злоумышленников на компьютер жертвы могут быть загружены модули для удалённого доступа, шпионажа и проведения DDoS-атак (распределённых атак типа «отказ в обслуживании»). Случаи заражения зловредом Joao зафиксированы во многих странах, в том числе в России. 

Новый троян-майнер нацелен на платформу Linux

«Доктор Веб» предупреждает о появлении новой вредоносной программы, главной задачей которой является использование вычислительных ресурсов инфицированных компьютеров для добычи криптовалют.

Обнаруженный зловред атакует системы под управлением Linux: майнер получил обозначение Linux.BtcMine.26. Программа предназначена для добычи Monero (XMR) — криптовалюты, созданной в 2014 году.

Схема распространения зловреда сводится к следующему. Злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нём программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троян Linux.BtcMine.26.

Любопытно, что в коде загрузчика несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. С чем это связано, пока не совсем ясно.

В настоящее время известны сборки вредоносной программы для аппаратных архитектур x86-64 и ARM. Характерными признаками присутствия майнера могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы. 

Остановивший WannaCry хакер отрицает вину в создании банковского трояна

Британский исследователь кибербезопасности Маркус Хатчинс (Marcus Hutchins), который помог остановить распространение вируса-вымогателя WannaCry, в федеральном суде не признал себя виновным в создании банковского трояна Kronos.

nbcnews.com

nbcnews.com

Хатчинс был арестован 3 августа в Лас-Вегасе вслед за конференциями Black Hat и Defcon. Суд Восточного округа штата Висконсин предъявил ему обвинения по шести статьям. Предполагается, что вместе с неназванным сообщником Хатчинс рекламировал банковский вирус на чёрном онлайн-рынке AlphaBay. В обвинении говорится, что 11 июня 2015 года они продали троян примерно за $2 тысячи в цифровой валюте.

В акте утверждается, что подсудимый, известный в Сети под псевдонимом MalwareTech, «распространял электронными способами рекламу электронного, механического или другого устройства, зная и имея причину знать, что конструкция такого устройства делает его в первую очередь полезным для тайного перехвата электронных сообщений». Также Хатчинса обвинили в продаже такого устройства.

За пределами федерального суда Милуоки, в котором исследователь объявил себя невиновным, его адвокат Марсия Хофманн (Marcia Hofmann) сказала, что подсудимый «намерен решительно защищаться от этих обвинений, а когда обнаружатся улики, мы уверены, что он будет полностью оправдан».

securityintelligence.com

securityintelligence.com

В июле 2014 года исследователи IBM сообщили, что вредоносное ПО можно было купить на российских нелегальных форумах за $7 тысяч. Оно позиционировалось как способ кражи паролей и других финансовых данных, отправляемых через крупные браузеры. В рекламе Kronos утверждалось, что троян способен обходить антивирусную защиту и браузерные меры безопасности.

В ожидании судебного разбирательства Хатчинс будет жить в Лос-Анджелесе. Его перемещения будут отслеживаться с помощью GPS-устройства.

За создание банковского трояна арестован хакер, который помог остановить WannaCry

В среду Маркус Хатчинс (Marcus Hutchins), автор блога в сфере кибербезопасности MalwareTech, был арестован в Лас-Вегасе за «участие в создании и распространении банковского трояна Kronos». Об этом сообщил представитель Министерства юстиции США.

nbcnews.com

nbcnews.com

12 июля 2017 года суд Восточного округа штата Висконсин предъявил Хатчинсу обвинения по шести статьям. Речь идёт о злонамеренных действиях, совершённых с июля 2014 года по июль 2015 года. Сообщается, что он занимался разработкой вредоносного программного обеспечения и распространял его по Интернету.

Разработанный Хатчинсом троян похищал учётные записи и личную информацию пользователей и помещал на их компьютеры вредоносный код. Ранее в этом году эксперт в сфере безопасности стал известен как человек, который помог остановить распространение кибератаки WannaCry, нанёсшей значительный ущерб предприятиям в более чем 150 странах. Лишь недавно авторам вируса-вымогателя удалось вывести награбленные средства.

Вирус блокировал компьютеры и за расшифровку файлов требовал жертву перевести на счёт хакеров от $300 до $600 в биткоинах. Вредоносной программой были заражены сотни тысяч компьютеров по всему миру, включая Россию. Из-за ущерба, например, некоторые больницы в Великобритании вынуждены были прекратить обслуживать пациентов.

Хатчинс, который также является исследователем вредоносного ПО в компании Kryptos Logic, обнаружил в коде WannaCry незарегистрированное доменное имя и выкупил его за $11. Тем самым он остановил распространение вируса.

Новый ботнет обогащает злоумышленников за счёт малого бизнеса

«Лаборатория Касперского» обнаружила новую сеть «зомбированных» компьютеров, которая позволяет злоумышленникам зарабатывать деньги за счёт накрутки фальшивых просмотров рекламных страниц и баннеров в Интернете.

В основе работы ботнета лежит троян Magala, распространяющийся через инфицированные веб-сайты. Попав на компьютер, зловред проверяет установленную версию Internet Explorer: если она ниже восьмой, программа игнорирует устройство и не активируется. Если же нужный браузер найден, троян загружается, запускает скрытый рабочий стол, на котором впоследствии будут проводиться все операции, устанавливает необходимое рекламное ПО и сообщает командно-контрольным серверам о своей готовности к работе.

Magala имитирует клики пользователя на заданных веб-страницах. Жертвами киберпреступников становятся прежде всего компании малого бизнеса, решившие разместить рекламу через неблагонадёжных рекламодателей.

В процессе работы Magala получает от командных серверов список поисковых запросов, для выдачи которых необходимо поднять количество кликов. Далее программа начинает последовательно вводить указанные запросы и переходить по первым 10 ссылкам в каждой выдаче с интервалом в 10 секунд.

По оценкам «Лаборатории Касперского», в идеальной ситуации злоумышленники могут получить до 350 долларов США с каждого заражённого компьютера в составе ботнета. Впрочем, на практике сумма, скорее всего, окажется значительно меньше. Тем не менее, доходы киберпреступников исчисляются тысячами долларов. 

В прошивке ряда Android-устройств обнаружен троян, заражающий процессы приложений

«Доктор Веб» предупреждает о том, что в прошивках ряда доступных на рынке мобильных устройств присутствует довольно опасная вредоносная программа, способная инфицировать процессы приложений.

Зловред получил обозначение Android.Triada.231. Трояны этого семейства внедряются в системный процесс компонента Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря этому зловреды проникают в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое.

Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Причём, как отмечает «Доктор Веб», внедрение произведено на уровне исходного кода. Иными словами, к заражению причастны инсайдеры или недобросовестные партнёры, которые участвовали в создании прошивок заражённых мобильных устройств.

Зловред получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Главной задачей трояна является незаметная загрузка и запуск других вредоносных модулей. Это могут быть, скажем, плагины для кражи конфиденциальной информации из банковских приложений, модули для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Ситуация усугубляется тем, что удалить вредоносную программу стандартными методами невозможно, поскольку она интегрирована в одну из библиотек операционной системы и расположена в системном разделе. Поэтому требуется установка заведомо безопасной прошивки.

Подробнее о проблеме можно узнать здесь

Опасный банковский троян получает контроль над Android-устройствами

«Доктор Веб» предупреждает о появлении опасной вредоносной программы, атакующей владельцев мобильных устройств на базе операционных систем семейства Android.

Зловред Android.BankBot.211.origin — это банковский троян, угрожающий пользователям десятков стран по всему миру. Программа распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После проникновения на устройство жертвы зловред пытается получить доступ к специальным возможностям (Accessibility Service). Для этого троян показывает окно с запросом, которое при каждом его закрытии появляется вновь и не даёт работать с устройством.

Режим специальных возможностей упрощает работу со смартфонами и планшетами на базе Android. Он применяется в том числе для помощи пользователям с ограниченными возможностями: этот режим позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню.

В случае Android.BankBot.211.origin режим специальных возможностей эксплуатируется для выполнения вредоносных действий. Так, троян добавляет себя в список администраторов устройства, устанавливает менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана.

Зловред крадёт конфиденциальную информацию клиентов кредитно-финансовых организаций. Так, троян способен показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ, а также отображать фишинговое окно настроек платёжного сервиса с запросом ввода информации. Свои действия вредоносная программа согласует с управляющим сервером. 

Троян Neutrino ворует данные банковских карт россиян

«Лаборатория Касперского» сообщает о том, что в России активно распространяется новая модификация вредоносной программы под названием Neutrino.

Зловред атакует POS-терминалы и крадёт данные банковских карт. Основная часть атак пришлась именно на нашу страну. Кроме того, троян проявляет активность в Алжире, Казахстане, Украине и Египте.

Нужно отметить, что оригинальная версия Neutrino уже достаточно давно известна антивирусным компаниям. С момента своего появления вредоносная программа неоднократно меняла свои функции и методы распространения.

Новая модификация зловреда является довольно необычной. На этот раз троян охотится за данными банковских карт, которые проходят через заражённые платёжные терминалы.

Любопытно, что, попав в операционную систему POS-терминала, Neutrino не сразу начинает активность. Троян приступает к сбору информации, выждав некоторое время. Эксперты полагают, что таким образом он, скорее всего, пытается обойти защитные технологии, запускающие подозрительный код в изолированной виртуальной среде, так называемые «песочницы», с коротким периодом работы.

Эксперты говорят, что Neutrino в очередной раз служит подтверждением тому, что кибеугрозы постоянно эволюционируют. Новые версии известных зловредов становятся сложнее, а их функциональность расширяется. Пользователи, информацию о банковских картах которых украл зловред Neutrino, рискуют потерять свои деньги.