Теги → троян
Быстрый переход

Новый Android-троян подменяет номера электронных кошельков в буфере обмена

«Доктор Веб» предупреждает о распространении новой вредоносной программы, нацеленной на устройства под управлением операционных систем Android.

Зловред получил название Android.Clipper; на сегодняшний день известны как минимум две его модификации. Главная задача трояна заключается в подмене номеров электронных кошельков в буфере обмена с целью пересылки денег злоумышленникам.

При запуске на инфицированном устройстве зловред выводит поддельное сообщение об ошибке и продолжает работу в скрытом режиме. При этом одна из версий программы маскируется под приложение для работы с электронными кошельками Bitcoin.

После проникновения на смартфон или планшет зловред начинает отслеживать изменения содержимого буфера обмена. Если троян обнаруживает, что пользователь скопировал в буфер номер электронного кошелька, он отсылает этот номер на управляющий сервер. В ответ высылается номер кошелька киберпреступников, который требуется вставить в буфер обмена вместо исходного. В результате, деньги переводятся мошенникам.

Вредоносная программа может подменять номера электронных кошельков платёжных систем Qiwi, Webmoney (R и Z) и «Яндекс.Деньги», а также криптовалют Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin.

Сейчас зловред активно продвигается на различных хакерских площадках и форумах. «Доктор Веб» полагает, что в скором времени можно ожидать появление большого количества модификаций этой вредоносной программы. 

Новый троян делает выбор между майнингом и шифрованием

«Лаборатория Касперского» рассказала о новой вредоносной программе семейства Rakhni, атакующей российских пользователей компьютеров под управлением операционных систем Windows.

Первые образцы вредоносного ПО, классифицированные как Trojan-Ransom.Win32.Rakhni, были обнаружены ещё в 2013 году. Новая версия зловреда получила обозначение Trojan-Downloader.Win32.Rakhni — это загрузчик, имеющий любопытную особенность.

Программа распространяется по электронной почте под видом различных вложений. Загрузчик представляет собой исполняемый файл, написанный на языке программирования Delphi. Для усложнения анализа все строки зловреда зашифрованы с помощью простого подстановочного шифра.

Особенностью зловреда является то, что основная функциональность определяется параметрами системы жертвы. Выбор делается между шифрованием файлов с целью получения выкупа и организацией майнинга для скрытой добычи криптовалют.

Решение о загрузке того или иного компонента зависит от наличия папки %AppData%\Bitcoin. Если эта папка есть, зловред скачает модуль шифрования. Если папки нет, а у компьютера более двух логических процессоров, будет скачан майнер. Если же этой папки нет и на машине доступен только один логический процессор, загрузчик сразу переходит к компоненту-червю для дальнейшего распространения через компьютерную сеть.

Более подробную информацию о вредоносной программе можно найти здесь

Зловред HeroRat управляет устройствами жертв через Telegram

Компания ESET предупреждает о появлении новой вредоносной программы, атакующей мобильные гаджеты — смартфоны и планшеты — под управлением операционной системы Android.

Зловред получил название HeroRat. Это троян класса RAT (Remote Administration Tool), предназначенный для удалённого управления инфицированными устройствами.

HeroRat распространяется через различные сайты в Интернете, в частности, через неофициальные магазины Android-приложений, социальные платформы и пр. Атакующие маскируют вредоносную программу под приложения, обещающие биткоины в подарок, бесплатный мобильный Интернет или накрутку подписчиков в соцсетях.

После запуска троян выводит сообщение об ошибке, в котором говорится, что программа не может работать на устройстве и будет удалена. На деле же удаляется лишь иконка приложения, а сам троян продолжает работу скрытно от пользователя.

Главная особенность HeroRat заключает в том, что управление его работой осуществляется посредством Telegram-бота. Через специальный интерфейс злоумышленники могут перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки.

Зловред предлагается по модели Malware-as-a-Service (вредоносное ПО в качестве услуги). Цена в зависимости от набора функций варьируется от 25 до 100 долларов США, а код программы продаётся за 650 долларов. 

Троян BackSwap крадёт деньги с банковских счетов необычным способом

Компания ESET обнаружила новую вредоносную программу, атакующую пользователей компьютеров под управлением операционных систем Windows: зловред получил название BackSwap.

Главная задача трояна — кража средств с банковских счетов жертв. Причём механизм атаки реализован с применением довольно оригинальной тактики, позволяющей обходить продвинутые механизмы защиты.

Эксперты говорят, что обычно банковские трояны внедряют в процессы браузера вредоносный код, с помощью которого отслеживается посещение сайтов финансовых организаций. В ходе атаки происходит изменение НТТР-трафика или перенаправление жертвы на фишинговый сайт. Это сложная задача, поскольку антивирусные продукты и защитные механизмы браузера распознают такое внедрение кода.

BackSwap действует иначе. Зловреду не требуется внедрение кода в процессоры браузера. Троян идентифицирует работу с онлайн-банком с помощью событий Windows в цикле ожидания сообщений. После этого вредоносный код внедряется в веб-страницу через консоль разработчика в браузере или в адресную строку.

«Так, чтобы внедрить скрипт в адресную строку, BackSwap имитирует нажатие комбинаций клавиш: CTRL+L для выбора адресной строки, DELETE для очистки поля, CTRL+V для вставки вредоносного скрипта и ENTER для его выполнения. Когда процесс завершён, адресная строка будет очищена, чтобы скрыть следы компрометации», — объясняет ESET.

Подобная схема позволяет обойти защитные механизмы и усыпить бдительность жертвы. Атака может осуществляться в различных браузерах, включая Google Chrome и Mozilla Firefox. 

Сложный шифровальщик использует новую технику для обхода защитных решений

Специалисты «Лаборатории Касперского» обнаружили весьма сложную вредоносную программу, которая шифрует файлы на компьютере жертвы с целью получения выкупа.

Речь идёт о новой версии зловреда SynAck, известного с конца 2017 года. Оригинальная модификация шифровальщика атаковала преимущественно англоговорящих пользователей, применяя брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла.

Новый зловред действует гораздо более хитроумно. Отмечается, что это первый шифровальщик, использующий так называемую технику Doppelgänging, которая позволяет вредоносной программе маскироваться под легитимный процесс. Для этого бесфайловый вредоносный код внедряется в безобидные системные процессы.

Кроме того, шифровальщик применяет ряд других методов обхода антивирусных решений. В результате, обнаружение вредоносной программы в системе становится весьма сложной задачей.

Любопытно, что сейчас атаки шифровальщика носят целевой характер. Нападения зафиксированы в США, Кувейте, Германии и Иране. При этом шифровальщик избегает компьютеров с кириллической раскладкой на клавиатуре.

Средний размер выкупа, который требует зловред, составляет 3000 долларов США. Более подробную информацию о вредоносной программе можно найти здесь

Android-троян из Google Play демонстрирует невидимую рекламу

«Доктор Веб» предупреждает о появлении в магазине Google Play ряда игр и приложений с внедрённой вредоносной программой Android.RemoteCode.152.origin. Сообщается, что от зловреда могли пострадать миллионы пользователей.

После проникновения на смартфон или планшет жертвы троян незаметно скачивает и запускает дополнительные модули, включая рекламные плагины. С их помощью вредоносная программа загружает невидимые объявления и нажимает на них. В результате, злоумышленники получают определённое денежное вознаграждение.

Кроме того, зловред поддерживает работу с мобильной маркетинговой сетью AppLovin, через которую также загружает рекламные объявления для получения дополнительного дохода.

Нужно отметить, что после первого запуска инфицированного приложения троян автоматически начинает работу через определённые интервалы времени и самостоятельно активируется после каждой перезагрузки мобильного устройства. Таким образом, для работы зловреда не требуется, чтобы владелец смартфона или планшета постоянно использовал изначально заражённую программу.

На сегодняшний день приложения с трояном были загружены из магазина Google Play в общей сложности более 6,5 млн раз. «Доктор Веб» уже передал в Google сведения об этих программах. 

Опасный Android-троян пытается обокрасть клиентов Сбербанка

«Доктор Веб» предупреждает о том, что российские клиенты Сбербанка, использующие мобильные устройства на базе Android, могут стать жертвами опасной вредоносной программы, способной опустошать счета.

Речь идёт о зловреде Android.BankBot.358.origin. Он известен как минимум с конца 2015 года, а недавно появились модификации, разработанные специально с прицелом на российских клиентов Сбербанка.

Вредоносная программа распространяется при помощи мошеннических SMS, которые могут рассылать как киберпреступники, так и сам троян. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В посланиях потенциальной жертве предлагается под тем или иным предлогом перейти по указанной ссылке. Попавшись на уловку злоумышленников, пользователь попадает на сайт, с которого на мобильное устройство скачивается apk-файл вредоносного приложения.

После запуска зловред запрашивает доступ к правам администратора устройства и делает это до тех пор, пока пользователь не согласится предоставить ему необходимые полномочия. Затем программа соединяется с управляющим сервером, сообщает об успешном заражении и ожидает дальнейших указаний.

Главная цель трояна — хищение денег у русскоязычных клиентов Сбербанка, что достигается преимущественно за счёт фишинга. Злоумышленники отправляют зловреду команду на блокирование заражённого устройства окном с мошенническим сообщением. Оно имитирует внешний вид системы дистанционного банковского обслуживания «Сбербанк Онлайн» и отображается для всех пользователей независимо от того, являются ли они клиентами Сбербанка или другой кредитной организации. В этом сообщении говорится о якобы поступившем денежном переводе в размере 10 000 рублей. Для получения средств владельцу смартфона или планшета предлагается указать полную информацию о банковской карте: её номер, имя держателя, дату окончания действия, а также секретный код CVV. Если жертва выполняет эти требования, мошенники получают возможность полностью опустошить банковский счёт.

Утверждается, что ущерб, который может нанести Android.BankBot.358.origin, составляет около 80 млн рублей. Подробнее о зловреде можно узнать здесь

Между тем сам  Сбербанк полагает, что угроза преувеличена. «Сегодня в ряде СМИ появились публикации о новом вредоносном ПО, нацеленном на клиентов Сбербанка. Специалистам банка уже давно известно о существовании данного вируса. Приложение Сбербанк Онлайн со встроенным антивирусом надёжно защищает устройства от подобных атак», — говорится в сообщении финансовой организации.

Новый троян-шифровальщик угрожает пользователям Windows

«Доктор Веб» предупреждает о появлении новой вредоносной программы, вымогающей деньги у своих жертв: зловред получил обозначение Trojan.Encoder.24384, но создатели называют его «GandCrab!».

Троян атакует пользователей персональных компьютеров под управлением операционных систем Windows. Проникнув на ПК, вымогатель шифрует содержимое фиксированных, съёмных и сетевых накопителей, за исключением ряда папок, среди которых имеются служебные и системные. Каждый диск шифруется в отдельном потоке. После окончания кодирования зловред отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование.

Троян также может собирать информацию о наличии запущенных процессов антивирусов. Вымогатель способен принудительно завершать процессы программ по заданному вирусописателями списку.

Закодированным файлам присваивается расширение *.GDCB. Сообщение с требованиями вымогателей и список расширений шифруемых файлов хранятся в теле трояна зашифрованными с использованием алгоритма XOR.

После выполнения вредоносных операций программа выводит сообщение с требованием выкупа. Увы, в настоящее время расшифровка файлов, закодированных зловредом, невозможна. 

Многоцелевой троян Mezzo: угроза для реальных денег и криптовалют

«Лаборатория Касперского» обнаружила новую вредоносную программу, появление которой, возможно, говорит о готовящейся масштабной кибератаке в финансовой сфере.

Зловред носит имя Mezzo. Этот троян способен подменять реквизиты в файлах обмена между бухгалтерскими и банковскими системами.

Mezzo распространяется с помощью сторонних программ-загрузчиков. Основной интерес для зловреда представляют текстовые файлы популярного бухгалтерского ПО, созданные менее двух минут назад. После обнаружения таких документов троян ждёт, последует ли открытие диалогового окна для обмена информацией между бухгалтерской системой и банком. Если это произойдёт, зловред может подменить реквизиты счёта в файле непосредственно в момент передачи данных. В противном случае — если диалоговое окно так и не будет открыто — Mezzo подменяет весь файл поддельным.

Анализ говорит о том, что Mezzo может быть связан с другим трояном — CryptoShuffler, который охотится за криптовалютами. Таким образом, новый зловред теоретически может применяться для кражи реальных и цифровых денег.

«Лаборатория Касперского» подчёркивает, что сейчас Mezzo просто отправляет собранную с заражённого компьютера информацию на сервер злоумышленникам. Это может говорить о том, что киберпреступники подготавливают почву для будущей кампании.

Более подробно о финансовой угрозе Mezzo можно узнать здесь

Android-троян Skygofree получил ряд уникальных функций

«Лаборатория Касперского» обнаружила сложную вредоносную программу, нацеленную на мобильные устройства под управлением Android: зловред получил название Skygofree.

Анализ показал, что Skygofree обладает рядом уникальных функций, которые до сих пор не встречались ни в одной вредоносной программе для Android. К примеру, троян способен отслеживать местоположение устройства и включать запись звука, когда владелец оказывается вблизи заданных координат: это позволяет прослушивать окружение жертвы в определённых местах — скажем, в банке.

Кроме того, Skygofree может незаметно подключать гаджет к Wi-Fi-сетям, находящимся под полным контролем злоумышленников. Причём эта функция работает даже в том случае, если владелец устройства полностью отключил Wi-Fi. Такой приём позволяет собирать и анализировать трафик жертвы.

Троян способен отслеживать работу популярных мессенджеров, в частности, Facebook Messenger, Skype, Viber и WhatsApp. Причём в случае WhatsApp производится чтение переписки через «Специальные возможности» (Accessibility Services).

Ещё одна нестандартная возможность — включение фронтальной камеры в момент разблокировки устройства владельцем. Как именно злоумышленники используют полученные таким образом изображения, пока не ясно.

Прочая функциональность включает перехват звонков, SMS и других пользовательских данных. Наконец, предусмотрены инструменты, помогающие трояну поддерживать работу в режиме ожидания. Так, новейшая версия Android может автоматически останавливать неактивные процессы для экономии заряда батареи, но Skygofree обходит это, периодически отправляя системе уведомления.

Вредоносная программа распространяется через Интернет, используя методы социальной инженерии. Более подробно о зловреде можно узнать здесь

В магазине Google Play обнаружены игры с троянским модулем

«Доктор Веб» предупреждает о появлении в магазине Google Play ряда игр для операционной системы Android, в состав которых интегрирован вредоносный компонент.

Сообщается, что в небезопасные приложения встроен троянский модуль, который незаметно скачивает и запускает дополнительные компоненты. Они могут выполнять различные функции — например, скрытно открывать те или иные сайты и «нажимать» на определённые элементы на этих страницах.

В процессе работы вредоносный модуль загружает с указанного управляющим сервером адреса скрипт, которому предоставляет возможность совершать различные действия на странице, в том числе симулировать клики по указанным скриптом элементам. Таким образом, если в задании трояна был переход по ссылкам или рекламным объявлениям, злоумышленники получают прибыль за накрутку счётчика посещений веб-страниц и нажатия на баннеры.

Теоретически на мобильное устройство жертвы могут также загружаться модули для демонстрации рекламы или отображения фишинговых окон с целью кражи логинов, паролей и другой конфиденциальной информации, скажем, данных банковских карт.

«Доктор Веб» отмечает, что троянский модуль обнаружен примерно в трёх десятках игр (перечень доступен здесь), которые были загружены пользователями Android в общей сложности более 4,5 млн раз. Специалисты уже проинформировали корпорацию Google о наличии троянского компонента в обнаруженных небезопасных приложениях. 

Модульный Android-троян Loapi способен добывать криптовалюту

«Лаборатория Касперского» изучила сложную вредоносную программу, атакующую владельцев мобильных устройств под управлением операционной системы Android.

Зловред носит имя Trojan.AndroidOS.Loapi. Он имеет модульную архитектуру и может выполнять широкий спектр операций, включая майнинг криптовалюты, проведение DDoS-атак, демонстрацию рекламы и пр.

Трояны семейства Loapi распространяются с помощью рекламных кампаний, а загрузка зловреда осуществляется путём перенаправления пользователя на сайты злоумышленников. При этом вредоносные программы маскируются под мобильные защитные решения и приложения «для взрослых».

После проникновения на устройство троян запрашивает права администратора. В случае отказа зловред повторно выводит окно запроса — и так до тех пор, пока пользователь не согласится. Loapi может имитировать деятельность антивируса или скрываться в системе.

Вредоносная программа может использовать самые разнообразные модули. Так, рекламный компонент используется для агрессивного показа рекламы на инфицированном устройстве, а также для скрытой накрутки сайтов и аккаунтов в социальных сетях.

Майнер-модуль использует Android-реализацию minerd для добычи Monero (XMR), а SMS-модуль служит для различных манипуляций с текстовыми сообщениями.

Ещё один компонент создаёт прокси-сервер, который позволяет злоумышленникам выполнять HTTP запросы от имени устройства: подобные действия могут производиться в том числе и для организации DDoS-атак.

Веб-краулер служит для скрытого исполнения JavaScript-кода на страницах WAP-биллинга и оформления на пользователя платных подписок. При этом зловред может обойти механизм подтверждения подписки: SMS-модуль скроет сообщение от пользователя, ответит на него нужным образом и затем удалит все следы. 

Мобильный банковский троян атакует пользователей Google Play

Компания ESET предупреждает о том, что сетевые злоумышленники организовали новую атаку на пользователей Android, загружающих полезные приложения и игры через магазин Google Play.

Сообщается, что преступники разместили в Google Play ряд программ и утилит для скрытой загрузки на смартфоны и планшеты жертв мобильного банковского трояна. Речь идёт о зловреде BankBot.

В частности, в Google Play выявлены приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями. Кроме того, обнаружены опасные приложения для игры в пасьянс и софт для очистки памяти устройства.

После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна — его установочный пакет замаскирован под обновление Google Play.

Для кражи банковских реквизитов зловред отображает поддельные формы для ввода логина и пароля при запуске пользователем легитимного банковского приложения. Похищенные сведения отсылаются злоумышленникам, что позволяет им опустошать счета жертв.

О том, сколько пользователей Google Play пострадали от действий преступников, не сообщается. Но ESET отмечает, что приложения с вредоносными функциями могут расходиться многими тысячами копий, прежде чем администрация Google Play удаляет такие программы. 

Модульный банковский троян атакует пользователей Windows

«Доктор Веб» предупреждает о появлении новой вредоносной программы, созданной с целью хищения средств с банковских счетов пользователей Интернета.

Зловред относится к семейству Trojan.Gozi, представители которого уже довольно длительное время «гуляют» по просторам Всемирной сети. Новый троян получил обозначение Trojan.Gozi.64: как и предшественники, он атакует компьютеры под управлением операционных систем Windows.

Особенность вредоносной программы заключается в том, что она полностью состоит из отдельных загружаемых плагинов. Модули скачиваются с управляющего сервера специальной библиотекой-загрузчиком, при этом протокол обмена данными использует шифрование. Зловред, в частности, может получать плагины для браузеров, с помощью которых выполняются веб-инжекты. Конфигурация этих веб-инжектов определяется целями злоумышленников.

Установлено, что троян может использовать плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, зловред получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате троян может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое — например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на заражённом компьютере, URL такого сайта в адресной строке браузера остаётся корректным, что может ввести пользователя в заблуждение.

Таким образом, троян позволяет киберпреступникам красть банковские данные, которые затем могут быть использованы для снятия средств жертвы. Дополнительно троян может фиксировать нажатия клавиш, воровать учётные данные из почтовых клиентов и выполнять другие функции. 

Сложный троян-загрузчик атакует Android-пользователей через Google Play

Компания ESET предупреждает о новой волне нападений на пользователей устройств под управлением мобильной операционной системы Android.

Схема атаки предусматривает внедрение в магазин Google Play троянов-загрузчиков, замаскированных под легитимные приложения. Чтобы избежать обнаружения, вредоносные программы используют весьма сложную структуру: она включает многоступенчатую архитектуру, шифрование и продвинутые механизмы маскировки.

Зловреды могут легко ввести в заблуждение своих жертв. Дело в том, что после попадания на устройство приложения не запрашивают дополнительные права и выполняют ожидаемые действия. Вредоносная активность остаётся невидимой для пользователя и осуществляется в несколько этапов.

В частности, сначала в фоновом режиме производится расшифровка и выполнение двух компонентов, входящих в состав зловреда. Далее выполняется скрытная загрузка дополнительного компонента под видом популярного приложения, например, Adobe Flash Player. Данный компонент предназначен для расшифровки, наделения необходимыми правами и выполнения основного модуля: это может быть банковский троян, шпион и пр.

Таким образом, вредоносная программа позволяет заражать мобильные устройства любым зловредом на выбор атакующих. В Google Play обнаружены как минимум восемь опасных приложений: сейчас они удалены, но нет гарантий, что вредоносный код не встроен в другие доступные продукты. К тому же злоумышленники могут повторить атаку на Google Play.