Теги → троян
Быстрый переход

Банковский троян Cerberus научился красть коды, генерируемые Google Authenticator при двухфакторной аутентификации

Специалисты компании ThreatFabric, работающей в сфере кибербезопасности мобильных устройств, сообщают о том, что новая версия банковского Android-трояна Cerberus может похищать одноразовые пароли, генерируемые приложением Google Authenticator.

«Используя злоупотребления привилегиями доступа, троян теперь может украсть генерируемые пароли из приложения Google Authenticator. Когда приложение запущено, троян может получить доступ к содержимому интерфейса для последующей его отправки на сторонний сервер. Мы считаем, что этот вариант Cerberus всё ещё находится на этапе тестирования, но его конечный вариант может быть создан в ближайшее время», — говорится в сообщении ThreatFabric.   

Приложение Google Authenticator является популярным средством защиты учётных записей с помощью двухфакторной аутентификации, поэтому новая версия вредоносной программы может представлять угрозу для большого количества пользователей устройств на базе Android. Запущенное в 2010 году приложение генерирует уникальные одноразовые пароли длиной от шести до восьми символов, с помощью которых пользователи проходят авторизацию в разных онлайн-аккаунтах.

Google запустила приложение Authenticator в качестве альтернативы одноразовым паролям на основе SMS-сообщений. Поскольку одноразовые пароли генерируются на пользовательском смартфоне и не передаются через незащищённые мобильные сети, учётные записи от онлайн-аккаунтов, в которых пользователи авторизуются с помощью решения Google, считаются более защищёнными по сравнению с теми, где процесс аутентификации проходит с помощью SMS-сообщений.

Специалисты Dr. Web обнаружили Android-троян, который почти невозможно удалить с устройства

В конце прошлого года исследователи компании Dr. Web, занимающейся разработкой решений для обеспечения информационной безопасности, обнаружили новые образцы семейства вредоносных программ Android.Xiny, первые представители которого были замечены ещё в 2015 году.

Основная особенность новой версии вредоносной программы заключается в способности устанавливать атрибут «неизменяемый» на файлы, что делает их удаление весьма непростым процессом. Попадая на устройство жертвы, троян присваивает упомянутый атрибут APK-файлу установленного приложения. Когда пользователь удаляет это приложение, то с устройства исчезают данные программы, но не установочный файл. После перезагрузки гаджета приложение вновь появляется на устройстве, поскольку происходила его автоматическая установка.

Было установлено, что Android.Xiny маскируется под безвредные приложения, доступные в Play Store и на сторонних платформах. Присутствуя на пользовательском смартфоне, троян устанавливает десятки приложений, удалить которые не так просто. Вероятно, операторы вредоноса зарабатывают на разработчиках мобильного ПО, которые стремятся искусственно завысить число пользователей.

Несмотря на то, что троян был впервые обнаружен четыре года назад, он всё ещё представляет существенную опасность для некоторых пользователей гаджетов на базе Android. Отмечается, что вредоносное ПО предназначено для устройств, работающих под управлением Android 5.1 и более старых версий. Обладатели устройств с более современными версиями ОС не должны опасаться Android.Xiny. Приведённая исследователями статистика говорит о том, что в настоящее время по всему миру порядка 25 % пользователей владеют гаджетами с Android 5.1 или более ранними версиями платформы. Это означает, что вредонос нацелен на широкую аудиторию пользователей Android, в которую входит до 500 млн человек по всему миру.

Россиян атакует новый Android-троян, создающий поддельные отзывы о приложениях

Специалисты «Лаборатории Касперского» обнаружили новый Android-троян, используемый злоумышленниками для распространения многочисленных рекламных объявлений, формирования поддельных отзывов, а также установки приложений на устройства пользователей без их ведома.

В сообщении говорится о том, что за декабрь 2019 года троян, который был назван Shopper, преимущественно атаковал пользователей Android-устройств из России. Доля россиян, столкнувшихся с данным вредоносом, составила 31 %. Кроме того, Shopper активно использовался в Бразилии и Индии (в 18 % и 13 % случаев соответственно).

В процессе своей работы вредоносное ПО использует службу поддержки специальных возможностей Google Accessibility Service, которая помогает людям с ограниченными возможностями взаимодействовать с приложениями. Сообщается, что вредоносная программа может осуществлять перехват данных, нажатие кнопок, а также имитировать пользовательские жесты.

Предполагается, что Shopper попадает на пользовательские устройства из сторонних магазинов приложений и мошеннических рекламных объявлений. Троян маскируется под системное ПО, в том числе решения для очистки смартфона и повышения производительности. После попадания на устройство жертвы осуществляется сбор данных о системе, которые передаются на серверы, находящиеся под контролем злоумышленников. Затем вредонос получает удалённые команды и действует по разным сценариям.

К примеру, аккаунты пользователя в Google и Facebook могут использоваться для регистрации в приложениях для шопинга, а также создания поддельных отзывов на разные продукты. Вредонос может скачивать и устанавливать без ведома пользователя сторонние приложения, изменяя ярлыки уже имеющегося в устройстве ПО на рекламные страницы.

Сообщается, что в настоящее время Shopper ограничивается распространением рекламного контента и созданием поддельных отзывов. Однако нельзя исключать того, что в будущем создатели вредоноса продолжат его развитие, добавляя новые функции.

Похитившие $100 млн с помощью банковского трояна GozNym хакеры предстали перед судом

Злоумышленники, которые с помощью гибридного банковского трояна GozNym похитили более $100 млн, получили тюремные сроки. Гражданин Болгарии Красимир Николов (Krasimir Nikolov) был приговорён судом США к 39 месяцам лишения свободы. Организаторы группировки Александр Конолов и Марат Казанджян, являющиеся гражданами Грузии, также были привлечены к ответственности правоохранительными органами. Министерство юстиции США не уточнило, какое именно наказание они понесут.

Созданная преступниками сеть функционировала несколько лет. Используя гибридное вредоносное ПО GozNym, хакеры сумели заразить свыше 41 000 компьютеров, что позволило завладеть банковскими данными большого количества компаний и частных лиц. По оценкам американских правоохранительных органов, в общей сложности злоумышленники похитили более $100 млн. Преступная схема была нарушена в 2016 году, когда в Болгарии был задержан Красимир Николов, которого позднее экстрадировали в США. В итоге, он был приговорён к 39 месяцам лишения свободы, которые уже прошли с момента его задержания. Это означает, что в ближайшее время он будет выдворен за пределы США. Двух других участников группировки задержали в мае этого года после того, как было проведено тщательно расследование.

Представитель ФБР сказал о том, что данное дело наглядно показало серьёзность намерений ведомства, которое не позволит злоумышленникам действовать безнаказанно в Интернете. Операция по ликвидации киберпреступной группировки проводилась совместными усилиями спецслужб нескольких стран.

Клиентам российских банков угрожает новый зловред, ворующий деньги

Российские банки столкнулись с новым вирусом, который способен воровать средства со счетов клиентов. О зловреде, как сообщает РБК, рассказали специалисты компании Group-IB.

Троян способен инфицировать смартфоны под управлением операционной системы Android. Вредоносная программа может автоматически переводить деньги со счёта жертвы через банковское мобильное приложение на счёт злоумышленников.

Эксперты говорят, что функциональные возможности новых троянов под Android практически приблизились к троянам-банкерам. Зловреды нового типа ориентированы на максимальную капитализацию бизнеса своих операторов.

Отмечается, что как минимум два крупных российских банка столкнулись с угрозой. Появление таких зловредов также подтверждает «Лаборатория Касперского».

Впрочем, пока случаи инфицирования вирусами нового типа довольно редки, но вероятность начала эпидемии исключать нельзя.

По оценкам Group-IB, за год — с июля 2018-го по июнь 2019-го — злоумышленники при помощи вредоносных программ для Android смогли украсть 110 млн рублей. Каждый день осуществляется в среднем 40 успешных атак, при этом сумма одного хищения составляет приблизительно 11 тысяч рублей. 

Новый банковский Android-троян обнаружен исследователями

Пользователи устройств на базе Android стали жертвой нового банковского трояна под названием Ginp. Об этом сообщили специалисты компании Threat Fabric, работающей в сфере информационной безопасности.

Впервые троян Ginp был обнаружен специалистами «Лаборатории Касперского» в конце октября 2019 года. В отчёте сказано, что мошенническая кампания с использованием банковского трояна Ginp, нацеленная на пользователей Android, началась в июне 2019 года. Специалисты отмечают, что рассматриваемое вредоносное ПО всё ещё находится в разработке, а хакеры преимущественно полагаются на код вредоноса Anubis.

С июня в сети Интернет было обнаружено 5 версий трояна Ginp. Злоумышленники маскируют его под популярные приложения, такие как Adobe Flash Player. На данный момент он распространяется только через APK-файлы, размещаемые на разных веб-сайтах. Очевидно, что пробраться в официальный магазин цифрового контента Google Play Store вредоносу пока не удалось.

После попадания на устройство жертвы Ginp удаляет значок приложения с рабочего стола и маскируется, чтобы максимально усложнить процесс своего обнаружения и удаления. На втором этапе ПО постарается получить привилегированный доступ внутри системы Android. После этого троян сможет собирать разную информацию и передавать её на подконтрольный хакерам сервер, а также выполнять разные команды, поступающие удалённо. Одна из особенностей Ginp заключается в возможности детальной имитации интерфейса банковских приложений. В процессе работы троян запрашивает платёжные банковские данные, которые после попадания в руки злоумышленников продаются на чёрном рынке.

В отчёте говорится, что Ginp также запрашивает данные банковских карт при совершении покупок в Play Store. Это означает, что хакеры могут завладеть платёжными данными, не вызывая каких-либо подозрений. На данный момент троян преимущественно нацелен на испанские банковские приложения, но исследователи не исключают, что в будущем он может распространиться на другие страны европейского региона.  

Android-троян FANTA нацелился на пользователей из России и СНГ

Стало известно о росте активности трояна FANTA, который атакует владельцев Android-устройств, пользующихся разными интернет-сервисами, в том числе Avito, AliExpress и Юла.

Об этом сообщили представители Group IB, которые занимаются исследованиями в сфере информационной безопасности. Специалисты зафиксировали очередную кампанию с применением трояна FANTA, который используется для атаки клиентов 70 банков, платёжных систем, веб-кошельков. В первую очередь кампания направлена против пользователей, проживающих на территории России и некоторых стран СНГ. Кроме того, троян нацелен на людей, размещающих объявления о купле-продаже на популярной площадке Avito. По оценкам специалистов, только в этом году потенциальный ущерб от трояна FANTA для россиян составляет порядка 35 млн рублей.

Исследователи Group IB выяснили, что кроме Avito Android-троян нацелен на пользователей десятков популярных сервисов, в том числе Юла, AliExpress, Trivago, Pandao и др. Схема мошенничества подразумевает использование фишинговых страниц, которые маскируются злоумышленниками под настоящие веб-сайты.

После публикации объявления жертва получает SMS-сообщение, в котором говорится о переводе полной стоимости товара. Для просмотра деталей предлагается перейти по ссылке, которая прилагается к сообщению. В конечном счёте жертва попадает на фишинговую страницу, которая внешне ничем не отличается от страниц Avito. После просмотра данных и нажатия на кнопку «Продолжить» на пользовательское устройство загружается вредоносный APK FANTA, маскирующийся под мобильное приложение Avito.

Далее троян определяет тип устройства и выводит на экран сообщение, в котором говорится о произошедшем системном сбое. Затем выводится окно «Безопасность системы», где пользователю предлагается разрешить приложению доступ к AccessibilityService. Получив данное разрешение, троян без посторонней помощи получает права на совершение других действий в системе, совершая для этого имитацию нажатий на клавиши.  

Специалисты отмечают, что разработчики трояна уделили особое внимание интеграции средств, позволяющих FANTA обходить антивирусные решения для Android. После установки троян не даёт пользователю запускать такие приложения, как Clean, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Dr.Web Mobile Control и др.

Уникальный троян на Node.js добывает криптовалюту TurtleCoin

«Доктор Веб» предупреждает о том, что любителям игр угрожает уникальная вредоносная программа, занимающаяся скрытным майнингом.

Речь идёт о редком трояне на программной платформе Node.js. Этот зловред, получивший название Trojan.MonsterInstall, был передан на анализ компании «Доктор Веб» специалистами «Яндекса».

Вредоносная программа распространяется через сайты с читами для видеоигр. На компьютер пользователя попадает защищённый паролем архив, внутри которого находится исполняемый файл. При его запуске скачиваются нужные читы, а также компоненты, необходимые для работы трояна.

После активации зловред собирает информацию о системе и отправляет её на сервер злоумышленников. После получения ответа вредоносная программа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.

Зловред распространяется через сайты с читами к популярным играм, созданные злоумышленниками, а также через сторонние ресурсы соответствующей тематики. Суммарное количество просмотров этих сайтов превышает 125 тыс. в месяц. 

Банковский троян DanaBot угрожает европейским пользователям

Компания ESET предупреждает о росте активности вредоносной программы DanaBot, которая атакует пользователей устройств под управлением операционных систем Windows.

Названный зловред — это банковский троян. Программа имеет модульную архитектуру, а в основе большинства её функций лежат плагины. Так, например, модуль Sniffer внедряет вредоносный скрипт в браузер жертвы. Плагин Stealer, в свою очередь, собирает пароли из широкого спектра приложений — браузеры, FTP-клиенты, VPN-клиенты, чаты и почтовые клиенты, онлайн-покер и пр.

Вредоносная программа DanaBot написана на языке Delphi. В настоящее время зловред атакует европейских пользователей.

Злоумышленники, стоящие за распространением DanaBot, используют спам-рассылки, которые имитируют счета от различных компаний.

Отмечается, что операторы DanaBot недавно внесли изменения в архитектуру трояна, добавив новые функции. «У них появился плагин TOR, который потенциально можно использовать для создания скрытого канала связи между злоумышленником и жертвой, а также 64-битная версия Stealer-плагина и новый плагин для удалённого доступа к рабочему столу», — говорят в ESET. 

Банковский троян Roaming Mantis атакует iOS-устройства

«Лаборатория Касперского» предупреждает о том, что мобильным устройствам под управлением операционной системы iOS угрожает вредоносная программа Roaming Mantis.

Названный зловред — это банковский троян, который изначально атаковал гаджеты на базе Android по всему миру. Теперь внимание злоумышленников привлекли смартфоны iPhone и планшеты iPad.

В частности, Roaming Mantis использует фишинговые методы с целью кражи учётных данных пользователей iOS. Когда жертвы обращаются к веб-странице с мобильного устройства, происходит перенаправление на специальный сайт, где злоумышленники крадут идентификатор пользователя, пароль, номер банковской карты, её срок действия и код CVV.

Более того, Roaming Mantis пытается использовать iOS-устройства с целью скрытой добычи криптовалют. В частности, его основной инструмент — сервис криптовалютного майнинга CoinHive, посредством которого ранее трояном заражались ПК.

«Лаборатория Касперского» также выяснила, что киберпреступники, стоящие за атаками Roaming Mantis, улучшают средства уклонения от обнаружения. Россия входит в число наиболее часто атакуемых зловредом стран. 

Новый Android-троян подменяет номера электронных кошельков в буфере обмена

«Доктор Веб» предупреждает о распространении новой вредоносной программы, нацеленной на устройства под управлением операционных систем Android.

Зловред получил название Android.Clipper; на сегодняшний день известны как минимум две его модификации. Главная задача трояна заключается в подмене номеров электронных кошельков в буфере обмена с целью пересылки денег злоумышленникам.

При запуске на инфицированном устройстве зловред выводит поддельное сообщение об ошибке и продолжает работу в скрытом режиме. При этом одна из версий программы маскируется под приложение для работы с электронными кошельками Bitcoin.

После проникновения на смартфон или планшет зловред начинает отслеживать изменения содержимого буфера обмена. Если троян обнаруживает, что пользователь скопировал в буфер номер электронного кошелька, он отсылает этот номер на управляющий сервер. В ответ высылается номер кошелька киберпреступников, который требуется вставить в буфер обмена вместо исходного. В результате, деньги переводятся мошенникам.

Вредоносная программа может подменять номера электронных кошельков платёжных систем Qiwi, Webmoney (R и Z) и «Яндекс.Деньги», а также криптовалют Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin.

Сейчас зловред активно продвигается на различных хакерских площадках и форумах. «Доктор Веб» полагает, что в скором времени можно ожидать появление большого количества модификаций этой вредоносной программы. 

Новый троян делает выбор между майнингом и шифрованием

«Лаборатория Касперского» рассказала о новой вредоносной программе семейства Rakhni, атакующей российских пользователей компьютеров под управлением операционных систем Windows.

Первые образцы вредоносного ПО, классифицированные как Trojan-Ransom.Win32.Rakhni, были обнаружены ещё в 2013 году. Новая версия зловреда получила обозначение Trojan-Downloader.Win32.Rakhni — это загрузчик, имеющий любопытную особенность.

Программа распространяется по электронной почте под видом различных вложений. Загрузчик представляет собой исполняемый файл, написанный на языке программирования Delphi. Для усложнения анализа все строки зловреда зашифрованы с помощью простого подстановочного шифра.

Особенностью зловреда является то, что основная функциональность определяется параметрами системы жертвы. Выбор делается между шифрованием файлов с целью получения выкупа и организацией майнинга для скрытой добычи криптовалют.

Решение о загрузке того или иного компонента зависит от наличия папки %AppData%\Bitcoin. Если эта папка есть, зловред скачает модуль шифрования. Если папки нет, а у компьютера более двух логических процессоров, будет скачан майнер. Если же этой папки нет и на машине доступен только один логический процессор, загрузчик сразу переходит к компоненту-червю для дальнейшего распространения через компьютерную сеть.

Более подробную информацию о вредоносной программе можно найти здесь

Зловред HeroRat управляет устройствами жертв через Telegram

Компания ESET предупреждает о появлении новой вредоносной программы, атакующей мобильные гаджеты — смартфоны и планшеты — под управлением операционной системы Android.

Зловред получил название HeroRat. Это троян класса RAT (Remote Administration Tool), предназначенный для удалённого управления инфицированными устройствами.

HeroRat распространяется через различные сайты в Интернете, в частности, через неофициальные магазины Android-приложений, социальные платформы и пр. Атакующие маскируют вредоносную программу под приложения, обещающие биткоины в подарок, бесплатный мобильный Интернет или накрутку подписчиков в соцсетях.

После запуска троян выводит сообщение об ошибке, в котором говорится, что программа не может работать на устройстве и будет удалена. На деле же удаляется лишь иконка приложения, а сам троян продолжает работу скрытно от пользователя.

Главная особенность HeroRat заключает в том, что управление его работой осуществляется посредством Telegram-бота. Через специальный интерфейс злоумышленники могут перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки.

Зловред предлагается по модели Malware-as-a-Service (вредоносное ПО в качестве услуги). Цена в зависимости от набора функций варьируется от 25 до 100 долларов США, а код программы продаётся за 650 долларов. 

Троян BackSwap крадёт деньги с банковских счетов необычным способом

Компания ESET обнаружила новую вредоносную программу, атакующую пользователей компьютеров под управлением операционных систем Windows: зловред получил название BackSwap.

Главная задача трояна — кража средств с банковских счетов жертв. Причём механизм атаки реализован с применением довольно оригинальной тактики, позволяющей обходить продвинутые механизмы защиты.

Эксперты говорят, что обычно банковские трояны внедряют в процессы браузера вредоносный код, с помощью которого отслеживается посещение сайтов финансовых организаций. В ходе атаки происходит изменение НТТР-трафика или перенаправление жертвы на фишинговый сайт. Это сложная задача, поскольку антивирусные продукты и защитные механизмы браузера распознают такое внедрение кода.

BackSwap действует иначе. Зловреду не требуется внедрение кода в процессоры браузера. Троян идентифицирует работу с онлайн-банком с помощью событий Windows в цикле ожидания сообщений. После этого вредоносный код внедряется в веб-страницу через консоль разработчика в браузере или в адресную строку.

«Так, чтобы внедрить скрипт в адресную строку, BackSwap имитирует нажатие комбинаций клавиш: CTRL+L для выбора адресной строки, DELETE для очистки поля, CTRL+V для вставки вредоносного скрипта и ENTER для его выполнения. Когда процесс завершён, адресная строка будет очищена, чтобы скрыть следы компрометации», — объясняет ESET.

Подобная схема позволяет обойти защитные механизмы и усыпить бдительность жертвы. Атака может осуществляться в различных браузерах, включая Google Chrome и Mozilla Firefox. 

Сложный шифровальщик использует новую технику для обхода защитных решений

Специалисты «Лаборатории Касперского» обнаружили весьма сложную вредоносную программу, которая шифрует файлы на компьютере жертвы с целью получения выкупа.

Речь идёт о новой версии зловреда SynAck, известного с конца 2017 года. Оригинальная модификация шифровальщика атаковала преимущественно англоговорящих пользователей, применяя брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла.

Новый зловред действует гораздо более хитроумно. Отмечается, что это первый шифровальщик, использующий так называемую технику Doppelgänging, которая позволяет вредоносной программе маскироваться под легитимный процесс. Для этого бесфайловый вредоносный код внедряется в безобидные системные процессы.

Кроме того, шифровальщик применяет ряд других методов обхода антивирусных решений. В результате, обнаружение вредоносной программы в системе становится весьма сложной задачей.

Любопытно, что сейчас атаки шифровальщика носят целевой характер. Нападения зафиксированы в США, Кувейте, Германии и Иране. При этом шифровальщик избегает компьютеров с кириллической раскладкой на клавиатуре.

Средний размер выкупа, который требует зловред, составляет 3000 долларов США. Более подробную информацию о вредоносной программе можно найти здесь

window-new
Soft
Hard
Тренды 🔥