Теги → троянец
Быстрый переход

«Доктор Веб» предупреждает о всплеске активности опасного Android-троянца, ворующего деньги со счетов пользователей

Банковский троянец Android.SmsSpy.88.origin, терроризирующий пользователей мобильной ОС Android на протяжении последних несколько лет, серьёзно эволюционировал и стал ещё опаснее. Информация о новой модификации вредоносной программы была опубликована на официальном сайте антивирусной компании «Доктор Веб».

Что характерно, все ранние версии троянца атаковали только пользователей из России и ряда стран СНГ. Новые же версии заражаются смартфоны и планшеты под управлением Android по всему миру. Как и прежде, Android.SmsSpy.88.origin попадает на мобильные устройства под видом безобидных программ вроде известного всем проигрывателя Adobe Flash Player. После запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к правам администратора с целью затруднить свое удаление из заражённой системы.

География распространения Android.SmsSpy.88.origin

География распространения Android.SmsSpy.88.origin

После этого троянец подключается к сети и поддерживает соединение в активном состоянии, используя для этого Wi-Fi или канал передачи данных мобильного оператора, что позволяет приложению обеспечить постоянную связь с управляющим сервером и избежать каких-либо перебоев в работе. Далее вредонос формирует для заражённого устройства уникальный идентификатор, который вместе с другой технической информацией передаётся на сервер злоумышленников, где происходит регистрация инфицированного смартфона или планшета.

Таким образом Android.SmsSpy.88.origin пытается похитить логины и пароли от учётных записей мобильного банкинга с целью передачи их киберпреступникам. После того как владелец устройства запускает одно из атакуемых приложений, троянец при помощи компонента WebView показывает поверх его окна фишинговую форму ввода аутентификационных данных для доступа к учётной записи мобильного банкинга. Как только пользователь указывает нужные зловреду данные, программа скрытно передаёт их злоумышленникам, и те получают полный контроль над всеми счетами жертвы.

Главным отличием модифицированной версии Android.SmsSpy.88.origin от базовой стала функция самозащиты, которая пытается помешать работе целого ряда антивирусных программ и сервисных утилит, не позволяя им запуститься и «оказать сопротивление».

В первом квартале 2016 года увеличилось количество троянов-шифровальщиков

«Лаборатория Касперского» поделилась информацией об активности троянов-шифровальщиков за первый квартал 2016 года. Эксперты компании отмечают рост данного типа вредоносных программ, только за первые три месяца было обнаружено на 14 % больше модификаций, чем за последний квартал 2015 года. Также появилось девять новых семейств троянов — почти столько же, сколько и за весь прошлый год.

По заявлениям главного антивирусного эксперта «Лаборатории Касперского» Александра Гостева, одна из причин популярности шифровальщиков кроется в простоте бизнес-модели, которую используют злоумышленники. При проникновении зловредного приложения в систему практически не остаётся шансов, что пользователь избавится от него, не потеряв личные данные. Кроме того, крайне сложно отследить интернет-преступников, поскольку все выкупы принимаются в биткоинах. Сейчас уже даже появился термин RaaS — Ransomware-as-a-Service, когда авторы троянской программы предлагают процент от полученных денег за распространение своего вредоносного приложения.

Сравнение модификаций троянов-шифровальщиков в четвёртом квартале 2015 года и в первом квартале 2016 года

Сравнение модификаций троянов-шифровальщиков в четвёртом квартале 2015 года и в первом квартале 2016 года

Согласно данным облачного сервиса Kaspersky Security Network, растёт количество мобильных зловредов. В первом квартале их было зарегистрировано в 14 раз больше, чем за последний квартал 2015 года. Россия продолжает оставаться в тройке стран по степени распределённости банковских троянцев на мобильных устройствах. Что же касается вредоносных программ, заражающих компьютеры с целью получения доступа к системам онлайн-банкинга пользователей, то в целом по миру их количество снижается, однако в России их число, наоборот, растёт. Сейчас наша страна занимает пятое место по числу жертв финансовых вредоносных программ, хотя по итогам прошлого года даже не вошла в десятку.

Количество уникальных пользователей, атакованных троянами-шифровальщиками в первом квартале 2016 года

Количество уникальных пользователей, атакованных троянами-шифровальщиками в первом квартале 2016 года

Сообщается, что с января по март антивирусные решения «Лаборатории Касперского» отразили более 228 миллионов атак, из которых 8 % было проведено с интернет-ресурсов, размещённых на территории России. Эти данные практически не изменились по сравнению с четвёртым кварталом 2015 года. Кроме того, сейчас Россия по-прежнему остаётся в лидирующих позициях среди стран с наиболее высокой степенью риска столкновения с веб-угрозами, за первый квартал попыткам сетевых атак подверглись устройства 36 % пользователей.

Более подробную информацию о развитии киберугроз в первом квартале 2016 года можно прочитать в аналитическом отчёте «Лаборатории Касперского» на этой странице.

Червь Remaiten заражает модемы и роутеры и проводит DDoS-атаки

Компания ESET сообщила о появлении новой вредоносной программы Linux/Remaiten. Сообщается, что зловредное приложение заражает модемы, роутеры и другие устройства, объединяя их в ботнет. В дальнейшем такая сеть может использоваться для загрузки троянов и вирусов и для DDoS-атак.

По мнению сотрудников ESET, Remaiten — это доработанная версия ботов Kaiten и Gafgyt, направленных на встраиваемые устройства. Gafgyt сканирует IP-адреса и пытается обнаружить работающий порт Telnet. Затем приложение подбирает имя пользователя и пароль для входа в систему. При успешном подключении начинается загрузка исполняемых файлов вредоносной программы.

Remaiten также пытается обнаружить порт Telnet и пытается пройти аутентификацию на нем, однако он действует более избирательно при установке исполняемых файлов. Троян анализирует инфраструктуру жертвы и подбирает необходимый загрузчик. Затем загрузчик загружает полноценный бот с управляющего сервера.

После установки бота, Remaiten выполняет команды управляющего сервера. Он может загружать вредоносные файлы в систему и проводить DDoS-атаки. Кроме того, Remaiten может уничтожать другие боты, установленные на заражённом устройстве. 

Троян USB Thief использует USB-носители для кражи личных данных пользователей

Компания ESET сообщила об обнаружении новой троянской программы под названием USB Thief. Примечательна она тем, что использует для распространения съёмные USB-носители — внешние жёсткие диски или флешки.

Троянец запускается исключительно со съёмного USB-устройства и не оставляет никаких следов в системе, а пользователь не замечает, что данные перемещаются с компьютера на внешний накопитель. Программа привязывается только к одному носителю, что предотвращает её утечку из системы. Отмечается, что зловредное приложение имеет сложную систему шифрования, что затрудняет его обнаружение. Также USB Thief отличается хорошей защитой от копирования и воспроизводства, что ещё больше усложняет процесс детектирования угрозы.   

Как правило, большинство подобных программ предлагает пользователю запустить вредоносный файл выдавая его за легитимное приложение. В данном случае, троянец использует довольно распространённую практику хранения портативных версий известных программ — таких как NotePad++, TrueCrypt и многих других. USB Thief внедряет свой код в цепочку команд в формате динамически подключаемой библиотеки или расширения. При запуске приложения зловредная программа также начинает действовать и работает в фоновом режиме.

В результате проведённого исследования специалистами лаборатории ESET было выяснено, что троян нацелен на кражу файлов определённых форматов. Зловредное приложение исследует документы и изображения, находящиеся на жёстком диске компьютера, а также иные данные, записанные с помощью импортированной программы WinAudit, после чего копирует их на внешний носитель и там шифрует. Когда USB-устройство с USB Thief удаляется из системы, никто не сможет узнать о её компрометации.

Как отмечает вирусный аналитик ESET Томаш Гардон, подобная программа создана для целенаправленных атак на системы, у которых нет доступа в Интернет по соображениям безопасности. В настоящее время это далеко не самый распространённый способ похищения данных, но при этом же крайне опасный, поскольку возможности зловреда при желании можно существенно расширить.

Троян для Android обходит двухфакторную аутентификацию банковских мобильных приложений

Компания ESET сообщает об активности мобильной троянской программы Android/Spy.Agent.SI. Зловредное приложение атакует планшеты и коммуникаторы под управлением операционной системы Android и крадёт банковские данные пользователя в обход двухфакторной аутентификации.

Поддельные экраны ввода учётных данных пользователя мобильного банка

Поддельные экраны ввода учётных данных пользователя мобильного банка

Сообщается, что троян распространяется под видом мобильного приложения Flash Player. При установке Android/Spy.Agent.SI запрашивает доступ к функциям администратора, что защищает его от удаления. Кроме того, каждые 25 секунд программа отсылает на удалённый сервер подробную информацию об устройстве, в том числе название модели, язык, IMEI и данные об активации прав администратора. После этого троянец ищет в памяти устройства банковские программы. В случае их обнаружения Spy.Agent.SI. загружает с удалённого сервера поддельные экраны ввода учётной записи и пароля.

При запуске мобильного банковского приложения появляется поддельный экран, блокирующий банковскую программу до ввода учётных данных пользователя. Полученные данные оказываются в распоряжении киберпреступников, после чего они могут украсть денежные средства с банковского счёта жертвы. Кроме того, троян получает доступ к SMS-сообщениям, что позволяет перехватывать сообщения от банка и удалять их не вызывая подозрения у владельца заражённого устройства.

Отмечается, что в настоящее время Android/Spy.Agent.SI. очень активно развивается. Если первые версии было несложно обнаружить, то сейчас вредоносное приложение очень хорошо скрывает своё присутствие в операционной системе. Известно, что вредоносная кампания направлена на двадцать крупнейших банков Турции, Новой Зеландии и Австралии, имеющих мобильные приложения. По заявлениям специалистов ESET, троянское приложение может быть перенаправлено и на финансовые организации других стран.

Троян Android/Clicker распространяется через Google Play

Компания ESET сообщила о раскрытии одной из крупнейших кибератак в истории онлайн-магазина Google Play. Как выяснилось, на протяжении семи месяцев злоумышленники загрузили в магазин 343 модификации троянского приложения Android/Clicker, которое скачали 1,2 млн. пользователей.

Отмечается, что зловредная программа чаще всего маскируется под игровые приложения, включая Subway Surfers 2015, GTA San Andreas Free, My Talking Tom v2, Dubsmash 2 и многие другие. После установки Android/Clicker периодически открывает в браузере мобильного устройства сайты порнографического содержания, что обеспечивает накрутку трафика владельцам «взрослых» ресурсов и доход создателям троянца. Кроме того, установка троянского приложения может повлечь за собой дополнительные расходы для владельцев мобильных устройств с лимитированным трафиком Интернета.

По заявлениям аналитиков ESET, каждую неделю систему безопасности Google Bouncer обходило около десяти аналогичных троянцев-порнокликеров. В среднем, каждая такая программа загружалась более трёх тысяч раз, а некоторые приложения имели более полумиллиона установок.   

«Мы наблюдали ряд кампаний по распространению вредоносного ПО на Google Play, но ни одна из них не продолжалась так долго и не привела к такому числу заражений, — говорит вирусный аналитик ESET, специализирующийся на Android-угрозах, Лукас Стефанко, — Порнокликеры постоянно подвергаются модификациям. Обновленные версии изменены ровно настолько, чтобы скрыть истинную цель и обойти проверки безопасности Google»

Чтобы избежать заражения, специалисты компании ESET рекомендуют читать отзывы о приложении на Google Play перед тем, как загрузить его. Также следует обратить внимание на рейтинг программы. Как правило, трояны получают негативные отзывы пользователей и низкие рейтинги.

ESET: троянов-вымогателей для Android становится больше

Компания ESET опубликовала отчёт, посвящённый троянам-вымогателям для мобильной операционной системы Android. Данный отчёт был подготовлен в рамках проходящей в Барселоне выставки Mobile World Congress 2016.

Сообщается, что только на протяжении всего 2015 года ежемесячно обнаруживалось около двухсот новых образцов угроз для Android. Более всего среди них преобладают троянские приложения, в том числе и программы-вымогатели. Отмечается, что прообразом подобных программ были поддельные антивирусы, обнаруженные в 2012 году. За последние годы мобильные угрозы развивались, усложнялась их функциональность. Так, в 2013 году было выявлено первое фальшивое антивирусное приложение с возможностью блокировки экрана заражённого устройства. Ещё через год был обнаружен шифратор Simplocker, а в 2015 году появилась программа-вымогатель Lockerpin, меняющая PIN-код на планшетах и телефонах. По данным статистики онлайн-сервиса ESET LiveGrid, 72 % устройств, которые подверглись заражению Lockerpin, находятся в США, что отличает его от других аналогичных программ, больше всего нацеленных на пользователей мобильных устройств из Украины и России.

Чтобы не подвергнуться заражению троянов-вымогателей и других зловредных программ, рекомендуется загружать приложения исключительно из официального магазина Google Play, предварительно изучив отзывы других пользователей, а также использовать современные антивирусные решения.

Троян Acecard похищает личные данные у пользователей Android

Компания «Лаборатория Касперского» сообщила об обнаружении троянской программы Acecard, атакующей пользователей мобильной операционной системы Android. Зловредное приложение считается одним из самых опасных, оно крадёт данные банковских карт и учётные данные для доступа к онлайновым и мобильным сервисам, подменяя их официальные сайты фишинговыми ресурсами. Отмечается, что Acecard, в отличие от аналогичных программ, может заблокировать практически любое приложение по команде киберпреступников, что делает его возможности безграничными. Сейчас троян активен во многих странах, однако более всего подвергаются заражению пользователи из России, Австралии, Германии, Австрии и Франции.

Приложение в Google Play с троянцем Acecard

Приложение в Google Play с троянцем Acecard

Последние версии Acecard умеют перехватывать данные из мобильных приложений известных социальных сетей (Instagram, Facebook, Twitter, «ВКонтакте», «Одноклассники») и систем онлайн-банкинга. Некоторые модификации троянца могут перехватывать информацию из программ Google Music и Google Play, чтобы получить данные банковской карты пользователя. Также программа умеет перехватывать SMS от банков с одноразовыми паролями для проведения транзакций. Кроме того, некоторые версии Acecard могут получить права суперпользователя в системе смартфона или планшета, вследствие чего избавиться от них становится практически невозможно.

Вредоносная программа чаще всего распространяется под именами PornoVideo или Flash Player. Иногда троян может содержаться и в других приложениях, названия которых похожи на известные программы, в том числе, некоторые из них распространяются через официальный магазин Google Play.

Примеры фишинговых страниц

Примеры фишинговых страниц

«Троянец Acecard заметно активизировался в последнее время, — говорит антивирусный эксперт «Лаборатории Касперского» Роман Унучек, — Злоумышленники используют практически все возможные способы для его распространения — и под видом других программ, и через официальный магазин приложений, и через другие троянцы. Сочетание столь широких способов распространения с использованием уязвимостей в ОС, которые эксплуатирует Acecard, а также широкий набор функций и возможности зловреда делают этого мобильного банкера одной из самых опасных угроз для пользователей Android».

По предположениям экспертов «Лаборатории Касперского», создатели Acecard скорее всего из России. Они же являются авторами программы-шифровальщика Pletor и троянской программы для Android под названием Torec.

Более подробно об Acecard можно прочесть в отчёте «Лаборатории Касперского» на этой странице.

Linux Mint был скомпрометирован, в дистрибутиве нашли троян

Один из популярных дружественных дистрибутивов Linux Mint был скомпроментирован. Об этом сообщил руководитель проекта Клемент Лефебр.

По его информации, официальный сайт ОС был взломан, а ссылки на дистрибутивы изменены и вели на образы системы, содержащие вирус. По словам Лефебра, речь идёт только о Linux Mint 17.3 Cinnamon edition, который является базовым. Для проверки целостности образа Linux Mint было рекомендовано использовать хеши MD5. На всякий случай рекомендуется проверить все образы, особенно если их скачивали 20 февраля.

  • 6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso;
  • e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso;
  • 30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso;
  • 3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso;
  • df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso;

На сегодняшний день известно, какой троян был встроен в систему. В файл man.cy был добавлен троян tsunami, работающий по принципу IRC-бота и применяемый для DDoS-атак ещё с 2013 года. В случае если обнаружится, что образ всё же заражён, нужно переустановить систему с полным форматированием разделов, а также сменить пароли от сайтов, почты, мессенджеров и так далее.

Сообщается, что взлом осуществлял явно не специалист или даже дилетант. Причиной этому называют несерьёзный «чёрный ход», внедрённый в дистрибутивы, а также тот факт, что на сайте TheRealDeal в даркнете (скрытая часть Интернета) был выставлен на продажу доступ к сайту linuxmint.com.

Сообщается также, что уже известны имена трёх человек, которые причастны ко взлому. 

Троян Remtasu предлагает взлом учётных записей Facebook

Компания ESET сообщила о повышении активности троянского приложения Win32/Remtasu. Специалистами компании был обнаружен ряд модификаций зловредной программы, которые используются для кражи личных данных пользователей. Сообщается, что с начала 2016 года была зафиксирована новая волна распространения троянца, который маскировался под программу для кражи паролей от Facebook.

Приложение загружает вредоносные файлы, при запуске которых происходит перехват конфиденциальной информации. Троян получает данные из буфера обмена и может сохранять их в отдельный файл. Кроме того, программа может сохранять данные о нажатии клавиш пользователем и отправлять полученную информацию на удалённый сервер.

Отмечается, что ранее Win32/Remtasu распространялся обычным для вредоносного приложения способом — посредством сообщений, рассылаемых по электронной почте. Как правило, пользователи получали фальшивые письма от известных компаний, в которых предлагалось открыть вложенный файл, содержащий троянскую программу.

По заявлениям аналитиков ESET, только за первые недели 2016 года было зафиксировано более 24 модификаций Remtasu. Более всего троян проявляет активность в Таиланде, Турции, а также странах Латинской Америки.   

Для предотвращения заражения рекомендуется не читать сообщения от непроверенных пользователей, не открывать вложенные файлы, а также не переходить по подозрительным ссылкам. Сообщается, что в настоящее время все модификации троянского приложения Win32/Remtasu добавлены в антивирусную базу ESET и могут быть обнаружены программой ESET NOD32.

Шифровальщик Scatter атакует российские компании сегментов малого и среднего бизнеса

Компания «Лаборатория Касперского» сообщила о новых кибератаках троянской программы Scatter. Отмечается, что активность зловредного приложения  наблюдалась на протяжении всего 2015 года, а новая волна началась с 11 января.

Жертвами Scatter становятся, в основном, российские компании малого и среднего бизнеса. Сотрудник получает письмо от злоумышленников, которое якобы отправлено представителем компании-партнёра, название которой, что примечательно, не упоминается. В письме сообщается об утере некоторых документов, касающихся совместных операций, а также просьба выслать их копии. К письму прилагается файл, который, как будто содержит список этих документов, но на самом деле это и есть файл с трояном.

При заражении, программа шифрует файлы пользователя на компьютере и предлагает расшифровать их за определённую сумму в биткоинах. Также пользователю предлагается расшифровать три файла, но не любые, а которые покажутся недостаточно важными злоумышленникам. Из установленного зловредного приложения возможно перейти на страницу с онлайн-чатом для связи с вымогателями, он находится на странице, где указана сумма выкупа и количество зашифрованных файлов. Отмечается, что Scatter не работает, если видит в системе антивирусное решение от «Лаборатории Касперского».

Пример письма, содержащего троянец Scatter

Пример письма, содержащего троянец Scatter

«Крайне важно понимать, что уплата выкупа не гарантирует расшифровку файлов, но точно станет причиной дальнейшего развития и распространения троянцев, — говорит старший антивирусный аналитик «Лаборатории Касперского» Федор Синицын, — Единственное разумное решение в случае столкновения с кибермошенниками — это обратиться в правоохранительные органы. Сотрудникам всех небольших компаний следует быть внимательнее, чтобы не допустить заражения системы. Внимательно проверяйте, от кого вы получаете письма, и ни в коем случае не открывайте вложения, если не уверены в том, что отправитель вам знаком, ведь это может привести к безвозвратной потере ценных документов».

Для предотвращения заражения рекомендуется использовать и обновлять антивирусную программу и следить за настройками доступа и общими папками в локальной сети, чтобы избежать заражения компьютеров других пользователей, если троян активировался на компьютере одного сотрудника компании. Также специалисты «Лаборатории Касперского» советуют сохранять резервные копии важных файлов и не открывать ссылки и файлы от неизвестных адресатов.

Более подробно о шифровальщике Scatter можно прочитать на этой странице.

«Доктор Веб» диагностировал наличие опасного троянца в десятках игр из Google Play

В каталоге Google обнаружено более 60 игр, скрывающих в себе троянца Android.Xiny.19.origin, чья основная задача — загрузка, установка и запуск программ по команде злоумышленников, а также терроризирование пользователей навязчивой рекламой. Эксперты ИБ-компании «Доктор Веб», обнаружившие проблему, уже обо всём доложили в Google.

Как сообщается в отчёте антивирусных аналитиков, Android.Xiny.19.origin способен передавать на сервер данные об IMEI-идентификаторе и MAC-адресе инфицированного устройства, версии и текущем языке ОС, наименовании мобильного оператора, доступности карты памяти, а также имени приложения, в которое встроен троянец.

Кроме того, зловред может загружать и предлагать владельцу зараженного устройства установить различное ПО, а при наличии в системе root-доступа ещё и самостоятельно инсталлировать и удалять приложения.

Однако это далеко не самые страшные вещи, на которые способен Android.Xiny.19.origin. Троянец опасен в первую очередь тем, что по команде удалённого оператора может скачивать и запускать в динамическом режиме произвольные apk-файлы. Что примечательно, для лучшей маскировки вредоносного объекта вирусописатели используют метод стеганографии, скрывая его в специально созданных изображениях. После получения от управляющего сервера нужного изображения Android.Xiny.19.origin, используя особый алгоритм, извлекает из него скрытый apk-файл, который потом запускается на исполнение.

Несмотря на то, что Google осведомлена о существовании проблемы, по данным «Доктора Веба», заражённые игры всё ещё присутствовали в Google Play. В связи с чем в ближайшее время специалисты не рекомендуют загружать из сервиса приложения на устройства,  которые не оборудованы антивирусной защиты. 

«Лаборатория Касперского»: злоумышленники следят за переговорами пользователей через мобильные устройства

«Лаборатория Касперского» поделилась результатами исследования зловредных приложений для слежки за конфиденциальными переговорами на мобильных устройствах. Отмечается, что несмотря на то, что такое общение ведётся в специализированных мобильных мессенджерах, которые, как правило, имеют хорошую защиту и шифрование пересылаемых сообщений, киберпреступники применяют приложения-импланты, с помощью которых возможно получить контроль над устройством и видеть все сообщения и данные, получаемые его владельцем.

Как правило, такие шпионские программы используются при кибератаках на организации или высокопоставленных лиц. По результатам исследования выяснилось, что только за последние два года вредоносные приложения такого типа применялись в шести крупных атаках. Сейчас такие программы доступны для всех популярных мобильных платформ — Android, iOS, Windows Mobile и Blackberry. Возможности приложений сейчас достаточно широки — они могут отслеживать местоположение смартфона или планшета, при необходимости включают камеру и микрофон телефона для записи, запоминают замену SIM-карты, следят за состоянием батареи, запоминают точки доступа Wi-Fi, к которым подключался пользователь, а также могут получить доступ к текстовым сообщениям, файлам и изображениям, хранящимся на устройстве.

По заявлениям специалистов «Лаборатории Касперского», чаще заражению подвергаются мобильные устройства, на которых сделан джейлбрейк, либо смартфон может быть заражён при подключении через USB-порт к инфицированному компьютеру. Иногда злоумышленники применяют дорогостоящие и эффективные эксплойты, в случае, если телефон принадлежит человеку, занимающему высокую должность.

«Злоумышленники уже давно поняли, что заражение мобильного устройства может дать им гораздо больше, чем атака на традиционный ПК, — заявляет антивирусный эксперт «Лаборатории Касперского» Дмитрий Бестужев, —  Жертвы кибератак всегда имеют при себе мобильные телефоны, и зачастую на них хранится информация, которой нет на рабочем компьютере. Кроме того, мобильные устройства обычно хуже защищены, поэтому для их заражения злоумышленникам приходится прилагать меньше усилий. В случае же с программами-имплантами зараженное мобильное устройство никак не защищено от шпионских действий, даже несмотря на надежное шифрование информации в мессенджере — злоумышленники имеют возможность читать те же сообщения, что и сами пользователи. При этом нет необходимости взламывать протоколы шифрования или перехватывать данные на сетевом уровне. Они могут просто читать сообщения так, как это делает жертва».

Чтобы избежать заражения, специалисты «Лаборатории Касперского» рекомендуют поддерживать операционную систему своего мобильного устройства в актуальном состоянии, своевременно устанавливая все выходящие обновления, а также не заряжать телефон через USB-порт компьютера, не делать джейлбрейк, а при подключении к Интернету использовать VPN-соединение. Кроме того, рекомендуется контролировать все процессы, которые выполняются в памяти устройства, а также использовать качественное защитное программное обеспечение.

Отмечается, что в настоящее время антивирусные решения от «Лаборатории Касперского» могут обнаруживать и блокировать все мобильные импланты, известные на сегодняшний день.

Более подробно об исследовании «Лаборатории Касперского» данного типа вредоносных приложений можно прочитать на этой странице

На Linux появился новый троянец, делающий снимки экрана

Специалисты антивирусной компании «Доктор Веб» опубликовали на своём официальном сайте обзор нового троянца, буйствующего на операционной системе Linux, который получил название Linux.Ekoms.1. Как отмечается в отчёте, зловред способен с определённой периодичностью делать на заражённом компьютере снимки экрана, загружать в систему различные файлы и даже записывать звук.

После успешного запуска Linux.Ekoms.1 проверяет одну из подпапок домашней директории пользователя на наличие файлов с заранее заданными именами. В случае отсутствия подобных файлов троянец сохраняет свою копию в выбранной случайным образом директории, после чего запускается из новой локации и производит соединение с одним из управляющих серверов, адреса которых «зашиты» в его теле. При этом обмен данными с управляющим центром осуществляется с использованием шифрования.

Linux.Ekoms.1 делает скриншоты на инфицированной машине с периодичностью раз в 30 секунд, сохраняя их во временную папку в формате JPEG. Вредонос также может попытаться выполнить сохранение в формате BMP, если по тем или иным причинам на диск не удалось поместить файл в формате JPEG. Далее содержимое временной папки загружается на управляющий сервер через определённые временные интервалы.

Кроме того, Linux.Ekoms.1 способен загружать на управляющий сервер файлы, подходящие под определённые критерии. Для этого один из создаваемых троянцем потоков в ОС Linux генерирует на инфицированном компьютере список фильтров для имен файлов вида aa*.aat", dd*ddt, kk*kkt, ss*sst, по которым и осуществляется поиск во временной папке.

Ещё данный зловред обладает способностью записывать звук и сохранять полученную запись в файл с расширением .aat в формате WAV. Правда, как отмечается в отчёте, на практике эта возможность нигде не используется.

На Linux свирепствует новая модификация известного троянца-шифровальщика

В наступившем 2016 году вирусописатели уже успели преподнести пользователям Linux неприятный сюрприз, выпустив в свет новую версию троянца-шифровальщика для данной операционной системы. Специалисты антивирусной компании «Доктор Веб», которые исследовали образец энкодера, получившего название Linux.Encoder.3, в свою очередь, решили поделиться с пользователями любопытной информацией об особенностях зловреда. Ведь как водится: предупрежден, значит, вооружён!

Как и более старые версии Linux.Encoder, модифицированный троянец проникает в домашнюю папку веб-сайтов с помощью шелл-скрипта, внедряемого злоумышленниками в различные системы управления контентом, в которых имеются неустановленные уязвимости. Для зашифровки всех файлов в домашней директории сайта Linux.Encoder.3 не требуются привилегии суперпользователя Linux — достаточно того, чтобы троянец запустился с правами веб-сервера.

Rafe Swan/Cultura/Corbis

Rafe Swan/Cultura/Corbis

Ещё одна особенность Linux.Encoder.3 заключается в том, что он способен запоминать дату создания и изменения исходного файла и подменять её для модифицированных им файлов значениями, которые были установлены до вмешательства. Вдобавок каждый экземпляр вредоноса использует уникальный ключ шифрования, генерируемый случайным образом на основе характеристик шифруемых файлов. Вместе с тем Linux.Encoder.3 имеет ряд архитектурных особенностей, которые позволяют специалистам успешно расшифровывать повреждённые файлы.

Soft
Hard
Тренды 🔥