22 января 2019 года

Троянцы типа Downloader используются для загрузки других вредоносных программ. Trojan.DownLoad4.11892, обнаруженный недавно специалистами компании «Доктор Веб», — не исключение. При запуске он скачивает другого троянца с целью кражи персональных данных владельцев криптовалют.

Осенью 2018 года в онлайн-сообществах, посвященных криптовалютам, появились сообщения с предложением установить программу для отслеживания изменения курса цифровых валют. Ее разработчики обещают бесплатный, надежный и сертифицированный виджет. На первый взгляд, приложение не вызывает подозрений: у него есть действительная цифровая подпись и оно показывает актуальную информацию о курсе криптовалют. Но за работоспособностью скрывается вредоносная функциональность.

При установке программа скачивает, компилирует и исполняет исходный код, загруженный с личного аккаунта разработчика на Github. После чего он загружает Trojan.PWS.Stealer.24943, известного также как AZORult. Этот троянец используется для кражи личных данных, включая пароли от кошельков криптовалют.

Преимущественно мошенники предлагают скачать вредоносную программу на русском, английском и польском языках. В русскоязычном сегменте Интернета троянца распространяют в группах майнеров криптовалют на vk.com.

Сейчас троянец все еще доступен на различных файлообменных сервисах, а также на Github. Пользователям продуктов Dr.Web опасность не угрожает, но специалисты Dr.Web настоятельно рекомендуют вовремя продлевать лицензию антивируса и следить за обновлениями.

Подробнее

#bitcoin #криптовалюты #майнинг #троянец

6 декабря 2018 года

Вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play троянца Android.BankBot.495.origin, который угрожал клиентам бразильских кредитных организаций. Этот банкер использует специальные возможности (Accessibility Service) платформы Android. С их помощью он может самостоятельно управлять зараженными мобильными устройствами и красть конфиденциальные данные их владельцев.

Киберпреступники распространяли Android.BankBot.495.origin под видом приложений, якобы позволяющих следить за пользователями Android-смартфонов и планшетов. Троянец скрывался в программах с названиями WLocaliza Ache Já, WhatsWhere Ache Já и WhatsLocal Ache Já. После обращения специалистов «Доктор Веб» в корпорацию Google та оперативно удалила их из Google Play. Банкера успели загрузить свыше 2000 пользователей.

При запуске Android.BankBot.495.origin пытается получить доступ к функциям специальных возможностей (Accessibility) ОС Android, открывая меню системных настроек и предлагая пользователю активировать соответствующий параметр. Если потенциальная жертва согласится предоставить троянцу запрошенные полномочия, Android.BankBot.495.origin сможет незаметно управлять программами, самостоятельно нажимать на кнопки и красть содержимое активных окон приложений.

Когда пользователь дает банкеру разрешение на работу с функциями специальных возможностей, тот закрывает свое окно, запускает вредоносный сервис и с его помощью продолжает действовать в скрытом режиме. Затем Android.BankBot.495.origin запрашивает доступ к показу экранных форм поверх запущенных программ. Эта опция в дальнейшем необходима троянцу для демонстрации фишинговых окон. Благодаря полученному ранее разрешению использовать специальные возможности Android.BankBot.495.origin автоматически нажимает на все кнопки с текстом «PERMITIR» («Разрешить»), которые появляются при запросе полномочий. В результате, если языком системы является португальский, банкер самостоятельно обеспечивает себе нужные привилегии.

Кроме того, вредоносное приложение использует функции специальных возможностей и для самозащиты, отслеживая работу ряда антивирусов и различных утилит. При их запуске он пытается закрыть их окна, 4 раза подряд нажимая кнопку «Назад».

Android.BankBot.495.origin соединяется с удаленным узлом для приема первоначальных настроек и в невидимом окне WebView переходит по заданной вирусописателями ссылке. В результате нескольких перенаправлений на загруженном сайте троянец получает конечную ссылку, в которой зашифрованы IP-адреса двух управляющих серверов. Далее Android.BankBot.495.origin подключается к одному из них и принимает список с именами приложений. Троянец проверяет, какие из них установлены на устройстве, и уведомляет об этом сервер. Затем банкер поочередно отправляет несколько специальным образом сформированных запросов. В зависимости от настроек сервера в ответ Android.BankBot.495.origin получает команду на старт той или иной программы. На момент анализа он мог запускать ПО кредитных организаций Banco Itaú S.A. и Banco Bradesco S.A., а также установленное по умолчанию приложение для работы с СМС.

При запуске программы Banco Itaú троянец с использованием функции специальных возможностей считывает содержимое ее окна и передает злоумышленникам информацию о балансе банковского счета пользователя. Затем он самостоятельно выполняет навигацию внутри приложения и переходит в раздел управления учетной записью. Там троянец копирует и отправляет вирусописателям ключ iToken – код безопасности, который используется для проверки электронных транзакций.

После запуска приложения Bradesco банкер считывает информацию об аккаунте жертвы и пытается автоматически войти в него, вводя полученный от управляющего сервера PIN-код. Android.BankBot.495.origin копирует данные о сумме на счете пользователя и вместе с полученными ранее сведениями об учетной записи передает их киберпреступникам.

Получив команду на запуск приложения для работы с СМС, банкер открывает его, считывает и сохраняет текст доступных сообщений и отправляет их на сервер. При этом он выделяет СМС, поступившие от банка CaixaBank, S.A., и передает их отдельным запросом.

Кроме того, авторы Android.BankBot.495.origin используют банкера для проведения фишинг-атак. Троянец отслеживает запуск программ Itaucard Controle seu cartão, Banco do Brasil, Banco Itaú, CAIXA, Bradesco, Uber, Netflix и Twitter. Если банкер обнаруживает, что одно из них начало работу, он отображает поверх него окно с мошеннической веб-страницей, которая загружается со второго управляющего сервера. Эта страница имитирует внешний вид атакуемого приложения. На ней у пользователя может быть запрошена информация об учетной записи, номере банковского счета, сведения о банковской карте, логины, пароли и другие секретные данные.

Пример таких фишинговых страниц показан на изображениях ниже:

Введенная жертвой конфиденциальная информация передается злоумышленникам, после чего троянец закрывает мошенническое окно и повторно запускает атакуемую программу. Это делается для того, чтобы не вызвать у владельца устройства подозрений при сворачивании или закрытии целевого приложения.

Компания «Доктор Веб» призывает с осторожностью устанавливать Android-программы, даже если они распространяются через Google Play. Злоумышленники могут подделывать известное ПО, а также создавать внешне безобидные приложения. Для снижения риска установки троянца стоит обращать внимание на имя разработчика, дату размешения программы в каталоге, число загрузок и отзывы других пользователей. Кроме того, следует использовать антивирус.

Все известные модификации банкера Android.BankBot.495.origin детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей они опасности не представляют.

Подробнее о троянце

#Android, #Google_Play, #банковский_троянец, #фишинг

23 ноября 2018 года

Как правило, злоумышленники используют несколько традиционных каналов распространения вредоносных программ, в основном – спам-рассылки. Но иногда встречаются и иные подходы к дистрибуции компьютерных угроз, об одном из которых специалисты компании «Доктор Веб» рассказывают в этой статье.

Сам по себе Trojan.Click3.27430 не представляет особого интереса: это обычный троянец-кликер для искусственной накрутки посещаемости веб-сайтов. Гораздо любопытнее метод, используемый злоумышленниками для установки этой вредоносной программы на устройства потенциальных жертв.

Целевая аудитория этого троянца — пользователи программы DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса. Вирусописатель создал в Интернете веб-страницу dnsip.ru, с которой якобы можно бесплатно скачать эту программу. Также вирусописателю принадлежит домен dns-free.com, с которого происходит автоматическое перенаправление посетителей на сайт dnsip.ru.

С указанного сайта действительно можно загрузить некий архив. В нем содержится исполняемый файл setup.exe, который на самом деле представляет собой не программу установки DynDNS, а загрузчик. В этом загрузчике хранится имя скачиваемого из Интернета файла, который в исследованном нами образце называется Setup100.arj.

Несмотря на «говорящее» расширение, Setup100.arj — не ARJ-архив, а исполняемый MZPE-файл, в котором вирусописатель изменил три значения таким образом, чтобы он не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.

В первую очередь с использованием PowerShell он отключает Windows Defender и для пущей надежности вносит изменения в записи системного реестра, отвечающие за запуск этой программы.

Затем дроппер сохраняет в папку System32 файлы instsrv.exe, srvany.exe, dnshost.exe и yandexservice.exe. Instsrv.exe, srvany.exe и dnshost.exe — это разработанные Microsoft утилиты для создания в Windows определяемых пользователем служб, а yandexservice.exe — сам троянец Trojan.Click3.27430. Затем дроппер регистрирует исполняемый файл yandexservice.exe, в котором и реализованы все вредоносные функции Trojan.Click3.27430, в качестве службы с именем «YandexService». При этом в процессе установки настраивается автоматический запуск этой службы одновременно с загрузкой Windows. Сохранив на диске и запустив вредоносную службу, дроппер устанавливает настоящее приложение DynDNS. Таким образом, если впоследствии пользователь решит деинсталлировать его с зараженного компьютера, будет удалена только сама программа DynDNS, а Trojan.Click3.27430 по-прежнему останется в системе и продолжит свою вредоносную деятельность.

Вирусные аналитики исследовали и другой компонент троянца, выполненный в виде исполняемого файла с именем dnsservice.exe, который также устанавливается на зараженный компьютер в качестве службы Windows с именем «DNS-Service». Вирусописателя выдают характерные отладочные строки, которые он забыл удалить в своих вредоносных программах:

C:\Boris\Программы\BDown\Project1.vbp 
C:\Boris\Программы\BarmashSetService\Project1.vbp
C:\Boris\Программы\Barmash.ru.new\Project1.vbp 
C:\Boris\Программы\Barmash_ru_Restarter3\Project1.vbp

Этот компонент распространяется в виде маскирующегося под архив файла dnsservice.arj с сайта barmash.ru.

Все известные на сегодняшний день модификации Trojan.Click3.27430 распознаются и удаляются Антивирусом Dr.Web, а сайты dnsip.ru, dns-free.com и barmash.ru были добавлены в базы нерекомендуемых интернет-ресурсов веб-антивируса SpIDer Gate.

Согласно информации, которую удалось собрать аналитикам «Доктор Веб», на сегодняшний день от этого троянца пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются 2013 годом. Полный список индикаторов компрометации можно посмотреть здесь.

Подробнее о троянце

20 ноября 2018 года

Тайная добыча криптовалют с использованием ресурсов компьютера без ведома его владельца — один из наиболее распространенных сегодня способов криминального заработка. Компания «Доктор Веб» рассказывает об обнаруженном недавно майнере, способном инфицировать устройства под управлением ОС Linux. Эта вредоносная программа может заражать другие сетевые устройства и удалять работающие в системе антивирусы.

Троянец, добавленный в вирусные базы Dr.Web под именем Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Эта вредоносная программа состоит из нескольких компонентов. При запуске троянец проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и подыскивает на диске папку с правами на запись, в которую эти модули будут затем загружены. После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве демона. Для этого троянец использует утилиту nohup. Если та в системе отсутствует, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы. Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов. Вирусные аналитики «Доктор Веб» выявили как минимум два применяемых Linux.BtcMine.174 эксплойта: это Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из Интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.

После этого вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения троянец не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.

Затем Linux.BtcMine.174 регистрирует себя в автозагрузке, после чего скачивает и запускает на инфицированном устройстве руткит. Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Среди функций руткит-модуля можно выделить кражу вводимых пользователем паролей команды su, сокрытие файлов в файловой системе, сетевых соединений и запускаемых процессов. Троянец собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их.

Выполнив все эти действия, Linux.BtcMine.174 запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). С интервалом в минуту троянец проверяет, запущен ли этот майнер, и при необходимости автоматически перезапускает его. Также он в непрерывном цикле соединяется с управляющим сервером и скачивает оттуда обновления, если они доступны.

Linux.BtcMine.174, а также все его компоненты успешно детектируются Антивирусом Dr.Web для Linux, поэтому не представляют опасности для наших пользователей.

Полный список индикаторов компрометации можно посмотреть по ссылке https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174.

Подробнее о троянце

#Linux #криптовалюты #майнинг #троянец

16 ноября 2018 года

Банковские троянцы остаются в числе самых опасных вредоносных программ –— с их помощью злоумышленники крадут конфиденциальную информацию и деньги пользователей. Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play одного из таких троянцев. Он атаковал клиентов ряда европейских банков.

Троянец, получивший имя Android.Banker.2876, распространялся под видом официальных приложений нескольких европейских кредитных организаций: испанских Bankia, Banco Bilbao Vizcaya Argentaria (BBVA) и Santander, французских Credit Agricole и Groupe Banque Populaire, а также немецкой Postbank. В общей сложности наши специалисты обнаружили 6 модификаций Android.Banker.2876. Все они были оперативно удалены из Google Play после обращения «Доктор Веб» в корпорацию Google.

После запуска пользователем троянец запрашивает доступ к управлению телефонными звонками и совершению вызовов, а также к отправке и получению СМС-сообщений. При этом на устройствах c ОС Android ниже версии 6.0 эти разрешения предоставляются автоматически во время установки вредоносной программы. Пример такого запроса показан на изображениях ниже:

Android.Banker.2876 собирает и отправляет в облачную базу данных Firebase конфиденциальную информацию – номер мобильного телефона и данные SIM-карты, а также ряд технических сведений о мобильном устройстве, – после чего уведомляет злоумышленников об успешном заражении. Затем троянец показывает окно с сообщением, в котором потенциальной жертве якобы для продолжения работы с программой предлагается указать номер телефона. При этом каждая из модификаций банкера предназначена для конкретной аудитории. Например, если троянец имитирует приложение испанского банка, то интерфейс Android.Banker.2876 и демонстрируемый текст будут на испанском языке.

Введенный жертвой номер передается в облачную базу данных, а пользователь видит второе сообщение. В нем говорится о необходимости подождать подтверждения «регистрации». Здесь же отображается кнопка «Submit», при нажатии на которую совершенно неожиданно для жертвы вирусописателей запускается встроенная в Android.Banker.2876 игра.

Если ранее троянец успешно загрузил в «облако» информацию о мобильном устройстве, он скрывает свой значок с главного экрана и в дальнейшем запускается в скрытом режиме автоматически при включении зараженного смартфона или планшета.

Android.Banker.2876 перехватывает все входящие СМС и сохраняет их содержимое в локальную базу данных. Кроме того, текст сообщений загружается в базу Firebase и дублируется в СМС, отправляемых на мобильный номер киберпреступников. В результате злоумышленники способны получать одноразовые пароли подтверждения банковских операций и другую конфиденциальную информацию, которая может быть использована для проведения фишинг-атак. Помимо этого, собираемые троянцем номера телефонов могут помочь вирусописателям в организации различных мошеннических кампаний.

Все известные модификации Android.Banker.2876 успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android и потому для наших пользователей опасности не представляют.

Подробнее о троянце

26 октября 2018 года

В августе 2018 года в сети Интернет был зафиксирован новый вид мошеннических рассылок. Анализ сообщений, поступающих в нашу Службу технической поддержки, показывает, что данная угроза не теряет своей актуальности и в октябре.

В письмах, которые получают пользователи сети, говорится о том, что их почтовый аккаунт был взломан, а на компьютер было установлено шпионское программное обеспечение.

Угрожая распространить конфиденциальную информацию, злоумышленники вымогают сумму в биткойнах, эквивалентную в среднем 700-1500 долларам США. На принятие решения жертве отводится 48 часов.

В целях подтверждения своих слов злоумышленники прикладывают к письму пароль от учетной записи пользователя, а в качестве адреса отправителя указывают его адрес электронной почты.

Для выбора жертв злоумышленники предположительно используют размещенные в публичном доступе базы данных, содержащие сведения об утекших в сеть логинах и паролях. Пользователи, столкнувшиеся с подобным мошенничеством, отмечают, что в большинстве случаев полученные ими письма содержали правильные, но устаревшие пароли, а некоторые люди сообщают о том, что получали по нескольку одинаковых писем, содержавших пароли, использованные ими в разное время.

На данный момент зафиксированы рассылки писем на английском и русском языках. Русскоязычные варианты писем могут быть написаны как на хорошем русском языке, так и с использованием электронного переводчика.

Если вы получили подобное письмо, не выполняйте требования злоумышленников. Подобного рода письма являются классическим проявлением социальной инженерии и направлены на то, чтобы спровоцировать пользователя на совершение необдуманных действий.

На настоящий момент не выявлено случаев подтверждения направляемой злоумышленниками информации, что позволяет расценивать данную рассылку как мошенническую.

В то же время некоторые пользователи обнаружили, что с их почтовых ящиков осуществлялась несанкционированная рассылка сообщений. Это предположительно связано с тем, что на протяжении многих лет они использовали одни и те же пароли для доступа к электронной почте и иным ресурсам, что позволило злоумышленникам получить доступ к их аккаунтам, используя базы данных скомпрометированных паролей.

С детальной информацией о данном виде мошенничества вы можете ознакомиться в выпуске нашей рубрики «Антивирусная ПравДА!».

Компания «Доктор Веб» рекомендует:

Запустите антивирусную проверку на своем компьютере и мобильных устройствах.

Поменяйте используемые вами пароли и в дальнейшем делайте это на регулярной основе.

Не используйте одни и те же пароли для доступа к малозначимым ресурсам и местам хранения личных данных.

23 октября 2018 года

В опубликованной ранее новости компания «Доктор Веб» рассказала о троянце-загрузчике Android.DownLoader.818.origin, который распространялся под видом VPN-клиента, – программы, позволяющей подключаться к частным виртуальным сетям. Вирусные аналитики продолжили исследование это вредоносного приложения и выявили его новую модификацию, которая получила имя Android.DownLoader.819.origin. Как и оригинальный троянец, она распространялась через каталог Google Play. В общей сложности ее установили не менее 51 100 пользователей.

Android.DownLoader.819.origin представляет собой загрузчика, который скачивает на Android-устройства другие вредоносные приложения и запускает их. Троянец распространялся от имени разработчика Quoac под видом различных игр. Специалисты «Доктор Веб» обнаружили 14 копий Android.DownLoader.819.origin, которые успели скачать как минимум 51 100 владельцев Android-смартфонов и планшетов. Вирусные аналитики передали сведения о выявленных программах в компанию Google, и на момент публикации этого материала они были удалены из Google Play.

Информация о найденных вредоносных приложениях представлена в сводной таблице ниже:

Android.DownLoader.819.origin является модификацией троянца Android.DownLoader.818.origin и обладает теми же функциями. При запуске он пытается получить доступ к чтению и записи файлов на SD-карту, а также запрашивает разрешение на добавление его в список администраторов мобильного устройства. В случае успеха троянец удаляет собственный значок из меню главного экрана операционной системы и скрывает свое присутствие на устройстве. После этого запустить «игру» становится невозможно, а найти само вредоносное приложение можно лишь в списке установленных программ в системных настройках.

Получив необходимые полномочия, троянец подключается к удаленному серверу и незаметно загружает с него apk-файл, после чего предлагает владельцу зараженного устройства установить его. В случае отказа вредоносная программа вновь пытается выполнить инсталляцию, каждые 20 секунд показывая то же самое диалоговое окно, – до тех пор, пока жертва не согласится установить скачанное приложение. Загружаемый и устанавливаемый троянцем файл является вредоносной программой Android.HiddenAds.728, которая показывает рекламу при включении экрана зараженного смартфона или планшета.

Все известные модификации троянца-загрузчика Android.DownLoader.819.origin, а также скачиваемых им вредоносных приложений надежно детектируются и удаляются антивирусными продуктами Dr.Web для Android и потому не представляют для наших пользователей никакой угрозы.

• Подробнее об Android.DownLoader.819.origin
• Подробнее об Android.HiddenAds.728

19 октября 2018 года

Троянцы-загрузчики — это вредоносные программы, которые киберпреступники используют для распространения других троянцев. Вирусные аналитики компании «Доктор Веб» обнаружили одного из таких загрузчиков в каталоге Google Play. Он скрывался в программе для подключения к частным виртуальным сетям (VPN).

Троянец, получивший имя Android.DownLoader.818.origin, был встроен в программу с именем Turbo VPN – Unlimited Free VPN & Proxy, которую загрузили свыше 11 000 владельцев мобильных Android-устройств. Название вредоносного приложения практически полностью совпадало с именем популярного VPN-клиента Turbo VPN — Unlimited Free VPN & Fast Security VPN от компании Innovative Connecting, которая к созданию подделки не имеет никакого отношения. Выдавая Android.DownLoader.818.origin за известное ПО для подключения к частным виртуальным сетям, авторы троянца пытались ввести потенциальных жертв в заблуждение и увеличить число его загрузок.

При запуске Android.DownLoader.818.origin пытался получить разрешение на чтение и запись файлов, показывая соответствующий запрос. После этого он запрашивал доступ к правам администратора мобильного устройства.

Android.DownLoader.818.origin действительно позволял работать с VPN-сетями — при его создании злоумышленники позаимствовали наработки из проекта с открытым исходным кодом OpenVPN for Android. Однако те, кто установил, приложение, воспользоваться им не смогли — после получения необходимых системных привилегий Android.DownLoader.818.origin удалял свой значок из списка программ главного экрана операционной системы. С этого момента запустить троянский VPN-клиент самостоятельно становилось невозможно.

После того как вредоносная программа скрывалась от пользователя, она незаметно скачивала с удаленного сервера apk-файл и сохраняла его на карту памяти. Затем она предлагала установить загруженное приложение до тех пор, пока пользователь не соглашался это сделать. Пример сообщения, которым Android.DownLoader.818.origin вынуждал выполнить установку другой программы, показан ниже:

На момент анализа Android.DownLoader.818.origin скачиваемый им файл представлял собой троянца Android.HiddenAds.710, который предназначен для показа рекламы. Однако в зависимости от настроек сервера и целей злоумышленников Android.DownLoader.818.origin может загрузить и попытаться установить любое другое вредоносное или нежелательное приложение.

Специалисты «Доктор Веб» оповестили корпорацию Google о найденной в Google Play опасной программе, после чего она была оперативно удалена из каталога.

Все описанные выше троянцы не представляют опасности для наших пользователей — антивирусные продукты Dr.Web для Android успешно детектируют и удаляют их с мобильных устройств.

• Подробнее о Android.DownLoader.818.origin
• Подробнее о Android.HiddenAds.710

18 октября 2018 года

Аналитики «Доктор Веб» расследовали деятельность киберпреступника, занимающегося мошенничеством на рынке криптовалют. Криминальный бизнес злоумышленника, который скрывается под псевдонимом Investimer, отличает широкий ассортимент используемого вредоносного ПО и богатый набор способов незаконного заработка.

Кибермошенник, известный в Интернете под вымышленными именами Investimer, Hyipblock и Mmpower, использует в своей деятельности широчайший набор самых распространенных сегодня на подпольном рынке коммерческих троянцев. Среди них — стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony. Также в арсенале злоумышленника замечен бэкдор Spy-Agent, разработанный на базе приложения TeamViewer, бэкдоры DarkVNC и HVNC, предназначенные для доступа к зараженному компьютеру по протоколу VNC, и еще один бэкдор, созданный на основе ПО RMS. Киберпреступник активно применяет загрузчик Smoke Loader, а ранее использовал Loader by Danij и троянца-майнера, имеющего встренный модуль для подмены содержимого буфера обмена (клипер). Управляющие серверы с административным интерфейсом Investimer держит на таких площадках как jino.ru, marosnet.ru и hostlife.net, при этом большинство из них работает под защитой сервиса Cloudflare с целью скрыть истинный IP-адрес этих сетевых ресурсов.

Investimer специализируется на мошенничестве с криптовалютами, преимущественно — с Dogecoin. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Один из них — поддельная криптовалютная биржа, для работы с которой якобы требуется специальная программа-клиент. Под видом этого приложения на компьютер жертвы скачивается троянец Spy-Agent.

Другой «стартап» того же кибермошенника — пул устройств для майнинга криптовалюты Dogecoin, который якобы сдается в аренду по очень выгодным ценам. Для работы с этим несуществующим в реальности пулом тоже якобы требуется специальное приложение-клиент, которое загружается на компьютер потенциальной жертвы в запароленном архиве. Наличие пароля не позволяет антивирусным программам проанализировать содержимое архива и удалить его еще на этапе скачивания. Внутри же, как несложно догадаться, прячется троянец-стилер.

Еще один созданный Investimer’ом мошеннический ресурс посвящен криптовалюте Etherium. Потенциальным жертвам мошенник предлагает вознаграждение за просмотр сайтов в Интернете, для чего им также предлагается установить вредоносную программу под видом специального приложения. Здесь троянец начинает загружаться автоматически при заходе посетителя на сайт. Кибермошенник даже озаботился написанием нескольких поддельных отзывов о работе этого сервиса.

Еще один способ сетевого мошенничества, который практикует Investimer, — организация онлайн-лотерей, призом в которых служит определенная сумма в криптовалюте Dogecoin. Разумеется, лотереи устроены таким образом, что выиграть в них стороннему участнику невозможно, заработать на этом может только сам организатор розыгрыша. Тем не менее, на момент написания этой статьи на сайте организованной Investimer’ом лотереи было зарегистрировано более 5800 пользователей.

Помимо проведения лотерей на одном из своих сайтов Investimer предлагает выплату вознаграждения в Dogecoin за просмотр веб-страниц с рекламой. Этот проект насчитывает более 11 000 зарегистрированных пользователей.

Разумеется, с сайта «партнера» на компьютер участника системы под видом плагина для браузера, позволяющего зарабатывать на серфинге в Интернете, незамедлительно скачивается бэкдор. Затем он обычно устанавливает на инфицированное устройство троянца-стилера.

Не брезгует Investimer и традиционным фишингом. Созданный им веб-сайт якобы предлагает вознаграждение за привлечение новых пользователей в платежную систему Etherium, однако на самом деле собирает введенную пользователями при регистрации информацию и передает ее злоумышленнику.

Помимо перечисленных выше способов криминального заработка, Investimer попытался скопировать официальный сайт cryptobrowser.site. Создатели оригинального проекта разработали специальный браузер, который в фоновом режиме добывает криптовалюту в процессе просмотра пользователем веб-страниц. Подделка, которую создал Investimer, выполнена не слишком качественно: часть графики на сайте не отображается вовсе, в тексте лицензионного соглашения фигурирует адрес электронной почты настоящих разработчиков, а троянец, которого жертва получает под видом браузера, загружается с ресурса, расположенного на другом домене. На следующей иллюстрации показан поддельный сайт, созданный Investimer’ом (слева), в сравнении с оригинальным (справа).

Investimer был замечен в реализации и других схем сетевого жульничества – в частности онлайн-игр, построенных по принципу финансовой пирамиды. Собранную с при помощи троянцев-стилеров информацию этот злоумышленник использует преимущественно для хищения криптовалюты и денег, которые его жертвы хранят в кошельках различных электронных платежных систем. Примечательно, что в административной панели, с использованием которой Investimer управляет доступом к взломанным компьютерам, запись о каждой своей жертве он снабжает непристойными комментариями, процитировать которые мы не можем по цензурным соображениям.

В целом используемая киберпреступником схема обмана пользователей Интернета такова. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает троянца, который по команде злоумышленника устанавливает на компьютер другие вредоносные программы. Такие программы (в основном троянцы-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой жулик затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.

Аналитики «Доктор Веб» полагают, что общее количество пользователей, пострадавших от противоправной деятельности Investimer’а, превышает 10 000 человек. Ущерб, нанесенный злоумышленником своим жертвам, наши специалисты оценивают в более чем 23 000 долларов США. К этому следует добавить более 182 000 в криптовалюте Dogecoin, что по нынешнему курсу составляет еще порядка 900 долларов.

Адреса всех созданных Investimer’ом веб-сайтов были добавлены в базы Dr.Web SpIDer Gate, все используемые им вредоносные программы успешно детектируются и удаляются нашим Антивирусом.

Полный список индикаторов компрометации можно посмотреть по ссылке https://github.com/DoctorWebLtd/malware-iocs/tree/master/investimer.

#криминал #криптовалюты #майнинг #мошенничество

8 октября 2018 года

Китайский интернет-магазин AliExpress популярен не только в России — жители многих стран заказывают в нем различные товары. Этим и пользуются киберпреступники, отправляющие клиентам AliExpress мошеннические письма от имени компании – владельца этого портала.

Эти сообщения оформлены с использованием логотипа и фирменного стиля компании Alibaba Group, которой принадлежит интернет-магазин AliExpress. Письма содержат обращение к получателю по имени – вероятно, отправители считают, что это должно усыпить его бдительность. Аналитики «Доктор Веб» полагают, что информацию о реальных клиентах AliExpress мошенники могли получить, воспользовавшись купленной или украденной базой данных одного из многочисленных кэшбек-сервисов. В письме говорится о том, что адресат ранее являлся активным покупателем на сайте AliExpress, приобретал там товары и оставлял отзывы, в связи с чем ему предоставляется доступ к особому интернет-магазину с многочисленными скидками и подарками.

Ссылка в письме ведет на веб-сайт, оформленный в виде интернет-магазина. На самом же деле при попытке приобрести здесь какой бы то ни было товар пользователь перенаправляется на другие торговые площадки. Многие из них ранее были замечены в мошеннических действиях, таких как отправка клиентам покупок, не соответствующих описанию, или перепродажа по завышенным ценам низкокачественных подделок популярных товаров, в связи с чем адреса этих ресурсов уже присутствуют в соответствующих базах Родительского и Офисного контроля Dr.Web.

Более того, проведенное сотрудниками «Доктор Веб» экспресс-расследование показало, что по указанному на сайте мошеннического «интернет-магазина» московскому адресу расположено здание школы, а компании с таким ИНН не существует в природе. Также на сайте отсутствует какая-либо информация о способах получения или доставки заказа, а в качестве контактного предложен адрес электронной почты, зарегистрированный на бесплатном сервисе mail.ru.

Специалисты компании «Доктор Веб» советуют пользователям перед совершением покупок на незнакомых сайтах выполнить следующие несложные действия:

• проверьте указанный на странице «О компании» адрес с помощью онлайн-карт, сервиса «Панорамы улиц» от Яндекса, или Google Street View — вполне возможно, вместо офисного центра или торгового комплекса там окажется школа, автостоянка или свалка мусора;
• проверьте указанный на сайте ИНН — существует ли такая фирма и совпадает ли ее название с владельцем интернет-магазина. Для российских компаний это можно сделать бесплатно с помощью специального онлайн-сервиса Федеральной налоговой службы;
• убедитесь в том, что на сайте интернет-магазина подробно описаны способы оплаты и получения товара, приведены варианты его доставки и указаны соответствующие тарифы;
• обратите внимание на опубликованную на сайте контактную информацию: вряд ли серьезная компания будет пользоваться адресами электронной почты, зарегистрированными в бесплатных сервисах.

25 сентября 2018 года

Современные банковские троянцы применяют различные способы хищения денег с банковских счетов своих жертв – как высокотехнологичные, так и рассчитанные на невнимательность или доверчивость пользователя. Обнаруженный специалистами «Доктор Веб» банкер, о котором мы рассказываем в этой статье, угрожает пользователям бразильских систем дистанционного банковского обслуживания. На сегодняшний день выявлено более 300 уникальных образцов этого банкера, а также более 120 используемых им серверов, и его распространение продолжается.

Троянец, добавленный в вирусные базы Dr.Web под именем Trojan.PWS.Banker1.28321, распространяется под видом приложения Adobe Reader, предназначенного для просмотра документов в формате PDF. При запуске он демонстрирует окно с изображением названия этой программы.

Вредоносная программа пытается определить, не запущена ли она в виртуальной среде, при обнаружении виртуальной машины она завершает свою работу. Также банкер отслеживает локальные языковые настройки Windows — если язык системы отличается от португальского, троянец не выполняет никаких действий.

Модуль загрузчика Trojan.PWS.Banker1.28321 реализован в виде сценария на языке VBscript, в то время как сам троянец написан на .NET. Скрипт-загрузчик запускается на выполнение с помощью стандартного COM-объекта MSScriptControl.ScriptControl. Он соединяется с управляющим сервером и скачивает с него два ZIP-архива, в одном из которых хранится обфусцированная динамическая библиотека, созданная с использованием среды разработки Delphi. В этой библиотеке и сосредоточены основные функции вредоносной программы.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, Trojan.PWS.Banker1.28321 незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля, а в некоторых случаях — просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Эту информацию троянец передает злоумышленникам.

Подобную схему с подменой содержимого просматриваемых пользователем веб-страниц систем «банк-клиент» используют многие банковские троянцы. Зачастую они угрожают клиентам кредитных организаций не только в Бразилии, но и по всему миру. За последний месяц специалисты «Доктор Веб» выявили более 340 уникальных образцов Trojan.PWS.Banker1.28321, а также обнаружили 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы. Это свидетельствует о широком распространении банкера. Сведения обо всех известных на сегодняшний день образцах Trojan.PWS.Banker1.28321 добавлены в вирусные базы Dr.Web, а адреса используемых им серверов — в базы веб-антивируса SpIDer Gate, поэтому троянец не представляет угрозы для наших пользователей.

Подробнее о троянце

#банкер #банковский_троянец #троянец

30 августа 2018 года

Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play десятки вредоносных приложений, которые сетевые жулики используют для незаконного заработка. Авторы этих программ выдают их за известное или полезное ПО и применяют в различных мошеннических схемах. Кроме того, многие из них потенциально могут использоваться для распространения других троянцев.

Одну из обнаруженных вредоносных программ, получившую имя Android.Click.265.origin, злоумышленники используют для подписки пользователей на дорогостоящие мобильные услуги. Это хорошо известный вид сетевого мошенничества, который предприимчивые киберпреступники практикуют уже много лет. Android.Click.265.origin замаскирован под официальное приложение для работы с онлайн-магазином торговой сети «Эльдорадо». Вирусные аналитики «Доктор Веб» обнаружили два случая проникновения троянца в Google Play, и на момент выхода этой новости обе его модификации были удалены из каталога программ для ОС Android.

Android.Click.265.origin действительно выполнял заявленные его создателями функции: он загружал в своем окне мобильную версию веб-магазина «Эльдорадо» и позволял полноценно с ним работать. Однако, помимо этого, он выполнял и менее желательные действия. Троянец показывал надоедливую рекламу, а также открывал страницы сервисов дорогостоящих мобильных услуг и автоматически нажимал на расположенную там кнопку подтверждения подписки. После этого с мобильного счета жертвы каждый день списывалась определенная сумма.

Android.Click.248.origin — еще один троянец, которого злоумышленники используют в мошеннической схеме с подпиской владельцев Android-смартфонов и планшетов на премиум-услуги. Эта вредоносная программа, известная специалистам «Доктор Веб» с апреля текущего года, в уходящем месяце вновь распространялась через Google Play. Как и ранее, вирусописатели выдавали Android.Click.248.origin за известное ПО, например за клиентское приложение интернет-доски объявлений «Юла» и онлайн-магазина AliExpress, а также за голосовой помощник Алиса от компании «Яндекс».

Этот троянец открывает один из фишинговых сайтов, на котором пользователю предлагается скачать ту или иную известную программу либо сообщается о выигрыше ценного приза. У потенциальной жертвы мошенничества запрашивается номер мобильного телефона, якобы необходимый для получения проверочного кода. Однако на самом деле этот код нужен для подтверждения подписки на платную услугу, за использование которой каждый день будет взиматься плата. Если же зараженное устройство подключено к Интернету через мобильное соединение, то после ввода номера телефона на таком сайте владелец Android-смартфона или планшета подписывается на премиум-услугу автоматически. Примеры мошеннических веб-страниц, которые загружает Android.Click.248.origin, показаны на изображении ниже:

Кроме того, среди выявленных в августе вредоносных программ, которые распространялись через каталог Google Play, стоит отметить множество других модификаций троянцев семейства Android.Click. Исследованные нашими вирусными аналитиками представители этого семейства выдавались за официальные программы различных букмекерских контор, таких как «Олимп», «Мостбет», «Фонбет», «Лига ставок», 1xBet, Winline и других. В общей сложности специалисты «Доктор Веб» выявили 127 таких вредоносных программ, которые распространяли 44 разработчика. Компания Google оперативно удаляет эти приложения из Google Play, однако предприимчивые мошенники продолжают добавлять их в каталог почти каждый день.

После запуска эти троянцы соединяются с управляющим сервером и получают от него команду на загрузку того или иного сайта, который демонстрируется пользователю. В настоящее время указанные вредоносные программы открывают официальные страницы букмекерских фирм, при этом название троянского приложения никак не влияет на загружаемый сайт. Кроме того, в любой момент управляющий сервер способен отдать троянцам команду на загрузку произвольного веб-ресурса, в том числе мошеннического или вредоносного онлайн-портала, с которого на Android-устройство могут загружаться другие вредоносные программы. Именно поэтому эти троянцы представляют серьезную опасность.

Наконец, другой троянец-мошенник, обнаруженный в уходящем месяце, скрывался в приложении с именем «Опрос». Он был добавлен в вирусную базу как Android.FakeApp.110. Его авторы обещали пользователям денежное вознаграждение за участие в простых опросах, прохождение которых не займет больше нескольких минут.

При запуске Android.FakeApp.110 загружал принадлежащий злоумышленникам мошеннический сайт, на котором потенциальным жертвам предлагалось ответить на несколько незамысловатых вопросов якобы от спонсоров, готовых щедро заплатить за участие в маркетинговом исследовании. Например, у пользователя могли поинтересоваться, какой парфюм он предпочитает и на автомобиле какого автоконцерна ездит.

После ответа на несколько таких вопросов владельцу мобильного устройства обещали вознаграждение в размере десятков или даже сотен тысяч рублей. При этом тут же его предупреждали, что якобы из-за лимита платежных систем перевод этих средств будет выполнен несколькими частями в течение определенного промежутка времени. Однако для того, чтобы моментально получить честно заработанное, жертве необходимо всего лишь выполнить некий идентификационный платеж в размере 100–200 рублей, который якобы подтвердит личность «счастливчика». В этом и заключается смысл описанного мошенничества: жертва обмана добровольно отдает свои деньги интернет-жуликам, ожидая получить обещанное вознаграждение, однако никаких баснословных выплат она, конечно же, никогда не увидит. Специалисты компании «Доктор Веб» оповестили корпорацию Google об этом вредоносном приложении, и в настоящее время оно недоступно для загрузки.

Для отъема денег у владельцев мобильных устройств и получения иной выгоды злоумышленники применяют всевозможные уловки, а также изобретают всё новые мошеннические схемы. Компания «Доктор Веб» напоминает, что устанавливать приложения даже из каталога Google Play необходимо с осторожностью. Стоит обращать внимание на имя разработчика, дату публикации интересующей программы, а также отзывы других пользователей. Эти простые действия помогут снизить риск заражения смартфонов и планшетов. Кроме того, для защиты Android-устройств пользователям следует установить антивирусные продукты Dr.Web для Android, которые успешно детектируют и удаляют все известные вредоносные и нежелательные программы.

Подробнее об Android.Click.265.origin

Подробнее об Android.Click.248.origin

Подробнее об Android.FakeApp.110

#Android, #мошенничество, #Google_Play, #троянец

22 августа 2018 года

Сетевые жулики весьма изобретательны в выборе методов обмана пользователей Интернета. Очередная схема мошенничества ориентирована на администраторов освобождающихся доменов, воспользовавшихся услугами компании-регистратора RU-CENTER.

По всей видимости, для реализации своего замысла злоумышленники каким-то образом раздобыли базу адресов электронной почты администраторов доменов — клиентов компании «Региональный Сетевой Информационный Центр» (RU-CENTER). Администраторы доменов, срок делегирования которых подходит к концу, стали получать по электронной почте сообщения якобы от имени этой компании. В письмах сообщалось об окончании оплаченного периода регистрации доменного имени, а также о том, что администратор должен оплатить услугу продления домена в течение одного рабочего дня с момента получения письма, иначе этот домен будет исключен из реестра.

В сообщении содержится ссылка, ведущая на взломанный сайт. Установленный на этом сайте PHP-сценарий перенаправляет потенциальную жертву на специальную страницу платежной системы Яндекс.Деньги, позволяющую перевести денежные средства на электронный кошелек с номером 410015920079912.

Компания «Доктор Веб» предупреждает о том, что эти сообщения являются мошенническими, и призывает администраторов доменов не терять бдительность. Адрес содержащего вредоносный сценарий сайта был добавлен в базы нерекомендуемых веб-страниц Родительского и Офисного контроля Dr.Web, а компании «Яндекс» и «Региональный Сетевой Информационный Центр» (RU-CENTER) проинформированы об этом инциденте.

7 августа 2018 года

Троянцы для Microsoft Windows, подменяющие в буфере обмена номера кошельков при операциях с электронными деньгами и криптовалютами, широко распространены и давно известны как пользователям компьютеров, так и специалистам по информационной безопасности. В августе 2018 года вирусные аналитики «Доктор Веб» исследовали несколько вредоносных программ с аналогичными функциями, созданных для мобильной платформы Android.

Троянцев, способных незаметно подменять номера электронных кошельков в буфере обмена, чтобы отправляемые деньги поступали не получателю, а злоумышленникам, принято называть «клиперами» (от термина clipboard, «буфер обмена»). До недавнего времени такие вредоносные программы досаждали в основном пользователям Windows. Аналогичные по возможностям троянцы для Android в «дикой природе» встречаются редко. В августе 2018 года в вирусные базы Dr.Web были добавлены записи для детектирования двух модификаций троянца-клипера Android.Clipper, которые получили имена Android.Clipper.1.origin и Android.Clipper.2.origin. Эти вредоносные программы угрожают пользователям устройств под управлением Android.

Android.Clipper способен подменять в буфере обмена номера электронных кошельков платежных систем Qiwi, Webmoney (R и Z) и «Яндекс.Деньги», а также криптовалют Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin. Один из исследованных вирусными аналитиками образцов троянца Android.Clipper маскируется под приложение для работы с электронными кошельками Bitcoin:

При запуске на инфицированном устройстве троянец выводит поддельное сообщение об ошибке и продолжает работу в скрытом режиме. Он скрывает свой значок из списка приложений главного экрана операционной системы, после чего вредоносную программу можно увидеть только в системных настройках мобильного устройства в разделе управления установленным ПО. Далее обе модификации Android.Clipper запускаются автоматически при каждом включении инфицированного смартфона или планшета.

После успешного заражения Android-устройства троянец начинает отслеживать изменение содержимого буфера обмена. Если Android.Clipper обнаруживает, что пользователь скопировал в буфер номер электронного кошелька, он отсылает этот номер на управляющий сервер. Далее вредоносная программа отправляет на сервер еще один запрос, ожидая в ответ номер кошелька злоумышленников, который требуется вставить в буфер обмена вместо исходного.

Автор Android.Clipper активно продает троянцев этого семейства на хакерских форумах. При этом клиенты вирусописателя могут использовать произвольный значок и имя приложения для каждой приобретаемой копии вредоносной программы. В ближайшее время можно ожидать появления большого количества модификаций этих троянцев, которых злоумышленники будут распространять под видом безобидного и полезного ПО.

В своих рекламных сообщениях вирусописатель заявляет о возможности отправки отчетов о работе вредоносной программы в приложение Telegram и оперативной смены номеров кошельков, внедряемых в буфер обмена, с использованием протокола FTP. Однако в самом троянце эти функции не реализованы. Описанные возможности предоставляет киберпреступникам сам управляющий сервер.

Антивирусные продукты Dr.Web для Android обнаруживают и удаляют все известные модификации троянцев семейства Android.Clipper, поэтому те не представляют опасности для наших пользователей.

Подробнее об Android.Clipper.1.origin

Подробнее об Android.Clipper.2.origin

#Android #биткойн #криптовалюты

2 августа 2018 года

Вредоносные программы для добычи криптовалют без ведома пользователя весьма популярны у киберпреступников. Большинство подобных троянцев создано для операционной системы Windows, и гораздо реже встречаются майнеры, ориентированные на устройства под управлением ОС семейства Linux. Именно такую вредоносную программу недавно обнаружили вирусные аналитики «Доктор Веб».

Вредоносные программы и утилиты для добычи криптовалют, о которых пойдет речь в этой статье, были загружены на один из наших «ханипотов» (от англ. honeypot, «горшочек с медом») — специальных серверов, используемых специалистами «Доктор Веб» в качестве приманки для злоумышленников. Первые подобные атаки на работающие под управлением Linux серверы были зафиксированы вирусными аналитиками в начале мая 2018 года. Киберпреступники соединялись с сервером по протоколу SSH, подбирали логин и пароль методом их перебора по словарю (bruteforce) и после успешной авторизации на сервере отключали утилиту iptables, управляющую работой межсетевого экрана. Затем злоумышленники загружали на атакованный сервер утилиту-майнер и файл конфигурации для нее. Для запуска утилиты они редактировали содержимое файла /etc/rc.local, после чего завершали соединение.

В начале июня киберпреступники изменили эту схему и начали использовать вредоносную программу, добавленную в вирусные базы Dr.Web под именем Linux.BtcMine.82. Этот троянец написан на языке Go и представляет собой дроппер, в теле которого хранится упакованный майнер. Дроппер сохраняет его на диск и запускает, что значительно упрощает сценарий атаки. Адрес кошелька, на который переводится добытая криптовалюта, также зашит в теле вредоносной программы.

Вирусные аналитики исследовали принадлежащий злоумышленникам сервер, с которого загружался этот троянец, и обнаружили там несколько майнеров для ОС Windows.

Версия майнера для Windows реализована в виде самораспаковывающегося RAR-архива, содержащего файл конфигурации, несколько VBS-сценариев для запуска майнера и саму утилиту для добычи криптовалюты. После запуска архива утилита распаковывается в папку %SYSTEMROOT%\addins и регистрируется в качестве службы с именем SystemEsinesBreker.

Версии майнера для 32- и 64-разрядных ОС Windows детектируются Антивирусом Dr.Web как представители семейства Tool.BtcMine. Наши пользователи полностью защищены от действия этих вредоносных программ.

Подробнее о троянце

9 июля 2018 года

Вирусописатели применяют различные методики распространения вредоносных программ. Среди них особо следует отметить использование злоумышленниками стандартного механизма обновления приложений. Именно так распространялся нашумевший троянец-шифровальщик Trojan.Encoder.12544, известный под наименованиями Petya, Petya.A, ExPetya и WannaCry-2, а также бэкдор BackDoor.Dande. Сегодня мы расскажем еще об одном подобном случае, который был подробно исследован специалистами «Доктор Веб».

В нашу службу технической поддержки от одного из пользователей поступило сообщение о том, что Антивирус Dr.Web регулярно обнаруживает и удаляет на компьютере приложение для добычи криптовалют. Исследование журнала Антивируса показало, что майнер прятался во временной папке на зараженном ПК. В то же время журнал веб-антивируса SpIDer Gate сохранил информацию о том, что приложение пыталось соединиться с IP-адресом, который соответствует сайту компании Astrum Soft — производителя ПО «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе.

В самом приложении официально присутствует функция майнинга (добычи) криптовалют, которую пользователь может включить, когда компьютеры простаивают.

Тем не менее, дальнейшее исследование показало, что программой, беспокоившей пользователя, было не само приложение «Компьютерный зал», а скрытый майнер, добавленный в вирусные базы Dr.Web под именем Trojan.BtcMine.2869. Этот троянец автоматически скачивался с серверов компании Astrum Soft механизмом обновления программы «Компьютерный зал» и устанавливался им в систему.

Приложение «Компьютерный зал» периодически отправляет запрос на сервер своего разработчика, в котором передает версию приложения и сведения о системе. В ответ может поступить команда на загрузку или скачивание и запуск исполняемого файла, в котором должно быть реализовано обновление программы. Однако в исследованном нами образце загружаемый на компьютер файл имеет вредоносный функционал. Это вредоносное ПО завершает работу процессов svchostm.exe и svcnost.exe, сохраняет на диск троянца-майнера и для обеспечения его автоматического запуска модифицирует системный реестр Windows. Данные о кошельке, на который перечисляется добытая криптовалюта, зашиты в теле троянца. При удалении вредоносной программы пользователем механизм обновления может скачать и запустить его заново.

На 9 июля вирусные аналитики насчитали более 2700 зараженных компьютеров, на которых действует Trojan.BtcMine.2869. В исследованном специалистами «Доктор Веб» образце троянца, загружавшегося с сервера Astrum Soft, имена инфицированных ПК (воркеров) начинаются с префикса "soyuz6_", который также записан в теле троянца. На сегодняшний день таких зараженных компьютеров насчитывается 613. Троянец распространялся в период с 24 мая по 4 июля 2018 года. Разработчик ПО Astrum Soft и правоохранительные органы были проинформированы об этом инциденте.

Подробнее о троянце

30 мая 2018 года

Аналитики «Доктор Веб» раскрыли преступную схему, позволившую злоумышленнику заработать миллионы рублей. Киберпреступник, скрывающийся под псевдонимом «Faker», разработал систему аренды вредоносных программ по подписке, приносящую ему значительный доход. Среди пострадавших — множество пользователей игровой платформы Steam.

«Faker» использует несколько способов незаконного заработка. Главный среди них — разработанная им схема MaaS (Malware As a Service), реализующая аренду вредоносных программ по подписке. От клиентов «Faker»’а, желающих зарабатывать на распространении троянцев, не требуется ничего, кроме денег и, в некоторых случаях, домена: вирусописатель предоставляет им самого троянца, доступ к административной панели и техническую поддержку. По подсчетам аналитиков «Доктор Веб», это решение «под ключ» принесло своему создателю миллионы, а сколько на этом заработали его клиенты, остается только догадываться – с учетом того, что потраченные деньги на оплату месяца использования этой криминальной услуги могут окупиться за сутки. Все созданные «Faker»’ом вредоносные программы угрожают пользователям популярного игрового сервиса Steam.

Steam — это разработанная компанией Valve Corporation платформа, предназначенная для цифрового распространения компьютерных игр и программ. Зарегистрированный пользователь Steam получает доступ к личному кабинету, в котором собрана информация обо всех приобретенных им ранее играх и приложениях. Помимо этого, он может совершать покупки в магазине Steam, приобретая различный цифровой контент, а также продавать и обменивать игровые предметы. Эти предметы имеют ключевое значение в различных многопользовательских играх. Оружие, амуниция и различный инвентарь позволяют менять внешний вид игрока и визуальное представление его имущества в игре. Игровые предметы можно обменивать на специализированных сайтах, а также покупать и продавать за реальные деньги. Именно на этом построил свой криминальный бизнес «Faker».

Один из применяемых им способов заработка — так называемые «рулетки». Так сетевые игроки называют своеобразные аукционы, на которые сразу несколько участников выставляют различные игровые предметы. Вероятность выигрыша зависит от размера сделанной участником ставки, а победитель забирает все участвующие в розыгрыше лоты. Мошенничество заключается в том, что против реального игрока выступают специальные программы-боты, которые гарантированно выигрывают ставку. Иногда потенциальной жертве предлагают стать администратором такой игры и даже позволяют несколько раз выиграть, прежде чем она выставит на очередной кон какой-либо дорогой игровой предмет, который тут же будет проигран и перейдет в собственность злоумышленников.

Административная панель «рулеток» позволяет гибко настраивать внешний вид сайта, на котором производятся розыгрыши, его отображаемое содержимое, менять имена и текст в организованном на сайте чате, управлять ставками, просматривать список принятых у других игроков предметов, а также полностью управлять «рулеткой».

Кроме того, «Faker» предоставляет в аренду другим киберпреступникам созданные им вредоносные программы. Одна из них получила наименование Trojan.PWS.Steam.13604, она предназначена для хищения учетных данных пользователей Steam. Создатель троянца на условиях ежемесячной абонентской платы предоставляет киберпреступникам собранный для них вредоносный файл, а также доступ к панели управления.

Распространяется троянец несколькими путями. Один из них использует методы социальной инженерии: пользователю Steam приходит сообщение о том, что нескольким участникам сообщества в команду требуется новый игрок. После одного совместного матча для удобства дальнейшего взаимодействия потенциальной жертве предлагают скачать и установить программу-клиент для голосового общения. Злоумышленники отправляют жертве ссылку на поддельный сайт этого приложения. По ссылке под видом программы загружается троянец.

Если потенциальная жертва уже использует чат-клиент TeamSpeak, ей присылают адрес сервера, к которому подключается команда игроков для совместного общения. После подключения к этому серверу на экране жертвы отображается окно с предложением обновить какой-либо из компонентов приложения TeamSpeak или драйвер аудиоподсистемы. Под видом этого обновления на компьютер скачивается вредоносная программа.

При запуске троянец выгружает процесс приложения Steam (если этот процесс – не его собственный), затем определяет путь к каталогу Steam на компьютере, язык приложения и имя пользователя. При наличии одного из служебных файлов программы Steam Trojan.PWS.Steam.13604 извлекает из него пары, состоящие из идентификаторов steamid64 и имен учетных записей. Затем троянец отсылает на управляющий сервер собранную на зараженном компьютере информацию, в том числе версию операционной системы, имя пользователя и машины, язык ОС, путь к приложению Steam, языковую версию этого приложения и т. д.

Выполнив указанные действия, вредоносная программа удаляет оригинальный файл приложения Steam и копирует себя на его место. Чтобы лишить пользователя возможности обновить клиент Steam или получить техническую помощь, троянец меняет содержимое файла hosts, блокируя доступ к сайтам steampowered.com, support.steampowered.com, store.steampowered.com, help.steampowered.com, forums.steampowered.com, virustotal.com и некоторым другим. Затем Trojan.PWS.Steam.13604 показывает на экране поддельное окно авторизации Steam. Если жертва вводит в него свои логин и пароль, троянец пытается авторизоваться с их помощью в сервисе Steam. Если эта попытка увенчалась успехом и на компьютере включен Steam Guard — система двухфакторной аутентификации для защиты учетной записи пользователя, — троянец выводит на экран поддельное окно для ввода кода авторизации. Вся эта информация отсылается на сервер злоумышленников.

Для всех своих клиентов вирусописатель использует один и тот же управляющий сервер. Из полученных данных на нем формируется файл, который в дальнейшем злоумышленники используют для доступа к учетной записи жертвы в сервисе Steam. Интерфейс панели администрирования Trojan.PWS.Steam.13604 показан на следующих иллюстрациях:

Помимо Trojan.PWS.Steam.13604 «Faker» сдает в аренду еще одного созданного им троянца. Он получил наименование Trojan.PWS.Steam.15278. Эта вредоносная программа распространяется аналогичным способом и ориентирована на хищение игрового инвентаря у пользователей платформы Steam. Похищенные виртуальные предметы злоумышленники могут впоследствии продать другим игрокам. Вирусописатель также рекламирует услугу по аренде этой вредоносной программы на специализированных форумах.

Trojan.PWS.Steam.15278 использует в своей работе приложение Fiddler — бесплатную утилиту для анализа трафика при передаче данных по протоколу HTTP, работающую по принципу прокси-сервера. Fiddler устанавливает в систему корневой сертификат, благодаря чему Trojan.PWS.Steam.15278 получает возможность прослушивать зашифрованный HTTPS-трафик. Троянец перехватывает ответы сервера и подменяет в них данные.

Если пользователь зараженной машины обменивается с другими игроками инвентарем на специально предназначенных для этого площадках, таких как opskins.com, igxe.cn, bitskins.com, g2a.com, csgo.tm, market.csgo.com, market.dota2.net и tf2.tm, в момент совершения обменной сделки троянец подменяет получателя игрового предмета. Происходит это так. После того как жертва троянца выставит на продажу или обмен собственный игровой инвентарь, вредоносная программа подключается к его аккаунту и с определенным временным интервалом проверяет поступающие предложения. Если предложивший для обмена какой-либо предмет пользователь зараженного компьютера получает запрос на совершение сделки, троянец отменяет этот запрос, определяет имя пользователя, его аватар, а также текст сообщения из оригинального запроса и высылает жертве в точности такой же запрос, но от имени принадлежащей злоумышленникам учетной записи. Физически подмена осуществляется с использованием веб-инжектов: Trojan.PWS.Steam.15278 встраивает в страницы полученный с управляющего сервера вредоносный код. Следует отметить, что «Faker» является автором и других троянцев, работающих по аналогичному принципу и реализованных в виде расширения для браузера Google Chrome.

При обмене инвентаря через официальный сайт steamcommunity.com Trojan.PWS.Steam.15278 позволяет злоумышленникам подменять отображение игровых предметов у пользователя. Троянец модифицирует содержимое веб-страниц сервиса steamcommunity.com таким образом, что потенциальная жертва видит предложение об обмене очень дорогого и редкого игрового предмета. Если пользователь одобрит сделку, вместо ожидаемого предмета он получит какой-либо тривиальный и дешевый элемент инвентаря. Оспорить подобный несправедливый обмен впоследствии практически невозможно, поскольку с точки зрения сервера пользователь сам и добровольно совершил эту сделку. Например, на странице сервиса steamcommunity.com пользователь зараженного компьютера увидит, будто другой участник сервиса предлагает ему к обмену игровой предмет под названием «PLAYERUNKNOWN's Bandana» стоимостью $265.31. На самом же деле по завершении сделки он получит «Combat Pants (White)» — цена этого предмета составляет всего лишь $0.03.

Панель управления Trojan.PWS.Steam.15278 в целом схожа с административной панелью Trojan.PWS.Steam.13604, однако в обновленной версии появился дополнительный раздел, позволяющий управлять заменами игровых предметов при осуществлении сделок обмена. Злоумышленник может сам настраивать изображения и описания игровых предметов, которые будут показаны жертве вместо реальных. Полученный обманным путем игровой инвентарь киберпреступники впоследствии могут продать за реальные деньги на сетевых торговых площадках.

Все известные на сегодняшний день модификации Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278 успешно детектируются и удаляются Антивирусом Dr.Web, поэтому они не представляют опасности для наших пользователей. Специалисты «Доктор Веб» передали в компанию Valve Corporation информацию о скомпрометированных учетных записях пользователей, а также об аккаунтах, которые использовались в описанных выше мошеннических схемах.

Подробнее о Trojan.PWS.Steam.13604

Подробнее о Trojan.PWS.Steam.15278

#вредоносное_ПО #геймер #игры #троянец

14 мая 2018 года

В конце марта компания «Доктор Веб» сообщила о распространении троянца, похищающего с зараженных устройств файлы и другую конфиденциальную информацию. Наши вирусные аналитики исследовали несколько новых модификаций этой вредоносной программы и выявили ее разработчика.

Специалисты компании «Доктор Веб» изучили несколько новых модификаций троянца Trojan.PWS.Stealer.23012, распространявшегося по ссылкам в комментариях к видеороликам на популярном интернет-ресурсе YouTube. Эти ролики были посвящены использованию специальных программ, облегчающих прохождение компьютерных игр, — читов и «трейнеров». Под видом таких приложений злоумышленники и раздавали троянца-шпиона, оставляя с поддельных аккаунтов комментарии к видеороликам со ссылкой на Яндекс.Диск. Также эти вредоносные ссылки злоумышленники активно рекламировали в Twitter.

Все исследованные модификации шпиона написаны на языке Python и преобразованы в исполняемый файл с помощью программы py2exe. Одна из новых версий этой вредоносной программы, получившая наименование Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в поисках сохраненных паролей и файлов cookies браузеров, основанных на Chromium. Кроме того, этот троянец ворует информацию из мессенджера Telegram, FTP-клиента FileZilla, а также копирует файлы изображений и офисных документов по заранее заданному списку. Полученные данные троянец упаковывает в архив и сохраняет его на Яндекс.Диск.

Другая модификация этого троянца-шпиона получила наименование Trojan.PWS.Stealer.23700. Эта вредоносная программа крадет пароли и файлы cookies из браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Помимо этого, троянец копирует файлы ssfn из подпапки config приложения Steam, а также данные, необходимые для доступа к учетной записи Telegram. Кроме того, шпион создает копии изображений и документов, хранящихся на Рабочем столе Windows. Всю украденную информацию он упаковывает в архив и загружает в облачное хранилище pCloud.

Третья модификация шпиона получила наименование Trojan.PWS.Stealer.23732. Дроппер этого троянца написан на языке Autoit, он сохраняет на диск и запускает несколько приложений, являющихся компонентами вредоносной программы. Один из них представляет собой шпионский модуль, как и его предшественники, написанный на языке Python и преобразованный в исполняемый файл. Он ворует на инфицированном устройстве конфиденциальную информацию. Все остальные компоненты троянца написаны на языке Go. Один из них сканирует диски в поисках папок, в которых установлены браузеры, а еще один упаковывает похищенные данные в архивы и загружает их в хранилище pCloud.

Для распространения этой модификации стилера купившие его у вирусописателя злоумышленники придумали еще один, более оригинальный метод. Киберпреступники связывались с администраторами тематических Telegram-каналов и предлагали им написать пост, посвященный якобы разработанной ими новой программе, и предлагали ее протестировать. По словам злоумышленников, эта программа позволяла одновременно подключаться к нескольким аккаунтам Telegram на одном компьютере. На самом же деле под видом полезного приложения они предлагали потенциальной жертве скачать троянца-шпиона.

В коде этих троянцев-шпионов вирусные аналитики обнаружили информацию, позволившую установить автора вредоносных программ. Вирусописатель скрывается под псевдонимом «Енот Погромист», при этом он не только разрабатывает троянцев, но и продает их на одном популярном сайте.

Создатель троянцев-шпионов также ведет канал на YouTube, посвященный разработке вредоносного ПО, и имеет собственную страницу на GitHub, где выкладывает исходный код своих вредоносных программ.

Специалисты «Доктор Веб» проанализировали данные открытых источников и установили несколько электронных адресов разработчика этих троянцев, а также номер его мобильного телефона, к которому привязан используемый для противоправной деятельности аккаунт Telegram. Кроме того, удалось отыскать ряд доменов, используемых вирусописателем для распространения вредоносных программ, а также определить город его проживания. На представленной ниже схеме показана часть выявленных связей «Енота Погромиста» с используемыми им техническими ресурсами.

Логины и пароли от облачных хранилищ, в которые загружаются архивы с украденными файлами, «зашиты» в тело самих троянцев, что позволяет без особого труда вычислить и всех клиентов «Енота Погромиста», приобретавших у него вредоносное ПО. В основном это граждане России и Украины. Некоторые из них используют адреса электронной почты, по которым нетрудно определить их страницы в социальных сетях и установить их реальную личность. Например, сотрудникам «Доктор Веб» удалось выяснить, что многие клиенты «Енота Погромиста» пользуются и другими троянцами-шпионами, которые продаются на подпольных форумах. Следует отметить, что отдельные покупатели оказались настолько умны и сообразительны, что запускали шпиона на своих собственных компьютерах, вероятно, в попытке оценить его работу. В результате их личные файлы были загружены в облачные хранилища, данные для доступа к которым может без труда извлечь из тела троянца любой исследователь.

Специалисты компании «Доктор Веб» напоминают, что создание, использование и распространение вредоносных программ является преступлением, за которое согласно ст. 273 УК РФ предусмотрено наказание вплоть до лишения свободы на срок до четырех лет. Также к покупателям и пользователям троянцев-шпионов применима статья 272 УК РФ «Неправомерный доступ к компьютерной информации».

• Подробнее о Trojan.PWS.Stealer.23700
• Подробнее о Trojan.PWS.Stealer.23370
• Подробнее о Trojan.PWS.Stealer.23732

10 мая 2018 года

В ноябре прошлого года компания «Доктор Веб» рассказала о сетевых мошенниках, предлагающих всем желающим получить несуществующие вознаграждения от страховых фондов. Этой весной жулики активизировались снова — на сей раз они обещают доверчивым пользователям выплатить компенсации от энергетических компаний и медицинских учреждений.

Схема мошенничества в целом осталась прежней: злоумышленники рассылают по электронной почте спам, предлагая потенциальным жертвам перейти по ссылке на специально созданный ими сайт. Однако нельзя не отметить и новый канал привлечения посетителей: жульнические ресурсы стали рекламироваться с помощью массовых СМС-рассылок и сообщений в мобильных мессенджерах. На веб-страницах по ссылкам, расположенным в этой рекламе, размещен изобилующий ошибками текст, в котором сообщается о якобы существующей возможности получить компенсацию за переплату предоставляемых населению коммунальных, медицинских услуг, либо услуг обязательного страхования. Все эти сайты созданы с использованием одного и того же шаблона и принадлежат неким «Центрам компенсации неиспользованных медицинских услуг», «Союзам независимых энергетических компаний» и прочим несуществующим организациям.

Для «проверки» возможности получить компенсацию посетителю сайта предлагается ввести в специальную форму последние цифры какого-либо документа, а также свое имя и фамилию. Какие бы данные ни указал пользователь, на экране появится информация о доступной выплате, для получения которой требуется перевести мошенникам небольшую денежную сумму.

Специалисты компании «Доктор Веб» выявили более 110 доменов, зарегистрированных сетевыми мошенниками в период с февраля по май 2018 года. При этом многие домены со схожими по звучанию и написанию ключевыми словами регистрировались одновременно целыми группами и были привязаны к одним и тем же хостинговым площадкам. На один из жульнических сайтов осуществлялось перенаправление с адреса, содержащего аббревиатуру “snils” — это может косвенно свидетельствовать о том, что авторами данной криминальной схемы являются те же злоумышленники, о которых мы писали осенью прошлого года. Часть выявленных аналитиками адресов в настоящее время недоступна, на некоторых размещены мошеннические интернет-ресурсы. Все обнаруженные нами адреса были добавлены в базы нерекомендуемых сайтов Родительского контроля Dr.Web.

Следует отметить, что в последнее время также участились случаи почтовых рассылок, в которых злоумышленники перенаправляют получателей на фишинговые и жульнические сайты с использованием сервисов онлайн-календарей. Сообщение содержит приглашение на некое бесплатное мероприятие, для подтверждения участия в котором предлагается отметиться в таблице, размещенной, например, на сайте публичного сервиса «Google Календарь». При переходе по ссылке потенциальная жертва перенаправляется на мошеннический или фишинговый сайт, собирающий конфиденциальную информацию посетителей.

Компания «Доктор Веб» снова напоминает пользователям: не доверяйте интернет-ресурсам, предлагающим получить какие-либо денежные компенсации от лица неких фондов или организаций, а также с осторожностью переходите по ссылкам из почтовых сообщений, полученных от незнакомых отправителей.

#криминал #мошенническое_письмо #мошенничество #нерекомендуемые_сайты

26 апреля 2018 года

Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play приложения со встроенным троянцем Android.RemoteCode.152.origin, скачанные в сумме более 6 500 000 раз. Эта вредоносная программа незаметно скачивает и запускает дополнительные модули, среди которых есть рекламные плагины. С их помощью троянец загружает невидимые объявления и нажимает на них, за что злоумышленники получают вознаграждение.

Android.RemoteCode.152.origin – новая версия троянца Android.RemoteCode.106.origin, известного с 2017 года, компания «Доктор Веб» рассказывала о нем в ноябре. Эта вредоносная программа представляла собой программный модуль, который разработчики ПО встраивали в свои приложения и распространяли через каталог Google Play. Основная функция Android.RemoteCode.106.origin – незаметное скачивание и запуск вспомогательных плагинов, предназначенных для загрузки веб-страниц с рекламой и нажатия на расположенные на них баннеры. Новая версия троянца выполняет аналогичные действия.

После первого запуска приложения, в которое встроен троянец, Android.RemoteCode.152.origin автоматически начинает работу через определенные интервалы времени и самостоятельно запускается после каждой перезагрузки устройства. Таким образом, для его работы не требуется, чтобы владелец мобильного устройства постоянно использовал зараженное приложение.

При старте вредоносная программа загружает с управляющего сервера и запускает один из троянских модулей, который был добавлен в вирусную базу Dr.Web как Android.Click.249.origin. В свою очередь, этот компонент скачивает и запускает еще один модуль, основанный на рекламной платформе MobFox SDK. Она предназначена для монетизации приложений. С ее помощью троянец незаметно создает различные рекламные объявления и баннеры, после чего самостоятельно нажимает на них, зарабатывая деньги для киберпреступников. Кроме того, Android.RemoteCode.152.origin поддерживает работу с мобильной маркетинговой сетью AppLovin, через которую также загружает рекламные объявления для получения дополнительного дохода.

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, в которые был встроен этот троянец. Все они представляют собой различные игры, суммарное число загрузок которых превысило 6 500 000. Специалисты «Доктор Веб» передали в корпорацию Google информацию о найденных программах, и на момент публикации этой новости часть из них была успешно удалена из каталога. При этом некоторые приложения получили обновления, в которых вредоносный модуль уже отсутствует.

Android.RemoteCode.152.origin был обнаружен в следующих программах:

• Beauty Salon - Dress Up Game, версия 5.0.8;
• Fashion Story - Dress Up Game, версия 5.0.0;
• Princess Salon - Dress Up Sophie, версия 5.0.1;
• Horror game - Scary movie quest, версия 1.9;
• Escape from the terrible dead, версия 1.9.15;
• Home Rat simulator, версия 2.0.5;
• Street Fashion Girls - Dress Up Game, версия 6.07;
• Unicorn Coloring Book, версия 134.

Кроме того, при дальнейшем анализе специалисты «Доктор Веб» выявили троянца еще в нескольких приложениях, которые ранее уже были удалены из каталога:

• Subwater Subnautica, версия 1.7;
• Quiet, Death!, версия 1.1;
• Simulator Survival, версия 0.7;
• Five Nigts Survive at Freddy Pizzeria Simulator, версия 12;
• Hello Evil Neighbor 3D, версия 2.24;
• The Spire for Slay, версия 1.0;
• Jumping Beasts of Gang, версия 1.9;
• Deep Survival, версия 1.12;
• Lost in the Forest, версия 1.7;
• Happy Neighbor Wheels, версия 1.41;
• Subwater Survival Simulator, версия 1.15;
• Animal Beasts, версия 1.20.

Примеры ПО со встроенным троянцем Android.RemoteCode.152.origin показаны на следующих изображениях:

Чтобы снизить вероятность заражения мобильных устройств вредоносными и нежелательными программами, специалисты компании «Доктор Веб» рекомендуют устанавливать приложения только от известных и проверенных разработчиков. Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют все известные модификации описанных в этом материале троянцев, поэтому для наших пользователей они опасности не представляют.

Подробнее об Android.RemoteCode.152.origin

#Android, #Google_Play, #рекламное_ПО, #троянец

16 апреля 2018 года

Специалисты компании «Доктор Веб» исследовали нового троянца-энкодера. Из-за ошибки вирусописателей восстановление поврежденных этим шифровальщиком файлов в большинстве случаев невозможно.

Новый троянец-шифровальщик получил наименование Trojan.Encoder.25129. Превентивной защитой Антивируса Dr.Web этот троянец автоматически детектируется под именем DPH:Trojan.Encoder.9. После запуска он проверяет географическое расположение пользователя по IP-адресу инфицированного устройства. По задумке злоумышленников, троянец не шифрует файлы, если IP-адрес расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде энкодер шифрует файлы вне зависимости от географической принадлежности IP-адреса.

Trojan.Encoder.25129 шифрует содержимое папок текущего пользователя, Рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron. Не шифруются файлы размером более 30000000 байт (примерно 28.6 МБ). После завершения шифрования троянец создает файл %ProgramData%\\trig и записывает в него значение «123» (если такой файл уже существует, шифрование не выполняется). Затем энкодер отправляет запрос на сайт iplogger, адрес которого зашит в его теле. После этого вредоносная программа показывает окно с требованиями выкупа.

Размер требуемого злоумышленниками выкупа варьируется от 0,007305 до 0,04 Btc. По нажатию на кнопку HOW TO BUY BITCOIN троянец демонстрирует окно с инструкциями по покупке криптовалюты Bitcoin:

Несмотря на то, что в тексте требований злоумышленники уверяют своих жертв, что они смогут восстановить зашифрованные файлы, из-за допущенной в коде троянца ошибки это в большинстве случаев невозможно.

Пользователи Dr.Web защищены от действий этого шифровальщика, поскольку он успешно детектируется и удаляется превентивной защитой наших антивирусных продуктов. Тем не менее, специалисты компании «Доктор Веб» напоминают о необходимости своевременного резервного копирования всей важной информации.

Подробнее о троянце

16 апреля 2018 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play троянца Android.Click.245.origin, который по команде злоумышленников загружает сайты, где пользователей обманом подписывают на платные контент-услуги. В некоторых случаях оформление подписок выполняется автоматически после нажатия мошеннической кнопки для «скачивания» программ.

Злоумышленники распространяли Android.Click.245.origin от лица разработчика Roman Zencov и маскировали троянца под известные приложения. Среди них – еще не вышедшая на платформе Android игра Miraculous Ladybug & Cat Noir, нашумевшая в начале весны программа GetContact для звонков и работы с телефонными контактами, а также голосовой помощник Алиса, который встроен в приложения от компании «Яндекс» и как отдельное ПО пока недоступен. Одна из троянских программ входила в тридцатку наиболее популярных новинок каталога Google Play.

Специалисты «Доктор Веб» уведомили корпорацию Google об Android.Click.245.origin, после чего он был удален из каталога. В общей сложности приложения-подделки успели установить свыше 20 000 пользователей. У всех этих программ нет никаких полезных функций. Их основная задача – загрузка веб-страниц по команде злоумышленников.

После запуска Android.Click.245.origin соединяется с управляющим сервером и ожидает от него задания. В зависимости от IP-адреса подключенного к сети зараженного устройства троянец получает ссылку на определенный сайт, который необходимо загрузить. Вредоносная программа переходит по полученной ссылке и с использованием WebView отображает нужную киберпреступникам страницу. Если мобильное устройство подключено к Интернету через Wi-Fi, пользователю предлагается установить интересующее приложение, нажав на соответствующую кнопку. Например, если жертва запускала программу-подделку голосового помощника Алиса, для «скачивания» может быть подготовлен файл под названием «Alice Yandex.apk».

При попытке загрузки указанного файла у владельца мобильного устройства запрашивается номер мобильного телефона для некоей авторизации или подтверждения скачивания. После ввода номера пользователю отправляется проверочный код, который необходимо указать на сайте для завершения «загрузки». Однако никаких программ после этого жертва не получает – вместо этого она подписывается на платную услугу.

Если же зараженное устройство подключено к Интернету через мобильное соединение, загружаемый троянцем сайт выполняет несколько перенаправлений, после чего Android.Click.245.origin открывает конечный адрес в браузере Google Chrome. На загружаемой странице для скачивания некоего файла пользователю предлагается нажать на кнопку «Продолжить», после чего он перенаправляется на другой сайт, с которого якобы и происходит загрузка. После нажатия на кнопку «Начать загрузку» жертва с использованием технологии Wap-Click автоматически подписывается на одну из дорогостоящих услуг, за использование которой каждый день будет взиматься плата. При этом доступ к таким сервисам предоставляется без предварительного ввода номера телефона и кодов подтверждения из СМС.

Если троянец не получил никакого задания, он показывает на экране несколько изображений, которые загружаются из Интернета.

Подключение ненужных контент-услуг – один из самых распространенных и давно известных способов незаконного заработка злоумышленников. Однако оформление таких премиум-подписок через сервис Wap-Click представляет особую опасность, т. к. фактически происходит без какого-либо явного информирования абонентов и часто используется недобросовестными контент-провайдерами.

Чтобы избежать потери денег, владельцам смартфонов и планшетов следует внимательно относиться ко всем посещаемым веб-сайтам и не нажимать на расположенные на них подозрительные ссылки и кнопки. Кроме того, необходимо устанавливать программы только от известных и проверенных разработчиков и пользоваться антивирусом.

Для борьбы с мошенническими подписками всем российским абонентам сотовых сетей рекомендуется активировать Контентный счет. Эта услуга предоставляется бесплатно после обращения в службу поддержки или офис обслуживания мобильных операторов. Согласно поправкам в федеральный закон N 126-ФЗ «О связи», контентный счет – это отдельный счет абонента, предназначенный специально для работы с премиум-услугами. После его подключения все списания для оплаты дорогостоящих подписок от сторонних поставщиков происходят только с него.

Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации Android.Click.245.origin, поэтому для наших пользователей этот троянец не опасен.

Подробнее о троянце

5 апреля 2018 года

Вирусные аналитики компании «Доктор Веб» зафиксировали распространение троянца Android.BankBot.358.origin, который нацелен на клиентов Сбербанка. Эта вредоносная программа крадет информацию о банковских картах, выводит деньги со счетов, а также блокирует зараженные устройства и требует выкуп. Ущерб, который может нанести Android.BankBot.358.origin, превышает 78 000 000 рублей.

Android.BankBot.358.origin известен компании «Доктор Веб» с конца 2015 года. Вирусные аналитики установили, что новые модификации троянца Android.BankBot.358.origin предназначены для атаки на российских клиентов Сбербанка и заразили уже более 60 000 мобильных устройств. Однако, поскольку вирусописатели распространяют множество различных версий этого вредоносного приложения, число пострадавших может значительно увеличиться. Суммарный объем средств, которые злоумышленники способны украсть с банковских счетов владельцев зараженных устройств, превышает 78 000 000 рублей. Кроме того, киберпреступники могут похитить более 2 700 000 рублей со счетов мобильных телефонов.

На следующих изображениях показаны разделы панели администрирования Android.BankBot.358.origin с информацией о зараженных устройствах и статистикой по одной из обнаруженных бот-сетей:

Этот банковский троянец распространяется при помощи мошеннических СМС, которые могут рассылать как киберпреступники, так и сама вредоносная программа. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В таких СМС потенциальной жертве предлагается перейти по ссылке – якобы чтобы ознакомиться с ответом на объявление. Например, популярен текст: «Добрый день, обмен интересен?». Кроме того, иногда владельцы мобильных устройств получают поддельные уведомления о кредитах, мобильных переводах и зачислениях денег на счет в банке. Ниже показаны примеры фишинговых сообщений, которые задаются в панели администрирования управляющего сервера троянца и рассылаются по команде вирусописателей:

При переходе по ссылке из такого сообщения жертва попадает на принадлежащий злоумышленникам сайт, откуда на мобильное устройство скачивается apk-файл вредоносного приложения. Для большей убедительности вирусописатели используют в Android.BankBot.358.origin значок настоящей программы Avito, поэтому вероятность успешной установки троянца после его загрузки увеличивается. Некоторые модификации банкера могут распространяться под видом других программ – например, ПО для работы с платежными системами Visa и Western Union.

При первом запуске Android.BankBot.358.origin запрашивает доступ к правам администратора устройства и делает это до тех пор, пока пользователь не согласится предоставить ему необходимые полномочия. После получения нужных привилегий троянец показывает ложное сообщение об ошибке установки и удаляет свой значок из списка программ на главном экране. Так Android.BankBot.358.origin пытается скрыть свое присутствие на смартфоне или планшете. Если же в дальнейшем пользователь пытается удалить банкера из списка администраторов, Android.BankBot.358.origin активирует функцию самозащиты и закрывает соответствующее окно системных настроек. При этом некоторые версии троянца дополнительно устанавливают собственный PIN-код разблокировки экрана.

После инфицирования устройства Android.BankBot.358.origin соединяется с управляющим сервером, сообщает ему об успешном заражении и ожидает дальнейших указаний. Главная цель троянца – похищение денег у русскоязычных клиентов Сбербанка, при этом основным вектором атаки является фишинг. Злоумышленники отправляют троянцу команду на блокирование зараженного устройства окном с мошенническим сообщением. Оно имитирует внешний вид системы дистанционного банковского обслуживания Сбербанк Онлайн и отображается для всех пользователей независимо от того, являются ли они клиентами Сбербанка или другой кредитной организации. В этом сообщении говорится о якобы поступившем денежном переводе в размере 10 000 рублей. Для получения средств владельцу смартфона или планшета предлагается указать полную информацию о банковской карте: ее номер, имя держателя, дату окончания действия, а также секретный код CVV. При этом без ввода требуемых данных мошенническое окно невозможно закрыть, и устройство остается заблокированным. В результате пользователь вынужден подтвердить «зачисление средств», после чего информация о карте передается злоумышленникам, и они могут беспрепятственно украсть все деньги с банковского счета жертвы.

Однако на момент публикации этого материала существующие модификации троянца не выполняют полную проверку сведений о банковских картах, и после ввода любых данных снимают блокировку. В результате пострадавшие от Android.BankBot.358.origin владельцы мобильных устройств могут избавиться от фишингового окна и воспользоваться антивирусом, чтобы удалить вредоносную программу. Для этого в мошенническую форму необходимо ввести произвольный номер карты, который состоит из 16 или 18 цифр, а также указать любой срок ее действия в диапазоне от 2017 до 2030 года включительно. При этом ни в коем случае нельзя вводить информацию о настоящей карте Сбербанка или другой кредитной организации, т. к. злоумышленники получат к ней полный доступ.

Тем не менее, ничто не мешает вирусописателям отдать команду на повторную блокировку смартфона или планшета после обнаружения обмана. Поэтому после того как фишинговое окно будет закрыто, необходимо как можно скорее проверить устройство антивирусом и удалить троянца с мобильного устройства: https://download.drweb.ru/android/

Если у пользователя подключена услуга Мобильный банк, Android.BankBot.358.origin с ее помощью пытается украсть деньги со счета жертвы. Вредоносная программа незаметно отправляет СМС с командами для выполнения операций в системе онлайн-банкинга. Троянец проверяет текущий баланс карты пользователя и автоматически переводит средства либо на банковский счет злоумышленников, либо на счет их мобильного телефона. Пример того, как Android.BankBot.358.origin похищает деньги через сервис дистанционного банковского обслуживания, показан на следующей иллюстрации:

Для получения дополнительного дохода некоторые версии Android.BankBot.358.origin могут заблокировать зараженное устройство сообщением с требованием оплаты штрафа за просмотр запрещенных видео. Кроме того, чтобы скрыть вредоносную активность (например, поступление подозрительных СМС), различные модификации троянца способны также блокировать экран зараженного смартфона или планшета уведомлением об установке некоего системного обновления.

Вирусописатели могут настраивать параметры окон блокировки в панели администрирования управляющего сервера. Например, задавать текст выводимых сообщений, продолжительность их отображения, а также требуемую сумму выкупа. Ниже представлены примеры соответствующих разделов панели управления:

Наряду с кражей денег и блокировкой зараженных устройств Android.BankBot.358.origin способен выполнять и другие вредоносные действия. Получая команды от злоумышленников, троянец может:

• загружать собственные обновления;
• рассылать СМС-сообщения по всем номерам из телефонной книги;
• рассылать СМС-сообщения по указанным в командах номерам;
• загружать заданные киберпреступниками веб-сайты;
• отправлять на сервер хранящиеся на устройстве СМС-сообщения;
• получать информацию о контактах из телефонной книги;
• создавать поддельные входящие СМС-сообщения.

Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации Android.BankBot.358.origin, поэтому для наших пользователей троянец опасности не представляет. Специалисты «Доктор Веб» передали информацию о троянце в Сбербанк и продолжают наблюдать за развитием ситуации.

Официальная позиция Сбербанка

Подробнее о троянце

#Android #банкер #мобильный #вымогательство #банковский_троянец

Скачайте Dr.Web Security Space для Android по QR-коду

23 марта 2018 года

Компания «Доктор Веб» предупреждает о распространении опасного троянца, похищающего с зараженного устройства файлы и другую конфиденциальную информацию. Утечка этих данных может привести к тому, что злоумышленники получат доступ к учетным записям жертвы в социальных сетях и других онлайн-сервисах.

Вредоносная программа, получившая наименование Trojan.PWS.Stealer.23012, написана на языке Python и заражает компьютеры под управлением Microsoft Windows. Распространение троянца началось в районе 11 марта 2018 и продолжается по сегодняшний день. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на популярном интернет-ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты. Ссылки ведут на серверы Яндекс.Диск. Чтобы убедить посетителя сайта нажать на ссылку, на страничках роликов публикуются комментарии, явно написанные из-под поддельных аккаунтов. При попытке перейти по такой ссылке потенциальная жертва загружает на свой компьютер самораспаковывающийся RAR-архив, который содержит троянца.

Запустившись на инфицированном компьютере, троянец собирает следующую информацию:

• файлы Cookies браузеров Vivaldi, Chrome, Яндекс.Браузер, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
• сохраненные логины/пароли из этих же браузеров;
• снимок экрана.

Также он копирует с Рабочего стола Windows файлы с расширениями ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".

Все полученные данные Trojan.PWS.Stealer.23012 сохраняет в папке C:/PG148892HQ8. Затем он упаковывает их в архив spam.zip, который вместе с информацией о расположении зараженного устройства отправляется на сервер злоумышленников.

Вирусные аналитики компании «Доктор Веб» обнаружили несколько образцов этого троянца. Часть из них детектируется под именем Trojan.PWS.Stealer.23198. Все известные модификации этой вредоносной программы успешно определяются антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.

Подробнее о троянце

20 марта 2018 года

Компания «Доктор Веб» обнаружила троянца Android.BankBot.149.origin еще в январе 2016 года. После того как злоумышленники опубликовали исходный код этого банкера, вирусописатели создали на его основе множество новых модификаций, которые активно развиваются и по сей день. Некоторые из них превратились в многофункциональные вредоносные программы, способные красть логины и пароли от приложений для работы с криптовалютами, а также шпионить за пользователями.

На момент своего появления Android.BankBot.149.origin был банковским троянцем с типичным набором функций. Он показывал фишинговые окна, с помощью которых крал логины и пароли от учетных записей систем онлайн-банкинга различных кредитных организаций, похищал информацию о банковских картах, а также мог перехватывать входящие СМС, чтобы получить доступ к одноразовым паролям для подтверждения денежных переводов. Когда исходный код этого вредоносного приложения стал доступен всем желающим, вирусописатели начали создавать на его основе множество похожих троянцев. При этом злоумышленники активно распространяли их через каталог Google Play. Среди таких банкеров были Android.BankBot.179.origin, Android.BankBot.160.origin, Android.BankBot.163.origin, Android.BankBot.193.origin и Android.Banker.202.origin, которых вирусописатели маскировали под безобидные и полезные приложения.

Еще один троянец, при создании которого киберпреступники использовали опубликованный ранее код, был добавлен в вирусную базу Dr.Web как Android.BankBot.250.origin. Он также известен под именем Anubis. Вирусные аналитики «Доктор Веб» обнаружили первые версии этой вредоносной программы в ноябре 2017 года. Указанные модификации троянца практически полностью копировали возможности Android.BankBot.149.origin. Банкер мог выполнять следующие действия:

• отправлять СМС с заданным текстом на указанный в команде номер;
• выполнять USSD-запросы;
• отсылать на управляющий сервер копии хранящихся на устройстве СМС;
• получать информацию об установленных приложениях;
• показывать диалоговые окна с заданным в команде текстом;
• запрашивать дополнительные разрешения для работы;
• демонстрировать push-уведомления, содержимое которых указывалось в команде;
• показывать push-уведомление, содержимое которого задано в коде троянца;
• блокировать экран устройства окном WebView, в котором демонстрировалось содержимое полученной от сервера веб-страницы;
• передавать на сервер все номера из телефонной книги;
• рассылать СМС по всем номерам из телефонной книги;
• получать доступ к информации об устройстве и его местоположению;
• запрашивать доступ к функциям специальных возможностей (Accessibility Service);
• узнавать IP-адрес зараженного смартфона или планшета;
• очищать свой конфигурационный файл и останавливать собственную работу.

На иллюстрациях ниже показан пример панели управления одной из первых версий троянца Android.BankBot.250.origin:

Однако по мере выпуска обновлений Android.BankBot.250.origin его функционал постепенно расширялся. В одной из новых модификаций троянца, получившей имя Android.BankBot.325.origin, появилась возможность дистанционного доступа к зараженным устройствам. В результате банкер мог работать как утилита удаленного администрирования или RAT (Remote Administration Tool). Одной из его новых функций стал просмотр списка файлов, которые хранились в памяти зараженных смартфонов или планшетов, загрузка любого из них на управляющий сервер, а также их удаление. Кроме того, троянец мог отслеживать все, что происходило на экране, делая скриншоты и отправляя их злоумышленникам. Помимо этого по команде вирусописателей Android.BankBot.325.origin прослушивал окружение при помощи встроенного в устройство микрофона. Поэтому он мог применяться и для кибершпионажа. На следующих изображениях показан раздел панели администрирования управляющего сервера троянца, где злоумышленники могли отдать троянцу соответствующую команду:

При этом анализ банкера показал, что вирусописатели используют в названиях методов, а также в командах управления аббревиатуру «VNC», которая расшифровывается как Virtual Network Computing и относится к системе удаленного доступа к рабочему столу. Однако в троянце Android.BankBot.325.origin она никак не реализована, и злоумышленники лишь используют ее название для собственного удобства. Тем не менее, можно сделать вывод, что киберпреступники начали разрабатывать возможность удаленного управления экраном зараженных устройств и превращать банкера в более универсальное вредоносное приложение. Ниже показан фрагмент кода Android.BankBot.325.origin, где используется указанная аббревиатура:

Одна из последних модификаций Android.BankBot.325.origin, которую исследовали вирусные аналитики «Доктор Веб», получила еще больше функций. В список возможностей банкера теперь входят:

• отправка СМС с заданным текстом на указанный в команде номер;
• выполнение USSD-запросов;
• запуск программ;
• смена адреса управляющего сервера;
• отправка на управляющий сервер копий хранящихся на устройстве СМС;
• получение информации об установленных приложениях;
• перехват вводимых на клавиатуре символов (кейлоггер);
• запрос дополнительных разрешений для работы;
• показ диалоговых окон с заданным в команде содержимым;
• показ push-уведомлений, содержимое которых указывается в команде;
• показ push-уведомления, содержимое которого задано в коде троянца;
• отправка на сервер всех номеров из телефонной книги;
• рассылка СМС по всем номерам из телефонной книги;
• блокировка экрана устройства окном WebView, в котором демонстрируется содержимое полученной от сервера веб-страницы;
• запрос доступа к функциям специальных возможностей (Accessibility Service);
• переадресация телефонных звонков;
• открытие в браузере заданных в командах веб-сайтов;
• открытие ссылок на веб-страницы с использованием WebView;
• шифрование файлов и требование выкупа;
• расшифровка файлов;
• запись окружения с использованием микрофона устройства;
• получение доступа к информации об устройстве и его местоположении;
• получение IP-адреса устройства;
• очистка конфигурационного файла и остановка работы троянца.

На следующих иллюстрациях продемонстрирован список команд, которые злоумышленники могут отправлять банкеру через панель администрирования:

Большинство команд, передаваемых банкеру, настраиваются в этой же панели. Например, на изображении ниже показана конфигурация параметров шифрования файлов. Вирусописатели могут задать ключ шифрования, сумму выкупа (например, в биткойнах), которую Android.BankBot.325.origin запросит у жертвы, а также свой номер кошелька для перевода:

Там же настраиваются поддельные уведомления, которые должны заставить пользователя запустить нужное киберпреступникам приложение. Сразу после старта целевой программы троянец показывает поверх ее окна фишинговую форму ввода логина, пароля и другой секретной информации и передает ее вирусописателям.

Аналогичным образом настраиваются и сами фишинговые окна вместе с дополнительными параметрами:

Android.BankBot.325.origin показывает поддельные формы авторизации при запуске свыше 160 программ, среди которых – ПО для доступа к банковским услугам, платежным системам и социальным сетям. При этом к ним добавились и популярные приложения для работы с криптовалютами. Android.BankBot.325.origin – не первый банкер, который пытается украсть логины и пароли от таких программ, однако именно в нем злоумышленники постарались сделать внешний вид фишинговых окон максимально похожим на интерфейс настоящих приложений. Примеры таких мошеннических форм авторизации показаны на следующих изображениях:

Вирусные аналитики установили, что троянец атакует пользователей из России, Украины, Турции, Англии, Германии, Франции, Индии, США, Гонконга, Венгрии, Израиля, Японии, Новой Зеландии, Кении, Польши и Румынии. Однако в любое время этот список может пополниться и другими государствами, если киберпреступники проявят к ним интерес.

Специалисты компании «Доктор Веб» ожидают, что авторы Android.BankBot.325.origin продолжат совершенствовать функционал троянца и будут добавлять в него новые возможности удаленного управления зараженными смартфонами и планшетами. Не исключено, что в троянце появятся дополнительные шпионские функции. Антивирусные продукты Dr.Web для Android успешно детектируют все известные модификации этого вредоносного приложения, поэтому для наших пользователей оно опасности не представляет.

Подробнее о троянце