Горячая лента угроз
22.01 Аналитики «Доктор Веб» обнаружили троянца в программе для отслеживания курса криптовалют
22 января 2019 года
Осенью 2018 года в онлайн-сообществах, посвященных криптовалютам, появились сообщения с предложением установить программу для отслеживания изменения курса цифровых валют. Ее разработчики обещают бесплатный, надежный и сертифицированный виджет. На первый взгляд, приложение не вызывает подозрений: у него есть действительная цифровая подпись и оно показывает актуальную информацию о курсе криптовалют. Но за работоспособностью скрывается вредоносная функциональность.
При установке программа скачивает, компилирует и исполняет исходный код, загруженный с личного аккаунта разработчика на Github. После чего он загружает Trojan.PWS.Stealer.24943, известного также как AZORult. Этот троянец используется для кражи личных данных, включая пароли от кошельков криптовалют.
Преимущественно мошенники предлагают скачать вредоносную программу на русском, английском и польском языках. В русскоязычном сегменте Интернета троянца распространяют в группах майнеров криптовалют на vk.com.
Сейчас троянец все еще доступен на различных файлообменных сервисах, а также на Github. Пользователям продуктов Dr.Web опасность не угрожает, но специалисты Dr.Web настоятельно рекомендуют вовремя продлевать лицензию антивируса и следить за обновлениями.
#bitcoin #криптовалюты #майнинг #троянец
2018
06.12 Мобильные устройства бразильских пользователей атаковал банковский троянец
6 декабря 2018 года
Киберпреступники распространяли
При запуске
Когда пользователь дает банкеру разрешение на работу с функциями специальных возможностей, тот закрывает свое окно, запускает вредоносный сервис и с его помощью продолжает действовать в скрытом режиме. Затем
Кроме того, вредоносное приложение использует функции специальных возможностей и для самозащиты, отслеживая работу ряда антивирусов и различных утилит. При их запуске он пытается закрыть их окна, 4 раза подряд нажимая кнопку «Назад».
При запуске программы Banco Itaú троянец с использованием функции специальных возможностей считывает содержимое ее окна и передает злоумышленникам информацию о балансе банковского счета пользователя. Затем он самостоятельно выполняет навигацию внутри приложения и переходит в раздел управления учетной записью. Там троянец копирует и отправляет вирусописателям ключ iToken – код безопасности, который используется для проверки электронных транзакций.
После запуска приложения Bradesco банкер считывает информацию об аккаунте жертвы и пытается автоматически войти в него, вводя полученный от управляющего сервера PIN-код.
Получив команду на запуск приложения для работы с СМС, банкер открывает его, считывает и сохраняет текст доступных сообщений и отправляет их на сервер. При этом он выделяет СМС, поступившие от банка CaixaBank, S.A., и передает их отдельным запросом.
Кроме того, авторы
Пример таких фишинговых страниц показан на изображениях ниже:
Введенная жертвой конфиденциальная информация передается злоумышленникам, после чего троянец закрывает мошенническое окно и повторно запускает атакуемую программу. Это делается для того, чтобы не вызвать у владельца устройства подозрений при сворачивании или закрытии целевого приложения.
Компания «Доктор Веб» призывает с осторожностью устанавливать Android-программы, даже если они распространяются через Google Play. Злоумышленники могут подделывать известное ПО, а также создавать внешне безобидные приложения. Для снижения риска установки троянца стоит обращать внимание на имя разработчика, дату размешения программы в каталоге, число загрузок и отзывы других пользователей. Кроме того, следует использовать антивирус.
Все известные модификации банкера
#Android, #Google_Play, #банковский_троянец, #фишинг
23.11 Троянец-кликер распространяется под видом программы DynDNS
23 ноября 2018 года
Сам по себе
Целевая аудитория этого троянца — пользователи программы DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса. Вирусописатель создал в Интернете веб-страницу dnsip.ru, с которой якобы можно бесплатно скачать эту программу. Также вирусописателю принадлежит домен dns-free.com, с которого происходит автоматическое перенаправление посетителей на сайт dnsip.ru.
С указанного сайта действительно можно загрузить некий архив. В нем содержится исполняемый файл setup.exe, который на самом деле представляет собой не программу установки DynDNS, а загрузчик. В этом загрузчике хранится имя скачиваемого из Интернета файла, который в исследованном нами образце называется Setup100.arj.
Несмотря на «говорящее» расширение, Setup100.arj — не ARJ-архив, а исполняемый MZPE-файл, в котором вирусописатель изменил три значения таким образом, чтобы он не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.
В первую очередь с использованием PowerShell он отключает Windows Defender и для пущей надежности вносит изменения в записи системного реестра, отвечающие за запуск этой программы.
Затем дроппер сохраняет в папку System32 файлы instsrv.exe, srvany.exe, dnshost.exe и yandexservice.exe. Instsrv.exe, srvany.exe и dnshost.exe — это разработанные Microsoft утилиты для создания в Windows определяемых пользователем служб, а yandexservice.exe — сам троянец
Вирусные аналитики исследовали и другой компонент троянца, выполненный в виде исполняемого файла с именем dnsservice.exe, который также устанавливается на зараженный компьютер в качестве службы Windows с именем «DNS-Service». Вирусописателя выдают характерные отладочные строки, которые он забыл удалить в своих вредоносных программах:
C:\Boris\Программы\BDown\Project1.vbp
C:\Boris\Программы\BarmashSetService\Project1.vbp
C:\Boris\Программы\Barmash.ru.new\Project1.vbp
C:\Boris\Программы\Barmash_ru_Restarter3\Project1.vbp
Этот компонент распространяется в виде маскирующегося под архив файла dnsservice.arj с сайта barmash.ru.
Все известные на сегодняшний день модификации
Согласно информации, которую удалось собрать аналитикам «Доктор Веб», на сегодняшний день от этого троянца пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются 2013 годом. Полный список индикаторов компрометации можно посмотреть здесь.
#кликер #троянец
20.11 Новый троянец-майнер для Linux удаляет антивирусы
20 ноября 2018 года
Троянец, добавленный в вирусные базы Dr.Web под именем
В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца
Установившись в системе,
После этого вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения троянец не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.
Затем
Выполнив все эти действия,
Полный список индикаторов компрометации можно посмотреть по ссылке https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174.
#Linux #криптовалюты #майнинг #троянец
16.11 Банковский троянец атакует европейских пользователей Android-устройств
16 ноября 2018 года
Троянец, получивший имя
После запуска пользователем троянец запрашивает доступ к управлению телефонными звонками и совершению вызовов, а также к отправке и получению СМС-сообщений. При этом на устройствах c ОС Android ниже версии 6.0 эти разрешения предоставляются автоматически во время установки вредоносной программы. Пример такого запроса показан на изображениях ниже:
Введенный жертвой номер передается в облачную базу данных, а пользователь видит второе сообщение. В нем говорится о необходимости подождать подтверждения «регистрации». Здесь же отображается кнопка «Submit», при нажатии на которую совершенно неожиданно для жертвы вирусописателей запускается встроенная в
Если ранее троянец успешно загрузил в «облако» информацию о мобильном устройстве, он скрывает свой значок с главного экрана и в дальнейшем запускается в скрытом режиме автоматически при включении зараженного смартфона или планшета.
Все известные модификации
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 140 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
26.10 Специалисты компании «Доктор Веб» предупреждают об активизации мошеннических спам-рассылок
26 октября 2018 года
В письмах, которые получают пользователи сети, говорится о том, что их почтовый аккаунт был взломан, а на компьютер было установлено шпионское программное обеспечение.
Угрожая распространить конфиденциальную информацию, злоумышленники вымогают сумму в биткойнах, эквивалентную в среднем 700-1500 долларам США. На принятие решения жертве отводится 48 часов.
В целях подтверждения своих слов злоумышленники прикладывают к письму пароль от учетной записи пользователя, а в качестве адреса отправителя указывают его адрес электронной почты.
Для выбора жертв злоумышленники предположительно используют размещенные в публичном доступе базы данных, содержащие сведения об утекших в сеть логинах и паролях. Пользователи, столкнувшиеся с подобным мошенничеством, отмечают, что в большинстве случаев полученные ими письма содержали правильные, но устаревшие пароли, а некоторые люди сообщают о том, что получали по нескольку одинаковых писем, содержавших пароли, использованные ими в разное время.
На данный момент зафиксированы рассылки писем на английском и русском языках. Русскоязычные варианты писем могут быть написаны как на хорошем русском языке, так и с использованием электронного переводчика.
Если вы получили подобное письмо, не выполняйте требования злоумышленников. Подобного рода письма являются классическим проявлением социальной инженерии и направлены на то, чтобы спровоцировать пользователя на совершение необдуманных действий.
На настоящий момент не выявлено случаев подтверждения направляемой злоумышленниками информации, что позволяет расценивать данную рассылку как мошенническую.
В то же время некоторые пользователи обнаружили, что с их почтовых ящиков осуществлялась несанкционированная рассылка сообщений. Это предположительно связано с тем, что на протяжении многих лет они использовали одни и те же пароли для доступа к электронной почте и иным ресурсам, что позволило злоумышленникам получить доступ к их аккаунтам, используя базы данных скомпрометированных паролей.
С детальной информацией о данном виде мошенничества вы можете ознакомиться в выпуске нашей рубрики «Антивирусная ПравДА!».
Компания «Доктор Веб» рекомендует:
Запустите антивирусную проверку на своем компьютере и мобильных устройствах.
Поменяйте используемые вами пароли и в дальнейшем делайте это на регулярной основе.
Не используйте одни и те же пароли для доступа к малозначимым ресурсам и местам хранения личных данных.
#мошенническое_письмо #мошенничество #спам
23.10 «Доктор Веб»: троянца-загрузчика из Google Play установили свыше 51 000 пользователей
23 октября 2018 года
Информация о найденных вредоносных приложениях представлена в сводной таблице ниже:
Имя приложения | Название программного пакета | Версия |
---|---|---|
Extreme SUV 4x4 Driving Simulator | com.quoac.extreme.suv.driving | 0.3 |
Moto Extreme Racer 3D | com.quoac.moto.extreme.racing | 0.3 |
SUV City Traffic Racer | com.suv.traffic.racer | 0.3 |
Sports Car Racing | com.quoac.sports.car.racing | 0.3 |
Crime Traffic Racer | com.quoac.crime.traffic.game | 0.3 |
Police Car Traffic | com.quoac.police.car.traffic | 0.3 |
Tank Traffic Racer | com.quoac.tank.traffic.racer | 0.3 |
Extreme Car Driving Simulator | com.quoac.extreme.car.driving.simulator | 0.3 |
Russian Cars Retro | com.quoac.russian.car.retro | 0.3 |
Motocross Beach Jumping - Bike Stund Racing | com.quoac.motocross.beach.jumping | 0.4 |
Luxury Supercar Simulator | com.quoac.luxury.supercar.simulator | 0.3 |
Crime Crazy Security | com.quoac.crime.crazy.security | 0.4 |
Furious Extreme Drift | com.quoac.furious.extreme.drift | 0.3 |
Drift Car Driving Simulator | com.quoac.car.driving.simulator | 0.5 |
Получив необходимые полномочия, троянец подключается к удаленному серверу и незаметно загружает с него apk-файл, после чего предлагает владельцу зараженного устройства установить его. В случае отказа вредоносная программа вновь пытается выполнить инсталляцию, каждые 20 секунд показывая то же самое диалоговое окно, – до тех пор, пока жертва не согласится установить скачанное приложение. Загружаемый и устанавливаемый троянцем файл является вредоносной программой
Все известные модификации троянца-загрузчика
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 135 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
19.10 «Доктор Веб»: VPN-клиент для Android содержал троянца-загрузчика
19 октября 2018 года
Троянец, получивший имя
При запуске
После того как вредоносная программа скрывалась от пользователя, она незаметно скачивала с удаленного сервера apk-файл и сохраняла его на карту памяти. Затем она предлагала установить загруженное приложение до тех пор, пока пользователь не соглашался это сделать. Пример сообщения, которым
На момент анализа
Специалисты «Доктор Веб» оповестили корпорацию Google о найденной в Google Play опасной программе, после чего она была оперативно удалена из каталога.
Все описанные выше троянцы не представляют опасности для наших пользователей — антивирусные продукты Dr.Web для Android успешно детектируют и удаляют их с мобильных устройств.
#Android, #Google_Play, #вредоносное_ПО, #троянец
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 135 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
18.10 «Доктор Веб» сообщает: сетевой мошенник нанес ущерб более чем на $24 000, число жертв превысило 10 000
18 октября 2018 года
Кибермошенник, известный в Интернете под вымышленными именами Investimer, Hyipblock и Mmpower, использует в своей деятельности широчайший набор самых распространенных сегодня на подпольном рынке коммерческих троянцев. Среди них — стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony. Также в арсенале злоумышленника замечен бэкдор Spy-Agent, разработанный на базе приложения TeamViewer, бэкдоры DarkVNC и HVNC, предназначенные для доступа к зараженному компьютеру по протоколу VNC, и еще один бэкдор, созданный на основе ПО RMS. Киберпреступник активно применяет загрузчик Smoke Loader, а ранее использовал Loader by Danij и троянца-майнера, имеющего встренный модуль для подмены содержимого буфера обмена (клипер). Управляющие серверы с административным интерфейсом Investimer держит на таких площадках как jino.ru, marosnet.ru и hostlife.net, при этом большинство из них работает под защитой сервиса Cloudflare с целью скрыть истинный IP-адрес этих сетевых ресурсов.
Investimer специализируется на мошенничестве с криптовалютами, преимущественно — с Dogecoin. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Один из них — поддельная криптовалютная биржа, для работы с которой якобы требуется специальная программа-клиент. Под видом этого приложения на компьютер жертвы скачивается троянец Spy-Agent.
Другой «стартап» того же кибермошенника — пул устройств для майнинга криптовалюты Dogecoin, который якобы сдается в аренду по очень выгодным ценам. Для работы с этим несуществующим в реальности пулом тоже якобы требуется специальное приложение-клиент, которое загружается на компьютер потенциальной жертвы в запароленном архиве. Наличие пароля не позволяет антивирусным программам проанализировать содержимое архива и удалить его еще на этапе скачивания. Внутри же, как несложно догадаться, прячется троянец-стилер.
Еще один созданный Investimer’ом мошеннический ресурс посвящен криптовалюте Etherium. Потенциальным жертвам мошенник предлагает вознаграждение за просмотр сайтов в Интернете, для чего им также предлагается установить вредоносную программу под видом специального приложения. Здесь троянец начинает загружаться автоматически при заходе посетителя на сайт. Кибермошенник даже озаботился написанием нескольких поддельных отзывов о работе этого сервиса.
Еще один способ сетевого мошенничества, который практикует Investimer, — организация онлайн-лотерей, призом в которых служит определенная сумма в криптовалюте Dogecoin. Разумеется, лотереи устроены таким образом, что выиграть в них стороннему участнику невозможно, заработать на этом может только сам организатор розыгрыша. Тем не менее, на момент написания этой статьи на сайте организованной Investimer’ом лотереи было зарегистрировано более 5800 пользователей.
Помимо проведения лотерей на одном из своих сайтов Investimer предлагает выплату вознаграждения в Dogecoin за просмотр веб-страниц с рекламой. Этот проект насчитывает более 11 000 зарегистрированных пользователей.
Разумеется, с сайта «партнера» на компьютер участника системы под видом плагина для браузера, позволяющего зарабатывать на серфинге в Интернете, незамедлительно скачивается бэкдор. Затем он обычно устанавливает на инфицированное устройство троянца-стилера.
Не брезгует Investimer и традиционным фишингом. Созданный им веб-сайт якобы предлагает вознаграждение за привлечение новых пользователей в платежную систему Etherium, однако на самом деле собирает введенную пользователями при регистрации информацию и передает ее злоумышленнику.
Помимо перечисленных выше способов криминального заработка, Investimer попытался скопировать официальный сайт cryptobrowser.site. Создатели оригинального проекта разработали специальный браузер, который в фоновом режиме добывает криптовалюту в процессе просмотра пользователем веб-страниц. Подделка, которую создал Investimer, выполнена не слишком качественно: часть графики на сайте не отображается вовсе, в тексте лицензионного соглашения фигурирует адрес электронной почты настоящих разработчиков, а троянец, которого жертва получает под видом браузера, загружается с ресурса, расположенного на другом домене. На следующей иллюстрации показан поддельный сайт, созданный Investimer’ом (слева), в сравнении с оригинальным (справа).
Investimer был замечен в реализации и других схем сетевого жульничества – в частности онлайн-игр, построенных по принципу финансовой пирамиды. Собранную с при помощи троянцев-стилеров информацию этот злоумышленник использует преимущественно для хищения криптовалюты и денег, которые его жертвы хранят в кошельках различных электронных платежных систем. Примечательно, что в административной панели, с использованием которой Investimer управляет доступом к взломанным компьютерам, запись о каждой своей жертве он снабжает непристойными комментариями, процитировать которые мы не можем по цензурным соображениям.
В целом используемая киберпреступником схема обмана пользователей Интернета такова. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает троянца, который по команде злоумышленника устанавливает на компьютер другие вредоносные программы. Такие программы (в основном троянцы-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой жулик затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.
Аналитики «Доктор Веб» полагают, что общее количество пользователей, пострадавших от противоправной деятельности Investimer’а, превышает 10 000 человек. Ущерб, нанесенный злоумышленником своим жертвам, наши специалисты оценивают в более чем 23 000 долларов США. К этому следует добавить более 182 000 в криптовалюте Dogecoin, что по нынешнему курсу составляет еще порядка 900 долларов.
Адреса всех созданных Investimer’ом веб-сайтов были добавлены в базы Dr.Web SpIDer Gate, все используемые им вредоносные программы успешно детектируются и удаляются нашим Антивирусом.
Полный список индикаторов компрометации можно посмотреть по ссылке https://github.com/DoctorWebLtd/malware-iocs/tree/master/investimer.
#криминал #криптовалюты #майнинг #мошенничество
08.10 Мошенники завлекают пользователей AliExpress в поддельные интернет-магазины
8 октября 2018 года
Эти сообщения оформлены с использованием логотипа и фирменного стиля компании Alibaba Group, которой принадлежит интернет-магазин AliExpress. Письма содержат обращение к получателю по имени – вероятно, отправители считают, что это должно усыпить его бдительность. Аналитики «Доктор Веб» полагают, что информацию о реальных клиентах AliExpress мошенники могли получить, воспользовавшись купленной или украденной базой данных одного из многочисленных кэшбек-сервисов. В письме говорится о том, что адресат ранее являлся активным покупателем на сайте AliExpress, приобретал там товары и оставлял отзывы, в связи с чем ему предоставляется доступ к особому интернет-магазину с многочисленными скидками и подарками.
Ссылка в письме ведет на веб-сайт, оформленный в виде интернет-магазина. На самом же деле при попытке приобрести здесь какой бы то ни было товар пользователь перенаправляется на другие торговые площадки. Многие из них ранее были замечены в мошеннических действиях, таких как отправка клиентам покупок, не соответствующих описанию, или перепродажа по завышенным ценам низкокачественных подделок популярных товаров, в связи с чем адреса этих ресурсов уже присутствуют в соответствующих базах Родительского и Офисного контроля Dr.Web.
Более того, проведенное сотрудниками «Доктор Веб» экспресс-расследование показало, что по указанному на сайте мошеннического «интернет-магазина» московскому адресу расположено здание школы, а компании с таким ИНН не существует в природе. Также на сайте отсутствует какая-либо информация о способах получения или доставки заказа, а в качестве контактного предложен адрес электронной почты, зарегистрированный на бесплатном сервисе mail.ru.
Специалисты компании «Доктор Веб» советуют пользователям перед совершением покупок на незнакомых сайтах выполнить следующие несложные действия:
- проверьте указанный на странице «О компании» адрес с помощью онлайн-карт, сервиса «Панорамы улиц» от Яндекса, или Google Street View — вполне возможно, вместо офисного центра или торгового комплекса там окажется школа, автостоянка или свалка мусора;
- проверьте указанный на сайте ИНН — существует ли такая фирма и совпадает ли ее название с владельцем интернет-магазина. Для российских компаний это можно сделать бесплатно с помощью специального онлайн-сервиса Федеральной налоговой службы;
- убедитесь в том, что на сайте интернет-магазина подробно описаны способы оплаты и получения товара, приведены варианты его доставки и указаны соответствующие тарифы;
- обратите внимание на опубликованную на сайте контактную информацию: вряд ли серьезная компания будет пользоваться адресами электронной почты, зарегистрированными в бесплатных сервисах.
25.09 Банковский троянец угрожает клиентам бразильских кредитных организаций
25 сентября 2018 года
Троянец, добавленный в вирусные базы Dr.Web под именем
Вредоносная программа пытается определить, не запущена ли она в виртуальной среде, при обнаружении виртуальной машины она завершает свою работу. Также банкер отслеживает локальные языковые настройки Windows — если язык системы отличается от португальского, троянец не выполняет никаких действий.
Модуль загрузчика
Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций,
Подобную схему с подменой содержимого просматриваемых пользователем веб-страниц систем «банк-клиент» используют многие банковские троянцы. Зачастую они угрожают клиентам кредитных организаций не только в Бразилии, но и по всему миру. За последний месяц специалисты «Доктор Веб» выявили более 340 уникальных образцов
#банкер #банковский_троянец #троянец
30.08 «Доктор Веб» выявил в Google Play 130 мошеннических приложений
30 августа 2018 года
Одну из обнаруженных вредоносных программ, получившую имя
Этот троянец открывает один из фишинговых сайтов, на котором пользователю предлагается скачать ту или иную известную программу либо сообщается о выигрыше ценного приза. У потенциальной жертвы мошенничества запрашивается номер мобильного телефона, якобы необходимый для получения проверочного кода. Однако на самом деле этот код нужен для подтверждения подписки на платную услугу, за использование которой каждый день будет взиматься плата. Если же зараженное устройство подключено к Интернету через мобильное соединение, то после ввода номера телефона на таком сайте владелец Android-смартфона или планшета подписывается на премиум-услугу автоматически. Примеры мошеннических веб-страниц, которые загружает
Кроме того, среди выявленных в августе вредоносных программ, которые распространялись через каталог Google Play, стоит отметить множество других модификаций троянцев семейства
После запуска эти троянцы соединяются с управляющим сервером и получают от него команду на загрузку того или иного сайта, который демонстрируется пользователю. В настоящее время указанные вредоносные программы открывают официальные страницы букмекерских фирм, при этом название троянского приложения никак не влияет на загружаемый сайт. Кроме того, в любой момент управляющий сервер способен отдать троянцам команду на загрузку произвольного веб-ресурса, в том числе мошеннического или вредоносного онлайн-портала, с которого на Android-устройство могут загружаться другие вредоносные программы. Именно поэтому эти троянцы представляют серьезную опасность.
Наконец, другой троянец-мошенник, обнаруженный в уходящем месяце, скрывался в приложении с именем «Опрос». Он был добавлен в вирусную базу как
При запуске
После ответа на несколько таких вопросов владельцу мобильного устройства обещали вознаграждение в размере десятков или даже сотен тысяч рублей. При этом тут же его предупреждали, что якобы из-за лимита платежных систем перевод этих средств будет выполнен несколькими частями в течение определенного промежутка времени. Однако для того, чтобы моментально получить честно заработанное, жертве необходимо всего лишь выполнить некий идентификационный платеж в размере 100–200 рублей, который якобы подтвердит личность «счастливчика». В этом и заключается смысл описанного мошенничества: жертва обмана добровольно отдает свои деньги интернет-жуликам, ожидая получить обещанное вознаграждение, однако никаких баснословных выплат она, конечно же, никогда не увидит. Специалисты компании «Доктор Веб» оповестили корпорацию Google об этом вредоносном приложении, и в настоящее время оно недоступно для загрузки.
Для отъема денег у владельцев мобильных устройств и получения иной выгоды злоумышленники применяют всевозможные уловки, а также изобретают всё новые мошеннические схемы. Компания «Доктор Веб» напоминает, что устанавливать приложения даже из каталога Google Play необходимо с осторожностью. Стоит обращать внимание на имя разработчика, дату публикации интересующей программы, а также отзывы других пользователей. Эти простые действия помогут снизить риск заражения смартфонов и планшетов. Кроме того, для защиты Android-устройств пользователям следует установить антивирусные продукты Dr.Web для Android, которые успешно детектируют и удаляют все известные вредоносные и нежелательные программы.
Подробнее об Android.Click.265.origin
Подробнее об Android.Click.248.origin
Подробнее об Android.FakeApp.110
#Android, #мошенничество, #Google_Play, #троянец
22.08 Мошенники угрожают администраторам доменов
22 августа 2018 года
По всей видимости, для реализации своего замысла злоумышленники каким-то образом раздобыли базу адресов электронной почты администраторов доменов — клиентов компании «Региональный Сетевой Информационный Центр» (RU-CENTER). Администраторы доменов, срок делегирования которых подходит к концу, стали получать по электронной почте сообщения якобы от имени этой компании. В письмах сообщалось об окончании оплаченного периода регистрации доменного имени, а также о том, что администратор должен оплатить услугу продления домена в течение одного рабочего дня с момента получения письма, иначе этот домен будет исключен из реестра.
В сообщении содержится ссылка, ведущая на взломанный сайт. Установленный на этом сайте PHP-сценарий перенаправляет потенциальную жертву на специальную страницу платежной системы Яндекс.Деньги, позволяющую перевести денежные средства на электронный кошелек с номером 410015920079912.
Компания «Доктор Веб» предупреждает о том, что эти сообщения являются мошенническими, и призывает администраторов доменов не терять бдительность. Адрес содержащего вредоносный сценарий сайта был добавлен в базы нерекомендуемых веб-страниц Родительского и Офисного контроля Dr.Web, а компании «Яндекс» и «Региональный Сетевой Информационный Центр» (RU-CENTER) проинформированы об этом инциденте.
#мошенническое_письмо #мошенничество #спам
07.08 «Доктор Веб» обнаружил троянца-клипера для Android
7 августа 2018 года
Троянцев, способных незаметно подменять номера электронных кошельков в буфере обмена, чтобы отправляемые деньги поступали не получателю, а злоумышленникам, принято называть «клиперами» (от термина clipboard, «буфер обмена»). До недавнего времени такие вредоносные программы досаждали в основном пользователям Windows. Аналогичные по возможностям троянцы для Android в «дикой природе» встречаются редко. В августе 2018 года в вирусные базы Dr.Web были добавлены записи для детектирования двух модификаций троянца-клипера
При запуске на инфицированном устройстве троянец выводит поддельное сообщение об ошибке и продолжает работу в скрытом режиме. Он скрывает свой значок из списка приложений главного экрана операционной системы, после чего вредоносную программу можно увидеть только в системных настройках мобильного устройства в разделе управления установленным ПО. Далее обе модификации
После успешного заражения Android-устройства троянец начинает отслеживать изменение содержимого буфера обмена. Если
Автор
В своих рекламных сообщениях вирусописатель заявляет о возможности отправки отчетов о работе вредоносной программы в приложение Telegram и оперативной смены номеров кошельков, внедряемых в буфер обмена, с использованием протокола FTP. Однако в самом троянце эти функции не реализованы. Описанные возможности предоставляет киберпреступникам сам управляющий сервер.
Антивирусные продукты Dr.Web для Android обнаруживают и удаляют все известные модификации троянцев семейства
Подробнее об Android.Clipper.1.origin
Подробнее об Android.Clipper.2.origin
#Android #биткойн #криптовалюты
02.08 Вирусописатели распространяют майнеры для Linux и Windows
2 августа 2018 года
Вредоносные программы и утилиты для добычи криптовалют, о которых пойдет речь в этой статье, были загружены на один из наших «ханипотов» (от англ. honeypot, «горшочек с медом») — специальных серверов, используемых специалистами «Доктор Веб» в качестве приманки для злоумышленников. Первые подобные атаки на работающие под управлением Linux серверы были зафиксированы вирусными аналитиками в начале мая 2018 года. Киберпреступники соединялись с сервером по протоколу SSH, подбирали логин и пароль методом их перебора по словарю (bruteforce) и после успешной авторизации на сервере отключали утилиту iptables, управляющую работой межсетевого экрана. Затем злоумышленники загружали на атакованный сервер утилиту-майнер и файл конфигурации для нее. Для запуска утилиты они редактировали содержимое файла /etc/rc.local, после чего завершали соединение.
В начале июня киберпреступники изменили эту схему и начали использовать вредоносную программу, добавленную в вирусные базы Dr.Web под именем
Вирусные аналитики исследовали принадлежащий злоумышленникам сервер, с которого загружался этот троянец, и обнаружили там несколько майнеров для ОС Windows.
Версия майнера для Windows реализована в виде самораспаковывающегося RAR-архива, содержащего файл конфигурации, несколько VBS-сценариев для запуска майнера и саму утилиту для добычи криптовалюты. После запуска архива утилита распаковывается в папку %SYSTEMROOT%\addins и регистрируется в качестве службы с именем SystemEsinesBreker.
Версии майнера для 32- и 64-разрядных ОС Windows детектируются Антивирусом Dr.Web как представители семейства Tool.BtcMine. Наши пользователи полностью защищены от действия этих вредоносных программ.
#Honeypot #Linux #криптовалюты #майнинг #троянец
09.07 «Доктор Веб» предупреждает: троянец-майнер загружается вместо обновления программы
9 июля 2018 года
В нашу службу технической поддержки от одного из пользователей поступило сообщение о том, что Антивирус Dr.Web регулярно обнаруживает и удаляет на компьютере приложение для добычи криптовалют. Исследование журнала Антивируса показало, что майнер прятался во временной папке на зараженном ПК. В то же время журнал веб-антивируса SpIDer Gate сохранил информацию о том, что приложение пыталось соединиться с IP-адресом, который соответствует сайту компании Astrum Soft — производителя ПО «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе.
В самом приложении официально присутствует функция майнинга (добычи) криптовалют, которую пользователь может включить, когда компьютеры простаивают.
Тем не менее, дальнейшее исследование показало, что программой, беспокоившей пользователя, было не само приложение «Компьютерный зал», а скрытый майнер, добавленный в вирусные базы Dr.Web под именем
Приложение «Компьютерный зал» периодически отправляет запрос на сервер своего разработчика, в котором передает версию приложения и сведения о системе. В ответ может поступить команда на загрузку или скачивание и запуск исполняемого файла, в котором должно быть реализовано обновление программы. Однако в исследованном нами образце загружаемый на компьютер файл имеет вредоносный функционал. Это вредоносное ПО завершает работу процессов svchostm.exe и svcnost.exe, сохраняет на диск троянца-майнера и для обеспечения его автоматического запуска модифицирует системный реестр Windows. Данные о кошельке, на который перечисляется добытая криптовалюта, зашиты в теле троянца. При удалении вредоносной программы пользователем механизм обновления может скачать и запустить его заново.
На 9 июля вирусные аналитики насчитали более 2700 зараженных компьютеров, на которых действует
30.05 Киберпреступник заработал миллионы, избрав целью популярную игровую платформу Steam
30 мая 2018 года
«Faker» использует несколько способов незаконного заработка. Главный среди них — разработанная им схема MaaS (Malware As a Service), реализующая аренду вредоносных программ по подписке. От клиентов «Faker»’а, желающих зарабатывать на распространении троянцев, не требуется ничего, кроме денег и, в некоторых случаях, домена: вирусописатель предоставляет им самого троянца, доступ к административной панели и техническую поддержку. По подсчетам аналитиков «Доктор Веб», это решение «под ключ» принесло своему создателю миллионы, а сколько на этом заработали его клиенты, остается только догадываться – с учетом того, что потраченные деньги на оплату месяца использования этой криминальной услуги могут окупиться за сутки. Все созданные «Faker»’ом вредоносные программы угрожают пользователям популярного игрового сервиса Steam.
Steam — это разработанная компанией Valve Corporation платформа, предназначенная для цифрового распространения компьютерных игр и программ. Зарегистрированный пользователь Steam получает доступ к личному кабинету, в котором собрана информация обо всех приобретенных им ранее играх и приложениях. Помимо этого, он может совершать покупки в магазине Steam, приобретая различный цифровой контент, а также продавать и обменивать игровые предметы. Эти предметы имеют ключевое значение в различных многопользовательских играх. Оружие, амуниция и различный инвентарь позволяют менять внешний вид игрока и визуальное представление его имущества в игре. Игровые предметы можно обменивать на специализированных сайтах, а также покупать и продавать за реальные деньги. Именно на этом построил свой криминальный бизнес «Faker».
Один из применяемых им способов заработка — так называемые «рулетки». Так сетевые игроки называют своеобразные аукционы, на которые сразу несколько участников выставляют различные игровые предметы. Вероятность выигрыша зависит от размера сделанной участником ставки, а победитель забирает все участвующие в розыгрыше лоты. Мошенничество заключается в том, что против реального игрока выступают специальные программы-боты, которые гарантированно выигрывают ставку. Иногда потенциальной жертве предлагают стать администратором такой игры и даже позволяют несколько раз выиграть, прежде чем она выставит на очередной кон какой-либо дорогой игровой предмет, который тут же будет проигран и перейдет в собственность злоумышленников.
Административная панель «рулеток» позволяет гибко настраивать внешний вид сайта, на котором производятся розыгрыши, его отображаемое содержимое, менять имена и текст в организованном на сайте чате, управлять ставками, просматривать список принятых у других игроков предметов, а также полностью управлять «рулеткой».
Кроме того, «Faker» предоставляет в аренду другим киберпреступникам созданные им вредоносные программы. Одна из них получила наименование Trojan.PWS.Steam.13604, она предназначена для хищения учетных данных пользователей Steam. Создатель троянца на условиях ежемесячной абонентской платы предоставляет киберпреступникам собранный для них вредоносный файл, а также доступ к панели управления.
Распространяется троянец несколькими путями. Один из них использует методы социальной инженерии: пользователю Steam приходит сообщение о том, что нескольким участникам сообщества в команду требуется новый игрок. После одного совместного матча для удобства дальнейшего взаимодействия потенциальной жертве предлагают скачать и установить программу-клиент для голосового общения. Злоумышленники отправляют жертве ссылку на поддельный сайт этого приложения. По ссылке под видом программы загружается троянец.
Если потенциальная жертва уже использует чат-клиент TeamSpeak, ей присылают адрес сервера, к которому подключается команда игроков для совместного общения. После подключения к этому серверу на экране жертвы отображается окно с предложением обновить какой-либо из компонентов приложения TeamSpeak или драйвер аудиоподсистемы. Под видом этого обновления на компьютер скачивается вредоносная программа.
При запуске троянец выгружает процесс приложения Steam (если этот процесс – не его собственный), затем определяет путь к каталогу Steam на компьютере, язык приложения и имя пользователя. При наличии одного из служебных файлов программы Steam Trojan.PWS.Steam.13604 извлекает из него пары, состоящие из идентификаторов steamid64 и имен учетных записей. Затем троянец отсылает на управляющий сервер собранную на зараженном компьютере информацию, в том числе версию операционной системы, имя пользователя и машины, язык ОС, путь к приложению Steam, языковую версию этого приложения и т. д.
Выполнив указанные действия, вредоносная программа удаляет оригинальный файл приложения Steam и копирует себя на его место. Чтобы лишить пользователя возможности обновить клиент Steam или получить техническую помощь, троянец меняет содержимое файла hosts, блокируя доступ к сайтам steampowered.com, support.steampowered.com, store.steampowered.com, help.steampowered.com, forums.steampowered.com, virustotal.com и некоторым другим. Затем Trojan.PWS.Steam.13604 показывает на экране поддельное окно авторизации Steam. Если жертва вводит в него свои логин и пароль, троянец пытается авторизоваться с их помощью в сервисе Steam. Если эта попытка увенчалась успехом и на компьютере включен Steam Guard — система двухфакторной аутентификации для защиты учетной записи пользователя, — троянец выводит на экран поддельное окно для ввода кода авторизации. Вся эта информация отсылается на сервер злоумышленников.
Для всех своих клиентов вирусописатель использует один и тот же управляющий сервер. Из полученных данных на нем формируется файл, который в дальнейшем злоумышленники используют для доступа к учетной записи жертвы в сервисе Steam. Интерфейс панели администрирования Trojan.PWS.Steam.13604 показан на следующих иллюстрациях:
Помимо Trojan.PWS.Steam.13604 «Faker» сдает в аренду еще одного созданного им троянца. Он получил наименование Trojan.PWS.Steam.15278. Эта вредоносная программа распространяется аналогичным способом и ориентирована на хищение игрового инвентаря у пользователей платформы Steam. Похищенные виртуальные предметы злоумышленники могут впоследствии продать другим игрокам. Вирусописатель также рекламирует услугу по аренде этой вредоносной программы на специализированных форумах.
Trojan.PWS.Steam.15278 использует в своей работе приложение Fiddler — бесплатную утилиту для анализа трафика при передаче данных по протоколу HTTP, работающую по принципу прокси-сервера. Fiddler устанавливает в систему корневой сертификат, благодаря чему Trojan.PWS.Steam.15278 получает возможность прослушивать зашифрованный HTTPS-трафик. Троянец перехватывает ответы сервера и подменяет в них данные.
Если пользователь зараженной машины обменивается с другими игроками инвентарем на специально предназначенных для этого площадках, таких как opskins.com, igxe.cn, bitskins.com, g2a.com, csgo.tm, market.csgo.com, market.dota2.net и tf2.tm, в момент совершения обменной сделки троянец подменяет получателя игрового предмета. Происходит это так. После того как жертва троянца выставит на продажу или обмен собственный игровой инвентарь, вредоносная программа подключается к его аккаунту и с определенным временным интервалом проверяет поступающие предложения. Если предложивший для обмена какой-либо предмет пользователь зараженного компьютера получает запрос на совершение сделки, троянец отменяет этот запрос, определяет имя пользователя, его аватар, а также текст сообщения из оригинального запроса и высылает жертве в точности такой же запрос, но от имени принадлежащей злоумышленникам учетной записи. Физически подмена осуществляется с использованием веб-инжектов: Trojan.PWS.Steam.15278 встраивает в страницы полученный с управляющего сервера вредоносный код. Следует отметить, что «Faker» является автором и других троянцев, работающих по аналогичному принципу и реализованных в виде расширения для браузера Google Chrome.
При обмене инвентаря через официальный сайт steamcommunity.com Trojan.PWS.Steam.15278 позволяет злоумышленникам подменять отображение игровых предметов у пользователя. Троянец модифицирует содержимое веб-страниц сервиса steamcommunity.com таким образом, что потенциальная жертва видит предложение об обмене очень дорогого и редкого игрового предмета. Если пользователь одобрит сделку, вместо ожидаемого предмета он получит какой-либо тривиальный и дешевый элемент инвентаря. Оспорить подобный несправедливый обмен впоследствии практически невозможно, поскольку с точки зрения сервера пользователь сам и добровольно совершил эту сделку. Например, на странице сервиса steamcommunity.com пользователь зараженного компьютера увидит, будто другой участник сервиса предлагает ему к обмену игровой предмет под названием «PLAYERUNKNOWN's Bandana» стоимостью $265.31. На самом же деле по завершении сделки он получит «Combat Pants (White)» — цена этого предмета составляет всего лишь $0.03.
Панель управления Trojan.PWS.Steam.15278 в целом схожа с административной панелью Trojan.PWS.Steam.13604, однако в обновленной версии появился дополнительный раздел, позволяющий управлять заменами игровых предметов при осуществлении сделок обмена. Злоумышленник может сам настраивать изображения и описания игровых предметов, которые будут показаны жертве вместо реальных. Полученный обманным путем игровой инвентарь киберпреступники впоследствии могут продать за реальные деньги на сетевых торговых площадках.
Все известные на сегодняшний день модификации Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278 успешно детектируются и удаляются Антивирусом Dr.Web, поэтому они не представляют опасности для наших пользователей. Специалисты «Доктор Веб» передали в компанию Valve Corporation информацию о скомпрометированных учетных записях пользователей, а также об аккаунтах, которые использовались в описанных выше мошеннических схемах.
Подробнее о Trojan.PWS.Steam.13604
Подробнее о Trojan.PWS.Steam.15278
#вредоносное_ПО #геймер #игры #троянец
14.05 «Доктор Веб» провел расследование и выявил автора троянцев-шпионов
14 мая 2018 года
Специалисты компании «Доктор Веб» изучили несколько новых модификаций троянца
Все исследованные модификации шпиона написаны на языке Python и преобразованы в исполняемый файл с помощью программы py2exe. Одна из новых версий этой вредоносной программы, получившая наименование
Другая модификация этого троянца-шпиона получила наименование
Третья модификация шпиона получила наименование
Для распространения этой модификации стилера купившие его у вирусописателя злоумышленники придумали еще один, более оригинальный метод. Киберпреступники связывались с администраторами тематических Telegram-каналов и предлагали им написать пост, посвященный якобы разработанной ими новой программе, и предлагали ее протестировать. По словам злоумышленников, эта программа позволяла одновременно подключаться к нескольким аккаунтам Telegram на одном компьютере. На самом же деле под видом полезного приложения они предлагали потенциальной жертве скачать троянца-шпиона.
В коде этих троянцев-шпионов вирусные аналитики обнаружили информацию, позволившую установить автора вредоносных программ. Вирусописатель скрывается под псевдонимом «Енот Погромист», при этом он не только разрабатывает троянцев, но и продает их на одном популярном сайте.
Создатель троянцев-шпионов также ведет канал на YouTube, посвященный разработке вредоносного ПО, и имеет собственную страницу на GitHub, где выкладывает исходный код своих вредоносных программ.
Специалисты «Доктор Веб» проанализировали данные открытых источников и установили несколько электронных адресов разработчика этих троянцев, а также номер его мобильного телефона, к которому привязан используемый для противоправной деятельности аккаунт Telegram. Кроме того, удалось отыскать ряд доменов, используемых вирусописателем для распространения вредоносных программ, а также определить город его проживания. На представленной ниже схеме показана часть выявленных связей «Енота Погромиста» с используемыми им техническими ресурсами.
Логины и пароли от облачных хранилищ, в которые загружаются архивы с украденными файлами, «зашиты» в тело самих троянцев, что позволяет без особого труда вычислить и всех клиентов «Енота Погромиста», приобретавших у него вредоносное ПО. В основном это граждане России и Украины. Некоторые из них используют адреса электронной почты, по которым нетрудно определить их страницы в социальных сетях и установить их реальную личность. Например, сотрудникам «Доктор Веб» удалось выяснить, что многие клиенты «Енота Погромиста» пользуются и другими троянцами-шпионами, которые продаются на подпольных форумах. Следует отметить, что отдельные покупатели оказались настолько умны и сообразительны, что запускали шпиона на своих собственных компьютерах, вероятно, в попытке оценить его работу. В результате их личные файлы были загружены в облачные хранилища, данные для доступа к которым может без труда извлечь из тела троянца любой исследователь.
Специалисты компании «Доктор Веб» напоминают, что создание, использование и распространение вредоносных программ является преступлением, за которое согласно ст. 273 УК РФ предусмотрено наказание вплоть до лишения свободы на срок до четырех лет. Также к покупателям и пользователям троянцев-шпионов применима статья 272 УК РФ «Неправомерный доступ к компьютерной информации».
#вирусописатель #троянец #вредоносное_ПО
10.05 Мошенники крадут деньги обращающихся за социальными компенсациями
10 мая 2018 года
Схема мошенничества в целом осталась прежней: злоумышленники рассылают по электронной почте спам, предлагая потенциальным жертвам перейти по ссылке на специально созданный ими сайт. Однако нельзя не отметить и новый канал привлечения посетителей: жульнические ресурсы стали рекламироваться с помощью массовых СМС-рассылок и сообщений в мобильных мессенджерах. На веб-страницах по ссылкам, расположенным в этой рекламе, размещен изобилующий ошибками текст, в котором сообщается о якобы существующей возможности получить компенсацию за переплату предоставляемых населению коммунальных, медицинских услуг, либо услуг обязательного страхования. Все эти сайты созданы с использованием одного и того же шаблона и принадлежат неким «Центрам компенсации неиспользованных медицинских услуг», «Союзам независимых энергетических компаний» и прочим несуществующим организациям.
Для «проверки» возможности получить компенсацию посетителю сайта предлагается ввести в специальную форму последние цифры какого-либо документа, а также свое имя и фамилию. Какие бы данные ни указал пользователь, на экране появится информация о доступной выплате, для получения которой требуется перевести мошенникам небольшую денежную сумму.
Специалисты компании «Доктор Веб» выявили более 110 доменов, зарегистрированных сетевыми мошенниками в период с февраля по май 2018 года. При этом многие домены со схожими по звучанию и написанию ключевыми словами регистрировались одновременно целыми группами и были привязаны к одним и тем же хостинговым площадкам. На один из жульнических сайтов осуществлялось перенаправление с адреса, содержащего аббревиатуру “snils” — это может косвенно свидетельствовать о том, что авторами данной криминальной схемы являются те же злоумышленники, о которых мы писали осенью прошлого года. Часть выявленных аналитиками адресов в настоящее время недоступна, на некоторых размещены мошеннические интернет-ресурсы. Все обнаруженные нами адреса были добавлены в базы нерекомендуемых сайтов Родительского контроля Dr.Web.
Следует отметить, что в последнее время также участились случаи почтовых рассылок, в которых злоумышленники перенаправляют получателей на фишинговые и жульнические сайты с использованием сервисов онлайн-календарей. Сообщение содержит приглашение на некое бесплатное мероприятие, для подтверждения участия в котором предлагается отметиться в таблице, размещенной, например, на сайте публичного сервиса «Google Календарь». При переходе по ссылке потенциальная жертва перенаправляется на мошеннический или фишинговый сайт, собирающий конфиденциальную информацию посетителей.
Компания «Доктор Веб» снова напоминает пользователям: не доверяйте интернет-ресурсам, предлагающим получить какие-либо денежные компенсации от лица неких фондов или организаций, а также с осторожностью переходите по ссылкам из почтовых сообщений, полученных от незнакомых отправителей.
#криминал #мошенническое_письмо #мошенничество #нерекомендуемые_сайты
26.04 «Доктор Веб»: Android-троянец из Google Play зарабатывает для вирусописателей при помощи невидимой рекламы
26 апреля 2018 года
После первого запуска приложения, в которое встроен троянец,
При старте вредоносная программа загружает с управляющего сервера и запускает один из троянских модулей, который был добавлен в вирусную базу Dr.Web как
Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, в которые был встроен этот троянец. Все они представляют собой различные игры, суммарное число загрузок которых превысило 6 500 000. Специалисты «Доктор Веб» передали в корпорацию Google информацию о найденных программах, и на момент публикации этой новости часть из них была успешно удалена из каталога. При этом некоторые приложения получили обновления, в которых вредоносный модуль уже отсутствует.
- Beauty Salon - Dress Up Game, версия 5.0.8;
- Fashion Story - Dress Up Game, версия 5.0.0;
- Princess Salon - Dress Up Sophie, версия 5.0.1;
- Horror game - Scary movie quest, версия 1.9;
- Escape from the terrible dead, версия 1.9.15;
- Home Rat simulator, версия 2.0.5;
- Street Fashion Girls - Dress Up Game, версия 6.07;
- Unicorn Coloring Book, версия 134.
Кроме того, при дальнейшем анализе специалисты «Доктор Веб» выявили троянца еще в нескольких приложениях, которые ранее уже были удалены из каталога:
- Subwater Subnautica, версия 1.7;
- Quiet, Death!, версия 1.1;
- Simulator Survival, версия 0.7;
- Five Nigts Survive at Freddy Pizzeria Simulator, версия 12;
- Hello Evil Neighbor 3D, версия 2.24;
- The Spire for Slay, версия 1.0;
- Jumping Beasts of Gang, версия 1.9;
- Deep Survival, версия 1.12;
- Lost in the Forest, версия 1.7;
- Happy Neighbor Wheels, версия 1.41;
- Subwater Survival Simulator, версия 1.15;
- Animal Beasts, версия 1.20.
Примеры ПО со встроенным троянцем
Чтобы снизить вероятность заражения мобильных устройств вредоносными и нежелательными программами, специалисты компании «Доктор Веб» рекомендуют устанавливать приложения только от известных и проверенных разработчиков. Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют все известные модификации описанных в этом материале троянцев, поэтому для наших пользователей они опасности не представляют.
Подробнее об Android.RemoteCode.152.origin
#Android, #Google_Play, #рекламное_ПО, #троянец
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 135 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
16.04 Обнаруженный "Доктор Веб" энкодер не способен расшифровывать файлы
16 апреля 2018 года
Новый троянец-шифровальщик получил наименование
Размер требуемого злоумышленниками выкупа варьируется от 0,007305 до 0,04 Btc. По нажатию на кнопку HOW TO BUY BITCOIN троянец демонстрирует окно с инструкциями по покупке криптовалюты Bitcoin:
Несмотря на то, что в тексте требований злоумышленники уверяют своих жертв, что они смогут восстановить зашифрованные файлы, из-за допущенной в коде троянца ошибки это в большинстве случаев невозможно.
Пользователи Dr.Web защищены от действий этого шифровальщика, поскольку он успешно детектируется и удаляется превентивной защитой наших антивирусных продуктов. Тем не менее, специалисты компании «Доктор Веб» напоминают о необходимости своевременного резервного копирования всей важной информации.
Чтобы троянец не испортил файлы, используйте защиту от потери данных
Настрой-ка защиту от потери данных | Видео о настройке | Что делать, если... | Бесплатная расшифровка | Рубрика «Закодировать все» |
16.04 «Доктор Веб»: Android-троянец из Google Play подписывает пользователей на платные мобильные услуги
16 апреля 2018 года
Злоумышленники распространяли
Специалисты «Доктор Веб» уведомили корпорацию Google об
После запуска
При попытке загрузки указанного файла у владельца мобильного устройства запрашивается номер мобильного телефона для некоей авторизации или подтверждения скачивания. После ввода номера пользователю отправляется проверочный код, который необходимо указать на сайте для завершения «загрузки». Однако никаких программ после этого жертва не получает – вместо этого она подписывается на платную услугу.
Если же зараженное устройство подключено к Интернету через мобильное соединение, загружаемый троянцем сайт выполняет несколько перенаправлений, после чего
Если троянец не получил никакого задания, он показывает на экране несколько изображений, которые загружаются из Интернета.
Подключение ненужных контент-услуг – один из самых распространенных и давно известных способов незаконного заработка злоумышленников. Однако оформление таких премиум-подписок через сервис Wap-Click представляет особую опасность, т. к. фактически происходит без какого-либо явного информирования абонентов и часто используется недобросовестными контент-провайдерами.
Чтобы избежать потери денег, владельцам смартфонов и планшетов следует внимательно относиться ко всем посещаемым веб-сайтам и не нажимать на расположенные на них подозрительные ссылки и кнопки. Кроме того, необходимо устанавливать программы только от известных и проверенных разработчиков и пользоваться антивирусом.
Для борьбы с мошенническими подписками всем российским абонентам сотовых сетей рекомендуется активировать Контентный счет. Эта услуга предоставляется бесплатно после обращения в службу поддержки или офис обслуживания мобильных операторов. Согласно поправкам в федеральный закон N 126-ФЗ «О связи», контентный счет – это отдельный счет абонента, предназначенный специально для работы с премиум-услугами. После его подключения все списания для оплаты дорогостоящих подписок от сторонних поставщиков происходят только с него.
Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 135 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
05.04 «Доктор Веб»: свыше 78 000 000 рублей клиентов Сбербанка находятся под угрозой
5 апреля 2018 года
На следующих изображениях показаны разделы панели администрирования
Этот банковский троянец распространяется при помощи мошеннических СМС, которые могут рассылать как киберпреступники, так и сама вредоносная программа. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В таких СМС потенциальной жертве предлагается перейти по ссылке – якобы чтобы ознакомиться с ответом на объявление. Например, популярен текст: «Добрый день, обмен интересен?». Кроме того, иногда владельцы мобильных устройств получают поддельные уведомления о кредитах, мобильных переводах и зачислениях денег на счет в банке. Ниже показаны примеры фишинговых сообщений, которые задаются в панели администрирования управляющего сервера троянца и рассылаются по команде вирусописателей:
При переходе по ссылке из такого сообщения жертва попадает на принадлежащий злоумышленникам сайт, откуда на мобильное устройство скачивается apk-файл вредоносного приложения. Для большей убедительности вирусописатели используют в
При первом запуске
После инфицирования устройства
Однако на момент публикации этого материала существующие модификации троянца не выполняют полную проверку сведений о банковских картах, и после ввода любых данных снимают блокировку. В результате пострадавшие от
Тем не менее, ничто не мешает вирусописателям отдать команду на повторную блокировку смартфона или планшета после обнаружения обмана. Поэтому после того как фишинговое окно будет закрыто, необходимо как можно скорее проверить устройство антивирусом и удалить троянца с мобильного устройства: https://download.drweb.ru/android/
Если у пользователя подключена услуга Мобильный банк,
Для получения дополнительного дохода некоторые версии
Вирусописатели могут настраивать параметры окон блокировки в панели администрирования управляющего сервера. Например, задавать текст выводимых сообщений, продолжительность их отображения, а также требуемую сумму выкупа. Ниже представлены примеры соответствующих разделов панели управления:
Наряду с кражей денег и блокировкой зараженных устройств
- загружать собственные обновления;
- рассылать СМС-сообщения по всем номерам из телефонной книги;
- рассылать СМС-сообщения по указанным в командах номерам;
- загружать заданные киберпреступниками веб-сайты;
- отправлять на сервер хранящиеся на устройстве СМС-сообщения;
- получать информацию о контактах из телефонной книги;
- создавать поддельные входящие СМС-сообщения.
Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации
#Android #банкер #мобильный #вымогательство #банковский_троянец
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 135 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
23.03 «Доктор Веб»: новый троянец распространяется на сайте YouTube
23 марта 2018 года
Вредоносная программа, получившая наименование
Запустившись на инфицированном компьютере, троянец собирает следующую информацию:
- файлы Cookies браузеров Vivaldi, Chrome, Яндекс.Браузер, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
- сохраненные логины/пароли из этих же браузеров;
- снимок экрана.
Также он копирует с Рабочего стола Windows файлы с расширениями ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".
Все полученные данные
Вирусные аналитики компании «Доктор Веб» обнаружили несколько образцов этого троянца. Часть из них детектируется под именем
20.03 «Доктор Веб»: Банкер Android.BankBot.149.origin стал грозным оружием киберпреступников
20 марта 2018 года
На момент своего появления
Еще один троянец, при создании которого киберпреступники использовали опубликованный ранее код, был добавлен в вирусную базу Dr.Web как
- отправлять СМС с заданным текстом на указанный в команде номер;
- выполнять USSD-запросы;
- отсылать на управляющий сервер копии хранящихся на устройстве СМС;
- получать информацию об установленных приложениях;
- показывать диалоговые окна с заданным в команде текстом;
- запрашивать дополнительные разрешения для работы;
- демонстрировать push-уведомления, содержимое которых указывалось в команде;
- показывать push-уведомление, содержимое которого задано в коде троянца;
- блокировать экран устройства окном WebView, в котором демонстрировалось содержимое полученной от сервера веб-страницы;
- передавать на сервер все номера из телефонной книги;
- рассылать СМС по всем номерам из телефонной книги;
- получать доступ к информации об устройстве и его местоположению;
- запрашивать доступ к функциям специальных возможностей (Accessibility Service);
- узнавать IP-адрес зараженного смартфона или планшета;
- очищать свой конфигурационный файл и останавливать собственную работу.
На иллюстрациях ниже показан пример панели управления одной из первых версий троянца
Однако по мере выпуска обновлений
При этом анализ банкера показал, что вирусописатели используют в названиях методов, а также в командах управления аббревиатуру «VNC», которая расшифровывается как Virtual Network Computing и относится к системе удаленного доступа к рабочему столу. Однако в троянце
Одна из последних модификаций
- отправка СМС с заданным текстом на указанный в команде номер;
- выполнение USSD-запросов;
- запуск программ;
- смена адреса управляющего сервера;
- отправка на управляющий сервер копий хранящихся на устройстве СМС;
- получение информации об установленных приложениях;
- перехват вводимых на клавиатуре символов (кейлоггер);
- запрос дополнительных разрешений для работы;
- показ диалоговых окон с заданным в команде содержимым;
- показ push-уведомлений, содержимое которых указывается в команде;
- показ push-уведомления, содержимое которого задано в коде троянца;
- отправка на сервер всех номеров из телефонной книги;
- рассылка СМС по всем номерам из телефонной книги;
- блокировка экрана устройства окном WebView, в котором демонстрируется содержимое полученной от сервера веб-страницы;
- запрос доступа к функциям специальных возможностей (Accessibility Service);
- переадресация телефонных звонков;
- открытие в браузере заданных в командах веб-сайтов;
- открытие ссылок на веб-страницы с использованием WebView;
- шифрование файлов и требование выкупа;
- расшифровка файлов;
- запись окружения с использованием микрофона устройства;
- получение доступа к информации об устройстве и его местоположении;
- получение IP-адреса устройства;
- очистка конфигурационного файла и остановка работы троянца.
На следующих иллюстрациях продемонстрирован список команд, которые злоумышленники могут отправлять банкеру через панель администрирования:
Большинство команд, передаваемых банкеру, настраиваются в этой же панели. Например, на изображении ниже показана конфигурация параметров шифрования файлов. Вирусописатели могут задать ключ шифрования, сумму выкупа (например, в биткойнах), которую
Там же настраиваются поддельные уведомления, которые должны заставить пользователя запустить нужное киберпреступникам приложение. Сразу после старта целевой программы троянец показывает поверх ее окна фишинговую форму ввода логина, пароля и другой секретной информации и передает ее вирусописателям.
Аналогичным образом настраиваются и сами фишинговые окна вместе с дополнительными параметрами:
Вирусные аналитики установили, что троянец атакует пользователей из России, Украины, Турции, Англии, Германии, Франции, Индии, США, Гонконга, Венгрии, Израиля, Японии, Новой Зеландии, Кении, Польши и Румынии. Однако в любое время этот список может пополниться и другими государствами, если киберпреступники проявят к ним интерес.
Специалисты компании «Доктор Веб» ожидают, что авторы
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 135 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web