Все новости

Предстоит обновление песочницы Dr.Web vxCube

Mon, 05 Feb 2024 02:00:00 GMT

5 февраля 2024 года

Компания «Доктор Веб» уведомляет пользователей о предстоящем обновлении облачной версии Dr.Web vxCube. В связи с этим «песочница» будет недоступна 7 февраля с 12:00 до 13:00 по московскому времени.

Продукт продолжает развиваться в соответствии с запросами пользователей, на этот раз мы внесли не сильно заметные, но важные изменения, упрощающие проверку и анализ ее результатов.

В рамках релиза были расширены возможности Linux-анализатора: для него развернуты новые образы с поддержкой следующих архитектур (без графического интерфейса):

Debian 11 (Bullseye) ARM 64-bit
Debian 8 (Jessie) ARMel 32-bit
Debian 11 (Bullseye) ARMhf 32-bit
Debian 11 (Bullseye) Intel 32-bit
Debian 11 (Bullseye) Intel 64-bit
Debian 10 (Buster) MIPS 32-bit
Debian 11 (Bullseye) MIPSel 32-bit
Debian 11 (Bullseye) MIPSel 64-bit
Debian 8 (Jessie) PowerPC 32-bit
Debian 11 (Bullseye) PowerPCel 64-bit

Также в API ответа о результатах анализа были добавлены сведения о сработавших YARA- правилах и тегах, что позволит быстрее распознать, какое из ранее созданных правил сработало. Теперь есть возможность включать и выключать в ответе функцию создания видеозаписи о поведении объекта в определенной среде, если файлы были отправлены на проверку через API. В любом случае видеозапись вы всегда сможете просмотреть в веб-консоли Dr.Web vxCube. Вместе с тем исправлена ошибка, возникавшая при скачивании архива с результатами проверки Linux-анализатора, и внесен ряд исправлений в интерфейс «песочницы».

Также обновлены встроенная справка и документация к Dr.Web vxCube.

Анализатор Dr.Web vxCube проверяет подозрительные файлы, воспроизводя их поведение в изолированной виртуальной среде. Он позволяет выявить признаки заражения компьютерных систем и своевременно пресечь попытки атак, в том числе целевых (APT).

Dr.Web vxCube позволяет проводить анализ объектов для Windows, Linux и для отечественных ОС (Astra Linux 1.7.3 Воронеж и 2.12 Орел). Также с помощью песочницы Dr.Web vxCube вы можете анализировать приложения в формате APK для Android. Песочница доступна в двух версиях — облачной и оn-premise.

Чтобы получить демодоступ к облачной версии Dr.Web vxCube, воспользуйтесь специальной формой.

Продлен срок действия сертификата соответствия ФСТЭК России

Thu, 01 Feb 2024 03:00:00 GMT

1 февраля 2024 года

Продлен срок действия сертификата соответствия ФСТЭК России № 3509 — он будет действовать до 27 января 2029 года.

Сертифицированные продукты линейки Dr.Web Enterprise Security Suite соответствуют требованиям по безопасности информации по 2 уровню доверия и могут использоваться:

в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну
в значимых объектах критической информационной инфраструктуры
в государственных информационных системах
в автоматизированных системах управления производственными и технологическими процессами
в информационных системах персональных данных при необходимости обеспечения защищенности персональных данных и в информационных системах общего пользования

Все лицензии и сертификаты нашей компании представлены на этой странице.

«Доктор Веб» прекращает продажу лицензий с дополнительным компонентом Криптограф.

Thu, 01 Feb 2024 16:38:27 GMT

1 февраля 2024 г.

Прекращение продажи компонента Криптографа связано с приостановкой разработки данного продукта компанией «Программные системы Атлансис».

До конца 2024 года «Программные системы Атлансис» будет осуществлять техническую поддержку пользователей, купивших ПО Dr.Web с дополнительным компонентом Криптограф.

«Доктор Веб»: обзор вирусной активности в декабре 2023 года

Tue, 30 Jan 2024 07:00:00 GMT

30 января 2023 года

Анализ статистики детектирований антивируса Dr.Web в декабре 2023 года показал рост общего числа обнаруженных угроз на 40,87% по сравнению с ноябрем. Число уникальных угроз также увеличилось ― на 24,55%. По количеству детектирований вновь лидировали рекламные троянские и нежелательные приложения, а также вредоносные программы, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике чаще всего выявлялись фишинговые документы различных форматов.

Число обращений пользователей за расшифровкой файлов снизилось на 27,95% по сравнению с предыдущим месяцем. Чаще всего жертвы троянских программ-шифровальщиков сталкивались с Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.37369, на долю которых пришлось 21,76%, 20,73% и 4,14% зафиксированных инцидентов соответственно.

В декабре специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередные вредоносные программы. Кроме того, были выявлены новые сайты, через которые злоумышленники распространяли поддельные приложения криптокошельков для ОС Android и iOS.

Главные тенденции декабря

Рост общего числа обнаруженных угроз
Доминирование фишинговых документов во вредоносном почтовом трафике
Снижение числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
Обнаружение новых вредоносных приложений в каталоге Google Play
Продолжающееся распространение поддельных криптокошельков для мобильных устройств

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы декабря:

Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Adware.Siggen.33194: Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Adware.SweetLabs.5: Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.
Trojan.BPlug.3814: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

W97M.Phishing.44
W97M.Phishing.88
W97M.Phishing.85: Фишинговые документы Microsoft Word, которые нацелены на пользователей, желающих стать инвесторами. Они содержат ссылки, ведущие на мошеннические сайты.
PDF.Phisher.642: PDF-документы, используемые в фишинговых email-рассылках.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Шифровальщики

В декабре 2023 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 27,95% по сравнению с ноябрем.

Наиболее распространенные энкодеры декабря:

Trojan.Encoder.26996 — 21.76%
Trojan.Encoder.3953 — 20.73%
Trojan.Encoder.37369 — 4.14%
Trojan.Encoder.34790 — 3.63%
Trojan.Encoder.30356 — 3.11%

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В декабре 2023 года интернет-аналитики компании «Доктор Веб» продолжили выявлять мошеннические сайты инвестиционной тематики, якобы имеющие отношение к нефтегазовым компаниям, банкам и другим организациям. Посетителям таких сайтов предлагается указать персональные данные для регистрации учетной записи и получения доступа к тем или иным финансовым сервисам.

В период новогодних праздников злоумышленники соответствующим образом скорректировали эту схему обмана: они привлекали потенциальных жертв «подарками» и «специальными условиями». Например, на одном из мошеннических сайтов посетителям «в честь наступающего нового года» предлагался бесплатный доступ к некой инвестиционной платформе:

А на другом сайте ― якобы при поддержке правительства Российской Федерации и одной крупной нефтегазовой компании ― всех граждан «ждали» социальные выплаты:

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в декабре пользователей чаще всего атаковали рекламные троянские программы Android.HiddenAds. В то же время активность этих вредоносных приложений снизилась по сравнению с предыдущим месяцем. Также снизилось число атак банковских троянов и вредоносных программ-шпионов.

В течение декабря вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные программы-подделки из семейства Android.FakeApp. Кроме того, наши специалисты обнаружили новые сайты, которые злоумышленники используют для распространения поддельных приложений криптокошельков для устройств на базе ОС Android и iOS.

Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:

снижение активности рекламных троянских программ Android.HiddenAds,
снижение активности банковских троянов и шпионских троянских приложений,
обнаружение новых вредоносных программ в каталоге Google Play,
обнаружение новых сайтов, через которые распространяются поддельные приложения криптокошельков.

Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающие курсы

Просветительские проекты

Брошюры

«Доктор Веб»: обзор вирусной активности для мобильных устройств в декабре 2023 года

Tue, 30 Jan 2024 05:00:00 GMT

30 января 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в декабре 2023 года наиболее активными вредоносными приложениями вновь стали рекламные троянские программы Android.HiddenAds. Однако пользователи сталкивались с ними на 53,89% реже по сравнению с месяцем ранее. Кроме того, снизилось число атак банковских троянских программ и шпионских приложений ― на 0,88% и 10,83% соответственно.

В течение последнего месяца минувшего года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play очередные вредоносные программы-подделки из семейства Android.FakeApp, применяемые в различных мошеннических схемах. Также наши специалисты выявили очередные сайты, через которые злоумышленники распространяли поддельные приложения криптокошельков.

ГЛАВНЫЕ ТЕНДЕНЦИИ ДЕКАБРЯ

На защищаемых устройствах чаще всего обнаруживались рекламные троянские программы из семейства Android.HiddenAds
Снизилась активность банковских троянов и вредоносных приложений-шпионов
В каталоге Google Play были выявлены новые вредоносные программы
Продолжили выявляться сайты, распространяющие фальшивые приложения криптокошельков для устройств под управлением как ОС Android, так и iOS

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106: Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.3831
Android.HiddenAds.3851: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7805: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.Click.1751: Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.

Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.ApkProtector.16.origin: Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Угрозы в Google Play

В декабре 2023 года специалисты компании «Доктор Веб» обнаружили в каталоге Google Play новые троянские программы из семейства Android.FakeApp. Например, Android.FakeApp.1564 злоумышленники распространяли под видом приложения, позволяющего вести учет долгов. Троян Android.FakeApp.1563 скрывался в программе для прохождения опросов. А Android.FakeApp.1569 мошенники выдавали за инструмент, помогающий повысить продуктивность и выработать полезные привычки.

Все эти программы-подделки загружали мошеннические сайты финансовой тематики, которые копировали дизайн настоящих сайтов банков, новостных агентств и других известных организаций. Кроме того, в их оформлении использовались соответствующие названия и логотипы. На таких мошеннических интернет-ресурсах пользователям предлагалось стать инвесторами, пройти обучение финансовой грамотности, получить финансовую помощь и т. д. При этом требовалось указать персональные данные ― якобы для регистрации учетной записи и получения доступа к соответствующим сервисам.

Примеры загружаемых троянами поддельных сайтов:

А вредоносные приложения Android.FakeApp.1566, Android.FakeApp.1567 и Android.FakeApp.1568 распространялись под видом игр:

Вместо запуска игр они могли загружать сайты букмекеров и онлайн-казино, как показано на примере ниже.

Работа одной из этих троянских программ в игровом режиме:

Один из загруженных ей сайтов:

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

«Доктор Веб» представляет продукт для защиты АСУ ТП – Dr.Web Industrial

Mon, 29 Jan 2024 11:31:59 GMT

29 января 2024

Компания «Доктор Веб» объявляет о выпуске ожидаемого многими клиентами продукта для защиты АСУ ТП - Dr.Web Industrial.

Ключевая роль АСУ ТП в функционировании объектов критической инфраструктуры и промышленных предприятий делает их объектами для сложных и комплексных кибератак и несанкционированного внутреннего вмешательства.

Dr.Web Industrial позволяет не прерывать технологический процесс при обнаружении вредоносной активности. Все участники производственной цепочки, от оператора рабочей станции до ИБ-службы компании могут отслеживать ситуацию в режиме реального времени и принимать решение по устранению угрозы безопасности.

Новый антивирусный продукт осуществляет защиту серверов и рабочих станций в промышленных системах управления и на объектах критической инфраструктуры от заражения и целевых атак. Лицензирование Dr.Web Industrial осуществляется по количеству защищаемых объектов АСУ ТП.

Узнать подробнее о продукте Dr.Web Industrial и запросить демо-доступ вы можете здесь

О продлении сертификата соответствия ФСТЭК России

Sat, 27 Jan 2024 14:23:25 GMT

27 января 2024 года

Компания «Доктор Веб» информирует своих пользователей, что все необходимые сертификационные мероприятия для продления срока действия сертификата соответствия ФСТЭК России № 3509 своевременно проведены, соответствующие документы подготовлены в полном объеме и переданы в Федеральную службу по техническому и экспортному контролю.

Срок действия сертификата №3509 истекает 27 января 2024 года, и представители ФСТЭК уведомили нашу компанию, что он будет продлен регулятором в ближайшее время в рабочем режиме.

Пользователи сертифицированных продуктов Dr.Web продолжают бесперебойно получать техническую поддержку со стороны нашей компании. Напоминаем, что срок техподдержки сертифицированного ПО заявлен до 31 декабря 2031 года, о чём сделана запись в государственном реестре сертифицированных средств защиты информации. О получении обновленного сертификата соответствия ФСТЭК России мы сообщим отдельной новостью.

Продукты Dr.Web получили награду SKD AWARDS

Thu, 25 Jan 2024 15:19:53 GMT

25 января 2024 года

Продукты Dr.Web были отмечены премией SKD AWARDS, которая с 2013 года вручается наиболее выдающимся продуктам среди прошедших тестирование и получивших сертификат сетевой безопасности SKD Labs. Dr.Web Security Space для Windows признан лучшим продуктом в категории «Антивирусы для ПК», а Dr.Web Mobile Engine SDK победил в категории «Антивирусные движки».

Лаборатория SKD Labs проверяет функции продуктов, их производительность и возможности в сценариях, наиболее близких к реальным ситуациям, и проводит их всестороннюю оценку.

Dr.Web Security Space для Windows получает SKD AWARDS уже второй год подряд. Очередное признание авторитетных экспертов говорит о том, что это решение не только соответствует международным стандартам и полностью отвечает потребностям пользователей, но и постоянно совершенствуется.

Антивирусную технологию Dr.Web Mobile Engine SDK «Доктор Веб» вывел на рынок сравнительно недавно, и мы гордимся, что ее уже отметили наградой.

Dr.Web Mobile Engine SDK — это инструмент для интеграции в Android-приложения функционала антивирусных продуктов Dr.Web, которые обеспечивают высокий уровень безопасности: защищают как от уже известных, так и новейших угроз. Код интегрируется с проектами на языках C, C++ и Java. Модуль уже успешно применяется в ряде партнерских приложений.

Компания «Доктор Веб» открыта для сотрудничества и готова предложить технологию Dr.Web Mobile Engine SDK для использования в различных проектах. Мы предоставим всю информацию, необходимую для успешной интеграции модуля в ваше решение.

С Dr.Web Mobile Engine и другими технологиями компании «Доктор Веб» можно ознакомиться на этой странице. Свяжитесь с нами, чтобы обсудить возможности их использования в вашем проекте.

Новая лицензия ФСТЭК России для «Доктор Веб» действует до 2028 года

Wed, 24 Jan 2024 12:31:36 GMT

24 января 2024 года

Компания «Доктор Веб» получила от Федеральной службы по техническому и экспортному контролю (ФСТЭК) России новую лицензию на проведение работ, связанных с созданием средств защиты информации.

«Доктор Веб» продолжит работы, связанные с созданием средств защиты информации, в рамках новой лицензии ФСТЭК России, которая была выдана 19 января 2024 года и действует до 17 июля 2028 года.

Этот документ позволяет проводить разработку, производство, монтаж, наладку, испытания, ремонт и сервисное обслуживание продуктов Dr.Web с учетом их полного соответствия требованиям к защите сведений, составляющих государственную тайну. «Доктор Веб» продолжает соответствовать всем требованиям отечественных регуляторов в области защиты информации и всегда готов предложить пользователям сертифицированные версии антивируса Dr.Web.

Все лицензии и сертификаты нашей компании представлены на этой странице.

Какие приманки использовали мошенники в 2023 году

Wed, 17 Jan 2024 14:50:25 GMT

17 января 2024 года

«Доктор Веб» рассказывает о том, какие фишинговые схемы киберпреступники чаще всего использовали в прошедшем году. К сожалению, спада этого вида криминальной активности не наблюдается. Однако зная о возможных угрозах, можно защитить свои цифровые активы и конфиденциальные данные.

Псевдобанки

2023 год оказался насыщенным в плане фишинга на банковскую тематику. К этому типу относится примерно 60% всех фишинговых атак, зафиксированных аналитиками «Доктор Веб». Мошенники по-прежнему создают сайты, имитирующие ресурсы популярных банков, чтобы получить несанкционированный доступ к счетам пользователей и совершать финансовые махинации.

Специалисты компании «Доктор Веб» выявляют огромное количество подобных подделок, на которых размещаются либо псевдоопросы, либо фейковые формы входа в личный кабинет банка. Встречаются поддельные личные кабинеты, которые полностью копируют дизайн страницы входа на официальном ресурсе. Размещаться они могут как на отдельных доменах, так и на страницах взломанных сторонних сайтов. При этом сами фишинговые ссылки живут очень недолго: максимум несколько часов.

Сбор средств на СВО

Также следует отметить специфические атаки, связанные с пожертвованиями денежных средств на нужды СВО. Мошенники выдают себя за представителей благотворительных фондов и злоупотребляют доверием пользователей, убеждая их добровольно совершать переводы.

Инвестиции в нефтегазовую отрасль и социальные выплаты

Уже четвертый год подряд мы наблюдаем в действии фишинговую схему, связанную с «инвестициями» в нефтегазовую отрасль и социальными выплатами. Чтобы заполучить личные данные и финансовые реквизиты пользователей, преступники используют поддельные сайты, очень похожие на официальные ресурсы. Очевидно, что они не собираются останавливаться, несмотря на то, что компании и правоохранительные органы принимают меры по информированию о таких атаках.

Купоны, подарки и театральные билеты

Традиционно повышенная активность мошенников наблюдалась перед началом крупных онлайн-распродаж, связанных с праздничными датами, такими как Новый год, 14 февраля и 8 марта. В это время растет число фишинговых атак, связанных с «купонами», «подарками» и «театральными билетами».

Мошенники вводят ничего не подозревающих пользователей в заблуждение, рассылая электронные письма или сообщения с привлекательными спецпредложениями (обычно речь о скидках или акциях). Чтобы получить доступ к счетам и средствам жертв, злоумышленники перенаправляют их на поддельные веб-сайты, похожие на официальные страницы крупных интернет-магазинов.

Опросы

В 2023 году была выявлена волна опросов, якобы связанных с банками. Выдавая себя за представителей финансовых организаций, киберпреступники убеждают пользователей раскрыть свои данные. Как правило, в конце опроса от псевдобанка пользователю предлагается ввести ФИО, номер телефона и email, чтобы «начать зарабатывать». Полученная таким путем информация в дальнейшем может использоваться для создания баз данных с целью мошенничества.

Чтобы защититься от фишинговых атак, используйте надежные антивирусные программы, будьте внимательны при получении подозрительных сообщений или ссылок, а также регулярно обновляйте пароли и мониторьте активность в своих учетных записях.

Не предоставляйте личные данные и не совершайте транзакции по подозрительным запросам.

Если вы предполагаете, что вас атакуют мошенники, не рискуйте и немедленно свяжитесь со службой поддержки организации, от имени которой получили подозрительное сообщение или предложение. Это поможет предотвратить возможные финансовые потери или утечку ваших личных данных.

Скрытый майнер в пиратском ПО позволяет злоумышленникам обогащаться за счет своих жертв

Mon, 15 Jan 2024 11:00:00 GMT

15 января 2024 года

Компания «Доктор Веб» сообщает об участившихся случаях выявления троянов-майнеров для скрытой добычи криптовалюты в составе пиратского ПО, доступного в Telegram и на некоторых интернет-площадках.

В декабре 2023 года сотрудники вирусной лаборатории «Доктор Веб» отметили рост числа детектирований трояна-майнера Trojan.BtcMine.3767 и связанного с ним Trojan.BtcMine.2742, которые, как выяснилось, попадали на компьютеры пользователей с пиратскими дистрибутивами различного программного обеспечения.

Trojan.BtcMine.3767 представляет собой троянскую программу для ОС Windows, написанную на языке С++. Это загрузчик майнера, созданный на базе проекта SilentCryptoMiner с открытым кодом. Основными источниками инфицированного данным трояном ПО являются Telegram канал t[.]me/files_f (более 5000 подписчиков), а также сайты itmen[.]software и soft[.]sibnet[.]ru. Отметим, что для последнего подготавливались отдельные сборки с использованием установщика NSIS. При этом после распаковки инсталляционного пакета были обнаружены пути, которые злоумышленники использовали для хранения исходных файлов трояна:

C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\

По данным вирусной лаборатории «Доктор Веб», за полтора месяца одна из кампаний по распространению данного трояна привела к заражению более 40 000 компьютеров. Однако, учитывая статистику просмотров публикаций в Telegram-канале и трафик сайтов, масштаб проблемы может оказаться ещё более значительным.

После запуска загрузчик копирует себя в каталог %ProgramFiles%\google\chrome\ под именем updater.exe и создает задачу планировщика для обеспечения автозагрузки при запуске ОС. В целях маскировки задача имеет название GoogleUpdateTaskMachineQC. Кроме того, загрузчик прописывает свой файл в исключения антивируса Windows Defender, а также запрещает компьютеру выключаться и уходить в режим гибернации. Начальные настройки зашиты в тело трояна, в дальнейшем получение настроек выполняется с удаленного хоста. После инициализации в процесс explorer.exe внедряется полезная нагрузка — Trojan.BtcMine.2742, троян, отвечающий за скрытую добычу криптовалюты.

Дополнительно загрузчик позволяет устанавливать на скомпрометированный компьютер бесфайловый руткит r77, запрещать обновления ОС Windows, блокировать доступ к сайтам, автоматически удалять и восстанавливать свои исходные файлы, приостанавливать процесс добычи криптовалюты, а также выгружать занимаемую майнером оперативную и видеопамять при запуске на зараженном компьютере программ для мониторинга процессов.

Антивирус Dr.Web успешно обнаруживает и нейтрализует трояны Trojan.BtcMine.3767 и Trojan.BtcMine.2742, поэтому для наших пользователей они не представляют какой-либо угрозы.

Индикаторы компрометации

Оптимальная защита: новые пакеты в рамках подписочной модели использования Dr.Web

Thu, 28 Dec 2023 13:58:18 GMT

28 декабря 2023 года

Компания «Доктор Веб» сообщает о предстоящих изменениях в продуктовой линейке, которые связаны с использованием антивируса по подписке. С 1 января 2024 года для пользователей — физических лиц вводятся новые пакеты: Антивирус Dr.Web (пакет Персональный), Антивирус Dr.Web (пакет Мобильный) и Антивирус Dr.Web (пакет Расширенный). Такое разделение более полно отвечает потребностям в антивирусной защите пользовательских устройств. С 01.01.2024 новым пользователям будут доступны только перечисленные выше пакеты, а на действующие сейчас тарифы Антивирус Dr.Web (Dr.Web Мобильный), Антивирус Dr.Web (Dr.Web Мобильный бессрочный) и Антивирус Dr.Web (Dr.Web Премиум) оформить подписку будет нельзя.

Активные на момент 31.12.2023 подписки на Антивирус Dr.Web (Dr.Web Мобильный) и Антивирус Dr.Web (Dr.Web Премиум) будут действовать до 31.03.2024 включительно. До этой даты мы рекомендуем всем, кто подписался на действующие тарифы через сайт drweb.ru, перейти на новые пакеты. С 01.04.2024 такой переход произойдет автоматически:

с тарифа Антивирус Dr.Web (Dr.Web Премиум) на Антивирус Dr.Web (пакет Расширенный),
с тарифа Антивирус Dr.Web (Dr.Web Мобильный) на Антивирус Dr.Web (пакет Мобильный).

Для подписчиков тарифа Антивирус Dr.Web (Dr.Web Мобильный бессрочный) ничего не изменится.

«Доктор Веб»: обзор вирусной активности для мобильных устройств в ноябре 2023 года

Thu, 21 Dec 2023 06:00:00 GMT

21 декабря 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в ноябре 2023 года пользователи реже сталкивались с рекламными троянскими приложениями семейств Android.HiddenAds и Android.MobiDash. Активность первых снизилась на четверть (25,03%), вторых — более чем на треть (35,87%). Кроме того, на защищаемых устройствах реже обнаруживались банковские трояны и вредоносные программы-шпионы — на 3,53% и 17,10% соответственно.

Вместе с тем злоумышленники вновь распространяли вредоносные программы через каталог Google Play. Наши специалисты выявили в нем более двух десятков троянских программ семейства Android.FakeApp, используемых в мошеннических целях, а также очередного трояна, подписывающего владельцев Android-устройств на платные услуги.

ГЛАВНЫЕ ТЕНДЕНЦИИ НОЯБРЯ

Снижение активности рекламных троянских программ
Снижение активности банковских троянов и вредоносных приложений-шпионов
Распространение новых вредоносных программ через каталог Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3831
Android.HiddenAds.3697: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7805: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.Spy.5106: Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.Spy.5864: С помощью этой вирусной записи антивирус Dr.Web обнаруживает троянскую программу, которая скрывается в ряде сторонних модификаций мессенджера WhatsApp. Злоумышленники используют эту вредоносную программу для слежки за пользователями. Например, они могут искать файлы на устройствах жертв и загружать их на удаленный сервер, собирать данные из телефонной книги, получать информацию о зараженном устройстве, выполнять аудиозапись окружения с целью прослушивания и т. д.

Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.TrackView.1: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.AdPush.36.origin
Adware.AdPush.39.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В ноябре вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play очередные вредоносные программы из семейства Android.FakeApp. Некоторые из них распространялись под видом программ финансовой тематики — обучающих и справочных приложений, домашних бухгалтерий, инструментов для доступа к инвестиционным сервисам и т. п. Среди них — Android.FakeApp.1497, Android.FakeApp.1498, Android.FakeApp.1499, Android.FakeApp.1526, Android.FakeApp.1527 и Android.FakeApp.1536. Их основной задачей является загрузка мошеннических сайтов, где пользователям предлагается стать инвесторами. Для этого те должны указать свои персональные данные.

Еще одна программа-подделка, Android.FakeApp.1496, скрывалась в приложении-справочнике с доступом к правовой информации. Она могла загружать сайт, через который жертвы мошенников в сфере инвестиций якобы могли получить правовую помощь и вернуть утраченные деньги.

Сайт, который загружала эта троянская программа, представлен ниже. Посетитель должен ответить на несколько вопросов, после чего заполнить форму для «получения бесплатной «консультации с юристом».

Другие программы-подделки злоумышленники вновь выдавали за игры. Например, Android.FakeApp.1494, Android.FakeApp.1503, Android.FakeApp.1504, Android.FakeApp.1533 и Android.FakeApp.1534. В ряде случаев они действительно работают как игры, однако их основная функция — загрузка сайтов онлайн-казино и букмекерских контор.

Примеры работы этих троянов в качестве игр:

Пример загруженного одним из них букмекерского сайта:

Также наши специалисты обнаружили очередную вредоносную программу, предназначенную для подключения пользователей к платным сервисам. Злоумышленники распространяли ее под видом приложения Air Swipes для управления Android-устройствами при помощи жестов.

При запуске этот троян загружает сайт партнерского сервиса, через который оформляется подписка:

Если жертва запускает программу при отключенном доступе в интернет или если целевой сайт недоступен, программа выдает себя за обещанное приложение, но никакой полезной функциональности не предоставляет, сообщая об ошибке. Антивирус Dr.Web детектирует это троянское приложение как Android.Subscription.21.

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

«Доктор Веб»: обзор вирусной активности в ноябре 2023 года

Thu, 21 Dec 2023 03:00:00 GMT

21 декабря 2023 года

Анализ статистики детектирований антивируса Dr.Web в ноябре 2023 года показал снижение общего числа обнаруженных угроз на 18,09% по сравнению с октябрем. Число уникальных угроз при этом также снизилось — на 13,79%. Чаще всего детектировались нежелательные рекламные программы и рекламные трояны, а также вредоносные приложения, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике преобладали фишинговые документы, вредоносные скрипты, программы, которые эксплуатируют уязвимости документов Microsoft Office, а также различные загрузчики, скачивающие другие вредоносные приложения на атакуемые компьютеры.

Число обращений пользователей за расшифровкой файлов увеличилось на 6,98% по сравнению с предыдущим месяцем. Чаще всего жертвы вредоносных программ-шифровальщиков сталкивались с Trojan.Encoder.3953 — на него пришлось 21,70% всех зафиксированных инцидентов. В 21,20% случаев пользователей атаковал Trojan.Encoder.26996, он опустился на второе место. Третьим вновь стал Trojan.Encoder.35534 с долей 8,94%.

В ноябре вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play новые вредоносные приложения. Среди них — более 20 программ-подделок, которые использовались в мошеннических целях, а также троян, который подписывал владельцев Android-устройств на платные услуги.

Главные тенденции ноября

Снижение общего числа обнаруженных угроз
Преобладание фишинговых документов во вредоносном почтовом трафике
Рост числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
Появление новых вредоносных приложений в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы ноября:

Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Adware.SweetLabs.5: Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.
Adware.Siggen.33194: Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Trojan.BPlug.3814: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
W97M.Phishing.44
W97M.Phishing.53
W97M.Phishing.63: Фишинговые документы Microsoft Word, которые нацелены на пользователей, желающих стать инвесторами. Они содержат ссылки, ведущие на мошеннические сайты.
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

Шифровальщики

В ноябре число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 6,98% по сравнению с октябрем.

Наиболее распространенные энкодеры ноября:

Trojan.Encoder.3953 — 21.70%
Trojan.Encoder.26996 — 21.20%
Trojan.Encoder.35534 — 8.94%
Trojan.Encoder.37369 — 3.40%
Trojan.Encoder.35067 — 2.98%

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В ноябре 2023 года интернет-аналитики компании «Доктор Веб» не зафиксировали значимых изменений в активности кибермошенников. Злоумышленники по-прежнему пытались заманить потенциальных жертв на всевозможные сайты-подделки. Наиболее популярными среди них остаются мошеннические сайты инвестиционной тематики, а также интернет-ресурсы, предлагающие «бесплатные» лотерейные билеты и участие в «розыгрыше» призов.

В первом случае пользователям предлагается стать инвесторами, для чего они должны указать свои персональные данные. Во втором — участие в так называемых бесплатных лотереях и онлайн-конкурсах для всех пользователей всегда заканчиваются выигрышем, для получения которого якобы необходимо оплатить комиссию.

Пример фишингового сайта, где посетителю предлагается стать инвестором:

Пример мошеннического сайта, на котором имитируется розыгрыш лотереи:

Пользователь якобы выиграл 314 906 рублей и может приступить к получению выигрыша:

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в ноябре на защищаемых устройствах реже обнаруживались рекламные троянские программы Android.HiddenAds и Android.MobiDash. Кроме того, пользователи реже сталкивались с банковскими троянами и вредоносными программами-шпионами.

В минувшем месяце специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых вредоносных приложений из семейства Android.FakeApp, которые злоумышленники применяли в различных мошеннических схемах. Кроме того, был обнаружен троян Android.Subscription.21 — он подписывал пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

снижение активности рекламных троянских программ,
снижение активности банковских троянов и шпионских троянских приложений,
появление новых вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающие курсы

Просветительские проекты

Брошюры

Новогоднее волшебство начинается!

Fri, 15 Dec 2023 02:00:00 GMT

15 декабря 2023 года

Мы объявляем о запуске Новогоднего Адвента, который стал традицией в нашей компании.

С 15 декабря по 3 января включительно приглашаем каждого из вас узнать свою судьбу при помощи нашего Магического Шара. Просто щелкните по нему, чтобы получить веселое предсказание на 2024 год и гарантированный подарок.

Принять участие в акции можно один раз с одного электронного адреса. Обращаем ваше внимание, что отправка подарков за счет компании осуществляется только по РФ.

Ознакомьтесь с условиями акции на странице с Магическим Шаром и приготовьтесь узнать все о приключениях и успехах, ожидающих вас в следующем году.

Новогоднее волшебство начинается!

«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2023 года

Wed, 22 Nov 2023 18:00:00 GMT

22 ноября 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в октябре 2023 года наиболее часто на защищаемых устройствах обнаруживались рекламные трояны семейства Android.HiddenAds. По сравнению с прошлым месяцем их активность возросла на 46,16%. Количество атак вторых по распространенности рекламных троянов семейства Android.MobiDash также увеличилось — на 7,07%. Кроме того, пользователи чаще сталкивались со шпионскими вредоносными приложениями и банковскими троянами — на 18,27% и 10,73% соответственно.

В течение октября специалисты компании «Доктор Веб» выявили очередные угрозы в каталоге Google Play. Среди них — десятки разнообразных программ-подделок семейства Android.FakeApp, которые злоумышленники используют в мошеннических целях, а также троянские приложения Android.Proxy.4gproxy, превращающие Android-устройства в прокси-серверы.

ГЛАВНЫЕ ТЕНДЕНЦИИ ОКТЯБРЯ

Рост активности рекламных троянских программ
Рост активности шпионских и банковских троянских программ
Появление множества новых вредоносных приложений в каталоге Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3831
Android.HiddenAds.3697: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.4498
Android.Spy.5106: Детектирование различных вариантов троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.MobiDash.7804: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.WAppBomber.1.origin: Android-утилита для массовой рассылки сообщений в мессенждере WhatsApp. Для работы ей требуется доступ к списку контактов из телефонной книги пользователя.

Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.MagicPush.1: Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы отображается реклама.
Adware.AdPush.39.origin
Adware.AdPush.36.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В октябре 2023 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 50 вредоносных приложений. Среди них — трояны Android.Proxy.4gproxy.1, Android.Proxy.4gproxy.2, Android.Proxy.4gproxy.3 и Android.Proxy.4gproxy.4, которые превращали зараженные устройства в прокси-серверы и незаметно передавали через них сторонний трафик. Различные модификации первого трояна распространялись под видом игры Photo Puzzle, программы Sleepify для борьбы с бессонницей и инструмента Rizzo The AI chatbot для работы с чат-ботом. Второй скрывался в приложении для просмотра прогноза погоды Premium Weather Pro. Третий был внедрен в программу — записную книжку Turbo Notes. Четвертого злоумышленники распространяли под видом приложения Draw E для создания изображений при помощи нейросети.

В эти вредоносные программы интегрирована утилита 4gproxy (детектируется Dr.Web как Tool.4gproxy), которая позволяет использовать Android-устройства в качестве прокси-сервера. Сама по себе она не является вредоносной и может применяться в безобидных целях. Однако в случае с указанными троянами работа с прокси выполняется без участия пользователей и их явного согласия.

Вместе с тем наши специалисты выявили десятки новых троянских программ семейства Android.FakeApp, часть которых вновь распространялась под видом финансовых приложений (например, Android.FakeApp.1459, Android.FakeApp.1460, Android.FakeApp.1461, Android.FakeApp.1462, Android.FakeApp.1472, Android.FakeApp.1474 и Android.FakeApp.1485). Их главная задача — загрузка мошеннических веб-сайтов, на которых потенциальным жертвам предлагается стать инвесторами. Злоумышленники запрашивают у пользователей персональные данные и приглашают их вложить деньги в якобы выгодные финансовые проекты или инструменты.

Прочие программы-подделки (Android.FakeApp.1433, Android.FakeApp.1444, Android.FakeApp.1450, Android.FakeApp.1451, Android.FakeApp.1455, Android.FakeApp.1457, Android.FakeApp.1476 и другие) в очередной раз были замаскированы под различные игры. При определенных условиях вместо запуска игр они загружали сайты онлайн-казино или букмекеров.

Примеры работы этих троянских приложений в качестве игр:

Примеры загружаемых ими сайтов онлайн-казино и букмекерских контор:

Аналогичную задачу выполнял и троян Android.FakeApp.1478 — он скрывался в программе для чтения новостей и публикаций спортивной тематики и мог загружать сайты букмекеров.

Кроме того, были обнаружены новые троянские программы, якобы помогающие владельцам Android-устройств найти работу. Одна из них называлась Rixx (Android.FakeApp.1468), другая — Catalogue (Android.FakeApp.1471). При запуске эти вредоносные приложения демонстрируют поддельный список вакансий. Когда потенциальные жертвы пытаются откликнуться на одно из объявлений, им предлагается указать персональные данные в специальной форме или связаться с «работодателем» через мессенджеры — например, WhatsApp или Telegram.

Ниже представлен пример работы одной из этих вредоносных программ. Троян демонстрирует фишинговую форму под видом окна для составления резюме или предлагает обратиться к «работодателю» через мессенджер.

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

Жара в ноябре: скидка 40% для 3 компьютеров на 2 года!

Mon, 20 Nov 2023 01:00:00 GMT

20 ноября 2023 года

В период осенних распродаж «Доктор Веб» не остается в стороне и предлагает антивирус со скидкой 40%. Именно с такой выгодой вы можете приобрести Dr.Web Security Space для защиты сразу 3 компьютеров на 2 года. Акция продлится с 20 по 26 ноября.

Наше предложение доступно на специальной странице, для входа на которую нужно авторизоваться. Рекомендуем заглянуть туда как можно скорее — количество акционных лицензий ограничено!

Целую неделю комплексная защита Dr.Web будет доступна по цене 2 102,4 руб. вместо обычных 3 504,00 руб. Помимо скидки есть и еще один важный повод приобрести Dr.Web Security Space: ведь в него включена еще и защита 3 мобильных Android-устройств.

При использовании акционной лицензии в качестве продления предыдущего серийного номера бонус в виде дополнительных 150 дней использования не начисляется. Акционную лицензию нельзя будет зарегистрировать в качестве лицензии продления, если количество ПК в новой лицензии отличается от количества ПК в продлеваемой лицензии.

«Доктор Веб»: обзор вирусной активности в октябре 2023 года

Fri, 17 Nov 2023 11:49:19 GMT

22 ноября 2023 года

Анализ статистики детектирований антивируса Dr.Web в октябре 2023 года показал снижение общего числа обнаруженных угроз на 49,73% по сравнению с сентябрем. Число уникальных угроз при этом увеличилось на 12,50%. По-прежнему наиболее часто обнаруживались рекламные трояны и нежелательные рекламные приложения. В почтовом трафике вновь преобладали вредоносные скрипты, фишинговые документы и приложения, которые эксплуатируют уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов увеличилось на 11,48% по сравнению с предыдущим месяцем. Самым активным энкодером октября стал Trojan.Encoder.26996 с долей 22,54% зафиксированных инцидентов. Вторым стал Trojan.Encoder.3953 — на него пришлось 15,49% обращений. Третье место с долей 7,51% занял Trojan.Encoder.35534.

В течение октября специалисты компании «Доктор Веб» обнаружили в каталоге Google Play десятки вредоносных приложений. Среди них — троянские программы, превращавшие Android-устройства в прокси-серверы, а также приложения-подделки, которые злоумышленники использовали в мошеннических целях.

Главные тенденции октября

Снижение общего числа обнаруженных угроз
Рост числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
Появление множества новых вредоносных приложений в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы октября:

Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Adware.Siggen.33194: Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Adware.SweetLabs.5: Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.
Trojan.BPlug.3814: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
W97M.Phishing.46: Фишинговые документы Microsoft Word, которые нацелены на пользователей, желающих стать инвесторами. Они содержат ссылки, ведущие на мошеннические сайты.
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
JS.Packed.105: Зашифрованный JS-сценарий, в котором скрывается бэкдор JS.BackDoor.49. Этот бэкдор выполняет команды управляющего сервера, способен запускать исполняемые файлы и библиотеки, а также имеет функцию кейлоггера.
W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Шифровальщики

В октябре число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 11,48% по сравнению с сентябрем.

Наиболее распространенные энкодеры октября:

Trojan.Encoder.26996 — 22.54%
Trojan.Encoder.3953 — 15.49%
Trojan.Encoder.35534 — 7.51%
Trojan.Encoder.30356 — 2.35%
Trojan.Encoder.37369 — 2.35%

Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков

Обучающий курс

О бесплатном восстановлении

Dr.Web Rescue Pack

Опасные сайты

В октябре 2023 года были выявлены очередные сайты, которые мошенники для привлечения внимания потенциальных жертв оформляют в стиле известных интернет-магазинов. Их посетители якобы могут принять участие в розыгрыше денежных призов. Для этого им предлагается пройти опрос и сыграть в игру, которая на самом деле является симуляцией, — мнимая победа в ней заранее запрограммирована. Чтобы «получить» приз, пользователи должны заплатить «комиссию» за перевод денег на свой банковский счет. Никаких выплат жертвы злоумышленников после этого не получают. Наоборот, они переводят мошенникам собственные деньги, а также рискуют раскрыть данные банковских карт.

Примеры таких сайтов:

При «розыгрыше» приза посетитель якобы выиграл 249 740 рублей:

Форма для оплаты «комиссии» за получение несуществующего выигрыша:

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в октябре пользователей чаще всего атаковали рекламные троянские приложения Android.HiddenAds. Кроме того, по сравнению с прошлым месяцем возросла активность банковских троянов и шпионских вредоносных программ.

В течение октября специалисты «Доктор Веб» выявили свыше 50 вредоносных приложений в каталоге Google Play. Среди них — трояны Android.Proxy.4gproxy, которые превращали зараженные устройства в прокси-серверы, а также мошеннические программы Android.FakeApp.

Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:

рост активности рекламных троянских программ,
рост активности банковских и шпионских троянских приложений,
обнаружение новых вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающие курсы

Просветительские проекты

Брошюры

Смартфоны и планшеты на ОС Аврора с предустановленным антивирусом Dr.Web Mobile Security Suite уже в продаже

Tue, 07 Nov 2023 13:29:16 GMT

7 ноября 2023 года

Компания «Доктор Веб» ведет долгое и плодотворное сотрудничество с компанией «Открытая мобильная платформа» — разработчиком ОС Аврора. В свое время Dr.Web стал первым антивирусом для этой операционной системы. А сегодня мобильные устройства российского производителя Fplus, оснащенные ОС Аврора и антивирусом Dr.Web Mobile Security Suite, становятся доступны не только для представителей госсектора и бизнеса, но и для обычных пользователей.

В продажу поступили две модели: планшет Life Tab Plus и смартфон R570E. Эти устройства внесены в Реестр промышленной продукции Минпромторга, а Dr.Web Mobile Security Suite, в свою очередь — в Реестр отечественного ПО.

Dr.Web обеспечивает защиту от всех известных типов вредоносных программ, используя все доступные возможности ОС Аврора, поддерживает защищенный режим работы устройств и может быть установлен от имени администратора без возможности удаления пользователем.

Приобрести смартфоны и планшеты Fplus с установленным антивирусом Dr.Web можно в Москве — в магазине сети умной техники «Всёсмарт» на территории ТЦ «Афимолл Сити».

О предстоящем обновлении Dr.Web vxCube

Mon, 30 Oct 2023 01:00:00 GMT

30 октября 2023 года

«Доктор Веб» уведомляет о предстоящем обновлении песочницы Dr.Web vxCube: в нее внесены улучшения и исправления. В связи с этим 31 октября в интервале с 12:00 до 13:00 по московскому времени облачная версия сервиса будет недоступна.

В рамках обновления были расширены возможности API, по которому пользователь может взаимодействовать с песочницей: добавлена возможность поиска проанализированных объектов по хешу. Вместе с тем были исправлены некоторые ошибки, выявленные в работе сервиса.

Чтобы получить демодоступ к облачной версии Dr.Web vxCube, воспользуйтесь специальной формой.