14 июня 2019 года

Специалисты компании «Доктор Веб» обнаружили троянца Android.FakeApp.174, который загружает в Google Chrome сомнительные веб-сайты, где пользователей подписывают на рекламные уведомления. Они приходят даже если браузер закрыт и могут быть ошибочно приняты за системные. Такие уведомления не только мешают работе с Android-устройствами, но и способны привести к краже денег и конфиденциальной информации.

Технология Web Push позволяет сайтам с согласия пользователя отправлять ему уведомления даже когда соответствующие веб-страницы не открыты в браузере. При работе с безобидными ресурсами эта функция полезна и удобна. Например, социальные сети таким образом могут информировать о новых сообщениях, а новостные агентства ― о свежих публикациях. Однако злоумышленники и недобросовестные рекламодатели злоупотребляют ей, распространяя с ее помощью рекламу и мошеннические уведомления, которые поступают со взломанных или вредоносных сайтов.

Эти уведомления поддерживаются в браузерах как ПК и ноутбуков, так и мобильных устройств. Обычно жертва попадает на сомнительный ресурс-спамер, перейдя по специально сформированной ссылке или рекламному баннеру. Android.FakeApp.174 — один из первых троянцев, которые «помогают» злоумышленникам увеличить число посетителей этих сайтов и подписать на такие уведомления именно пользователей смартфонов и планшетов.

Android.FakeApp.174 распространяется под видом полезных программ – например, официального ПО известных брендов. Две такие модификации троянца вирусные аналитики «Доктор Веб» обнаружили в начале июня в каталоге Google Play. После обращения в корпорацию Google вредоносные программы были удалены, но их успели загрузить свыше 1100 пользователей.

При запуске троянец загружает в браузере Google Chrome веб-сайт, адрес которого указан в настройках вредоносного приложения. С этого сайта в соответствии с его параметрами поочередно выполняется несколько перенаправлений на страницы различных партнерских программ. На каждой из них пользователю предлагается разрешить получение уведомлений. Для убедительности жертве сообщается, что выполняется некая проверка (например, что пользователь — не робот), либо просто дается подсказка, какую кнопку диалогового окна необходимо нажать. Это делается для увеличения числа успешных подписок. Примеры таких запросов показаны на изображениях ниже:

После активации подписки сайты начинают отправлять пользователю многочисленные уведомления сомнительного содержания. Они приходят даже если браузер закрыт, а сам троянец уже был удален, и отображаются в панели состояния операционной системы. Их содержимое может быть любым. Например, ложные уведомления о поступлении неких денежных бонусов или переводов, о новых сообщениях в соцсетях, реклама гороскопов, казино, товаров и услуг и даже различные «новости».

Многие из них выглядят как настоящие уведомления реальных онлайн-сервисов и приложений, которые могут быть установлены на устройстве. Например, в них отображается логотип того или иного банка, сайта знакомств, новостного агентства или социальной сети, а также привлекательный баннер. Владельцы Android-устройств могут получать десятки таких спам-сообщений в день.

Несмотря на то, что в этих уведомлениях указан и адрес сайта, с которого оно пришло, неподготовленный пользователь может просто его не заметить, либо не придать этому особого значения. Примеры мошеннических уведомлений:

При нажатии на такое уведомление пользователь перенаправляется на сайт с сомнительным контентом. Это может быть реклама казино, букмекерских контор и различных приложений в Google Play, предложение скидок и купонов, поддельные онлайн-опросы и фиктивные розыгрыши призов, сайт-агрегатор партнерских ссылок и другие онлайн-ресурсы, которые разнятся в зависимости от страны пребывания пользователя. Примеры таких сайтов представлены ниже:

Многие из этих ресурсов замешаны в известных мошеннических схемах кражи денег, однако злоумышленники способны в любое время организовать атаку для похищения конфиденциальных данных. Например, отправив через браузер «важное» уведомление от имени банка или социальной сети. Потенциальная жертва может принять поддельное уведомление за настоящее, нажмет на него и перейдет на фишинговый сайт, где у нее попросят указать имя, логин, пароль, адрес электронной почты, номер банковской карты и другие конфиденциальные сведения.

Специалисты «Доктор Веб» полагают, что злоумышленники будут активнее использовать этот метод продвижения сомнительных услуг, поэтому пользователям мобильных устройств при посещении веб-сайтов следует внимательно ознакомиться с их содержимым и не подписываться на уведомления, если ресурс незнаком или выглядит подозрительным. Если же подписка на нежелательные спам-уведомления уже произошла, нужно выполнить следующие действия:

• зайти в настройки Google Chrome, выбрать опцию «Настройки сайтов» и далее — «Уведомления»;
• в появившемся списке веб-сайтов и уведомлений найти адрес интересующего ресурса, нажать на него и выбрать опцию «Очистить и сбросить».

Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации Android.FakeApp.174, поэтому для наших пользователей этот троянец опасности не представляет.

Подробнее об Android.FakeApp.174

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

10 июня 2019 года

Компания «Доктор Веб» напоминает о возможности использования продуктов антивирусного комплекса Dr.Web Enterprise Security Suite в качестве источника критических данных для систем управления событиями информационной безопасности. Приглашаем ознакомиться с информацией для системных администраторов и обращаться в случае необходимости к руководству пользователя Dr.Web Enterprise Security Suite.

Ознакомьтесь с возможностями интеграции Dr.Web с SIEM-системами.

Поскольку все события информационной безопасности и работа компонентов антивирусного ПО Dr.Web Enterprise Security Suite подробно протоколируются, интеграция Dr.Web с системами управления событиями информационной безопасности (Security information and event management, SIEM) позволяет использовать серверы Dr.Web ESS в качестве источника критических данных для SIEM-систем.

Информационный документ с описанием возможностей интеграции Dr.Web с SIEM-системами, размещенный на странице для системных администраторов Dr.Web Enterprise Security Suite, напоминает ИТ-специалистам о возможности усилить корпоративную безопасность с помощью бизнес-продуктов Dr.Web и знакомит с данными, которые будет доступны администратору с серверов Dr.Web ESS. При возникновении вопросов по интеграции ESS с SIEM-системами приглашаем обращаться к руководству пользователя Dr.Web Enterprise Security Suite и в службу технической поддержки.

#Dr.Web #администрирование #инструкции

4 июня 2019 года

Компания «Доктор Веб» сообщает об обновлении модуля amsi-client (12.0.3.201906040) в продуктах Dr.Web Security Space, Антивирус Dr.Web и Антивирус Dr.Web для файловых серверов Windows версий 11.5 и 12.0, а также в составе Dr.Web Enterprise Security Suite 11.0. Обновление связано с исправлением выявленной ошибки.

В модуле была устранена проблема, приводившая к ошибке при запуске игры War Thunder на компьютерах под управлением Windows 10 1903 Redstone 6.

Обновление пройдет автоматически.

4 июня 2019 года

Компания «Доктор Веб» сообщает об обновлении агента SpIDer Agent for Windows (12.0.6.05161), сканера Dr.Web Scanner SE (12.0.4.04020), модуля Dr.Web Shell Extension (12.0.4.04040), сканирующего сервиса Dr.Web Scanning Engine (12.0.4.201904220) и конфигурационного скрипта Lua-script for dwl (12.0.6.04110) в продуктах Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0 и Антивирус Dr.Web 12.0 для файловых серверов Windows. В Dr.Web Security Space 12.0 и Антивирусе Dr.Web 12.0 был также обновлен сервис перехвата трафика Dr.Web Net filtering Service (12.0.4.04261) и плагин Dr.Web for Outlook Plugin (12.0.4.201905281). Обновление связано с исправлением выявленных ошибок, добавлением новых функциональных возможностей и внесением внутренних изменений.

Изменения в SpIDer Agent for Windows:

• устранены незначительные ошибки некоторых элементов интерфейса;
• скорректирована работа с окном файлового диалога;
• добавлена проверка наличия прав на перезагрузку ОС при отображении кнопки «Перезагрузить сейчас» в ленте уведомлений;
• обеспечена поддержка обновленных модулей локализации.

Изменения в Dr.Web Scanner SE:

• улучшено отображение элементов интерфейса на дисплеях с высоким разрешением;
• повышена точность отображения текущего прогресса сканирования;
• обеспечена поддержка обновленных модулей локализации.

Изменения в Dr.Web Net filtering Service:

• обеспечена поддержка обновленных модулей локализации.

Изменения в Dr.Web for Outlook Plugin:

• исправлены ошибки в польской локализации;
• исправлено отображение текста при предварительном просмотре txt-файла, формируемого при обезвреживании вредоносного почтового вложения;
• устранена проблема с неверным подсчетом количества проигнорированных объектов в статистике;
• исправлена ошибка, приводившая к возможной остановке проверки почты после запуска MS Outlook из контекстного меню;
• обеспечена поддержка обновленных модулей локализации.

Вместе с тем изменен формат локализаций (LNG вместо DWL) и расположение их в каталоге.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

4 июня 2019 года

Компания «Доктор Веб» сообщает о выпуске продукта Dr.Web для Microsoft Exchange Server версии 12.0.4. Обновление связано с внесением улучшений в модуль Антиспама.

В работу модуля Антиспам добавлена новая настройка, позволяющая пользователю выбрать дополнительные объекты, которые программа будет помечать как спам: почтовые и рекламные рассылки, предполагаемые целевые фишинг-атаки, сообщения социальных сетей и сообщения о транзакциях. Настройка доступна в разделе «Отмечать как спам».

Подробно о процессе обновления, а также о системных требованиях Dr.Web 12.0.4 для Microsoft Exchange Server рассказано в соответствующих «Примечаниях к выпуску».

3 июня 2019 года

Компания «Доктор Веб» представляет обзор вирусной активности за май 2019 года. Найдено новое вредоносное ПО, ориентированное на пользователей операционной системы macOS. По почте распространялся опасный троянец, способный красть персональные данные с устройств пользователей, а также получать команды от управляющего сервера. Снизилось количество опасных сайтов, а число обнаруженных уникальных угроз возросло. Об этих и других событиях читайте в нашем обзоре.

Читать обзор полностью

3 июня 2019 года

В мае статистика серверов Dr.Web зарегистрировала повышение числа уникальных угроз на 1.49% по сравнению с прошлым месяцем, а общее количество обнаруженных угроз повысилось на 14.51%. Статистика по вредоносному и нежелательному ПО показывает преобладание рекламных программ и установщиков. В почтовом трафике по-прежнему доминирует вредоносное ПО, использующее уязвимости документов Microsoft Office, но в мае также усилилось распространение опасного троянца Trojan.Fbng.8 (FormBook).

Угроза месяца

В мае специалисты «Доктор Веб» сообщили о новой угрозе для операционной системы macOS – Mac.BackDoor.Siggen.20. Это ПО позволяет загружать и исполнять на устройстве пользователя любой код на языке Python. Сайты, распространяющие это вредоносное ПО, также заражают компьютеры под управлением ОС Windows шпионским троянцем BackDoor.Wirenet.517 (NetWire). Последний является давно известным RAT-троянцем, с помощью которого хакеры могут удаленно управлять компьютером жертвы, включая использование камеры и микрофона на устройстве. Кроме того, распространяемый RAT-троянец имеет действительную цифровую подпись.

Подробнее об угрозе

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

Adware.Softobase.12

Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.

Adware.Ubar.13

Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Trojan.InstallCore.3553

Еще один известный установщик рекламного ПО. Показывает рекламу и устанавливает дополнительные программы без согласия пользователя.

Trojan.Winlock.14244

Блокирует или ограничивает доступ пользователя к операционной системе и её основным функциям. Для разблокировки системы требует перечислить деньги на счет своих разработчиков.

Trojan.Starter.7394

Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.

Статистика вредоносных программ в почтовом трафике

Угрозы этого месяца:

W97M.DownLoader.2938

Семейство троянцев-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Exploit.ShellCode.69

Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.

Exploit.Rtf.CVE2012-0158

Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.

Exploit.Rtf.435

Вредоносный документ Microsoft Office, использующий уязвимость CVE-2017-11882 для загрузки Trojan.Fbng.8 (FormBook) на устройство пользователя.

Trojan.PWS.Stealer.19347

Семейство троянцев, предназначенных для хищения с инфицированного компьютера паролей и другой конфиденциальной информации.

Возросла активность:

Trojan.Inject3.15480

Троянец, также известный как Trojan.Fbng.8 (FormBook). Предназначен для кражи персональных данных с зараженного устройства. Может получать команды с сервера разработчика.

Шифровальщики

В мае в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

• Trojan.Encoder.18000 — 15.38%
• Trojan.Encoder.858 — 9.89%
• Trojan.Encoder.11464 — 5.49%
• Trojan.Encoder.25574 — 5.49%
• Trojan.Encoder.11539 — 5.27%
• Trojan.Archivelock — 5.05%
• Trojan.Encoder.567 — 1.98%

Опасные сайты

В течение мая 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 223 952 интернет-адреса.

Вредоносное и нежелательное ПО для мобильных устройств

В последнем весеннем месяце этого года злоумышленники вновь распространяли различные вредоносные программы через каталог Google Play. В начале мая специалисты компании «Доктор Веб» выявили троянца Android.HiddenAds.1396, который постоянно показывал рекламные баннеры и перекрывал ими интерфейс других приложений и операционной системы. Позднее были обнаружены троянцы-шпионы Android.SmsSpy.10206 и Android.SmsSpy.10263 — они крали входящие СМС и передавали их злоумышленникам.

Наиболее заметное событие, связанное с «мобильной» безопасностью в мае:

• появление новых вредоносных программ в Google Play.

Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.

3 июня 2019 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за май 2019 года. В течение последнего весеннего месяца в каталоге Google Play было найдено несколько новых вредоносных приложений. Ими оказались опасные Android-шпионы, похищавшие СМС-сообщения, а также троянец, который постоянно показывал рекламные баннеры. Подробнее об этих и других угрозах читайте в нашем обзоре.

Читать обзор полностью

3 июня 2019 года

В уходящем месяце пользователям Android-устройств вновь угрожали вредоносные программы, которые злоумышленники распространяли через каталог Google Play. Среди них – рекламные троянцы Android.HiddenAds и троянцы-шпионы Android.SmsSpy, которые перехватывали СМС.

Мобильная угроза месяца

Среди обнаруженных в мае вредоносных программ были троянцы-шпионы семейства Android.SmsSpy — Android.SmsSpy.10206 и Android.SmsSpy.10263. Они распространялись через Google Play под видом банковского ПО.

После установки и запуска эти вредоносные программы пытались назначить себя СМС-менеджером по умолчанию, запрашивая соответствующее разрешение у пользователя. Если тот соглашался, Android.SmsSpy.10206 и Android.SmsSpy.10263 начинали перехватывать все входящие СМС-сообщения и передавали их на сервер злоумышленников.

Особенности вредоносных приложений:

• предназначались для испаноязычных пользователей;
• созданы на основе программы с открытым исходным кодом SMSdroid, в которую вирусописатели добавили троянскую функцию.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Троянец, который выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.

Android.RemoteCode.4411

Android.RemoteCode.197.origin

Вредоносные приложения, предназначенные для загрузки и выполнения произвольного кода.

Android.HiddenAds.261.origin

Android.HiddenAds.1102

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1

Adware.Jiubang.2

Adware.AdPush.33.origin

Adware.Toofan.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.VirtualApk.1.origin

Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки.

Рекламный троянец

В начале мая вирусные аналитики «Доктор Веб» обнаружили в Google Play троянца Android.HiddenAds.1396, который распространялся под видом аудиоплеера.

Вредоносная программа действительно позволяла прослушивать музыку, однако после первого запуска скрывала свой значок, и в дальнейшем пользователь больше не мог ее запустить. Android.HiddenAds.1396 показывал надоедливые рекламные баннеры, которые мешали работе с зараженным смартфоном или планшетом.

В каталоге Google Play продолжают появляться новые вредоносные и нежелательные приложения. Для защиты Android-устройств от этих угроз следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

21 мая 2019 года

Компания «Доктор Веб» предлагает ознакомиться с брошюрой «Путь UNIX», на страницах которой рассказывается о том, как на самом деле обстоят дела с вредоносными программами, разработанными под эту платформу, а также о возможностях продуктов Dr.Web для UNIX и Linux. Брошюра предназначена для корпоративных пользователей, использующих или планирующих использовать отечественное ПО на базе Linux.

Сегодня все больше учреждений – государственных и частных – переходит на операционные системы российской разработки. В основе таких ОС лежит ПО на базе Linux, о котором сложился устойчивый миф, гласящий, что вирусов под него нет и быть не может.

Однако факты, приведенные в брошюре и снабженные ссылками на источники, говорят об обратном. Более того, с ростом популярности UNIX растут и аппетиты создателей вредоносных программ.

Также брошюра подробно рассказывает о продуктах Dr.Web, предназначенных для защиты ПК под управлением Linux и UNIX. Напомним, что за последнее время «Доктор Веб» получил ряд сертификатов о совместимости Dr.Web с отечественными операционными системами.

Почитайте об истинном масштабе угроз для UNIX и о возможности противостоять им с помощью продуктов Dr.Web.

Скачать брошюру

13 мая 2019 года

Компания «Доктор Веб» сообщает об обновлении конфигурационного скрипта Lua-script for help (11.5.0.04250), управляющего сервиса Dr.Web Control Service (11.5.16.04300) и модуля Dr.Web Enterprise Agent for Windows setup (11.5.8.04250) в агентской части комплекса Dr.Web Enterprise Security Suite 11.0. Обновление связано с актуализацией и исправлением выявленных ошибок.

Изменение в Lua-script for help:

• актуализирована версия скрипта.

Изменение в Dr.Web Control Service:

• устранена проблема, препятствовавшая автоматическому обновлению в мобильном режиме.

Изменение в Dr.Web Enterprise Agent for Windows setup:

• исправлено некорректное поведение при установке в случае, если в имени учетной записи пользователя Windows содержится более 17 иероглифов.

Обновление пройдет автоматически.

8 мая 2019 года

Специалисты «Доктор Веб» обнаружили угрозу для операционной системы macOS, позволяющую загружать и исполнять на устройстве пользователя любой код на языке Python. Кроме того, сайты, распространяющие это вредоносное ПО, также заражают опасным шпионским троянцем пользователей ОС Windows.

Новая угроза для устройств под управлением macOS была обнаружена нашими специалистами 29 апреля. Это вредоносное ПО получило название Mac.BackDoor.Siggen.20 и представляет собой бэкдор, позволяющий загружать с удаленного сервера вредоносный код и исполнять его.

Mac.BackDoor.Siggen.20 попадает на устройства через сайты, принадлежащие его разработчикам. Один такой ресурс оформлен как сайт-визитка с портфолио несуществующего человека, а второй замаскирован под страницу с приложением WhatsApp.

При посещении этих ресурсов встроенный код определяет операционную систему пользователя и в зависимости от нее загружает бэкдор или троянца. Если посетитель использует macOS, его устройство заражается Mac.BackDoor.Siggen.20, а на устройства с ОС Windows загружается BackDoor.Wirenet.517 (NetWire). Последнее является давно известным RAT-троянцем, с помощью которого хакеры могут удаленно управлять компьютером жертвы, включая использование камеры и микрофона на устройстве. Кроме того, распространяемый RAT-троянец имеет действительную цифровую подпись.

По нашим данным, сайт, распространяющий Mac.BackDoor.Siggen.20 под видом приложения WhatsApp, открывали около 300 посетителей с уникальными IP адресами. Вредоносный ресурс работает с 24.03.2019 и пока не использовался хакерами в масштабных кампаниях. Тем не менее специалисты «Доктор Веб» рекомендуют проявлять осторожность и вовремя обновлять антивирус. На данный момент все компоненты Mac.BackDoor.Siggen.20 успешно детектируются только продуктами Dr.Web.

Подробнее об угрозе

30 апреля 2019 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за апрель 2019 года. В уходящем месяце наши вирусные аналитики рассказали об опасном троянце, который эксплуатирует критические уязвимости ОС Android для заражения программ, а также установки и удаления приложений без участия пользователей. Владельцам Android-устройств вновь угрожали обнаруженные в каталоге Google Play троянцы. Подробнее об этих и других событиях читайте в нашем обзоре.

30 апреля 2019 года

В апреле компания «Доктор Веб» сообщила о троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей ОС Android. Они позволяли ему заражать другие программы, а также удалять и устанавливать ПО без участия пользователя. Кроме того, вирусные аналитики выявили новые модификации банковского троянца Android.Banker.180.origin, предназначенные для кражи денег у клиентов японских кредитных организаций. Были обнаружены очередные вредоносные приложения, которые распространялись через каталог Google Play. Среди них — троянцы-загрузчики Android.DownLoader, скачивавшие Android-банкеров на мобильные устройства, кликеры семейства Android.Click и стилеры Android.PWS.Instagram, похищавшие логины и пароли пользователей Instagram. Также в вирусную базу Dr.Web были добавлены записи для детектирования других вредоносных программ.

Мобильная угроза месяца

В начале апреля компания «Доктор Веб» рассказала об опасном троянце Android.InfectionAds.1, которого злоумышленники встраивают в изначально безобидные программы и распространяют через сторонние каталоги Android-приложений. Этот троянец эксплуатирует критические уязвимостей ОС Android, с использованием которых заражает apk-файлы (уязвимость CVE-2017-13156), а также самостоятельно устанавливает и удаляет программы (уязвимость CVE-2017-13315). Кроме того, Android.InfectionAds.1 показывает надоедливые рекламные баннеры, мешающие нормальной работе с зараженными устройствами. Подробная информация об этом троянце доступна в нашей вирусной библиотеке.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Троянец, который выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.

Android.HiddenAds.1102

Android.HiddenAds.261.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.RemoteCode.4411

Вредоносное приложение, предназначенное для загрузки и выполнения произвольного кода.

Android.DownLoader.812.origin

Троянец, загружающий другие вредоносные приложения.

Adware.Zeus.1

Adware.AdPush.33.origin

Adware.Toofan.1.origin

Adware.Jiubang.2

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Tool.VirtualApk.1.origin

Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки.

Android-банкеры

В уходящем месяце пользователям Android-устройств вновь угрожали банковские троянцы. В конце апреля вирусные аналитики «Доктор Веб» обнаружили новые модификации вредоносной программы Android.Banker.180.origin. Они распространялись под видом ПО для отслеживания посылок (например, приложения под названием «佐川急便») и предназначались для японских пользователей. После запуска троянцы удаляют свой значок и скрываются от пользователя.

Эти модификации Android.Banker.180.origin контролируются через специально созданные страницы в социальной сети «ВКонтакте». На таких страницах в поле «Деятельность» («Activities») в зашифрованном виде располагается адрес одного из управляющих серверов банкера. Вредоносная программа ищет это поле с помощью регулярного выражения, расшифровывает адрес и подключается к серверу.

Эти версии троянца перехватывают и отправляют СМС-сообщения по команде злоумышленников, показывают фишинговые окна, способны выполнять телефонные звонки и прослушивать окружение с использованием микрофона зараженного устройства. Помимо этого, они могут управлять смартфонами и планшетами: самостоятельно включать Wi-Fi-модуль, устанавливать интернет-соединение через мобильную сеть, блокировать экран и т. д.

Кроме того, различных Android-банкеров скачивали на мобильные устройства обнаруженные в Google Play очередные загрузчики семейства Android.DownLoader, такие как Android.DownLoader.4303. Они распространялись под видом финансовых приложений.

Троянцы в Google Play

Помимо загрузчиков в каталоге Google Play были выявлены и другие троянцы, такие как Android.Click.303.origin и Android.Click.304.origin. Они распространялись под видом безобидных приложений — игр и программ для просмотра телевизионных каналов. Вирусные аналитики «Доктор Веб» обнаружили 36 таких троянцев. Их загрузили свыше 151 000 пользователей.

Эти вредоносные программы открывают невидимую активность с несколькими элементами WebView, в одном из которых загружают веб-сайт для получения от него управляющих команд. В других WebView они могут загружать различные скрипты JavaScript и заданные злоумышленниками сайты, на которых симулируют действия пользователей. Там они переходят по ссылкам и рекламным баннерам, накручивая счетчики посещений и кликов. Кроме того, нажатием на специально сформированные кнопки на этих сайтах они могут подписывать владельцев мобильных устройств на платные услуги, если мобильные операторы жертв поддерживают технологию быстрых подписок Wap-Click. Для затруднения удаления троянцы скрывают свои значки из меню главного экрана операционной системы.

В конце месяца в вирусную базу Dr.Web были добавлены записи для детектирования троянцев Android.PWS.Instagram.4 и Android.PWS.Instagram.5. Киберпреступники распространяли их под видом полезных программ для пользователей Instagram — для накрутки «лайков» и числа подписчиков, а также для повышения безопасности учетной записи. При запуске троянцы запрашивали у потенциальных жертв их логин и пароль, которые затем передавались на сервер злоумышленников.

Другие угрозы

Среди прочих вредоносных приложений, угрожавших владельцам Android-смартфонов и планшетов в апреле, был троянец Android.FakeApp.2.origin. Он скрывался в программе, якобы предоставлявшей 25 ГБ бесплатного интернет-трафика абонентам индийского мобильного оператора Jio.

Для распространения среди большего числа пользователей троянец отправлял СМС-сообщения со ссылкой на страницу загрузки своей копии на номера абонентов из телефонной книги зараженного устройства. Основное предназначение Android.FakeApp.2.origin — показ рекламных баннеров.

Среди угрожающих владельцам Android-устройств троянцев встречаются самые разные вредоносные приложения, которые распространяются через веб-сайты и официальный каталог Google Play. Для защиты смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

30 апреля 2019 года

Компания «Доктор Веб» представляет обзор вирусной активности за апрель 2019 года. Популярный сайт, предлагающий бесплатные программы для редактирования видео, распространял банковского троянца и стилера. Формы подписки на рассылки известных компаний использовались для распространения ссылок на фишинговый сайт. Снизилась активность вредоносного ПО и шифровальщиков, а количество опасных сайтов возросло. Об этих и других событиях читайте в нашем обзоре.

30 апреля 2019 года

В апреле статистика серверов Dr.Web зарегистрировала снижение числа уникальных угроз на 39.44% по сравнению с прошлым месяцем, а общее количество обнаруженных угроз снизилось на 14.96%. В почтовом трафике по-прежнему преобладает вредоносное ПО, использующее уязвимости программ Microsoft Office. Продолжает тенденцию прошлого месяца и статистика по вредоносному и нежелательному ПО: большая часть обнаруженных угроз приходится на долю вредоносных расширений для браузеров, нежелательных и рекламных программ.

Количество вредоносных и нерекомендуемых сайтов увеличилось на 28.04%. Один из таких ресурсов распространял банковского троянца и стилера вместе с программами для обработки видео и звука, о чем мы сообщили в начале месяца. Кроме того, специалисты «Доктор Веб» предупредили о фишинговой рассылке, отправленной с адресов известных иностранных компаний.

Угроза месяца

Специалисты компании «Доктор Веб» предупредили пользователей о компрометации официального сайта популярного ПО для обработки видео и звука. Хакеры заменили ссылку на скачивание, и вместе с редактором пользователи загружали опасного банковского троянца Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer). Такие троянцы предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций. Кроме того, позднее хакеры заменили Win32.Bolik.2 на другое вредоносное ПО – один из вариантов Trojan.PWS.Stealer (KPOT Stealer).

Этот троянец крадет информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ.

Подробнее об угрозе

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

Adware.Softobase.12

Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.

Adware.Ubar.13

Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Trojan.Starter.7394

Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.

Adware.Downware.19283

Программа-установщик, обычно распространяется с пиратским контентом. При установке может менять настройки браузеров и устанавливать другие нежелательные программы.

Статистика вредоносных программ в почтовом трафике

Exploit.ShellCode.69

Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.

Exploit.Rtf.CVE2012-0158

Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.

JS.DownLoader.1225

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

Trojan.Encoder.26375

Представитель семейства троянцев-вымогателей. Шифрует файлы на компьютере и требует от жертвы выкуп за расшифровку.

W97M.DownLoader.2938

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

Шифровальщики

В апреле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

• Trojan.Encoder.858 — 17.95%
• Trojan.Encoder.18000 — 14.65%
• Trojan.Encoder.11464 — 7.69%
• Trojan.Archivelock — 5.49%
• Trojan.Encoder.567 — 3.85%
• Trojan.Encoder.11539 — 3.85%
• Trojan.Encoder.25574 — 2.75%

Опасные сайты

В течение апреля 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 345 999 интернет-адресов.

Вредоносное и нежелательное ПО для мобильных устройств

В апреле компания «Доктор Веб» рассказала об опасном троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей ОС Android. Благодаря им он мог заражать apk-файлы, а также самостоятельно устанавливать и удалять программы.

В течение месяца в каталоге Google Play были выявлены новые вредоносные программы, такие как троянцы-загрузчики и кликеры, а также похитители логинов и паролей от учетных записей Instagram, получившие имена Android.PWS.Instagram.4 и Android.PWS.Instagram.5.

Кроме того, пользователям Android-смартфонов и планшетов угрожали банковские троянцы – например, новые версии Android.Banker.180.origin, а также другие вредоносные приложения.

Наиболее заметные события, связанные с «мобильной» безопасностью в апреле:

• обнаружение новых вредоносных программ в Google Play;
• распространение банковских троянцев.

Более подробно о вирусной обстановке для мобильных устройств в апреле читайте в нашем обзоре.

26 апреля 2019 года

Компания «Доктор Веб» сообщает об обновлении продуктов Dr.Web Security Space 12.3.3 для Android и Антивирус Dr.Web Light 11.2.3 для Android. Обновление связано с исправлением выявленной ошибки.

В продуктах была устранена причина возможного аварийного завершения их работы.

Для пользователей, загрузивших продукт с Google Play, обновление пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти на Google Play, выбрать в списке приложений Dr.Web Security Space, Dr.Web Security Space Life или Антивирус Dr.Web Light и нажать на кнопку «Обновить».

Для обновления через сайт «Доктор Веб» нужно скачать новый дистрибутив. Если в настройках включена опция «Новая версия», при обновлении вирусных баз пользователь получит уведомление о доступной новой версии, которую можно будет загрузить прямо из этого диалога.

24 апреля 2019 года

Компания «Доктор Веб» сообщает об обновлении сервиса перехвата трафика Dr.Web Net filtering Service (12.0.3.04171) в продуктах Dr.Web Security Space 12.0 и Антивирус Dr.Web 12.0. Обновление связано с обеспечением совместимости продуктов со сторонним ПО.

В Dr.Web Net filtering Service внесено изменение для совместимости продуктов с ПО i-FILTER на компьютерах под управлением ОС Windows 8 и выше.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

23 апреля 2019 года

Компания «Доктор Веб» сообщает об обновлении модуля drweb-antispam в продуктах Антивирус Dr.Web для Linux и Антивирус Dr.Web для почтовых серверов UNIX версии 11.0 (версия модуля 11.0.7-1904101611) и 11.1 (версия модуля 11.1.2-1904111807). Кроме того, в Антивирусе Dr.Web 11.1 для Linux был обновлен модуль drweb-configd (11.1.2-1904172039). Обновление связано с исправлением выявленных ошибок.

В модуле антиспама была устранена ошибка, из-за которой drweb-antispam не начинал работать с новой библиотекой сразу после ее получения с зоны обновления.

В drweb-configd исправлена ошибка, из-за которой при настройках по умолчанию не производилась проверка на спам.

Обновление осуществляется через репозиторий Dr.Web.

#обновление #Dr.Web #UNIX #Linux

18 апреля 2019 года

Компания «Доктор Веб» сообщает об обновлении управляющего сервиса Dr.Web Control Service (12.0.8.03281), модуля Dr.Web Updater (12.0.9.04050), а также конфигурационных скриптов Lua-script for av-engine (12.0.6.04170) и Lua-script for main (12.0.6.03130) в продуктах Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0 и Антивирус Dr.Web 12.0 для файловых серверов Windows. Вместе с тем в Dr.Web Security Space 12.0 и Антивирусе Dr.Web 12.0 был обновлен модуль Dr.Web Security Space, Anti-virus for Windows setup (12.0.10.03260). Обновление связано с внесением внутренних изменений и исправлением выявленных ошибок.

Изменение в Dr.Web Control Service:

• модуль обновлен в рамках подготовки к выходу Windows 10 Redstone 6.

Изменение в Dr.Web Updater:

• устранена ошибка обновления, возникавшая при создании зеркала обновления на диске с файловой системой FAT32.

Изменение в Dr.Web Security Space, Anti-virus for Windows setup:

• в окне модуля установки поправлено отображение элементов интерфейса.

Обновление пройдет автоматически.

17 апреля 2019 года

Компания «Доктор Веб — Центральная Азия» и компания Haulmont провели конференцию «Современный документооборот и антивирусная безопасность» 19 марта 2019 года в Алматы. Встреча ИТ-профессионалов была посвящена возможностям современных программных продуктов по автоматизации документооборота и опыту внедрения системы управления документами и задачами «ТЕЗИС».

В Алматы прошел бизнес-завтрак о современном документообороте, организованный компаниями Haulmont и «Доктор Веб — Центральная Азия».

19 марта команда СЭД «ТЕЗИС» вместе с компанией «Доктор Веб — Центральная Азия» провела в Алматы конференцию «Современный документооборот и антивирусная безопасность». Мероприятие прошло в формате бизнес-завтрака, который позволяет руководителям подразделений крупных компаний и сотрудникам не выпадать из рабочего графика на целый день. В конференции приняли участие сотрудники партнеров продукта «Системные Технологии Казахстана» и компании Softline, а также представители бизнеса — топ-менеджеры, ИТ-специалисты, руководители юридических и финансовых подразделений.

Менеджер по работе с ключевыми клиентами и партнерами Haulmont Андрей Гаврилов продемонстрировал участникам конференции возможности продукта по автоматизации нестандартных процессов, таких как автоматизация взаимодействия компаний, входящих в холдинговую структуру, организация корпоративного портала и архива документов. Об актуальных вопросах информационной безопасности и инструментах Dr.Web для защиты от современных киберугроз гостям встречи рассказали представители ТОО «Доктор Веб — Центральная Азия» Виталий Бугаев и Илья Дыбов.

Также участники конференции познакомились с опытом успешных проектов внедрения СЭД ТЕЗИС — в «Центрально-Азиатской Электроэнергетической Корпорации» и Национальной библиотеке Республики Казахстан. Опыт представленных на конференции проектов подтверждает, что СЭД «ТЕЗИС» успешно решает различные задачи, как типовые, так и включающие автоматизацию специфических процессов в холдинговой структуре.

О компании Haulmont

Компания Haulmont была основана в 2008 году и специализируется на разработке сложных, масштабируемых корпоративных приложений, позволяющих автоматизировать и обеспечить рост бизнеса клиентов. Технологическое преимущество компании — платформа собственной разработки CUBA, лежащая в основе всех проектов, в том числе полноценной системы документооборота «ТЕЗИС», независимой от импортных компонентов. СИД «ТЕЗИС» работает более чем в 300 российских компаниях и с 2016 года входит в Единый реестр российских программ для электронных вычислительных машин и баз данных Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.

www.haulmont.ru

15 апреля 2019 года

Компания «Доктор Веб» сообщает об обновлении продукта Dr.Web Security Space для Android на Google Play до версии 12.3.2. Обновление связано с изменением в политике компании Google, улучшением сервиса и исправлением выявленных ошибок.

Улучшения функций распознавания угроз:

• Добавлено обнаружение уязвимостей EvilParcel.
• Улучшено обнаружение признаков заражения в ранее установленных приложениях.
• Добавлено обнаружение зараженных приложений, упакованных программами Bangcle, Secshell и новой версией Tencent.
• Устранена причина приостановки сканирования.

Изменения в интерфейсе и функциях приложения:

• Отключены компоненты «Фильтр звонков и SMS» и «Антивор».
• Удалена функция «Сократить URL».

Компоненты «Фильтр звонков и SMS» и «Антивор» отключены для соблюдения новых требований в политике Google Play. Согласно этим требованиям, пользователям всех антивирусов, на устройствах которых установлена ОС Android, более недоступны функции, связанные с обработкой SMS-сообщений.

Для пользователей Android версии 4.4 и выше обновление пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти на Google Play, выбрать в списке приложений Dr.Web Security Space и нажать кнопку «Обновить».

Для обновления через сайт «Доктор Веб» нужно скачать новый дистрибутив. Если в настройках включена опция «Новая версия», при обновлении вирусных баз пользователь получит уведомление о доступной новой версии, которую можно будет загрузить прямо из этого диалога.

15 апреля 2019 года

Компания «Доктор Веб» приглашает тех, кто приобрел через маркет Google Play лицензию на антивирусный продукт Dr.Web Security Space для Android, но желает пользоваться полнофункциональным продуктом Dr.Web — то есть с Фильтром звонков и СМС и Антивором, — скачивать полнофункциональные дистрибутивы с сайта «Доктор Веб».

Антивирусные продукты Dr.Web, содержащие функционал для обработки СМС, были удалены из маркета Google Play в связи с изменениями в политике Google относительно разрешений для СМС — сначала пожизненная лицензия Dr.Web Security Space для Android Life, затем Dr.Web Security Space для Android. По требованию корпорации Google мы исключили из этих продуктов соответствующие компоненты защиты, и теперь эти приложения снова доступны для скачивания на Google Play — без Фильтра звонков и СМС и Антивора.

Приглашаем всех, кто хочет использовать полную версию Dr.Web Security Space для Android, скачать приложение заново с официального сайта «Доктор Веб». Серийный номер, приобретенный через Google Play, останется действующим.

Напоминаем, что для всех пользователей Dr.Web Security Space для Android Life есть возможность обменять пожизненную лицензию на подписку по тарифу Dr.Web Мобильный Бессрочный до 5 устройств.

Скачать полную версию Dr.Web Security Space для Android

#Android #мобильный #подписка #Google #Google_Play

12 апреля 2019 года

Вирусные аналитики компании «Доктор Веб» исследовали троянца Android.InfectionAds.1, который использует несколько уязвимостей в ОС Android. С их помощью он заражает программы, а также может устанавливать и удалять приложения без участия пользователей. Другая функция Android.InfectionAds.1 — показ рекламы.

Злоумышленники встраивают троянца в изначально безобидное ПО, модифицированные копии которого затем распространяются через популярные сторонние каталоги Android-приложений – например, Nine Store и Apkpure. Наши специалисты обнаружили Android.InfectionAds.1 в таких играх и программах как HD Camera, ORG 2018_19 \Tabla Piano Guitar Robab Guitar, Euro Farming Simulator 2018 и Touch on Girls. Некоторые из них установили по меньшей мере несколько тысяч владельцев смартфонов и планшетов. Однако число зараженных приложений и пострадавших пользователей может оказаться намного больше.

При запуске программы, в которую внедрен троянец, тот извлекает из своих файловых ресурсов вспомогательные модули, после чего расшифровывает их и запускает. Один из них предназначен для показа надоедливой рекламы, а другие используются для заражения приложений и автоматической установки ПО.

Android.InfectionAds.1 перекрывает рекламными баннерами интерфейс системы и работающих приложений, мешая нормальной работе с устройствами. Кроме того, по команде управляющего сервера троянец может модифицировать код популярных рекламных платформ Admob, Facebook и Mopub, которые используются во многих программах и играх. Он подменяет уникальные рекламные идентификаторы собственным идентификатором, в результате чего вся прибыль от показа рекламы в зараженных приложениях поступает вирусописателям.

Android.InfectionAds.1 эксплуатирует критическую уязвимость CVE-2017-13315 в ОС Android, которая позволяет троянцу запускать системные активности. В результате он может автоматически устанавливать и удалять программы без вмешательства владельца мобильного устройства. При создании троянца использован демонстрационный код (PoC — Proof of Concept) китайских исследователей, который те создали для доказательства возможности эксплуатации этой системной бреши.

CVE-2017-13315 относится к классу уязвимостей, которые получили общее название EvilParcel. Их суть заключается в том, что ряд системных компонентов содержит ошибку, из-за которой при обмене данными между приложениями и операционной системой возможно их видоизменение. Конечное значение специально сформированного фрагмента передаваемых данных будет отличаться от первоначального. Таким образом, программы способны обходить проверки операционной системы, получать более высокие полномочия и выполнять действия, которые ранее были им недоступны. На данный момент известно о 7 уязвимостях такого типа, однако их число со временем может возрасти.

Используя EvilParcel, Android.InfectionAds.1 устанавливает скрытый внутри него apk-файл, который содержит все компоненты троянца. Кроме того, аналогичным образом Android.InfectionAds.1 способен инсталлировать собственные обновления, которые он загружает с управляющего сервера, а также любые другие программы, в том числе и вредоносные. Например, при анализе троянец скачал с сервера и установил вредоносную программу Android.InfectionAds.4, которая является одной из его модификаций.

Пример того, как троянец без разрешения устанавливает приложения, показан ниже:

Наряду с EvilParcel троянец эксплуатирует и другую уязвимость ОС Android, известную под названием Janus (CVE-2017-13156). C использованием этой системной бреши он заражает уже установленные приложения, внедряя в них свою копию. Android.InfectionAds.1 подключается к управляющему серверу и получает от него список программ, которые ему необходимо заразить. Если же соединиться с удаленным центром ему не удалось, он инфицирует приложения, которые указаны в его первоначальных настройках. В зависимости от модификации троянца этот список может содержать различные позиции. Вот пример такого перечня в одной из исследованных версий Android.InfectionAds.1:

• com.whatsapp (WhatsApp Messenger);
• com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
• com.mxtech.videoplayer.ad (MX Player);
• com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
• com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
• com.jiochat.jiochatapp (JioChat: HD Video Call);
• com.jio.join (Jio4GVoice);
• com.good.gamecollection;
• com.opera.mini.native (Opera Mini - fast web browser);
• in.startv.hotstar (Hotstar);
• com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
• com.domobile.applock (AppLock);
• com.touchtype.swiftkey (SwiftKey Keyboard);
• com.flipkart.android (Flipkart Online Shopping App);
• cn.xender (Share Music & Transfer Files – Xender);
• com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
• com.truecaller (Truecaller: Caller ID, spam blocking & call record);
• com.ludo.king (Ludo King™).

При заражении программ троянец добавляет свои компоненты в структуру apk-файлов, не изменяя их цифровую подпись. Затем он устанавливает модифицированные версии приложений вместо оригиналов. Поскольку из-за уязвимости цифровая подпись инфицированных файлов остается прежней, программы инсталлируются как их собственные обновления. При этом установка также выполняется с использованием уязвимости EvilParcel без участия пользователя. В результате атакованные программы продолжают нормально работать, но содержат в себе копию Android.InfectionAds.1, которая незаметно функционирует вместе с ними. При заражении приложений троянцу становятся доступны их данные. Например, при инфицировании WhatsApp ― переписка пользователя, а при инфицировании браузера ― сохраненные в нем логины и пароли.

Единственный способ избавиться от троянца и восстановить безопасность зараженных программ — удалить содержащие его приложения и вновь установить их заведомо чистые версии из надежных источников, таких как Google Play. В обновленной версии Dr.Web Security Space для Android появилась возможность обнаруживать уязвимости класса EvilParcel. Эта функция доступна в Аудиторе безопасности. Скачать новый дистрибутив программы можно с официального сайта «Доктор Веб», в ближайшее время он будет доступен и в Google Play.

Все антивирусные продукты Dr.Web для Android успешно детектируют и удаляют известные модификации Android.InfectionAds.1, поэтому для наших пользователей троянец опасности не представляет.

[Подробнее об Android.InfectionAds.1]

[Подробнее об EvilParcel]

[Подробнее о Janus]

#Android, #троянец, #вредоносное_ПО

11 апреля 2019 года

Компания «Доктор Веб» сообщает об обновлении антируткитного модуля Dr.Web Anti-rootkit API (12.0.5.201904100) в составе продуктов Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0 и Антивирус Dr.Web 12.0 для файловых серверов Windows. Обновление связано с исправлением выявленной ошибки.

В модуле была устранена проблема с обезвреживанием угроз в каталогах, путь к которым содержит недопустимые для имен каталогов символы.

Обновление пройдет автоматически.