О вирусах

«Доктор Веб»: обзор вирусной активности в III квартале 2025 года

Wed, 01 Oct 2025 03:00:00 GMT

1 октября 2025 года

Согласно статистике детектирований антивируса Dr.Web, в III квартале 2025 года общее число обнаруженных угроз снизилось на 4,23% по сравнению со II кварталом. При этом количество уникальных угроз увеличилось на 2,17%. Чаще всего на защищаемых устройствах обнаруживалось нежелательное рекламное ПО, рекламные трояны и вредоносные скрипты. В почтовом трафике преобладали вредоносные скрипты, бэкдоры, и различные троянские программы, такие как загрузчики, дропперы и похитители паролей.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.35209, а также Trojan.Encoder.35067.

В июле эксперты компании «Доктор Веб» рассказали о семействе троянов Trojan.Scavenger, созданных для кражи криптовалюты и паролей. Злоумышленники распространяли их под видом модов, читов и патчей для игр. Эти трояны запускались с использованием легитимных приложений, в том числе через эксплуатацию в них уязвимостей класса DLL Search Order Hijacking.

В августе наши вирусные аналитики предупредили о распространении многофункционального бэкдора Android.Backdoor.916.origin для мобильных устройств, который был нацелен на представителей российского бизнеса. Киберпреступники управляли им дистанционно, похищая с его помощью конфиденциальные данные и следя за жертвами.

В этом же месяце антивирусная лаборатория «Доктор Веб» опубликовала исследование таргетированной атаки группировки Scaly Wolf на российское машиностроительное предприятие. Злоумышленники использовали целый ряд вредоносных инструментов, среди которых одним из основных стал модульный бэкдор Updatar. С его помощью атакующие пытались получить конфиденциальные данные с зараженных компьютеров.

В III квартале интернет-аналитики выявили очередные поддельные сайты месенджера Telegram, а также ряд мошеннических ресурсов финансовой тематики. Кроме того, в течение последних трех месяцев наши специалисты зафиксировали появление в каталоге Google Play десятков вредоносных и нежелательных приложений, среди которых были трояны Android.Joker, подписывающие пользователей на платные услуги, и программы-подделки Android.FakeApp.

Главные тенденции III квартала

Снижение числа угроз, выявленных на защищаемых устройствах
Рост числа уникальных угроз, атаковавших пользователей
Появление новых поддельных сайтов мессенджера Telegram и мошеннических интернет-ресурсов финансовой тематики
Распространение вредоносных приложений Trojan.Scavenger, похищавших криптовалюту и пароли
Использование бэкдора Android.Backdoor.916.origin для слежки за представителями российского бизнеса и кражи конфиденциальных данных
Рекламные трояны Android.MobiDash стали самой распространенной угрозой для Android-устройств
Снижение активности рекламных троянов Android.HiddenAds второй квартал подряд
Распространение множества угроз в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы III квартала 2025 года:

VBS.KeySender.7: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.Siggen31.34463: Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.
Adware.Ubar.20: Торрент-клиент, устанавливающий нежелательное ПО на устройство.
JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.

Статистика вредоносных программ в почтовом трафике

W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
JS.Phishing.745: Вредоносный сценарий на языке JavaScript, формирующий фишинговую веб-страницу.
JS.Muldrop.371: Вредоносный сценарий на языке JavaScript, устанавливающий в систему полезную нагрузку.

Шифровальщики

В III квартале 2025 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, выросло на 3,02% по сравнению со II кварталом.

Динамика поступления запросов на расшифровку в службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры III квартала 2025 года:

Trojan.Encoder.35534 — 26.99% обращений пользователей
Trojan.Encoder.35209 — 3.07% обращений пользователей
Trojan.Encoder.35067 — 2.76% обращений пользователей
Trojan.Encoder.41542 — 2.15% обращений пользователей
Trojan.Encoder.29750 — 1.84% обращений пользователей

Сетевое мошенничество

В III квартале 2025 года интернет-аналитики «Доктор Веб» продолжили фиксировать появление поддельных сайтов мессенджера Telegram — в том числе тех, с помощью которых мошенники пытались получить доступ к учетным записям пользователей:

Кроме того, распространение вновь получили мошеннические сайты финансовой тематики. Один из них заманивал пользователей на «инвестиционную платформу будущего» Apple Trade AI, якобы созданную корпорацией Apple. Киберпреступники обещали потенциальным жертвам возможность зарабатывать более $4000 в месяц, а для «доступа» к сервису требовали зарегистрироваться, предоставив личную информацию.

Другие интернет-ресурсы предлагали принять участие «в новой инвестиционной платформе от Meta» и «создать источник постоянного дохода от $4000 в месяц». Чтобы получить доступ к «платформе», посетители таких сайтов должны были пройти опрос и регистрацию.

Наши эксперты выявили и очередные варианты поддельных инвестиционных платформ, якобы позволяющих зарабатывать при помощи торговых ботов в WhatsApp.

Для «работы» с обещанными сервисами у потенциальных жертв запрашивались персональные данные:

Ряд мошеннических сайтов был ориентирован на аудиторию в определенных странах. Некоторые из них были нацелены на пользователей из СНГ, которым злоумышленники предлагали «открыть закрытый инвестиционный рынок» и получить доступ к неким эксклюзивным инвестициям через финансовый сервис INSIDER X. Для этого посетители должны были «оставить заявку», указав персональные данные.

В одной из схем, предназначенных для российских пользователей, злоумышленники предлагали пройти опрос и получить доступ к «инвестиционной платформе», якобы имеющей отношение к крупным нефтегазовым компаниям и государственному порталу Госуслуги:

Другие сайты мошенники выдавали за настоящие сервисы российских банков и предлагали зарегистрироваться, чтобы «зарабатывать от 50 000 рублей в неделю»:

С похожими подделками вновь сталкивались жители ряда других государств. На одном из сайтов пользователям из Киргизии мошенники предлагали стать частью народной программы и инвестировать в крупнейшую, по их словам, компанию страны:

Другой якобы имел отношение к одному из банков Грузии и позволял присоединиться к его «инвестиционной платформе»:

Похожий поддельный сайт мошенники выдавали за принадлежащий одному из казахстанских банков и обещали пользователям доход от 600 000 тенге в месяц:

На одном из интернет-ресурсов злоумышленники якобы от имени турецкой нефтегазовой компании предлагали потенциальным жертвам стать участниками инвестиционной платформы и зарабатывать «до 9000 турецких лир в день»:

Вместе с тем мошенники продолжили эксплуатировать тематику всевозможных государственных выплат и компенсаций. На одном из нежелательных сайтов, ориентированных на пользователей из Казахстана, посетители якобы могли проверить наличие денежной компенсации и получить до 5 000 000 тенге:

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в III квартале 2025 года пользователи чаще всего сталкивались с рекламными троянами Android.MobiDash. При этом лидировавшие ранее трояны Android.HiddenAds опустились на второе место, существенно снизив активность. Третьими по распространенности стали вредоносные программы-подделки Android.FakeApp.

По сравнению со II кварталом число детектирований банковских троянов Android.BankBot увеличилось, а троянов Android.Banker и Android.SpyMax — уменьшилось.

В августе эксперты компании «Доктор Веб» рассказали о многофункциональном бэкдоре Android.Backdoor.916.origin, которого злоумышленники использовали для кражи конфиденциальных данных и слежки за представителями российского бизнеса.

За минувшие 3 месяца в каталоге Google Play было выявлено свыше 70 вредоносных и нежелательных программ. Среди них — трояны Android.Joker, которые подписывают пользователей на платные услуги, программы-подделки Android.FakeApp и ПО Program.FakeMoney.16, якобы позволявшее конвертировать виртуальные награды в настоящие деньги.

Наиболее заметные события, связанные с «мобильной» безопасностью в III квартале:

Рост активности рекламных троянов Android.MobiDash
Снижение активности рекламных троянов Android.HiddenAds
Возросшая активность банковских троянов Android.BankBot
Снижение числа атак банковских троянов Android.Banker и Android.SpyMax
Использование злоумышленниками многофункционального бэкдора Android.Backdoor.916.origin для слежки за представителями российского бизнеса
Распространение множества угроз в каталоге Google Play

Более подробно о вирусной обстановке для мобильных устройств в III квартале 2025 года читайте в нашем обзоре.

«Доктор Веб»: обзор вирусной активности для мобильных устройств в III квартале 2025 года

Wed, 01 Oct 2025 02:00:00 GMT

1 октября 2025 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в III квартале 2025 года наибольшее распространение получили трояны Android.MobiDash, которые показывают навязчивую рекламу. По сравнению с прошлым периодом наблюдения они обнаруживались на защищаемых устройствах на 18,19% чаще.

На второе место опустились рекламные трояны Android.HiddenAds, активность которых снижается второй квартал подряд. В течение последних трех месяцев пользователи сталкивались с ними на 71,85% реже. Эти вредоносные приложения скрывают свои значки, чтобы их было сложнее обнаружить и удалить, и демонстрируют рекламу, в том числе полноэкранные видеоролики.

На третьем месте вновь расположились вредоносные программы-подделки Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. Число их детектирований снизилось на 7,49%. Такие трояны вместо заявленной функциональности часто загружают различные сайты — например, мошеннические и вредоносные, а также сайты онлайн-казино и букмекерских контор.

Самыми распространенными банковскими троянами остались представители семейства Android.Banker, несмотря на снижение активности на 38,88%. Злоумышленники используют их для получения нелегального доступа к банковским счетам и похищения денег. Эти трояны могут демонстрировать фишинговые окна для кражи логинов и паролей, имитировать внешний вид настоящих программ «банк-клиент», перехватывать СМС для получения одноразовых кодов и т. д.

За ними расположились трояны Android.BankBot, которые детектировались на 18,91% чаще. Они также пытаются получить доступ к учетным записям онлайн-банка пользователей, перехватывая коды подтверждения. При этом данные банковские трояны могут выполнять различные команды киберпреступников, а некоторые из них позволяют дистанционно управлять зараженными устройствами.

Замыкают тройку лидеров представители семейства Android.SpyMax, основанные на исходном коде трояна-шпиона SpyNote. Они детектировались на 17,25% реже, чем во II квартале. Эти вредоносные программы обладают широким набором вредоносных функций, в том числе позволяют дистанционно управлять устройствами.

В августе мы сообщили о кампании по распространению многофункционального бэкдора Android.Backdoor.916.origin, которого киберпреступники используют для кражи конфиденциальных данных и слежки за пользователями Android-устройств. Злоумышленники отправляли потенциальным жертвам сообщения в различных мессенджерах, предлагая установить «антивирус» из прикрепленного APK-файла. Антивирусная лаборатория «Доктор Веб» обнаружила первые версии этой вредоносной программы еще в январе 2025 года и с тех пор продолжает отслеживать ее развитие. По оценкам наших экспертов, бэкдор применяется в таргетированных атаках и не предназначен для массового распространения. Основной целью киберпреступников являются представители российского бизнеса.

В течение III квартала в каталоге Google Play распространялось множество вредоносных и нежелательных приложений, которые суммарно были установлены свыше 1 459 000 раз. Среди них — десятки троянов Android.Joker, подписывающих жертв на платные услуги, а также программы-подделки Android.FakeApp. Кроме того, наши вирусные аналитики выявили очередную программу, которая якобы позволяла конвертировать виртуальные награды в настоящие деньги.

Главные тенденции III квартала

Рекламные трояны Android.MobiDash стали самыми распространенными угрозами
Продолжилось снижение активности рекламных троянов Android.HiddenAds
Возросло число атак банковских троянов семейства Android.BankBot
Снизилась активность банковских троянов Android.Banker и Android.SpyMax
Киберпреступники использовали многофункционального бэкдора Android.Backdoor.916.origin для атак на представителей российского бизнеса
В каталоге Google Play распространялось множество вредоносных программ

По данным Dr.Web Security Space для мобильных устройств

Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Click.1812: Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Android.HiddenAds.673.origin: Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Triada.5847: Детектирование упаковщика для троянов семейства Android.Triada, предназначенного для их защиты от анализа и обнаружения. Чаще всего злоумышленники используют его совместно с вредоносными модами мессенджера Telegram, в которые непосредственно встроены эти трояны.

Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.5
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin: Приложение, позволяющее вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.2.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.AdPush.3.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Youmi.4: Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.

Угрозы в Google Play

В III квартале 2025 года антивирусная лаборатория «Доктор Веб» зафиксировала в каталоге Google Play свыше 50 троянов семейства Android.Joker, которые подписывают пользователей на платные услуги. Они распространялись под видом различного ПО, включая мессенджеры, всевозможные системные утилиты, редакторы изображений, программы для фотосъемки, работы с документами и т. д.

Один из троянов скрывался в программе для оптимизации работы системы Clean Boost (Android.Joker.2412), другой — в приложении Convert Text to PDF (Android.Joker.2422) для преобразования текста в PDF-документы

Кроме того, наши специалисты обнаружили очередные программы-подделки Android.FakeApp, используемые в мошеннических схемах. Как и прежде, некоторые из них киберпреступники выдавали за финансовые приложения — справочники, обучающие пособия, ПО для доступа к инвестиционным сервисам. Эти подделки загружали мошеннические сайты. Другие троянские программы Android.FakeApp распространялись под видом игр и при определенных условиях вместо обещанной функциональности загружали сайты букмекеров и онлайн-казино.

Примеры троянов Android.FakeApp, замаскированных под приложения финансовой тематики. Android.FakeApp.1889 предлагал пользователям проверить финансовую грамотность, а Android.FakeApp.1890 — развивать финансовое мышление

Также наши эксперты обнаружили нежелательную программу Program.FakeMoney.16, которая распространялась в виде приложения Zeus Jackpot Mania. Пользователи этого ПО получали виртуальные награды, которые затем якобы могли конвертировать в настоящие деньги и вывести из приложения.

Program.FakeMoney.16 в каталоге Google Play

Для «вывода» денег программа запрашивала ряд данных, однако никаких выплат жертвы в итоге не получали.

Program.FakeMoney.16 просит указать полное имя пользователя и сведения об учетной записи банка

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности для мобильных устройств во II квартале 2025 года

Tue, 01 Jul 2025 05:00:00 GMT

1 июля 2025 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, во II квартале 2025 года самыми распространенными вредоносными программами вновь стали рекламные трояны различных семейств. Наибольшая активность наблюдалась со стороны представителей группы Android.HiddenAds несмотря на то, что пользователи сталкивались с ними на 8,62% реже. Следом расположились рекламные трояны Android.MobiDash, число атак с их участием увеличилось на 11,17%. Вредоносные программы Android.FakeApp, которые применяются в различных мошеннических схемах, замыкают тройку лидеров — они детектировались на защищаемых устройствах на 25,17% реже.

Отмечался рост активности банковских троянов Android.Banker — на 73,15% по сравнению с предыдущим кварталом. В то же время ряд других семейств детектировался реже; например, Android.BankBot — на 37,19%, а Android.SpyMax — на 19,14%.

В апреле наши вирусные аналитики сообщили о выявленной масштабной кампании по краже криптовалют у владельцев Android-смартфонов. В ее рамках злоумышленники внедрили трояна Android.Clipper.31 в прошивку ряда бюджетных моделей, скрыв его в модифицированной версии приложения WhatsApp. Эта вредоносная программа перехватывает отправляемые и получаемые в мессенджере сообщения, ищет в них адреса криптокошельков Tron и Ethereum и заменяет их адресами, которые принадлежат мошенникам. При этом троян скрывает подмену, и пользователи зараженных устройств видят в таких сообщениях «правильные» кошельки. Кроме того, Android.Clipper.31 отправляет на удаленный сервер все изображения форматов jpg, png и jpeg с целью поиска в них мнемонических фраз для криптокошельков жертв.

В этом же месяце мы рассказали о трояне-шпионе, нацеленном на российских военнослужащих. Вредоносная программа Android.Spy.1292.origin скрывалась в одной из модифицированных версий картографического ПО Alpine Quest. Она распространялась как через принадлежащий злоумышленникам поддельный Telegram-канал приложения, так и через один из российских каталогов Android-приложений. Android.Spy.1292.origin передавал атакующим различные конфиденциальные данные. Среди них — учетные записи пользователя, его номер мобильного телефона, контакты из телефонной книги, сведения о геолокации устройства, а также о хранящихся на нем файлах. По команде злоумышленников троян мог похищать заданные файлы. В частности, вирусописателей интересовали конфиденциальные документы, передаваемые через популярные мессенджеры, а также файл журнала локаций программы Alpine Quest.

Вместе с тем за прошедший период наблюдения вирусная лаборатория компании «Доктор Веб» выявила очередные угрозы в каталоге Google Play. Среди них были различные трояны, а также нежелательное рекламное ПО.

Главные тенденции II квартала

Снизилась активность рекламных троянов Android.HiddenAds
Увеличилась активность рекламных троянов Android.MobiDash
Банковские трояны Android.Banker детектировались на защищаемых устройствах чаще, чем в предыдущем квартале
Снизилось число атак семейств банковских троянов Android.BankBot и Android.SpyMax
В прошивках ряда бюджетных моделей Android-смартфонов обнаружен троян для кражи криптовалют
Злоумышленники распространяли трояна, который шпионил за российскими военнослужащими
Очередные угрозы были выявлены в каталоге Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.4213: Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.

Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.NPMod.3
Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Tool.SilentInstaller.14.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.AdPush.3.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.Jiubang.1: Нежелательное рекламное ПО для Android-устройств, которое при установке приложений демонстрирует баннер с рекомендуемыми к установке программами.

Угрозы в Google Play

В течение II квартала 2025 года вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play несколько десятков угроз, включая разнообразные программы-подделки Android.FakeApp. Эти трояны вновь активно распространялись под видом приложений финансовой тематики и вместо обещанной функциональности могли загружать мошеннические сайты.

Android.FakeApp.1863 и Android.FakeApp.1859 — примеры обнаруженных троянов. Первый скрывался в программе TPAO и был нацелен на турецких пользователей, которым предлагалось «легко управлять своими депозитами и доходами». Второго злоумышленники выдавали за «помощник по финансовым вопросам» Quantum MindPro, который был рассчитан на франкоговорящую аудиторию

Другим популярным прикрытием для таких программ-подделок остаются игры. При определенных условиях вместо игровой функциональности они загружают сайты онлайн-казино и букмекерских контор.

Android.FakeApp.1840 (Pino Bounce) — одна из поддельных игр, которая могла загружать сайт онлайн-казино

Вместе с тем наши специалисты выявили новое нежелательное рекламное ПО Adware.Adpush.21912. Оно скрывалось в программе с информационными материалами о криптовалютах Coin News Promax. Adware.Adpush.21912 демонстрирует уведомления, при нажатии на которые в WebView загружается заданная управляющим сервером ссылка.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности во II квартале 2025 года

Tue, 01 Jul 2025 02:00:00 GMT

1 июля 2025 года

Согласно статистике детектирований антивируса Dr.Web, во II квартале 2025 года общее число обнаруженных угроз снизилось на 7,38% по сравнению с I кварталом. Число уникальных угроз при этом также сократилось — на 23,10%. Наиболее часто на защищаемых устройствах выявлялось нежелательное рекламное ПО, бэкдоры, рекламные трояны и вредоносные скрипты. В почтовом трафике самыми распространенными угрозами стали трояны-загрузчики, различные вредоносные скрипты и трояны-дропперы.

В апреле вирусные аналитики компании «Доктор Веб» сообщили о трояне, найденном в прошивке ряда моделей Android-смартфонов. С его помощью киберпреступники похищали криптовалюту. Кроме того, наши специалисты выявили Android-трояна, которого злоумышленники внедрили в одну из версий популярной картографической программы и использовали для слежки за российскими военнослужащими.

В течение II квартала наши интернет-аналитики обнаружили множество новых мошеннических сайтов. Среди них — сайты несуществующих образовательных площадок, якобы позволявших потенциальным жертвам пройти онлайн-обучение и повысить свою квалификацию, а также очередные сайты инвестиционной тематики, обещавшие быстрый и легкий заработок.

Статистика детектирований на мобильных устройствах продемонстрировала снижение активности рекламных троянов Android.HiddenAds, однако данное семейство вредоносных программ по-прежнему остается наиболее распространенной Android-угрозой. Вместе с тем во II квартале наша вирусная лаборатория обнаружила в каталоге Google Play множество новых угроз.

Главные тенденции II квартала

Снижение числа угроз, выявленных на защищаемых устройствах
Снижение числа уникальных угроз, задействованных в атаках
Появление множества мошеннических сайтов, якобы связанных со сферой образования и финансами
Фиксация атаки трояна-шпиона на российских военнослужащих, использующих популярное картографическое ПО для Android-устройств
Обнаружение в прошивке ряда моделей Android-смартфонов трояна, предназначенного для кражи криптовалюты
Рекламные трояны Android.HiddenAds остаются одними из наиболее распространенных Android-угроз
В каталоге Google Play выявлены очередные вредоносные и нежелательные программы

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы II квартала 2025 года:

VBS.KeySender.6: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.BPlug.4242
Trojan.BPlug.3814: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Trojan.Siggen30.53926: Хост-процесс модифицированного злоумышленниками фреймворка Electron, мимикрирующий под компонент приложения Steam (Steam Client WebHelper) и загружающий JavaScript-бэкдор.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
Win32.HLLW.Rendoc.3: Сетевой червь, распространяющийся в том числе через съемные носители информации.
W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
PDF.Phisher.867: PDF-документы, используемые в фишинговых email-рассылках.

Шифровальщики

Во II квартале 2025 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 14,65% по сравнению с I кварталом.

Динамика поступления запросов на расшифровку в службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры II квартала 2025 года:

Trojan.Encoder.35534 — 24.41% обращений пользователей
Trojan.Encoder.35209 — 4.41% обращений пользователей
Trojan.Encoder.29750 — 2.71% обращений пользователей
Trojan.Encoder.35067 — 2.71% обращений пользователей
Trojan.Encoder.41868 — 2.71% обращений пользователей

Сетевое мошенничество

В течение II квартала 2025 года интернет-аналитики компании «Доктор Веб» выявили множество мошеннических веб-сайтов, якобы связанных со сферой образования. Так, распространение получили интернет-ресурсы, предлагавшие пройти обучение тем или иным профессиям. Например, рассчитанные на казахстанских пользователей платформы SMM Академия и LearnIT KZ якобы позволяли «освоить профессию SMM-менеджера за 3 месяца» и «стать аналитиком данных».

На других сайтах потенциальные жертвы якобы могли ознакомиться с различными курсами. Среди них были курсы английского языка и получения навыков управления капиталом — от «платформ» EnglishPro и FinCourse соответственно:

А мошеннический сайт некоего сервиса «Финансовое Образование» якобы мог помочь повысить финансовую грамотность — на нем посетителям предлагалось «освоить свои финансы и гарантировать свое будущее»:

Для «доступа» к рекламируемым услугам такие сайты требуют регистрацию с указанием персональных данных — например, имени, номера мобильного телефона, адреса электронной почты и т. д. Они аккумулируются в руках злоумышленников и в дальнейшем могут использоваться в различных мошеннических схемах.

Вместе с тем появились новые мошеннические сайты псевдоинвестиционных проектов, которые киберпреступники часто преподносят как якобы имеющие отношение к известным компаниям и сервисам. Например, на одном из них пользователям предлагали стать участниками инновационного проекта на основе технологий искусственного интеллекта. Этот ресурс выдавался за сервис автоконцерна Audi и якобы позволял в автоматическом режиме торговать криптовалютами и получать гарантированный высокий доход. Для «доступа» к сервису требовалось внести стартовую сумму в €250.

Другой «инвестиционный проект» якобы имел отношение к социальной сети TikTok. Посетителей мошеннического сайта просили пройти небольшой опрос, после чего указать персональные данные для регистрации и доступа к обещанному сервису:

Кроме того, были выявлены очередные мошеннические сайты, замаскированные под официальные веб-ресурсы мессенджера WhatsApp. На одном из них посетителям предлагали получить цифровые монеты, каждая из которых «приносит владельцу €15 в день». Пользователю якобы становились доступны 160 таких монет, но чтобы тот начал «зарабатывать на них», ему требовалось зарегистрировать учетную запись, указав персональные данные. На самом деле никаких цифровых активов потенциальная жертва не получала, а ее данные оказывались у мошенников.

Еще один поддельный сайт WhatsApp якобы предоставлял доступ к очередному торговому боту, основанному на неких уникальных разработках. Пользователям рекомендовали «запустить WhatsApp Bot и зарабатывать на автомате». Для этого от них традиционно требовалась регистрация с указанием личных данных, которые затем передавались злоумышленникам.

Мошенники также нацеливались и на пользователей из определенных стран. Например, жители России могли столкнуться с сайтами, предлагавшими «воплотить свои мечты в реальность» вместе с тем или иным инвестиционным сервисом. Злоумышленники использовали одинаковый шаблон для оформления таких ресурсов, меняя лишь их внешний вид, а также названия несуществующих площадок.

Примечательно, что сайты на основе такого же шаблона создавались и для жителей других государств — например, Узбекистана:

Один из выявленных мошеннических сайтов завлекал русскоязычных пользователей, проживающих в Европе. На нем киберпреступники обещали потенциальным жертвам пассивный доход до €1000 в неделю «с помощью инновационных финансовых решений нового поколения» от некой площадки LevelUPTrade:

Пользователи из Франции могли стать жертвами злоумышленников, предлагавших доступ к несуществующему автоматизированному торговому ПО TraderAI. С его помощью потенциальные жертвы якобы имели возможность зарабатывать от €3500:

Для жителей Мексики мошенники также приготовили «интеллектуальную торговую систему» — QuantumIA. Это один из вариантов хорошо известной псевдоторговой системы Quantum System или QuantumAI, якобы позволяющей автоматически торговать на финансовых рынках с использованием квантовых вычислений и технологий искусственного интеллекта.

На другом сайте мошенники якобы от имени крупного банка предлагали мексиканским пользователям инвестиционные услуги — обещали шанс заработать 16 000 мексиканских песо в течение короткого срока после регистрации. Для этого нужно было указать свои персональные данные.

Германские пользователи рисковали стать жертвами поддельной торговой платформы Lucrosa Infinity, образ которой в том или ином виде киберпреступники эксплуатируют на протяжении нескольких лет. На одном из мошеннических сайтов злоумышленники предлагали «начать инвестировать и открыть дверь к финансовой независимости»:

Жителям Канады киберпреступники также предлагали воспользоваться «уникальными» сервисами, якобы обеспечивающими высокий доход через инвестиции и торговлю криптовалютами. Например, выявленные мошеннические сайты рекламировали такие «платформы» как BitcoinFusionPro и BitcoinReaction. Они якобы давали возможность клиентам зарабатывать от 1000 канадских долларов в день, вложив «всего лишь» 350 долларов:

С похожими сайтами-подделками сталкивались и жители Польши. На одном из них мошенники обещали потенциальным жертвам, что те смогут зарабатывать от $950 до $2200 в день с «самым передовым программным обеспечением для управления криптовалютой в мире»:

Другой сайт предлагал инвестировать €250 и ежедневно зарабатывать уже €700:

Один из мошеннических ресурсов обещал польским пользователям «возможность работать из дома и зарабатывать приличные деньги» благодаря автоматизированной системе Click Money. С ее помощью люди без опыта торговли якобы могут получать до 64 000 000 польских злотых в год:

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, во II квартале 2025 года наиболее часто на защищаемых устройствах обнаруживались рекламные трояны Android.HiddenAds. По сравнению с предыдущим кварталом пользователи сталкивались с ними несколько реже. Следом расположились рекламные трояны Android.MobiDash и вредоносные программы-подделки Android.FakeApp. При этом активность первых увеличилась, а вторых — снизилась.

Среди банковских троянов также наблюдалась разнонаправленная динамика. Например, было зафиксировано больше атак со стороны представителей семейства Android.Banker. В то же время трояны семейств Android.BankBot и Android.SpyMax детектировались на защищаемых устройствах реже.

Во II квартале в прошивках ряда моделей Android-смартфонов специалисты компании «Доктор Веб» обнаружили трояна Android.Clipper.31. Эта вредоносная программа скрывалась в модифицированной злоумышленниками версии мессенджера WhatsApp и использовалась для кражи криптовалют у владельцев зараженных устройств. Кроме того, наши вирусные аналитики выявили вредоносную программу Android.Spy.1292.origin. Киберпреступники внедрили ее в одну из версий картографического ПО Alpine Quest и с ее помощью шпионили за российскими военнослужащими.

За последние 3 месяца десятки угроз были найдены в каталоге Google Play. Среди них — вредоносные программы-подделки Android.FakeApp и новое нежелательное рекламное ПО Adware.Adpush.21912.

Наиболее заметные события, связанные с «мобильной» безопасностью в II квартале:

Снижение активности рекламных троянов Android.HiddenAds
Рост активности рекламных троянов Android.MobiDash
Участившиеся случаи детектирования банковских троянов Android.Banker
Снижение числа атак банковских троянов Android.BankBot и Android.SpyMax
Обнаружение трояна для кражи криптовалют, который скрывался в прошивках ряда моделей Android-смартфонов
Обнаружение трояна-шпиона, нацеленного на российских военнослужащих
Появление новых угроз в каталоге Google Play

Более подробно о вирусной обстановке для мобильных устройств в II квартале 2025 года читайте в нашем обзоре.

«Доктор Веб»: обзор вирусной активности в I квартале 2025 года

Thu, 27 Mar 2025 00:00:00 GMT

27 марта 2025 года

Согласно статистике детектирований антивируса Dr.Web, в I квартале 2025 года общее число обнаруженных угроз увеличилось на 7,23% по сравнению с IV кварталом 2024. В то же время число уникальных угроз сократилось почти на треть — на 27,59%. Это говорит о том, что злоумышленники, несколько увеличив интенсивность атак, чаще задействовали в них одни и те же вредоносные и нежелательные программы. Наибольшее распространение получили вредоносные скрипты различной функциональности, а также рекламные трояны и рекламное ПО.

В почтовом трафике чаще всего обнаруживались трояны-дропперы и загрузчики, рекламное ПО, вредоносные скрипты, а также трояны, предназначенные для запуска различных угроз на атакуемых компьютерах.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.35209 и Trojan.Encoder.35067.

В январе вирусная лаборатория «Доктор Веб» выявила активную кампанию по добыче криптовалюты Monero, организованную с использованием множества различных вредоносных программ. Для маскировки некоторых из них злоумышленники применили стеганографию — прием, позволяющий скрывать одни данные среди других (например, в изображениях).

Вместе с тем в течение I квартала наши интернет-аналитики фиксировали увеличение числа мошеннических сайтов, направленных на кражу учетных записей пользователей мессенджера Telegram.

В сегменте мобильных угроз наблюдался рост активности рекламных троянов и некоторых семейств банковских троянов для ОС Android. При этом специалисты компании «Доктор Веб» выявили десятки новых вредоносных приложений в каталоге Google Play.

Главные тенденции I квартала

Рост числа угроз, выявленных на защищаемых устройствах
Снижение числа уникальных угроз, задействованных в атаках
Увеличение числа фишинговых сайтов, созданных для кражи учетных записей Telegram
Рост активности ряда распространенных семейств рекламных и банковских троянов для ОС Android
Появление новых вредоносных программ в Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы I квартала 2025 года:

VBS.KeySender.6: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.BPlug.4242: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.Siggen30.53926: Хост-процесс модифицированного злоумышленниками фреймворка Electron, мимикрирующий под компонент приложения Steam (Steam Client WebHelper) и загружающий JavaScript-бэкдор.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.AVKill.63950: Дроппер, устанавливающий бэкдор JS.BackDoor.42 на компьютеры под управлением ОС Windows.
Trojan.Inject5.13806: Вредоносная программа для компьютеров с ОС Windows, созданная с использованием скриптового языка AutoIt. Она запускает несколько системных процессов и инжектирует в них трояна-шпиона Trojan.Fbng, которого атакующие могут использовать в том числе в качестве банковского трояна.

Шифровальщики

В I квартале 2025 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 9,34% по сравнению с IV кварталом минувшего года.

Динамика поступления запросов на расшифровку в службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры I квартала 2025 года:

Trojan.Encoder.35534 — 11.89% обращений пользователей
Trojan.Encoder.35209 — 5.95% обращений пользователей
Trojan.Encoder. 35067 — 3.57% обращений пользователей
Trojan.Encoder.38200 — 2.38% обращений пользователей
Trojan.Encoder.37369 — 1.98% обращений пользователей

Сетевое мошенничество

В I квартале 2025 года интернет-аналитики компании «Доктор Веб» отметили появление множества новых фишинговых сайтов для кражи учетных записей мессенджера Telegram. Среди часто встречавшихся вариантов были поддельные страницы авторизации и страницы поддержки, сообщающие о якобы возникших проблемах в связи с неким нарушением условий использования сервиса.

Распространение вновь получили поддельные сайты интернет-магазинов, на которых злоумышленники предлагали потенциальным жертвам войти в их учетную запись.

Фишинговая форма авторизации на поддельном сайте одного из российских интернет-магазинов

Наши специалисты продолжили фиксировались мошеннические сайты со всевозможными «выгодными предложениями», такими как доступ к легкому или быстрому заработку, получение тех или иных подарков, участие в акциях и т. п. Например, одна из схем была рассчитана на жителей Великобритании. Им предлагалось получить транспортные карты «ограниченного выпуска», которые якобы приурочены к юбилею того или иного перевозчика и позволят длительное время бесплатно пользоваться услугами общественного транспорта.

Мошеннические сайты, предлагающие шанс получить «акционные» транспортные карты First Essex и Oyster для бесплатного пользования общественным транспортом

Пользователи должны были ответить на несколько вопросов, а затем сыграть в игру, открывая виртуальные коробки с подарками («выигрыш» в подобных сценариях прописан заранее). После «победы» от них требовалось указать персональные данные и заплатить £2 для «получения» обещанной карты. Личная информация жертв и деньги в итоге оказывались у злоумышленников.

Потенциальная жертва якобы успешно обнаружила карту в одной из игровых коробок и для ее получения должна указать персональные данные, а также заплатить £2

Форма ввода реквизитов банковской карты для оплаты несуществующей акционной транспортной карты

Злоумышленники продолжают завлекать потенциальных жертв всевозможными торговыми платформами с «уникальными» алгоритмами, в том числе якобы на основе технологий искусственного интеллекта. При этом мошенники используют имена известных личностей и прикрываются настоящими компаниями и сервисами, утверждая о том, что связаны с ними. Одним из актуальных сценариев остается обещание заработать при помощи неких специализированных сервисов от Telegram, WhatsApp и других компаний.

Так, некоторые сайты рекламировали всевозможные ИИ-платформы, такие как Telegram AI и WHATSAPP AI — они якобы могли принести от €14 000 в месяц за счет применения «автоматизированной торговой системы»:

Другие варианты эксплуатировали тематику торговых ботов, которые часто преподносятся как инструменты, созданные непосредственно владельцами мессенджеров. Например, один из сайтов обещал, что «бот Павла Дурова» Telegram.AI позволит ежемесячно зарабатывать от €2500, а другой для получения до €500 в день предлагал воспользоваться ботом WhatsApp Bot, якобы созданным Марком Цукербергом.

Еще один мошеннический сайт предлагал зарегистрироваться на «платформе Telegram», которая, как утверждалось, запускается непосредственно из браузера смартфона, автоматически торгует акциями мировых компаний и приносит €10 000 в месяц:

Другой обещал «каждому жителю Европы» доход от €5000 в месяц с помощью неких алгоритмов компании WhatsApp на базе искусственного интеллекта:

Распространенной вариацией мошеннической схемы с фиктивной торговой системой на основе ИИ является скам-платформа «Формула богатства», якобы совершающая торговые операции за доли секунды с учетом анализа огромного объема данных. Всевозможные сайты этой несуществующей системы предлагают посетителям ознакомиться с информационным роликом и зарегистрироваться для консультации в «офисе противокризисных решений». Мошенников интересуют преимущественно европейские — в частности, чешские — пользователи, которым обещают доходность €1000 в день «в течение всей жизни». Для доступа к системе от потенциальных жертв требуется внести минимальный депозит €250.

Популярными остаются и другие похожие сценарии — например, получение дохода с помощью того или иного специализированного ПО. Так, один из сайтов приглашал чешских пользователей зарабатывать десятки тысяч крон в день благодаря «самому интеллектуальному криптографическому программному обеспечению в мире»:

Другой мошеннический портал сулил заработок более 4,7 миллионов крон ежемесячно при использовании некоего торгового ПО «10K EVERY DAY APP»:

Вместе с тем пользователи продолжили сталкиваться и с фиктивными сайтами инвестиционной тематики, целью которых становятся жители различных стран. Например, для аудитории из Казахстана мошенники приготовили очередную платформу для пассивного заработка через торговлю нефтью и газом:

Множество других сайтов предлагали «заработать как можно больше» на торговле акциями Казахстана, России, Китая и прочих государств:

С похожими сайтами сталкивались жители России и Киргизии — они якобы могли заработать на торговле нефтью и газом:

А один из мошеннических интернет-ресурсов предлагал румынским пользователям присоединиться к проекту газопровода BRUA и сулил 3000 леев в неделю в качестве пассивного заработка:

Приманкой для потенциальных жертв остаются сайты, обещающие государственную поддержку населению в виде пособий, социальных выплат и т. п. Так, злоумышленники пытались заманить российских пользователей на очередные подделки портала Госуслуг. На одном из таких сайтов предлагалось указать персональные данные якобы для участия в программе выплат от нефтегазовой компании, а также получения бонусов от правительства:

Другой мошеннический сайт обещал помощь каждому жителю Казахстана в виде денежных выплат якобы от имени крупного банка «для избежания проблем и бедствия»:

Не теряют актуальность и поддельные сайты инвестиционных сервисов — в частности, российских кредитных организаций. Многие из них мимикрируют под настоящие веб-порталы банков, чтобы максимально запутать потенциальных жертв.

Примеры поддельных сайтов российских банков, предлагающих получить доступ к «инвестиционным услугам»

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2025 года наиболее распространенными Android-угрозами стали рекламные трояны Android.HiddenAds и Android.MobiDash, а также вредоносные программы-подделки Android.FakeApp. По сравнению IV кварталом минувшего года их активность возросла. Кроме того, пользователи чаще сталкивались с банковскими троянами Android.BankBot и Android.Banker. Трояны-шпионы Android.SpyMax, число атак с применением которых в 2024 году увеличивалось практически каждый месяц, напротив, детектировались на защищаемых устройствах реже.

Наши специалисты вновь выявили множество угроз в каталоге Google Play. Среди них — трояны, используемые в разнообразных мошеннических схемах, вредоносные программы для похищения криптовалют, а также рекламные трояны.

Наиболее заметные события, связанные с «мобильной» безопасностью в I квартале:

Рост активности рекламных троянов Android.HiddenAds и Android.MobiDash
Рост активности банковских троянов Android.BankBot и Android.Banker
Снижение числа атак троянов-шпионов Android.SpyMax
Обнаружение новых угроз в каталоге Google Play

Более подробно о вирусной обстановке для мобильных устройств в I квартале 2025 года читайте в нашем обзоре.

«Доктор Веб»: обзор вирусной активности для мобильных устройств в I квартале 2025 года

Thu, 27 Mar 2025 00:00:00 GMT

27 марта 2025 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2025 года рекламные трояны Android.HiddenAds остались наиболее распространенными вредоносными программами для ОС Android. При этом по сравнению с IV кварталом прошлого года они обнаруживались на защищаемых устройствах более чем в 2 раза чаще. Второе место вновь досталось вредоносным приложениям Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах; их активность возросла почти на 8%. Третьими стали рекламные трояны семейства Android.MobiDash — число их детектирований возросло почти в 5 раз.

Похожая динамика наблюдалась и среди многих банковских троянов. Так, был зафиксирован рост числа атак представителей семейств Android.BankBot и Android.Banker — на 20,68% и 151,71% соответственно. В то же время трояны Android.SpyMax, активность которых росла практически в течение всего 2024 года, детектировались на 41,94% реже, чем кварталом ранее.

В течение последних 3 месяцев специалисты «Доктор Веб» выявили десятки новых угроз в каталоге Google Play. Наряду с традиционно большим количеством троянов Android.FakeApp наша вирусная лаборатория зафиксировала там вредоносные программы для кражи криптовалют, а также очередные трояны, демонстрирующие навязчивую рекламу.

ГЛАВНЫЕ ТЕНДЕНЦИИ I КВАРТАЛА

Рост активности рекламных троянов
Увеличение числа атак банкеров Android.BankBot и Android.Banker
Снижение активности троянов-шпионов Android.SpyMax
В Google Play появилось множество новых вредоносных приложений

По данным Dr.Web Security Space для мобильных устройств

Android.HiddenAds.657.origin
Android.HiddenAds.655.origin
Android.HiddenAds.4214: Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeMoney.11
Program.FakeMoney.14: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Tool.SilentInstaller.14.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.AdPush.3.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Угрозы в Google Play

В I квартале 2025 года вирусная лаборатория компании «Доктор Веб» выявила в Google Play несколько десятков вредоносных приложений. Среди них — различные модификации троянов Android.HiddenAds.4213 и Android.HiddenAds.4215, которые скрывают свое присутствие на зараженных устройствах и начинают демонстрировать рекламу поверх других программ и интерфейса операционной системы. Они скрывались в приложениях для фото- и видеосъемки с различными эффектами, фоторедакторах, сборнике изображений и дневнике женского здоровья.

Рекламные трояны Android.HiddenAds, скрывающиеся в программах Time Shift Cam и Fusion Collage Editor

Также наши специалисты обнаружили вредоносные программы Android.CoinSteal.202, Android.CoinSteal.203 и Android.CoinSteal.206, предназначенные для кражи криптовалют и распространявшиеся под видом официального ПО блокчейн-платформ Raydium и Aerodrome Finance, а также криптобиржи Dydx.

Программы Raydium и Dydx Exchange — трояны для кражи криптовалют

При запуске вредоносные приложения предлагают потенциальным жертвам ввести мнемоническую фразу (seed-фразу) якобы для подключения криптокошелька, но на самом деле вводимые данные передаются злоумышленникам. Чтобы окончательно ввести пользователей в заблуждение, формы для ввода мнемонических фраз могут быть замаскированы под запросы от прочих криптоплатформ. Как показано на примере ниже, Android.CoinSteal.206 продемонстрировал фишинговую форму якобы от имени криптобиржи PancakeSwap.

Вместе с тем в Google Play вновь распространялись программы-подделки Android.FakeApp. Многие из них мошенники выдавали за приложения финансовой тематики, включая обучающие пособия, инструменты для доступа к инвестиционным сервисам, программы для учета личных финансов. Они загружали различные фишинговые сайты, в том числе используемые злоумышленниками для сбора персональных данных.

Примеры вредоносных программ Android.FakeApp, распространявшихся под видом финансового ПО: «Умные Деньги» — Android.FakeApp.1803, Economic Union — Android.FakeApp.1777

Другие трояны Android.FakeApp при определенных условиях загружали сайты букмекеров и онлайн-казино. Такие варианты вредоносных программ распространялись под видом всевозможных игр и прочего ПО — например, тренажера для скоростного набора текста и пособия по рисованию. Среди них были в том числе новые модификации трояна Android.FakeApp.1669.

Примеры вредоносных программ-подделок, которые вместо обещанной функциональности могли загружать сайты онлайн-казино и букмекерских контор

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности за 2024 год

Thu, 30 Jan 2025 01:00:00 GMT

30 января 2025 года

В 2024 году среди самых распространенных угроз вновь оказались вредоносные программы, созданные с использованием скриптового языка AutoIt и распространяемые в составе другого вредоносного ПО для затруднения его обнаружения. Наблюдалась высокая активность рекламных троянов и различных вредоносных скриптов. В почтовом трафике чаще всего также детектировались вредоносные скрипты. Кроме того, посредством нежелательных писем распространялись всевозможные троянские программы, фишинговые документы и эксплойты, позволяющие выполнять произвольный код.

Среди мобильных угроз наибольшее распространение получили рекламные троянские программы, трояны-шпионы и нежелательное рекламное ПО. В течение года наблюдался рост активности мобильных банковских троянов. При этом наша вирусная лаборатория обнаружила сотни новых вредоносных и нежелательных программ в каталоге Google Play.

Интернет-аналитики отмечали высокую активность сетевых мошенников, арсенал которых пополнился новыми схемами обмана.

По сравнению с 2023 годом сократилось число обращений пользователей за расшифровкой файлов, пострадавших от действий троянов-энкодеров. Вместе с тем наши специалисты наблюдали множество событий, связанных с информационной безопасностью. В течение года компания «Доктор Веб» расследовала несколько таргетированных атак, выявила очередное заражение ТВ-приставок, работающих на базе ОС Android, а также отразила атаку на собственную инфраструктуру.

Главные тенденции года

Сохранение высокой активности троянов, созданных с использованием скриптового языка AutoIt
Одними из самых распространенных угроз были вредоносные скрипты
Среди почтовых угроз преобладали вредоносные скрипты и различные троянские программы
Зафиксированы новые таргетированные атаки
Злоумышленники стали чаще эксплуатировать технологию eBPF для сокрытия вредоносной активности
Снижение числа запросов на расшифровку файлов, пострадавших от троянов-вымогателей
Высокая активность интернет-мошенников
Мобильные банковские трояны стали применяться чаще
Обнаружение множества новых угроз в каталоге Google Play

Наиболее интересные события 2024 года

В январе специалисты «Доктор Веб» сообщили о трояне-майнере Trojan.BtcMine.3767, скрытом в пиратских программах, которые распространялись через специально созданный Telegram-канал и ряд интернет-сайтов. Вредоносная программа заразила десятки тысяч Windows-компьютеров. Для закрепления в атакуемой системе она создавала в планировщике задачу на собственный автозапуск и добавляла себя в исключения антивируса Windows Defender. Затем она внедряла в процесс explorer.exe (Проводник Windows) компонент, непосредственно отвечавший за добычу криптовалюты. Trojan.BtcMine.3767 также позволял выполнять ряд других вредоносных действий — например, устанавливать бесфайловый руткит, блокировать доступ к сайтам и запрещать обновления операционной системы.

В марте наша компания опубликовала исследование целевой атаки на российское предприятие машиностроительного сектора. Расследование инцидента выявило многоступенчатый вектор заражения и использование злоумышленниками сразу нескольких вредоносных приложений. Наибольший интерес представлял бэкдор JS.BackDoor.60, через который проходило основное взаимодействие между атакующими и зараженным компьютером. Этот троян использует собственный фреймворк на языке JavaScript и состоит из основного тела и вспомогательных модулей. Он позволяет красть файлы с зараженных устройств, отслеживать вводимую на клавиатуре информацию, создавать скриншоты, загружать собственные обновления и расширять функциональность через загрузку новых модулей.

В мае вирусные аналитики «Доктор Веб» выявили трояна-кликера Android.Click.414.origin в приложении Love Spouse для управления игрушками для взрослых, а также приложении QRunning для отслеживания физической активности — оба распространялись через каталог Google Play. Android.Click.414.origin маскировался под компонент для сбора отладочной информации и был внедрен в несколько новых версий этих программ. Позднее разработчики Love Spouse выпустили обновленную версию, которая более не содержала трояна. Реакции авторов второй программы не последовало. Android.Click.414.origin имел модульную архитектуру и с помощью своих компонентов мог выполнять различные вредоносные действия: собирать данные о зараженном устройстве, скрытно загружать веб-страницы, показывать рекламу, выполнять клики и взаимодействовать с содержимым загружаемых страниц.

В июле мы рассказали о появлении Linux-версии известного трояна удаленного доступа TgRat, который используется для целевых атак на компьютеры. Новый вариант вредоносного приложения, получивший имя Linux.BackDoor.TgRat.2, был выявлен в ходе расследования инцидента информационной безопасности, с которым к нам обратился один из хостинг-провайдеров. Антивирус Dr.Web выявил подозрительный файл на сервере одного из его клиентов — им оказался дроппер бэкдора, который и устанавливал трояна. Злоумышленники управляли Linux.BackDoor.TgRat.2 через закрытую Telegram-группу, используя подключенный к ней Telegram-бот. С помощью мессенджера они могли скачивать из скомпрометированной системы файлы, делать снимки экрана, удалённо выполнять команды или загружать файлы на компьютер, используя вложения в чате.

В начале сентября на сайте компании «Доктор Веб» вышел материал, рассказывающий о несостоявшейся таргетированной атаке на крупное российское предприятие отрасли грузовых железнодорожных перевозок. Несколькими месяцами ранее сотрудники отдела информационной безопасности этой компании зафиксировали подозрительное электронное письмо с прикрепленным к нему файлом. Его изучение нашими вирусными аналитиками показало, что это замаскированный под pdf-документ Windows-ярлык с прописанными в нем параметрами запуска командного интерпретатора PowerShell. Открытие этого ярлыка должно было привести к многоступенчатому заражению целевой системы сразу несколькими вредоносными программами для кибершпионажа. Одной из них был Trojan.Siggen27.11306, эксплуатировавший уязвимость CVE-2024-6473 Яндекс Браузера к перехвату порядка поиска DLL (DLL Search Order Hijacking). Троян помещал в каталог установки браузера вредоносную dll-библиотеку с именем системного компонента Wldp.dll, отвечающего за обеспечение безопасности запуска приложений. Поскольку вредоносный файл находился в папке приложения, при запуске последнего троянской библиотеке вследствие уязвимости браузера отдавался больший приоритет, и та загружалась первой. Она также получала все разрешения самого браузера. Данная уязвимость в дальнейшем была исправлена.

Чуть позже наши специалисты рассказали об очередной атаке на ТВ-приставки на базе ОС Android. В кампании была задействована вредоносная программа Android.Vo1d, заразившая почти 1 300 000 устройств у пользователей из 197 стран. Это был модульный бэкдор, который помещал свои компоненты в системную область и по команде злоумышленников мог скрытно скачивать и запускать другие приложения.

Кроме того, в сентябре была зафиксирована целевая атака на ресурсы нашей компании. Специалисты «Доктор Веб» оперативно пресекли попытку навредить инфраструктуре, успешно отразив атаку. При этом никто из наших пользователей также не пострадал.

В октябре вирусные аналитики «Доктор Веб» проинформировали об обнаружении ряда новых вредоносных программ для ОС Linux. Их удалось выявить благодаря исследованию атак на устройства с установленной системой управления базами данных Redis, которая все чаще становится объектом внимания киберпреступников, эксплуатирующих в ней различные уязвимости. Среди обнаруженных угроз были бэкдоры, дропперы и новая модификация руткита, устанавливавшего на скомпрометированные устройства троян-майнер Skidmap. Этот майнер активен с 2019 года, а его основной целью являются корпоративные ресурсы — крупные серверы и облачные среды.

В этом же месяце наша вирусная лаборатория выявила масштабную кампанию по распространению вредоносных программ для добычи и кражи криптовалюты. От действий злоумышленников пострадали свыше 28 000 пользователей, большинство из них — в России. Трояны скрывались в пиратском ПО, для распространения которого использовались созданные на платформе GitHub мошеннические сайты. Кроме того, вирусописатели размещали ссылки на загрузку вредоносных приложений под размещенными на платформе YouTube видеороликами.

В ноябре наши специалисты выявили ряд новых вариантов троянской программы Android.FakeApp.1669, задачей которой является загрузка сайтов. В отличие от большинства других аналогичных вредоносных программ, Android.FakeApp.1669 получает адреса целевых сайтов из TXT-записи вредоносных DNS-серверов, для чего использует модифицированный код открытой библиотеки dnsjava. В то же время троян проявляет вредоносную активность только при подключении к интернету через определенных провайдеров. В других случаях он работает как безобидное ПО.

В конце 2024 года в процессе расследования обращения одного из наших клиентов специалисты вирусной лаборатории «Доктор Веб» выявили активную хакерскую кампанию, ориентированную главным образом на пользователей из Юго-Восточной Азии. В ходе атак киберпреступники применяли целый ряд вредоносных приложений, а также использовали методы и приемы, которые только набирают популярность в среде вирусописателей. Одним из них была эксплуатация технологии eBPF (extended Berkeley Packet Filter), созданной для расширенного контроля над сетевой подсистемой ОС Linux и работой процессов. Эта технология использовалась для маскировки вредоносной сетевой активности и процессов, сбора конфиденциальной информации, а также обхода сетевых экранов и систем обнаружения вторжений. Другой прием заключался в хранении настроек троянского ПО не на управляющем сервере, а на публичных площадках, таких как платформа GitHub и блоги. Третьей особенностью атак стало использование фреймворков постэксплуатации совместно с вредоносными приложениями. Хотя такие инструменты не являются вредоносными и применяются при аудите безопасности цифровых систем, их функциональность и наличие баз уязвимостей способно расширить возможности атакующих.

Вирусная обстановка

Согласно данным статистики детектирований антивируса Dr.Web, в 2024 году общее число обнаруженных угроз увеличилось на 26,20% по сравнению с 2023 годом. Число уникальных угроз возросло на 51,22%. Среди наиболее часто встречавшихся вредоносных программ были созданные на скриптовом языке AutoIt трояны, которые распространяются в составе другого вредоносного ПО для затруднения его обнаружения. Кроме того, пользователи сталкивались с различными вредоносными скриптами и рекламными троянами.

JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.AutoIt.1224
Trojan.AutoIt.1131
Trojan.AutoIt.1124
Trojan.AutoIt.1222: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Trojan.StartPage1.62722: Вредоносная программа, подменяющая стартовую страницу в настройках браузера.
Trojan.BPlug.3814: Детектирование вредоносных компонентов браузерного расширения WinSafe. Эти компоненты представляют собой сценарии JavaScript, которые демонстрируют навязчивую рекламу в браузерах.
VBS.KeySender.6: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
BAT.AVKill.37: Компонент троянской программы Trojan.AutoIt.289. Этот скрипт запускает другие компоненты вредоносного ПО, устанавливает их в автозагрузку через планировщик задач Windows, а также добавляет их в исключения антивируса Windows Defender.
Trojan.Unsecure.7: Троян, блокирующий запуск антивирусного и прочего ПО через политики AppLocker в ОС Windows.

Среди почтовых угроз наибольшее распространение получили различные вредоносные скрипты и всевозможные троянские программы, такие как бэкдоры, загрузчики и дропперы вредоносного ПО, трояны со шпионской функциональностью, вредоносные приложения для добычи криптовалюты и прочие. Злоумышленники также рассылали фишинговые документы, часто представляющие собой поддельные формы авторизации на популярных сайтах. Кроме того, пользователи сталкивались с червями и вредоносными приложениями, которые эксплуатируют уязвимости в документах Microsoft Office.

JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
LNK.Starter.56: Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.
Win32.HLLW.Rendoc.3: Сетевой червь, распространяющийся в том числе через съемные носители информации.
Exploit.CVE-2018-0798.4: Эксплойт для использования уязвимостей в ПО Microsoft Office, позволяющий выполнить произвольный код.
Trojan.AutoIt.1122: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Trojan.SpyBot.699: Многомодульный банковский троян. Позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и исполнять произвольный код.
VBS.BtcMine.13
VBS.BtcMine.12: Вредоносный сценарий на языке VBS, выполняющий скрытую добычу криптовалют.

Шифровальщики

По сравнению с 2023, в 2024 году в службу технической поддержки «Доктор Веб» поступило на 33,05% меньше запросов от пользователей, которые пострадали от троянских программ-шифровальщиков. Динамика регистрации запросов на расшифровку файлов представлена на диаграмме ниже:

Наиболее распространенные шифровальщики в 2024 году:

Trojan.Encoder.35534 (13,13% обращений пользователей): Шифровальщик, также известный как Mimic. При поиске целевых файлов для шифрования троян использует библиотеку everything.dll легитимной программы Everything, предназначенной для мгновенного поиска файлов на Windows-компьютерах.
Trojan.Encoder.3953 (12,10% обращений пользователей): Шифровальщик, имеющий несколько различных версий и модификаций. Для шифрования файлов применяет алгоритм AES-256 в режиме CBC.
Trojan.Encoder.26996 (7,44% обращений пользователей): Шифровальщик, известный как STOP Ransomware. Он пытается получить приватный ключ с удаленного сервера, а в случае неудачи пользуется зашитым. Для шифрования файлов троян использует поточный алгоритм Salsa20.
Trojan.Encoder.35067 (2,21% обращений пользователей): Шифровальщик, известный как Macop (один из вариантов этого трояна — Trojan.Encoder.30572). Обладает небольшим размером, порядка 30-40 Кбайт. Отчасти это обусловлено тем, что троян не несет с собой сторонних криптографических библиотек, а для шифрования и генерации ключей пользуется исключительно CryptoAPI-функциями. Для шифрования файлов применяет алгоритм AES-256, а сами ключи шифруются RSA-1024.
Trojan.Encoder.37369 (2,10% обращений пользователей): Одна из множества модификаций вымогателя #Cylance ransomware. Для шифрования файлов использует алгоритм ChaCha12 со схемой обмена ключами на основе эллиптической кривой Curve25519 (X25519).

Сетевое мошенничество

В течение 2024 года интернет-аналитики компании «Доктор Веб» наблюдали высокую активность кибермошенников, использующих как уже ставшие традиционными, так и новые сценарии обмана пользователей. В российском сегменте интернета наибольшее распространение вновь получили схемы с применением мошеннических сайтов нескольких форматов. Одними из них были поддельные интернет-ресурсы онлайн-магазинов и социальных сетей с промоакциями и розыгрышами подарков якобы от их имени. Потенциальные жертвы на таких сайтах всегда «выигрывают», но для получения несуществующего приза от них требуют оплатить «комиссию».

Мошеннический сайт, якобы имеющий отношение к российскому интернет-магазину, предлагает посетителю принять участие в несуществующем розыгрыше призов

Поддельный сайт социальной сети предлагает «испытать удачу» и выиграть крупные денежные призы и другие подарки

Одним из актуальных вариантов такой схемы остаются поддельные сайты ритейлеров и магазинов бытовой техники и электроники, предлагающие приобрести товары со скидкой. Обычно для оплаты «заказов» на них предлагается воспользоваться интернет-банком или банковской картой, но в минувшем году мошенники стали прибегать к СБП — Системе быстрых платежей.

Поддельный сайт магазина бытовой техники и электроники обещает потенциальным жертвам большие скидки

Мошеннический сайт предлагает воспользоваться СБП в качестве одного из способов оплаты «заказа»

Сохранила популярность и схема с «бесплатными» лотерейными билетами. Якобы проводимые онлайн-розыгрыши для потенциальных жертв всегда заканчиваются «победой». Чтобы получить приз, пользователи также должны оплатить «комиссию».

Пользователь якобы выиграл 314 906 рублей в лотерею и для «получения» выигрыша должен будет оплатить «комиссию»

Поддельные сайты финансовой тематики тоже остались в арсенале мошенников. Популярностью пользовались такие темы как получение неких выплат от государства или частных компаний, инвестиции в нефтегазовый сектор, обучение финансовой грамотности, торговля криптовалютой и акциями с использованием «уникальных» автоматизированных систем или «проверенных» стратегий, якобы гарантирующих прибыль, и другие. Злоумышленники в том числе эксплуатировали имена медийных персон для привлечения внимания пользователей. Примеры таких сайтов представлены ниже.

Мошеннический сайт предлагает посетителю «заработать до €10 000 в месяц на уникальной платформе WhatsApp»

Российский исполнитель Shaman «поделился секретной платформой успеха», которая якобы может принести заработок в $14 000 в месяц

Поддельный сайт нефтегазовой компании предлагает получить доступ к инвестиционному сервису и обещает заработок от 150 000 рублей

Мошеннические сайты, имитирующие настоящие инвестиционные сервисы банков

Вместе с тем наши специалисты выявили и новые схемы. Например, мошенники якобы от имени крупных компаний предлагали пользователям за вознаграждение принять участие в опросах о качестве предоставляемых услуг. Среди таких подделок встречались фиктивные сайты кредитных организаций, где у пользователей запрашивались чувствительные персональные данные, которые могли включать полное имя, привязанный к учетной записи банка номер мобильного телефона и номер банковской карты.

Поддельный сайт банка предлагает за вознаграждение в 6 000 рублей принять участие в опросе для «улучшения качества обслуживания»

В то же время подобные подделки не обошли стороной и пользователей из других стран. Например, представленный ниже сайт обещал европейским пользователям дивиденды за инвестирование в перспективные секторы экономики:

А этот сайт рекламировал «новую инвестиционную платформу от Google», с помощью которой якобы возможно зарабатывать от €1000:

Другой мошеннический интернет-ресурс предлагал словацким пользователям «заработать более $192 460 в месяц» с помощью некоего инвестиционного сервиса:

Жители Азербайджана тоже якобы могли существенно улучшить свое материальное положение, зарабатывая от 1000 манат в месяц. От них требовалось лишь пройти небольшой опрос и получить доступ к сервису, якобы имевшему отношение к азербайджанской нефтегазовой компании:

В конце года мошенники традиционно стали адаптировать такие сайты-подделки под тематику новогодних праздников. Например, следующий поддельный интернет-ресурс криптобиржи обещал российским пользователям новогодние выплаты:

Другой сайт предлагал им праздничные выплаты якобы от имени инвестиционной компании:

А этот мошеннический интернет-ресурс сулил пользователям из Казахстана крупные выплаты в честь Дня независимости в рамках «новогоднего предложения»:

На протяжении всего года наши интернет-аналитики выявляли и другие фишинговые сайты. Среди них были поддельные сайты сервисов онлайн-обучения. Один из них, например, имитировал внешний вид настоящего интернет-ресурса и предлагал курсы по программированию. Для «получения консультации» от пользователей требовалось указать персональные данные.

Поддельный сайт, который маскировался под настоящий онлайн-ресурс образовательного сервиса

Кроме того, не прекращались попытки похитить учетные записи пользователей Telegram с применением фишинговых сайтов, замаскированных под различные онлайн-голосования. Среди них распространение вновь получили сайты с «голосованиями в конкурсах детских рисунков». У потенциальных жертв запрашивается номер мобильного телефона — он якобы нужен для подтверждения голоса и получения одноразового кода. Однако при вводе этого кода на таком сайте пользователи открывают мошенникам доступ к своим учетным записям.

Фишинговый сайт для «голосования» в онлайн-конкурсе детских рисунков

На других подобных сайтах предлагалось «бесплатно» получить подписку на Telegram Premium. Пользователей просят войти в свою учетную запись, однако вводимые на этих сайтах конфиденциальные данные передаются злоумышленникам, которые затем похищают аккаунты. Примечательно, что ссылки на эти интернет-ресурсы распространяются в том числе через сам мессенджер. При этом реальный адрес целевого сайта в сообщениях часто не совпадает с тем, что видят пользователи.

Фишинговое сообщение в Telegram, в котором для «активации» подписки на Telegram Premium предлагается перейти по указанной ссылке. Текст ссылки на самом деле не совпадает с целевым адресом

Фишинговый сайт, загруженный при переходе по ссылке из мошеннического сообщения

После нажатия на кнопку на предыдущей странице сайт демонстрирует форму авторизации, которая выглядит как настоящая форма авторизации Telegram

Для распространения ссылок на мошеннические сайты киберпреступники используют в том числе почтовый спам. В течение года наши интернет-аналитики фиксировали множество различных спам-кампаний. Так, наблюдалось активное распространение фишинговых писем, нацеленных на японских пользователей. Например, мошенники якобы от имени той или иной кредитной организации информировали потенциальных жертв о некой покупке и предлагали им ознакомиться с деталями «платежа», перейдя по предоставленной ссылке. На самом деле она вела на фишинговый интернет-ресурс.

Фишинг-письмо, якобы от имени банка предлагающее японским пользователям ознакомиться с деталями некоего платежа

В другом популярном сценарии злоумышленники якобы от имени кредитных организаций рассылали поддельные уведомления с информацией о расходах по банковской карте за месяц. При этом ссылки на фишинговые сайты часто маскировались и в тексте писем выглядели безобидно.

Пользователи в текстах спам-писем видели ссылки на настоящие адреса сайтов банков, но те при нажатии вели на мошеннический интернет-ресурс

Одна из спам-кампаний была нацелена на европейских пользователей. Например, пользователи из Бельгии сталкивались с фишинговыми письмами, которые сообщали о «блокировке» их банковских счетов. Для «разблокировки» им предлагалось перейти по ссылке, которая на самом деле вела на сайт мошенников.

Нежелательное письмо пугает потенциальную жертву «заблокированным» банковским аккаунтом

Фиксировались и другие массовые рассылки нежелательных писем — например, рассчитанных на англоязычную аудиторию. В одной из спам-кампаний потенциальные жертвы получали сообщения, в которых предлагалось подтвердить получение крупного денежного перевода. Однако ссылка в них вела на фишинговую форму авторизации в онлайн-банке, которая напоминала настоящую страницу сайта кредитной организации.

Спам-письмо сообщает, что пользователю якобы необходимо подтвердить получение $1218,16 США

Российские пользователи чаще всего сталкивались со спам-письмами, которые помогали мошенникам заманивать потенциальных жертв на ранее отмеченные популярные фишинговые сайты. Распространенной тематикой нежелательных сообщений были призы и скидки от интернет-магазинов, бесплатные лотерейные билеты, доступ к инвестиционным сервисам. Их примеры показаны на скриншотах ниже.

Письмо якобы от имени интернет-магазина, в котором предлагается участие в «розыгрыше призов»

Письмо якобы от имени кредитной организации, предлагающее «стать успешным инвестором»

Письмо, отправленное якобы от имени магазина электроники, в котором предлагается активировать промокод и получить скидку на товары

Для мобильных устройств

Согласно статистике детектирований Dr.Web Security Space для мобильных устройств, самыми распространенными вредоносными Android-программами в 2024 году вновь стали трояны Android.HiddenAds, которые скрывают присутствие на зараженных устройствах и показывают рекламу. На них пришлось более трети детектирований вредоносного ПО. Среди наиболее активных представителей этого семейства оказались Android.HiddenAds.3956, Android.HiddenAds.3851, Android.HiddenAds.655.origin и Android.HiddenAds.3994. В то же время пользователи сталкивались с вариантами троянов Android.HiddenAds.Aegis, способными после установки запускаться автоматически. Другими распространенными вредоносными приложениями были используемые в различных мошеннических схемах трояны Android.FakeApp и шпионские трояны Android.Spy.

Наиболее активными нежелательными программами стали представители семейств Program.FakeMoney, Program.CloudInject и Program.FakeAntiVirus. Первые предлагают выполнять различные задания за виртуальные вознаграждения, которые в дальнейшем якобы можно вывести в виде настоящих денег, однако на самом деле пользователи никаких выплат от них не получают. Вторые являются модифицированными программами, в которые при модификации через специализированный облачный сервис добавляются неконтролируемый код и ряд опасных разрешений. Третьи имитируют работу антивирусов, обнаруживают несуществующие угрозы и предлагают приобрести полную версию для исправления «проблем».

Утилиты Tool.SilentInstaller, которые позволяют запускать Android-приложения без их установки, вновь стали самыми часто детектируемыми потенциально опасными программами — на них пришлось более трети случаев обнаружения этого типа программ. Распространение также получили приложения, модифицированные при помощи утилиты NP Manager (детектируются как Tool.NPMod). В такие программы встраивается специальный модуль, позволяющий обходить проверку их цифровой подписи после модификации. Нередко выявлялись защищенные упаковщиком Tool.Packer.1.origin приложения, а также фреймворк Tool.Androlua.1.origin, позволяющий модифицировать установленные Android-программы и исполнять Lua-скрипты, которые потенциально могут быть вредоносными.

Самым распространенным рекламным ПО стало новое семейство Adware.ModAd — его доля составила почти половину детектирований. Это специальным образом модифицированные версии мессенджера WhatsApp, в функции которых внедрен код для загрузки рекламных ссылок. Вторыми оказались представители семейства Adware.Adpush, а третьими — еще одно новое семейство, Adware.Basement.

По сравнению с 2023, в 2024 году несколько возросла активность банковских троянов для ОС Android. При этом наши специалисты отмечали рост популярности ряда техник, которые киберпреступники применяли для защиты вредоносного ПО — в частности банкеров — от анализа и детектирования. Среди таких методик были различные манипуляции с форматом ZIP-архивов (являются основой APK-файлов) и файлом конфигурации Android-программ AndroidManifest.xml.

Отдельно стоит отметить широкое распространение вредоносного приложения Android.SpyMax. Злоумышленники активно использовали эту программу-шпиона в качестве банковского трояна, в частности против российских пользователей (46,23% случаев детектирования), а также владельцев Android-устройств из Бразилии (35,46% случаев) и Турции (5,80% случаев).

На протяжении всего года вирусные аналитики «Доктор Веб» выявляли свыше 200 различных угроз в каталоге Google Play. Среди них — подписывающие на платные услуги трояны, трояны-шпионы, мошенническое и рекламое ПО. Суммарно их загрузили по меньшей мере 26 700 000 раз. Кроме того, наши специалисты зафиксировали очередную атаку на ТВ-приставки с ОС Android: модульный бэкдор Android.Vo1d заразил почти 1 300 000 устройств у пользователей из 197 стран. Этот троян помещал свои компоненты в системную область и по команде злоумышленников мог скрытно загружать из интернета и устанавливать стороннее ПО.

Более подробно о вирусной обстановке для мобильных устройств в 2024 году читайте в нашем обзоре.

Перспективы и вероятные тенденции

События минувшего года в очередной раз продемонстрировали разнообразие современного ландшафта киберугроз. Злоумышленников интересуют как крупные цели — корпоративный и государственный сектор, — так и рядовые пользователи. Функциональность многих вредоносных программ, задействованных в проанализированных нами таргетированных атаках, говорит о постоянном поиске вирусописателями новых возможностей в совершенствовании методов проведения вредоносных кампаний и развития своего инструментария. Со временем новые приемы неизбежно переносятся на более массовые угрозы. В этой связи в 2025 году возможно появление большего числа троянов, которые для сокрытия вредоносной активности будут эксплуатировать технологию eBPF. Кроме того, стоит ожидать и новых таргетированных атак, в том числе с применением эксплойтов.

Одной из главных целей киберпреступников является незаконное обогащение, поэтому в новом году возможен рост активности банковских и рекламных троянов. Кроме того, пользователям может угрожать больше вредоносных программ со шпионской функциональностью.

В то же время под прицелом окажутся пользователи не только Windows-компьютеров, но и других операционных систем, таких как Linux и macOS. Продолжится распространение и мобильных угроз. Владельцам Android-устройств в первую очередь следует опасаться появления нового шпионского ПО, банковских троянов, а также вредоносных и нежелательных рекламных приложений. Не исключены новые попытки заражений телевизоров, ТВ-приставок и другого оборудования на базе Android. Кроме того, вероятно появление новых угроз в каталоге Google Play.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающие курсы

Просветительские проекты

Брошюры

«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2024 год

Thu, 30 Jan 2025 00:00:00 GMT

30 января 2025 года

В 2024 году самыми распространенными Android-угрозами вновь стали рекламные трояны. При этом по сравнению с годом ранее возросла активность мошеннического ПО, троянов-вымогателей, кликеров и банковских троянов. Среди последних большее распространение по сравнению с 2023 годом получили более простые банковские трояны, которые похищают только учетные данные для входа в онлайн-банк и коды подтверждений из СМС.

Среди нежелательных программ наибольшую активность проявили приложения, предлагающие пользователям выполнять различные задания за виртуальные вознаграждения, которые затем якобы можно перевести в реальные деньги. Самыми детектируемыми потенциально опасными программами стали утилиты, позволяющие запускать Android-приложения без их установки. А наиболее активным рекламным ПО оказались специальным образом модифицированные версии мессенджера WhatsApp, в функции которых внедрен код для загрузки рекламных ссылок.

В течение года вирусные аналитики компании «Доктор Веб» обнаружили сотни новых угроз в каталоге Google Play, которые суммарно были загружены свыше 26 700 000 раз. Среди них были вредоносные программы, в том числе троян-шпион, а также нежелательные и рекламные приложения.

Наши специалисты также выявили новую атаку на ТВ-приставки на базе Android — около 1 300 000 устройств пострадали от бэкдора, который заражал системную область и по команде злоумышленников мог скачивать и устанавливать стороннее ПО.

Кроме того, вирусные аналитики «Доктор Веб» отмечали рост популярности ряда техник, направленных на усложнение анализа вредоносных Android-программ и обхода их детектирования антивирусами. Они включали различные манипуляции с форматом ZIP-архивов (формат ZIP является основой для APK-файлов Android-приложений), манипуляции с файлом конфигурации программ AndroidManifest.xml и другие. Чаще всего эти приемы встречались в банковских троянах.

ТЕНДЕНЦИИ ПРОШЕДШЕГО ГОДА

Демонстрирующие рекламу вредоносные программы остались наиболее распространенными угрозами
Рост активности банковских троянов
Киберпреступники стали чаще использовать простые банковские трояны Android.Banker, которые похищают только данные для входа в учетные записи онлайн-банка, а также проверочные коды из СМС
Злоумышленники стали чаще прибегать к манипуляции форматом APK-приложений и их структурных компонентов для обхода детектирования и усложнения анализа вредоносных программ
Рост числа детектирований троянов-вымогателей Android.Locker и троянов-кликеров Android.Click
Появление множества новых угроз в каталоге Google Play

Наиболее интересные события 2024 года

В мае прошлого года эксперты компании «Доктор Веб» рассказали о трояне-кликере Android.Click.414.origin, найденном в приложении для управления секс-игрушками и в ПО для отслеживания физической активности. Обе программы распространялись через каталог Google Play и суммарно были установлены более 1 500 000 раз. Android.Click.414.origin имел модульную архитектуру и с помощью своих компонентов выполнял определенные задачи. Так, троян незаметно открывал рекламные сайты и совершал на них различные действия. Например, он мог прокручивать содержимое страниц, вводить текст в формы, отключать звук на веб-страницах и создавать их скриншоты для анализа содержимого и последующего выполнения кликов на нужных областях. Кроме того, Android.Click.414.origin передавал на управляющий сервер подробную информацию о зараженном устройстве. При этом кликер целенаправленно не атаковал определенных пользователей — он не запускался на устройствах, где был установлен китайский язык интерфейса.

Некоторые версии программ Love Spouse и QRunning скрывали трояна Android.Click.414.origin

В сентябре наши специалисты раскрыли детали анализа случаев заражения ТВ-приставок на базе Android бэкдором Android.Vo1d. Эта модульная вредоносная программа проникла почти на 1 300 000 устройств пользователей из 197 стран. Она помещала свои компоненты в системную область и по команде злоумышленников могла скрытно загружать и устанавливать стороннее ПО.

Страны с наибольшим числом выявленных ТВ-приставок, зараженных бэкдором Android.Vo1d

Уже в ноябре наши вирусные аналитики на примере трояна Android.FakeApp.1669 рассказали о том, как злоумышленники используют DNS-протокол для скрытой связи вредоносных программ с управляющими серверами. Android.FakeApp.1669 является довольно примитивным трояном, задача которого сводится к загрузке заданных сайтов. От большинства похожих угроз он отличается тем, что адрес целевых сайтов он получает из TXT-записи вредоносного DNS-сервера, для чего использует модифицированный код открытой библиотеки dnsjava. При этом Android.FakeApp.1669 проявляет себя только при подключении к интернету через определенных провайдеров — в остальных случаях он работает как безобидное ПО.

Пример TXT-записи целевого домена, которую DNS-сервер отдал при запросе через Linux-утилиту dig при анализе одной из модификаций Android.FakeApp.1669

Статистика

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в 2024 году наиболее распространенными угрозами стали вредоносные программы, на долю которых пришлось 74,67% всех случаев обнаружения. За ними расположились рекламные приложения с долей 10,96%. Третье место с показателем 10,55% заняли потенциально опасные программы. Четвертыми по распространенности стали нежелательные программы — пользователи сталкивались с ними в 3,82% случаев.

Вредоносные приложения

Самыми распространенными вредоносными программами для Android вновь стали рекламные трояны семейства Android.HiddenAds. За прошедший год их доля в общем объеме выявленных антивирусом Dr.Web вредоносных приложений увеличилась на 0,34 п. п. и составила 31,95% детектирований.

Среди представителей этого семейства наибольшую активность проявил Android.HiddenAds.3956 (15,10% детектирований семейства и 4,84% от общего числа детектирований вредоносного ПО). Это один из множества вариантов вредоносной программы Android.HiddenAds.1994, с которой пользователи сталкиваются на протяжении уже нескольких лет. Версия Android.HiddenAds.3956 наряду с другими модификациями появилась в 2023 году и по нашим прогнозам могла занять лидирующие позиции в семействе, что в итоге и произошло. В 2024 также получили распространение его новые варианты Android.HiddenAds.3980, Android.HiddenAds.3989, Android.HiddenAds.3994, Android.HiddenAds.655.origin, Android.HiddenAds.657.origin и ряд других.

При этом заметным также стало подсемейство троянов Android.HiddenAds.Aegis. В отличие от большинства других вредоносных программ Android.HiddenAds, представители этой группы обладают способностью автозапуска и некоторыми другими особенностями. Чаще всего на защищаемых антивирусом Dr.Web устройствах обнаруживались модификации Android.HiddenAds.Aegis.1, Android.HiddenAds.Aegis.4.origin, Android.HiddenAds.Aegis.7.origin и Android.HiddenAds.Aegis.1.origin.

Вторыми наиболее распространенными вредоносными программами стали трояны семейства Android.FakeApp, которые злоумышленники применяют при реализации различных мошеннических схем. В минувшем году на них пришлось 18,28% всех детектирований вредоносного ПО, что на 16,45 п. п. больше, чем годом ранее. Чаще всего такие трояны загружают нежелательные сайты, предназначенные для фишинг-атак и онлайн-мошенничества.

На третьем месте с долей 11,52% (снижение на 16,7 п. п. по сравнению с 2023 годом) расположились трояны Android.Spy, которые обладают шпионской функциональностью. Как и годом ранее, самым распространенным представителем семейства стал Android.Spy.5106 — на него пришлось 5,95% детектирований вредоносных программ.

В 2024 году наблюдалась разнонаправленная тенденция в распространении вредоносного ПО, которое предназначено для загрузки и установки других программ и способно выполнять произвольный код. Так, по сравнению с годом ранее доля загрузчиков Android.DownLoader сократилась на 0,49 п. п. до 1,69%, доля троянов Android.Mobifun снизилась на 0,15 п. п. до 0,10%, а троянов Android.Xiny — на 0,14 п. п. до 0,13%. При этом чаще детектировались трояны Android.Triada (2,74% случаев, рост на 0,6 п. п.) и Android.RemoteCode (3,78% случаев, рост на 0,95 п. п.).

Доля защищенных программными упаковщиками вредоносных приложений Android.Packed снизилась с 7,98% до 5,49%, практически вернувшись к показателю 2022 года. Также с 10,06% до 5,38% снизилось количество атак с участием рекламных троянов Android.MobiDash. В то же время несколько увеличилось число детектирований троянов-вымогателей Android.Locker (с 1,15% до 1,60%) и троянов Android.Proxy (с 0,57% до 0,81%). Последние позволяют использовать зараженные Android-устройства для перенаправления через них сетевого трафика злоумышленников. Кроме того, заметно возросла активность вредоносных программ Android.Click, способных открывать рекламные сайты и выполнять клики на веб-страницах (рост с 0,82% до 3,56%).

Десять наиболее часто детектируемых вредоносных приложений в 2024 году:

Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Spy.5106: Детектирование одного из вариантов троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.3956
Android.HiddenAds.3851
Android.HiddenAds.655.origin
Android.HiddenAds.3994
Android.HiddenAds.657.origin: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Click.1751: Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.
Android.HiddenAds.Aegis.1: Троянская программа, которая скрывает свое присутствие на Android-устройствах и показывает надоедливую рекламу. Она относится к подсемейству, которое отличается от других представителей семейства Android.HiddenAds рядом признаков. Например, такие трояны способны самостоятельно запускаться после установки. Кроме того, в них реализован механизм, позволяющий их сервисам оставаться постоянно запущенными. В ряде случаев в них также могут быть задействованы скрытые функции ОС Android.
Android.MobiDash.7815: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Нежелательное ПО

Самой часто детектируемой нежелательной программой в 2024 году стала Program.FakeMoney.11. На нее пришлось более половины — 52,10% — от общего числа выявленного на защищаемых устройствах нежелательного ПО. Она принадлежит к классу приложений, которые предлагают пользователям заработать на выполнении различных заданий, но в итоге не выплачивают никаких реальных вознаграждений.

Программы, которые антивирус Dr.Web детектирует как Program.CloudInject.1, расположились на втором месте с долей 19,21% (рост на 9,75 п. п. по сравнению с годом ранее). Такие приложения проходят модификацию через облачный сервис CloudInject — к ним добавляются опасные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Приложения Program.FakeAntiVirus.1 второй год подряд снижают активность — они стали третьими по распространенности с показателем 10,07%, что на 9,35 п. п. меньше, чем в 2023. Эти программы имитируют работу антивирусов, обнаруживают несуществующие угрозы и предлагают владельцам Android-устройств купить полную версию для «исправления» якобы выявленных проблем.

В течение года пользователи сталкивались с различными программами для наблюдения и контроля активности. Такое ПО может использоваться для сбора данных как с согласия владельцев устройств, так и без их ведома — во втором случае они фактически превращаются в шпионские инструменты. Наиболее часто на защищаемых Dr.Web устройствах обнаруживались программы для мониторинга Program.TrackView.1.origin (2,40% случаев), Program.SecretVideoRecorder.1.origin (2,03% случаев), Program.wSpy.3.origin (0,98% случаев), Program.SecretVideoRecorder.2.origin (0,90% случаев), Program.Reptilicus.8.origin (0,64% случаев), Program.wSpy.1.origin (0,39% случаев) и Program.MonitorMinor.11 (0,38% случаев).

Кроме того, распространение получили Android-программы Program.Opensite.2.origin, задачей которых является загрузка заданных сайтов и демонстрация рекламы. Их доля составила 0,60% детектирований нежелательного ПО.

Десять наиболее часто детектируемых нежелательных приложений в 2024 году:

Program.FakeMoney.11
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты им не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.Reptilicus.8.origin: Приложение, позволяющее следить за владельцами Android-устройств. Оно способно контролировать местоположение устройства, собирать данные об СМС-переписке и беседах в социальных сетях, прослушивать телефонные звонки и окружение, создавать снимки экрана, отслеживать вводимую на клавиатуре информацию, копировать файлы с устройства и выполнять другие действия.
Program.Opensite.2.origin: Детектирование однотипных Android-программ, задачей которых является загрузка заданных сайтов и демонстрация рекламы. Такие приложения часто маскируются под другое ПО. Например, существуют модификации, которые распространяются под видом видеоплеера YouTube. Они загружают настоящий сайт сервиса и отображают рекламные баннеры с помощью подключенных рекламных SDK.

Потенциально опасные программы

Утилиты Tool.SilentInstaller, которые позволяют запускать Android-приложения без их установки, в минувшем году сохранили лидирующие позиции по числу детектирований потенциально опасного ПО. Суммарно на них пришлось более трети всех выявленных программ этого типа. Чаще всего на устройствах встречались модификации Tool.SilentInstaller.17.origin (16,17%), Tool.SilentInstaller.14.origin (9,80%), Tool.SilentInstaller.7.origin (3,25%) и Tool.SilentInstaller.6.origin (2,99%).

Другими распространенными потенциально опасными программами стали приложения, модифицированные при помощи утилиты NP Manager. Эта утилита встраивает в целевое ПО специальный модуль, который позволяет обходить проверку цифровой подписи после выполненной модификации. Антивирус Dr.Web детектирует такие программы как различные варианты семейства Tool.NPMod. Среди них наиболее часто выявлялись вариации Tool.NPMod.1. За год они значительно укрепили свои позиции: на их долю пришлось 16,49% детектирований потенциально опасных приложений, что на 11,68 п. п. большое, чем в 2023. При этом доля модифицированного утилитой NP Manager ПО, которое детектируется другой вирусной записью — Tool.NPMod.2, — составила 7,92%. В результате суммарно представители этого семейства были ответственны почти за четверть всех детектирований потенциально опасных программ.

Среди лидеров также оказались приложения, защищенные упаковщиком Tool.Packer.1.origin — они обнаруживались в 13,17% случаев, что на 12,38 п. п. больше по сравнению с годом ранее. Кроме того, с 3,10% до 3,93% возросло количество детектирований Tool.Androlua.1.origin. Это фреймворк, позволяющий модифицировать установленные Android-программы и исполнять Lua-скрипты, которые потенциально могут быть вредоносными.

Вместе с тем активность одного из лидеров 2023 года, семейства утилит Tool.LuckyPatcher, наоборот, несколько снизилась — с 14,02% до 8,16%. Эти утилиты позволяют модифицировать Android-программы с добавлением в них загружаемых из интернета скриптов. Реже встречались и программы, защищенные утилитой-обфускатором Tool.Obfuscapk (снижение с 3,22% до 1,05%), а также упаковщиком Tool.ApkProtector (снижение с 10,14% до 3,39%).

Десять наиболее распространенных потенциально опасных приложений, обнаруженных на Android-устройствах в 2024 году:

Tool.NPMod.1
Tool.NPMod.2: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Tool.Packer.3.origin: Детектирование Android-программ, код которых зашифрован и обфусцирован утилитой NP Manager.

Рекламные приложения

Наиболее распространенным рекламным ПО в 2024 году стало новое семейство программ Adware.ModAd — на него пришлось 47,45% детектирований. Лидеры предыдущего года, представители семейства Adware.Adpush, оказались на втором месте с долей 14,76% (снижение числа детектирований на 21,06 п. п.). На третьем месте с показателем 8,68% расположилось еще одного новое семейство рекламных приложений Adware.Basement.

Распространение также получили семейства Adware.Airpush (доля снизилась с 8,59% до 4,35%), Adware.Fictus (снижение с 4,41% до 3,29%), Adware.Leadbolt (снижение с 4,37% до 2,26%), Adware.ShareInstall (снижение с 5,04% до 1,71%). Занимавшие в 2023 году второе место рекламные программы Adware.MagicPush значительно снизили активность и не попали в первую десятку, переместившись сразу на одиннадцатую позицию с показателем 1,19% (снижение на 8,39 п. п.).

Десять наиболее распространенных рекламных приложений, обнаруженных на Android-устройствах в 2024 году:

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.Youmi.4: Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.
Adware.Inmobi.1: Детектирование некоторых версий рекламного SDK Inmobi, способных совершать телефонные звонки и добавлять события в календарь Android-устройств.

Угрозы в Google Play

В 2024 году вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 200 угроз с более чем 26 700 000 суммарных загрузок. Помимо трояна Android.Click.414.origin среди них было множество других — например, рекламные трояны Android.HiddenAds. Они распространялись под видом самого разнообразного ПО: фоторедакторов, сканеров штрих-кодов, сборников картинок и даже «противоугонной» сигнализации для защиты смартфона от чужих рук. Такие трояны скрывают свои значки после установки и начинают показывать агрессивную рекламу, которая перекрывает интерфейс системы и других программ и мешает нормально пользоваться устройством.

Примеры рекламных троянов, обнаруженных в Google Play в 2024 году. Android.HiddenAds.4013 скрывался в фоторедакторе Cool Fix Photo Enhancer, Android.HiddenAds.4034 — в сборнике изображений Cool Darkness Wallpaper, Android.HiddenAds.4025 — в программе для распознавания штрих-кодов QR Code Assistant, а Android.HiddenAds.656.origin — в программе-сигнализации Warning Sound GBD

Наши специалисты также выявили различные троянские программы, которые злоумышленники защитили сложным программным упаковщиком.

В приложении Lie Detector Fun Prank скрывался троян Android.Packed.57156, а в программе Speaker Dust and Water Cleaner — троян Android.Packed.57159, защищенные упаковщиком

Другими найденными вредоносными программами стали представители семейства Android.FakeApp, которые используются в различных мошеннических схемах. Основная задача большинства таких троянов — открыть заданную ссылку, при этом при определенных условиях они также могут работать и как заявленное ПО. Многие из них распространялись под видом различных финансовых программ (например, справочников и обучающих пособий, калькуляторов доходности, приложений для доступа к биржевой торговле, инструментов для ведения домашней бухгалтерии), записных книжек, дневников, программ для участия в викторинах и опросах и прочих. Они загружали мошеннические сайты инвестиционной тематики.

Примеры троянов Android.FakeApp, которые загружали ссылки на мошеннические сайты: Android.FakeApp.1681 (SenseStrategy), Android.FakeApp.1708 (QuntFinanzas)

Часть программ-подделок Android.FakeApp распространялись под видом всевозможных игр. Многие из них также могли предоставлять заявленную функциональность, но их главной задачей была загрузка сайтов онлайн-казино и букмекеров.

Примеры выдаваемых за игры троянов Android.FakeApp, которые загружали ссылки на сайты букмекеров и онлайн-казино: Android.FakeApp.1622 (3D Card Merge Game), Android.FakeApp.1630 (Crazy Lucky Candy)

Некоторые трояны этого семейства были вновь замаскированы под приложения для поиска работы. Такие программы-подделки загружают поддельные списки вакансий и предлагают пользователям составить «резюме», предоставив персональные данные. В других случаях трояны могут предложить потенциальным жертвам связаться с «работодателем» через мессенджер. На самом деле потенциальные жертвы напишут преступникам, которые попытаются заманить их в ту или иную мошенническую схему.

Примеры троянов Android.FakeApp, которые мошенники выдавали за программы для поиска работы: Android.FakeApp.1627 (Aimer), Android.FakeApp.1703 (FreeEarn)

Кроме того, в Google Play были обнаружены очередные троянские приложения, подписывающие пользователей на платные услуги. Одним из них был Android.Subscription.22 — он распространялся под видом фоторедактора InstaPhoto Editor.

Троян Android.Subscription.22, предназначенный для подписки пользователей на платные услуги

Другими такими троянами были представители родственных семейств Android.Joker и Android.Harly, имеющих модульную архитектуру. Первые способны скачивать вспомогательные компоненты из интернета, а вторые отличаются тем, что обычно хранят необходимые модули в зашифрованном виде среде своих ресурсов.

Примеры программ, которые подписывали жертв на платные услуги. Android.Joker.2280 скрывался в приложении с гороскопами My Horoscope, а Android.Harly.87 — в игре BlockBuster

Помимо вредоносных программ специалисты «Доктор Веб» обнаружили в Google Play новое нежелательное ПО, среди которого были различные модификации Program.FakeMoney.11 и Program.FakeMoney.14. Эти программы относятся к семейству приложений, которые предлагают пользователям за виртуальные вознаграждения выполнять различные задания (зачастую просматривать рекламу). Вознаграждения в дальнейшем якобы можно конвертировать в настоящие деньги или призы, но для вывода «заработанного» от пользователя требуется накопить определенную сумму. Однако даже в случае успеха реальных выплат он в итоге не получает.

Один из вариантов Program.FakeMoney.11 распространялся в виде игры Copper Boom, а Program.FakeMoney.14 был представлен игрой Merge Party

Кроме того, в течение года в Google Play наши вирусные аналитики выявляли новые рекламные программы. В их числе были приложения и игры со встроенным рекламным модулем Adware.StrawAd, способным демонстрировать объявления от различных поставщиков услуг.

Примеры игр с рекламным модулем Adware.StrawAd: Crazy Sandwich Runner (Adware.StrawAd.1), Poppy Punch Playtime (Adware.StrawAd.3), Finger Heart Matching (Adware.StrawAd.6), Toimon Battle Playground (Adware.StrawAd.9)

В Google Play также распространялись рекламные приложения Adware.Basement, объявления от которых часто ведут на вредоносные и мошеннические сайты. Примечательно, что это семейство имеет общую кодовую базу с нежелательными программами Program.FakeMoney.11.

Примеры нежелательных рекламных программ Adware.Basement: Lie Detector: Lie Prank Test, TapAlarm:Don't touch my phone и Magic Voice Changer — Adware.Basement.1, Auto Clicker:Tap Auto — Adware.Basement.2

Банковские трояны

По данным статистики детектирований Dr.Web Security Space для мобильных устройств в 2024 году доля банковских троянов от общего числа зафиксированных вредоносных программ составила 6,29%, что на 2,71 п. п. больше, чем годом ранее. С января их активность планомерно снижалась, но c середины весны количество атак вновь стало расти. В течение III квартала их активность оставалась практически неизменной, после чего продолжила увеличиваться, достигнув годового максимума в ноябре.

В 2024 году широкое распространение вновь получили известные семейства банковских троянов. Среди них — вредоносные программы Coper, Hydra (Android.BankBot.1048.origin, Android.BankBot.563.origin), Ermac (Android.BankBot.1015.origin, Android.BankBot.15017), Alien (Android.BankBot.745.origin, Android.BankBot.1078.origin), Anubis (Android.BankBot.670.origin). Кроме того, наблюдались атаки с использованием семейств Cerberus (Android.BankBot.11404), GodFather (Android.BankBot.GodFather.3, Android.BankBot.GodFather.14.origin) и Zanubis (Android.BankBot.Zanubis.7.origin).

В течение года злоумышленники активно распространяли троянов-шпионов Android.SpyMax, которые обладают широким набором вредоносных функций, в том числе возможностью удаленно управлять зараженными устройствами. Они широко применяются и в качестве банковских троянов. Это семейство изначально включало многофункционального RAT-трояна SpyNote (RAT — Remote Administration Trojan, троян удаленного доступа). Однако после утечки его исходного кода на его основе стали появляться всевозможные модификации — например, CraxsRAT и G700 RAT. Статистика детектирований Dr.Web Security Space для мобильных устройств показывает, что представители этого семейства активизировались во второй половине 2023 года, и с тех пор число их детектирований продолжало расти практически каждый месяц. Данная тенденция пока сохраняется.

Трояны Android.SpyMax нацелены на пользователей по всему миру. В минувшем году они были замечены в том числе в многочисленных атаках на российских пользователей — 46,23% детектирований семейства пришлось именно на данную аудиторию. Также эти вредоносные программы наиболее активно распространялись среди бразильских (35,46% детектирований) и турецких (5,80% детектирований) владельцев Android-устройств.

Примечательно, что распространение этих вредоносных программ в России в основном происходит не при помощи спама или классических вариантов фишинга, а в ходе одного из этапов телефонного мошенничества. Вначале звонящие потенциальной жертве злоумышленники традиционно пытаются убедить ее в том, что являются сотрудниками банка или правоохранительных органов. Они информируют о якобы возникшей проблеме — попытке кражи денег с банковского счета или незапланированном оформлении кредита, либо, наоборот, сообщают «хорошие новости» о якобы полагающихся выплатах от государства. Когда мошенники понимают, что пользователь им поверил, они побуждают его установить «обновление антивируса», «банковское приложение» или иную программу — например, для «обеспечения безопасной транзакции». В такой программе на самом деле скрывается троян Android.SpyMax.

Пользователи из России в 2024 году также сталкивались с семействами банкеров Falcon (Android.BankBot.988.origin, Android.Banker.5703) и Mamont (Android.Banker.637.origin, Android.Banker.712.origin). Кроме того, были отмечены атаки банковских троянов Android.Banker.791.origin и Android.Banker.829.origin на владельцев Android-устройств из России и Узбекистана, а также банкера Android.Banker.802.origin на пользователей России, Азербайджана и Узбекистана. Целью трояна Android.Banker.757.origin были пользователи из России, Узбекистана, Таджикистана и Казахстана.

Наши специалисты вновь фиксировали атаки троянов MoqHao (Android.Banker.367.origin, Android.Banker.430.origin, Android.Banker.470.origin, Android.Banker.593.origin), нацеленных на пользователей из многих стран, включая государства Юго-Восточной Азии и Азиатско-Тихоокеанского региона. На эту же аудиторию были направлены атаки и других троянов. Например, южнокорейские владельцы Android-устройств сталкивались с семействами Fakecalls (Android.BankBot.919.origin, Android.BankBot.14423, Android.Banker.5297), IOBot (Android.BankBot.IOBot.1.origin) и Wroba (Android.Banker.360.origin). Прочие модификации Wroba (Android.BankBot.907.origin, Android.BankBot.1128.origin) атаковали пользователей из Японии.

Жителям Китая в числе прочих угрожал троян Android.Banker.480.origin, а вьетнамским пользователям — Android.BankBot.1111.origin. В то же время злоумышленники применяли троянов TgToxic (Android.BankBot.TgToxic.1) для атак на клиентов кредитных организаций Индонезии, Таиланда и Тайваня, а трояна GoldDigger (Android.BankBot.GoldDigger.3) — на пользователей из Таиланда и Вьетнама.

Вновь были зафиксированы атаки на иранских пользователей — те сталкивались с такими банкерами как Android.Banker.709.origin, Android.Banker.5292, Android.Banker.777.origin, Android.BankBot.1106.origin и рядом других. А в атаках на турецких клиентов банков наряду с другими троянами были также отмечены представители семейства Tambir (Android.BankBot.1104.origin, Android.BankBot.1099.origin, Android.BankBot.1117.origin).

Среди индийских владельцев Android-устройств распространение получили банкеры Android.Banker.797.origin, Android.Banker.817.origin и Android.Banker.5435 — они маскировались под ПО, якобы имеющее отношение к кредитным организациям Airtel Payments Bank, PM KISAN и IndusInd Bank. Кроме того, сохранилась активность банковских троянов Rewardsteal (Android.Banker.719.origin, Android.Banker.5147, Android.Banker.5443) основной целю которых являются индийские клиенты банков Axis bank, HDFC Bank, SBI, ICICI Bank, RBL bank и Citi bank.

В странах Латинской Америки вновь была отмечена активность троянов PixPirate (Android.BankBot.1026.origin), которые атакуют клиентов бразильских банков.

На европейскиих пользователей, в частности, были нацелены трояны Anatsa (Android.BankBot.Anatsa.1.origin) и Copybara (Android.BankBot.15140, Android.BankBot.1100.origin). Последние преимущественно атакуют жителей Италии, Великобритании и Испании.

В течение 2024 года вирусные аналитики «Доктор Веб» фиксировали рост популярности некоторых методов защиты вредоносных Android-программ — преимущественно банковских троянов — от анализа и детектирования. В частности, злоумышленники выполняли различные манипуляции с форматом ZIP — основой APK-файлов. В результате многие инструменты статического анализа, которые применяют стандартные алгоритмы работы с ZIP-архивами, оказываются неспособны корректно обработать такие «поврежденные» файлы. В то же время трояны воспринимаются операционной системой Android как обычные программы, корректно устанавливаются и работают.

Одной из распространенных техник стала манипуляция с полями compression method и compressed size в структуре заголовка локального файла внутри APK. Злоумышленники намеренно указывают неверные значения полей compressed size и uncompressed size (сжатый размер и размер без сжатия), либо записывают некорректный или несуществующий метод сжатия в поле compression method. В другом варианте для архива может быть указан метод без сжатия, при этом поля заголовков compressed size и uncompressed size не будут совпадать, хотя должны.

Другой популярный метод — использование некорректных данных о диске в записи ECDR (End of Central Directory Record, конец записи центрального каталога) и CD (Central Directory, заголовок файла центрального каталога — здесь находятся данные о файлах и параметрах архива). Оба эти параметра для цельного архива должны совпадать, но киберпреступники могут указывать для них различные значения, как будто это не цельный, а мультиархив.

Распространенной также была техника, когда в заголовках локальных файлов некоторых файлов в архиве указывается флаг, означающий, что эти файлы зашифрованы. В действительности они не зашифрованы, но из-за этого архив при анализе считывается некорректно.

Вместе с манипуляцией структурой APK-файлов вирусописатели также использовали другие способы — например, модификацию конфигурационного файла Android-приложений AndroidManifest.xml. В частности, они добавляли мусорные байты b'\x00' в структуру атрибутов файла, из-за чего тот считывается некорректно.

Перспективы и тенденции

Прошедший год показал, что киберпреступники по-прежнему активно обогащаются за счет владельцев Android-устройств. Их основными инструментами остаются рекламные и банковские трояны, вредоносные приложения со шпионской функциональностью, а также мошенническое ПО. В этой связи в 2025 году стоит ожидать появления новых угроз такого типа.

Несмотря на предпринимаемые шаги для повышения безопасности Google Play, этот каталог все еще остается одним из источников распространения Android-угроз. Поэтому нельзя исключать появления в нем новых вредоносных и нежелательных приложений.

Выявленный в минувшем году очередной случай заражения ТВ-приставок с ОС Android говорит о том, что вирусописатели используют самые разные векторы атак. Вполне возможно, что злоумышленники не только вновь обратят свой взор на такие устройства, но и продолжат искать другие потенциальные цели среди разнообразия Android-гаджетов.

Не исключено, что вирусописатели продолжат активно внедрять новые способы обхода анализа и детектирования вредоносных программ.

Специалисты компании «Доктор Веб» продолжают следить за развитием «мобильных» киберугроз и обеспечивать защиту наших пользователей. Чтобы повысить свою безопасность, установите антивирус Dr.Web для мобильных устройств, который поможет в борьбе с вредоносными, нежелательными и другими опасными программами, мошенниками и прочими угрозами.

Индикаторы компрометации

Доктор, откуда у вас такие картинки? Использование стеганографии при добыче криптовалюты

Fri, 24 Jan 2025 17:17:16 GMT

24 января 2025 года

В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP.

Начало кампании было положено, вероятно, в 2022 году, когда был обнаружен исполняемый файл Services.exe, являющийся .NET-приложением, запускающим сценарий VBscript. Этот сценарий реализует функции бэкдора, связываясь с сервером злоумышленников и выполняя скрипты и файлы, присланные в ответ. Так, на компьютер жертвы скачивался вредоносный файл ubr.txt, являвшийся скриптом для интерпретатора PowerShell, у которого было изменено расширение с ps1 на txt.

Скрипт ubr.txt проверяет наличие майнеров, которые могли быть уже установлены на скомпрометированной машине, и заменяет их на необходимые злоумышленникам версии. Устанавливаемые скриптом файлы представляют собой майнер SilentCryptoMiner и его настройки, с помощью которого хакеры добывали криптовалюту Monero.

Мы уже неоднократно писали об использовании этого майнера злоумышленниками, для которых привлекательна его простота конфигурации, расширенные возможности по добыче различных типов криптовалют и маскировке от диагностических утилит, а также поддержка удаленного управления всеми майнерами в ботнете посредством веб-панели.

В рамках этой кампании файлы майнера маскируются под различное ПО, в частности для проведения видеозвонков в Zoom (ZoomE.exe и ZoomX.exe) или службы Windows (Service32.exe и Service64.exe) и т. д. Несмотря на то, что существует несколько наборов вредоносных файлов, имеющих разные имена, все они выполняют одинаковые задачи — удаление других майнеров, установка нового майнера и доставка обновлений для него.

PowerShell-скрипт ubr.txt

Дополнительно майнер обращается к домену getcert[.]net, на котором расположен файл m.txt с настройками добычи криптовалюты. Этот ресурс также задействован и в других цепочках.

Файл m.txt, содержащий настройки майнера

В дальнейшем мошенники видоизменили методологию атаки, сделав её значительно более интересной и подключив средства стеганографии.

Стеганография — метод сокрытия одной информации внутри другой. В отличие от криптографии, когда зашифрованные данные могут привлечь внимание, стеганография позволяет незаметно скрыть информацию, например, в изображении. Многие эксперты по кибербезопасности полагают, что популярность использования стеганографии для обхода средств защиты будет набирать обороты.

Изображение слева (автор исходного фото: Marek Piwnicki) содержит в себе скрытое изображение с логотипом компании «Доктор Веб»

Вторая, более новая, цепочка реализована посредством трояна Amadey, который запускает PowerShell-скрипт Async.ps1, скачивающий изображения в формате BMP с легитимного хостинга изображений imghippo.com. С помощью стеганографических алгоритмов из изображений извлекаются два исполняемых файла: стилер Trojan.PackedNET.2429 и полезная нагрузка, которая:

отключает запрос UAC на повышение прав для администраторов,
вносит множество исключений во встроенный антивирус Windows Defender,
отключает уведомления в Windows,
создает новую задачу по пути \Microsoft\Windows\WindowsBackup\ с именем 'User'.

Содержимое скрипта Async1.ps

В ходе выполнения задачи происходит обращение к доменам злоумышленников, в записи DNS TXT которых содержится адрес хранения последующей полезной нагрузки. После ее скачивания происходит распаковка архива с изображениями в формате BMP и запуск следующих файлов:

Cleaner.txt — PowerShell-скрипт, удаляющий любые другие майнеры,
m.txt — PowerShell-скрипт, извлекающий полезную нагрузку из изображений m.bmp и IV.bmp. Нагрузка внутри изображений является майнером SilentCryptoMiner и запускающим его инжектором,
Net.txt — скрипт, который читает запись DNS TXT у доменов windowscdn[.]site и buyclients[.]xyz. В этой записи находится ссылка на полезную нагрузку, ведущая на сервис raw.githack[.]com.

Запись DNS TXT представляет собой расширение стандартной записи DNS и содержит текст, который в легитимных целях используется для верификации домена. Тем не менее, владелец домена может внести туда произвольные данные — например, как в данном случае, ссылку на полезную нагрузку.

Содержимое архива с вредоносными изображениями

Модули майнера постоянно развиваются. В последнее время авторы перешли к использованию легитимных ресурсов для размещения вредоносных изображений и платформу GitHub для хранения полезной нагрузки. Кроме того, были найдены модули, проверяющие факт запуска в песочницах и на виртуальных машинах.

Модуль, проверяющий имена запущенных приложений на соответствие названиям популярных инструментов, используемых исследователями кибербезопасности

Один из кошельков, указанный в настройках майнера, был создан в мае 2022 года, и к сегодняшнему дню на него было перечислено 340 XMR. Однако курс данной криптовалюты переживает период существенной волатильности, так что прибыль мошенников может составлять от 6 до 7,5 миллионов рублей. Судя по волнообразности хешрейта, что свидетельствует о регулярном включении и выключении компьютеров, в данной майнинговой кампании участвуют в основном рядовые пользователи, находящиеся в одной группе часовых поясов. В среднем хешрейт составляет 3,3 млн хешей в секунду, что позволяет скомпрометированным машинам приносить злоумышленникам по 1 XMR в 40 часов.

Эта кампания — лишь верхушка айсберга в мире киберугроз, построенных на средствах стеганографии, и она подчеркивает, насколько важно быть бдительными в цифровом пространстве. Рекомендации компании «Доктор Веб» остаются неизменными: устанавливайте программное обеспечение только из надёжных источников, не открывайте подозрительные ссылки и не отключайте антивирусную защиту при скачивании файлов из интернета.

Схема атаки

Индикаторы компрометации

Подробнее о SilentCryptoMiner

Подробнее о PowerShell.Starter.98

Подробнее о PowerShell.DownLoader.1640

Подробнее о Trojan.PackedNET.2429

Подробнее о VBS.DownLoader.2822

Бесконтактный банкинг за себя (и того парня): схема с кражей денег при помощи NFC добралась и до российских пользователей

Thu, 26 Dec 2024 00:00:00 GMT

26 декабря 2024 года

Вирусные аналитики «Доктор Веб» предупреждают о появлении новых версий банковского трояна NGate, нацеленных на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов жертвы в банкоматах без какого-либо участия с её стороны.

Банкер NGate впервые попал на радары антивирусных вендоров еще осенью 2023 года, когда в профильных СМИ стали появляться сообщения об атаках на клиентов крупных чешских банков. Стратегия злоумышленников строилась на комбинации социальной инженерии, фишинга и использования вредоносного ПО. Эти стандартные тактики воплотились в довольно новаторский сценарий: результатом взаимодействия с жертвой становился удаленный доступ к NFC-возможностям её платежного средства. Данная кампания была пресечена органами охраны правопорядка Чехии, однако её идея была адаптирована для российских реалий и реализована для незаконного обогащения за счет пользователей в России.

Событием, запускающее цепочку компрометации, предположительно является звонок от мошенников, которые сообщают о возможности получить различные социальные выплаты или иную финансовую выгоду. Для этого жертве необходимо проследовать по присланной ссылке на мошеннический сайт, откуда скачивается вредоносный APK с трояном NGate, замаскированный под приложение портала Госуслуг, Банка России, или одного из других популярных банков.

Иконки вредоносных приложений, стилизованные под официальные

Банковский троян NGate представляет собой вредоносную модификацию приложения с открытым исходным кодом NFCGate, которое было разработано для отладки протоколов передачи NFC-данных. NFCGate поддерживает ряд функций, однако для злоумышленников наибольший интерес представляют возможность захвата NFC-трафика приложений и передачи его на удаленное устройство, которым может выступать или сервер, или непосредственно смартфон злоумышленников. Преступники модифицировали исходный код, добавив к нему интерфейсы с айдентикой финансовых организаций, и включили режим ретрансляции NFC-данных. Кроме того, в состав приложения включена библиотека nfc-card-reader, которая позволяет хакерам удаленно получить также номер карты и срок ее действия.

После запуска приложения жертве, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к задней стороне смартфона, ввести свой PIN-код и подождать, пока псевдоприложение распознает карту. В это время происходит считывание данных с банковской карты и передача их преступникам. Обратим внимание на то, что для кражи NFC-данных атакуемый смартфон не требует root-доступа.

Экраны фейковых приложений

Пока жертва удерживает карту, приложенную к своему смартфону, злоумышленник уже будет находиться у банкомата и запрашивать выдачу наличных. Альтернативным вариантом является реализация данной схемы для бесконтактной оплаты покупок. И в момент, когда нужно будет приложить карту, мошенник просто предъявит свой телефон, который передаст цифровой отпечаток банковской карты жертвы. Подтвердить операцию он сможет полученным раннее PIN-кодом.

Во избежание кражи денег аналитики «Доктор Веб» рекомендуют соблюдать следующие правила:

не сообщать никому PIN- или CVV-коды своих банковских карт,
использовать антивирусное ПО, оно заблокирует скачивание и установку вредоносного ПО,
внимательно проверять адреса веб-страниц, где предлагается раскрывать любую финансовую информацию,
устанавливать приложения только из официальных источников, таких как RuStore, AppGalery и Google Play,
не вступать в разговоры с мошенниками. Если поступил неожиданный звонок от сотрудников органов правопорядка, банка, портала Госуслуг, Пенсионного фонда или любой другой организации, то следует повесить трубку. Затем можно найти контактный номер на официальном сайте ведомства и позвонить по нему самостоятельно.

Подробнее об Android.Banker.NGate.1

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности в IV квартале 2024 года

Thu, 26 Dec 2024 14:09:33 GMT

26 декабря 2024 года

Согласно статистике детектирований антивируса Dr.Web, в IV квартале 2024 года общее число обнаруженных угроз снизилось на 1,53% по сравнению с III кварталом. При этом число уникальных угроз увеличилось на 94,43%. Чаще всего детектировались рекламные приложения и рекламные трояны, вредоносные скрипты, а также трояны, распространяющиеся в составе других вредоносных приложений и применяющиеся для затруднения их обнаружения. В почтовом трафике наиболее часто выявлялись вредоносные скрипты, рекламные трояны и трояны-майнеры. Кроме того, отмечалась повышенная активность вредоносных программ со шпионской функциональностью.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.35067 и Trojan.Encoder.26996.

На Anroid-устройствах самыми распространенными угрозами вновь стали рекламные трояны Android.HiddenAds. В то же время наши вирусные аналитики выявили в каталоге Google Play множество новых вредоносных программ.

Главные тенденции IV квартала

Рекламные приложения и рекламные трояны остались лидерами по числу детектирований
Уникальных угроз по сравнению с предыдущим кварталом стало больше
Повышенная активность троянских программ-шпионов в почтовом трафике
Распространение множества троянских программ через Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы IV квартала:

Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
VBS.KeySender.6: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.BPlug.4210: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Trojan.Starter.8242: Вредоносная программа, обеспечивающая запуск трояна-майнера.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
LNK.Starter.56: Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.
Win32.HLLW.Rendoc.3: Сетевой червь, распространяющийся в том числе через съемные носители информации.
Trojan.Fbng.123: Троянская программа-шпион, также известная как Formbook. Предназначена для кражи различных данных с зараженных устройств. Она похищает сохраненные пароли в браузерах, email-клиентах, онлайн-мессенджерах и другом ПО, перехватывает вводимые данные в веб-формах, отслеживает нажатия на клавиатуре (реализует функцию кейлоггера), создает скриншоты. Кроме того, она способна загружать и запускать другие программы, а также выполнять различные команды злоумышленников, работая как бэкдор.

Шифровальщики

В IV квартале 2024 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 18,96% по сравнению с III кварталом.

Динамика поступления запросов на расшифровку в службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры IV квартала:

Trojan.Encoder.35534 — 22.63% обращений пользователей
Trojan.Encoder. 35067 — 3.91% обращений пользователей
Trojan.Encoder.26996 — 3.35% обращений пользователей
Trojan.Encoder.35209 — 3.07% обращений пользователей
Trojan.Encoder.38200 — 3.07% обращений пользователей

Сетевое мошенничество

В IV квартале 2024 года актуальной осталась мошенническая схема, в которой злоумышленники на специально созданных сайтах предлагали потенциальным жертвам заработать с помощью различных инвестиций. Для «доступа» к инвестиционным сервисам у пользователей запрашивается регистрация с указанием персональных данных, которые затем оказываются в руках мошенников. С такими сайтами сталкивались жители различных стран.

Мошеннический сайт, якобы имеющий отношение к Всемирному банку, обещает европейцам дивиденды за инвестирование в перспективные секторы экономики

Мошеннический сайт предлагает словацким пользователям «заработать более $192 460 в месяц» с помощью некоего инвестиционного сервиса

Мошенники выдают себя за крупные банки и нефтегазовые компании и предлагают пользователям из Армении и Молдовы «заработать на акциях»

Поддельный сайт азербайджанской нефтегазовой компании, где посетителям обещают заработок от 1000 манат в месяц

Сайт «новой инвестиционной платформы от Google» предлагает пройти опрос и получить доступ к сервису, якобы позволяющему зарабатывать от €1000

Один из мошеннических сайтов обещает российским пользователям «безопасный пассивный доход» от 150 000 рублей в месяц

Специалисты «Доктор Веб» отметили и сезонное изменение содержимого подобных сайтов. Так, в преддверии новогодних праздников мошенники стали чаще прибегать к тематике подарков якобы от имени банков, нефтегазовых компаний, криптобирж и других организаций. Например, на одном из поддельных интернет-ресурсов российские пользователи якобы могли получить денежные выплаты от криптобиржи в соответствии с некими «списками». А для проверки доступности такой выплаты от них требовалось пройти опрос и указать персональные данные.

Поддельный сайт криптобиржи предлагает российским пользователям получить «новогодние выплаты»

Другой поддельный сайт сообщал о некоем «новогоднем предложении» от нефтегазовой компании, в рамках которого многие пользователи из Казахстана в честь Дня независимости страны якобы могли начать получать от 200 000 до 1 000 000 тенге в месяц. Для «получения» выплат потенциальные жертвы должны были подать «заявку», указав свои персональные данные на сайте.

Мошеннический сайт обещает казахстанским пользователям крупные выплаты в честь Дня независимости в рамках «новогоднего предложения»

Вместе с тем наши интернет-аналитики зафиксировали появление поддельных сайтов российских банков, где потенциальным жертвам предлагается принять участие в опросе о качестве обслуживания и якобы получить за это денежное вознаграждение. Для этого у пользователей запрашиваются персональные данные, такие как имя, фамилия и отчество, привязанный к учетной записи банка номер мобильного телефона, а также номер банковской карты.

Пример поддельного сайта банка, который копирует оформление настоящего сайта кредитной организации и предлагает потенциальным жертвам пройти опрос за вознаграждение

Для «участия» в опросе пользователь должен заполнить форму, предоставив свои данные

Кроме того, были выявлены мошеннические сайты, предлагающие пройти онлайн-обучение — например, программированию. Заинтересовавшимся посетителям предлагалось оставить контактные данные для «получения консультации».

Сайт, предлагающий онлайн-курсы по программированию. Для «получения консультации» пользователи должны указать персональные данные.

Интернет-мошенники не оставляют попыток похитить учетные записи Telegram. Так, в IV квартале 2024 года были обнаружены очередные фишинговые сайты, замаскированные под различные онлайн-голосования — например, в «конкурсах детских рисунков». Для «подтверждения» голоса пользователи должны указать номер мобильного телефона, на который поступит проверочный код. Однако, указав этот код на поддельном сайте, они открывают мошенникам доступ к своим учетным записям.

Сайт мошенников, на котором посетителям предлагается проголосовать в детском конкурсе рисунков

«Система учета голосов» требует номер мобильного телефона для «подтверждения голоса» и отправки одноразового кода

При вводе полученного кода жертвы предоставляют мошенникам доступ к своим учетным записям Telegram

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2024 года пользователи чаще всего сталкивались с рекламными троянами Android.HiddenAds, вредоносными приложениями Android.FakeApp и Android.Siggen. Вместе с тем за прошедший период специалисты компании «Доктор Веб» обнаружили множество новых угроз в каталоге Google Play.

Наиболее заметные события, связанные с «мобильной» безопасностью в IV квартале:

высокая активность рекламных троянов Android.HiddenAds и мошеннических вредоносных программ Android.FakeApp,
появление новых вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в IV квартале 2024 года читайте в нашем обзоре.

«Доктор Веб»: обзор вирусной активности для мобильных устройств в IV квартале 2024 года

Thu, 26 Dec 2024 13:43:41 GMT

26 декабря 2024 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2024 года наиболее распространенными вредоносными программами стали рекламные трояны Android.HiddenAds. За ними расположились используемые в мошеннических целях вредоносные приложения Android.FakeApp. Тройку лидеров замыкали трояны Android.Siggen с различной вредоносной функциональностью.

В течение квартала вирусные аналитики компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них были многочисленные трояны Android.FakeApp, а также вредоносные программы семейств Android.Subscription и Android.Joker, которые подписывали пользователей на платные услуги. Были зафиксированы очередные рекламные трояны Android.HiddenAds. Кроме того, злоумышленники распространяли вредоносные приложения, защищенные сложным упаковщиком.

ГЛАВНЫЕ ТЕНДЕНЦИИ IV КВАРТАЛА

Высокая активность рекламных троянов Android.HiddenAds и мошеннических программ Android.FakeApp
Распространение множества вредоносных приложений через каталог Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.655.origin
Android.HiddenAds.657.origin: Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Packed.57083: Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.
Android.Click.1751: Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.

Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.AdPush.3.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Угрозы в Google Play

В IV квартале 2024 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 60 различных вредоносных приложений, большинство из которых — трояны семейства Android.FakeApp. Часть из них распространялась под видом программ финансовой тематики, справочников и обучающих пособий, а также прочего ПО — дневников, записных книжек и т. п. Их основной задачей была загрузка мошеннических сайтов.

Программы QuntFinanzas и Trading News, которые в числе прочих многочисленных троянов Android.FakeApp загружали мошеннические сайты

Другие трояны Android.FakeApp злоумышленники выдавали за игры. Они могли загружать сайты онлайн-казино и букмекеров.

Bowl Water и Playful Petal Pursuit — примеры игр с троянской функциональностью

Вместе с тем наши специалисты обнаружили новые варианты трояна Android.FakeApp.1669, который скрывался под маской разнообразных приложений и также мог загружать сайты онлайн-казино. Android.FakeApp.1669 интересен тем, что получает адрес целевого сайта из TXT-файла вредоносного DNS-сервера. При этом он проявляет себя только при подключении к интернету через определенных провайдеров.

Примеры новых модификаций трояна Android.FakeApp.1669. Программу WordCount мошенники выдавали за текстовую утилиту, а программа Split it: Checks and Tips должна была помочь посетителям кафе и ресторанов с оплатой счетов и расчетом чаевых.

Среди найденных в Google Play угроз было несколько новых представителей семейства рекламных троянов Android.HiddenAds, которые скрывают свое присутствие на зараженных устройствах.

Фоторедактор Cool Fix Photo Enhancer скрывал рекламного трояна Android.HiddenAds.4013

Кроме того, были зафиксированы трояны, защищенные сложным программным упаковщиком — например, Android.Packed.57156, Android.Packed.57157 и Android.Packed.57159.

Приложения Lie Detector Fun Prank и Speaker Dust and Water Cleaner — трояны, защищенные упаковщиком

Также наши специалисты обнаружили вредоносную программу Android.Subscription.22, предназначенную для подписки пользователей на платные услуги.

Вместо редактирования фотографий приложение InstaPhoto Editor подписывало пользователей на платную услугу

При этом злоумышленники вновь распространяли троянов семейства Android.Joker, которые тоже подписывали жертв на платные сервисы.

СМС-мессенджер Smart Messages и сторонняя клавиатура Cool Keyboard пытались незаметно подписать жертв на платную услугу

Индикаторы компрометации

Популяризация технологии eBPF и другие тренды в трояностроении

Tue, 10 Dec 2024 14:11:06 GMT

10 декабря 2024 года

Исследование очередного киберинцидента позволило вирусным аналитикам «Доктор Веб» выявить идущую хакерскую кампанию, в ходе которой проявились многие современные тенденции, применяемые злоумышленниками.

В компанию «Доктор Веб» обратился клиент, который заподозрил факт взлома своей компьютерной инфраструктуры. Выполняя анализ полученных данных, наши вирусные аналитики выявили ряд аналогичных случаев заражения, что позволило сделать вывод о проведении активной кампании. Усилия хакеров в основном сосредоточены на регионе Юго-Восточной Азии. В ходе атак они применяют целый комплекс вредоносного ПО, которое задействуется на разных этапах. К сожалению, нам не удалось однозначно определить то, как был получен изначальный доступ к скомпрометированным машинам. Однако мы смогли восстановить всю дальнейшую картину атаки. Наиболее примечательна эксплуатация злоумышленниками технологии eBPF (extended Berkeley Packet Filter).

Технология eBPF была разработана с целью расширения возможностей контроля над сетевой подсистемой ОС Linux и работой процессов. Она продемонстрировала довольно большой потенциал, что привлекло внимание крупных IT-компаний: практически с самого момента ее появления в фонд eBPF Foundation вошли такие гиганты как Google, Huawei, Intel и Netflix, принявшие участие в ее дальнейшей разработке. Однако еBPF заинтересовались и хакеры.

Предоставляя обширные низкоуровневые возможности, EBPF может использоваться злоумышленниками для сокрытия сетевой активности и процессов, сбора конфиденциальной информации, а также обхода сетевых экранов и систем обнаружения вторжений. Высокая сложность детектирования такого вредоносного ПО позволяет использовать его в рамках целевых АРТ-атак и в течение долгого времени маскировать активность хакеров.

Именно такими возможностями и решили воспользоваться злоумышленники, загрузив на скомпрометированную машину сразу два руткита. Первым устанавливался eBPF-руткит, который скрывал факт работы другого руткита, выполненного в виде модуля ядра, а тот, в свою очередь, подготавливал систему к установке трояна удаленного доступа. Особенностью трояна является поддержка ряда технологий туннелирования трафика, что позволяет ему связываться со злоумышленниками из приватных сегментов сети и маскировать передачу команд.

Использование вредоносного eBPF ПО набирает обороты с 2023 года. Об этом свидетельствует появление на свет нескольких семейств вредоносного ПО, основанных на данной технологии, среди которых можно отметить Boopkit, BPFDoor и Symbiote. А регулярное выявление уязвимостей лишь усугубляет ситуацию. Так, на сегодняшний день известны 217 уязвимостей BPF, причем около 100 из них датированы 2024 годом.

Следующей необычной особенностью кампании является довольно креативный подход к хранению настроек трояна. Если раньше для подобных нужд чаще всего использовались выделенные серверы, то теперь все чаще можно встретить случаи, когда конфигурация вредоносного ПО хранится в открытом доступе на публичных площадках. Так, исследуемое ПО обращалось к платформам Github и даже к страницам одного китайского блога. Такая особенность позволяет меньше привлекать внимание к трафику скомпрометированной машины — ведь та взаимодействует с безопасным узлом сети, — а также не заботиться о поддержании доступа к управляющему серверу с настройками. В целом идея использования публично-доступных сервисов в качестве управляющей инфраструктуры не нова, и ранее хакеры уже применяли для этой цели Dropbox, Google Drive, OneDrive и даже Discord. Однако региональные блокировки этих сервисов в ряде стран, в первую очередь в Китае, делают их менее привлекательными с точки зрения доступности. При этом доступ к Github сохраняется у большинства провайдеров, что делает его предпочтительным в глазах взломщиков.

Настройки, хранящиеся на Gitlab и в блоге, посвященном безопасности. Курьезно, что во втором случае взломщик просит помощи в расшифровке стороннего кода, который в дальнейшем будет отправляться трояну в качестве аргумента одной из команд

Ещё одной особенностью данной кампании стало применение трояна в составе фреймворка для постэксплуатации, то есть комплекса ПО, применяемого на дальнейших этапах атаки после получения доступа к компьютеру. Сами по себе такие фреймворки не являются чем-то запрещённым — их используют компании, официально предоставляющие услуги по аудиту безопасности. Наиболее популярными инструментами являются Cobalt Strike и Metasploit, которые позволяют автоматизировать большое количество проверок и имеют встроенную базу уязвимостей.

Пример карты сети, построенной Cobalt Strike (источник: сайт разработчика)

Конечно, такие возможности высоко ценятся и в среде хакеров. В 2022 году широкому кругу лиц стала доступна взломанная версия ПО Cobalt Strike, что обеспечило всплеск хакерской активности. Значительная часть инфраструктуры Cobalt Strike размещена в Китае. Отметим, что разработчик предпринимает усилия по отслеживанию установок фреймворка, а серверы со взломанными версиями регулярно блокируются органами правопорядка. Поэтому в настоящее время наблюдается устойчивый тренд перехода к использованию фреймворков с открытым исходным кодом, которые изначально поддерживают возможность расширения и видоизменения сетевой активности между зараженным устройством и сервером управления. Такая стратегия является предпочтительной, так как позволяет не привлекать дополнительное внимание к инфраструктуре взломщиков.

По результатам расследования все выявленные угрозы были добавлены в наши базы вредоносного ПО, дополнительно в алгоритмы эвристика были внесены признаки вредоносных eBPF-программ.

Подробнее об Trojan.Siggen28.58279

Индикаторы компрометации

В ходе кампании по распространению трояна для добычи и кражи криптовалюты пострадали более 28 тысяч пользователей

Tue, 08 Oct 2024 16:04:14 GMT

8 октября 2024 года

Вирусные аналитики компании «Доктор Веб» выявили идущую масштабную кампанию по распространению вредоносного ПО для добычи и кражи криптовалюты, в рамках которой трояны доставлялись на машины жертв под видом офисных программ, читов для игр и ботов для онлайн-трейдинга.

В ходе рутинного анализа облачной телеметрии, поступающей от наших пользователей, специалисты вирусной лаборатории Доктор Веб выявили подозрительную активность программы, замаскированной под компонент ОС Windows (StartMenuExperienceHost.exe, легитимный процесс с таким именем отвечает за управление меню Пуск). Эта программа связывалась с удаленным сетевым узлом и ждала подключения извне для того, чтобы сразу же запустить интерпретатор командной строки cmd.exe.

Замаскированной под системный компонент была сетевая утилита Ncat, которая используется в правомерных целях для передачи данных по сети посредством командной строки. Именно эта находка помогла восстановить последовательность событий безопасности, среди которых были попытки заражения компьютеров вредоносным ПО, предотвращенные антивирусом Dr.Web.

Источником заражения являются мошеннические сайты, которые злоумышленники создают на платформе GitHub (оговоримся, что такая деятельность запрещена правилами платформы), и запуск скачанных оттуда программ. Альтернативно, ссылки на вредоносное ПО могут быть закреплены в описаниях под видео на хостинге Youtube. При клике по ссылке скачивается самораспаковывающийся зашифрованный архив, защищенный паролем, что предотвращает его автоматическое сканирование антивирусами. После ввода пароля, который хакеры указывают на странице скачивания, на компьютере жертвы в папку %ALLUSERSPROFILE%\jedist распаковывается следующий набор временных файлов:

UnRar.exe — распаковщик архивов RAR;
WaR.rar — архив RAR;
Iun.bat — сценарий, который создает задачу на выполнение скрипта Uun.bat, инициирует перезагрузку компьютера и удаляет себя;
Uun.bat — обфусцированный скрипт, который распаковывает файл WaR.rar, запускает находящиеся в нем файлы ShellExt.dll и UTShellExt.dll, после чего удаляет задачу, созданную Iun.bat и папку jedist вместе с ее содержимым.

Файл ShellExt.dll представляет собой интерпретатор языка AutoIt и сам по себе не является вредоносным. Однако, это не его настоящее имя. Злоумышленники переименовали исходный файл с именем AutoIt3.exe в ShellExt.dll для маскировки под библиотеку программы WinRAR, которая отвечает за интеграцию функций архиватора в контекстное меню Windows. После своего запуска интерпретатор в свою очередь загружает файл UTShellExt.dll, который был позаимствован мошенниками у утилиты Uninstall Tool. К этой библиотеке, подписанной действительной цифровой подписью, они «пришили» вредоносный AutoIt скрипт. После его выполнения происходит распаковка полезной нагрузки, все файлы которой сильно обфусцированы.

Язык AutoIt является языком программирования для создания скриптов автоматизации и утилит для ОС Windows. Простота освоения и широкая функциональность сделали его популярным среди разных категорий пользователей, в том числе и вирусописателей. Некоторые антивирусные программы детектируют любой скомпилированный скрипт AutoIt как вредоносный.

Файл UTShellExt.dll выполняет следующие действия:

Ищет запущенное отладочное ПО в списке процессов. В скрипте содержатся названия примерно 50 различных утилит, используемых для отладки, и при выявлении хотя бы одного процесса из этого списка, скрипт завершает свою работу
Если отладочное ПО не найдено, в скомпрометированную систему распаковываются файлы, необходимые для продолжения атаки. Часть файлов является «чистой», они необходимы для реализации сетевого взаимодействия, а остальные выполняют вредоносные действия
Создает системные события для обеспечения сетевого доступа с помощью Ncat и загрузки BAT и DLL файлов, а также вносит изменения в реестр для реализации перехвата запуска приложений с использованием техники IFEO
IFEO (Image File Execution Options) — это возможности, предоставляемые ОС Windows для разработчиков ПО, например, автоматический запуск отладчика при старте приложения. Однако злоумышленники могут использовать техники IFEO для закрепления в системе. Для этого они меняют путь до отладчика, указывая вместо него путь до вредоносного файла, таким образом, при каждом запуске легитимного приложения будет также запускаться и вредоносное. В этом случае хакеры «цеплялись» к системным службам ОС Windows, а также к процессам обновления браузеров Google Chrome и Microsoft Edge (MoUsoCoreWorker.exe, svchost.exe, TrustedInstaller.exe, GoogleUpdate.exe и MicrosoftEdgeUpdate.exe).
Запрещает доступ к удалению, записи и изменения для папок и файлов, созданных на этапе 2
Отключает службу восстановления ОС Windows
Отправляет в Telegram злоумышленникам информацию о технических характеристиках зараженного компьютера, его имя, версию ОС и сведения об установленном антивирусном ПО.

Функции скрытого майнинга и кражи криптовалюты выполняют файлы DeviceId.dll и 7zxa.dll. Оба файла встраиваются в процесс explorer.exe (Проводник ОС Windows), используя технику Process Hollowing. Первый файл представляет собой легитимную библиотеку, распространяемую в составе среды разработки .NET, в которую был встроен вредоносный AutoIt скрипт, запускающий майнер SilentCryptoMiner. Этот майнер обладает широкими возможностями по конфигурации и маскировке процесса добычи криптовалюты, а также функцией удаленного управления.

Библиотека 7zxa.dll, замаскированная под компонент архиватора 7-Zip, является так называемым клиппером. Данный тип вредоносного ПО используется для мониторинга данных в буфере обмена, которые он может или подменять, или пересылать злоумышленникам. В данном случае клиппер отслеживает появление в буфере обмена типовых последовательностей символов, характерных для адресов кошельков, и заменяет их на те, которые были указаны злоумышленниками. К моменту публикации достоверно известно, что только благодаря клипперу хакеры смогли обогатиться на более чем 6000 долларов (или 571 тысячу рублей).

Техника Process Hollowing заключается в запуске какого-либо доверенного процесса в приостановленном состоянии, перезаписи его кода в памяти на вредоносный, а затем возобновлении выполнения процесса. Использование такой техники приводит к появлению одноименных копий процесса, так в нашем случае на компьютерах жертв наблюдалось три процесса explorer.exe, что является подозрительным самим по себе, так как в норме этот процесс существует в единственном экземпляре.

Всего от действий киберпреступников пострадало более 28 тысяч человек, превалирующее большинство из которых являются жителями России. Также, значимые цифры заражений наблюдаются в Беларуси, Узбекистане, Казахстане, Украине, Кыргызстане и Турции. Поскольку компрометация компьютеров жертв происходила при установке пиратских версий популярных программ, то основными рекомендациями по профилактике подобных инцидентов являются скачивание ПО из официальных источников, использование программ-аналогов с открытым исходным кодом, а также использование антивирусов. Пользователи продуктов Dr.Web надежно защищены от данной угрозы.

Подробнее о Trojan.AutoIt.1443

Индикаторы компрометации

Приманка для злоумышленников: сервер с уязвимой версией базы данных Redis позволил выявить новую модификацию руткита для сокрытия процесса добычи криптовалюты

Thu, 03 Oct 2024 11:05:29 GMT

3 октября 2024 года

Вирусные аналитики компании «Доктор Веб» выявили новую модификацию руткита, устанавливающую на скомпрометированные машины с ОС Linux троян-майнер Skidmap. Этот руткит выполнен в виде вредоносного модуля ядра, который скрывает деятельность майнера, подменяя информацию о загрузке процессора и сетевой активности. Данная атака является массовой и направлена преимущественно на корпоративный сектор — крупные серверы и облачные среды, — так как именно с подобными ресурсами эффективность майнинга будет максимальной.

Система управления базами данных Redis является одной из самых популярных в мире: серверы Redis используются такими крупными компаниями как Х (ранее Twitter), AirBnB, Amazon и др. Преимущества системы очевидны: максимальное быстродействие, минимальные требования к ресурсам, поддержка различных типов данных и языков программирования. Однако у данного продукта есть и минусы: поскольку изначальное применение Redis не предполагало его установку на сетевой периферии, в конфигурации по умолчанию поддерживаются только базовые функции обеспечения безопасности, а в версиях до 6.0 отсутствуют механизмы контроля доступа и шифрования. Кроме того, ежегодно в профильных СМИ появляются сообщения о выявлении в Redis уязвимостей. Например, в 2023 году их было зафиксировано 12, три из которых имели статус «Серьезные». Участившиеся сообщения о компрометации серверов с последующей установкой программ для майнинга заинтересовали специалистов вирусной лаборатории «Доктор Веб», у которых возникло желание непосредственно пронаблюдать за данной атакой. Для этого было принято решение запустить свой сервер Redis с отключенной защитой и ждать непрошеных гостей. В течение года ежемесячно на сервер предпринимались от 10 до 14 тысяч атак, а недавно на сервере было обнаружено присутствие вредоносного ПО Skidmap, на что и рассчитывали наши аналитики. Однако неожиданным стало то, что в этом случае киберпреступники воспользовались новым методом сокрытия активности майнера, а заодно установили сразу четыре бэкдора.

Первые сообщения о трояне Skidmap появились в 2019 году. Данный троян-майнер имеет определенную специализацию и встречается в основном в корпоративных сетях, так как наибольшую отдачу от скрытного майнинга можно получить именно в enterprise-сегменте. Несмотря на то, что с момента появления трояна прошло уже пять лет, принцип его работы остается без изменений: он устанавливается в систему посредством эксплуатации уязвимостей или неправильных настроек ПО. В случае нашего сервера-приманки хакеры добавили в системный планировщик cron задачи, в рамках которых каждые 10 минут запускался скрипт, скачивающий дроппер Linux.MulDrop.142 (или другую его модификацию — Linux.MulDrop.143). Данный исполняемый файл проверяет версию ядра ОС, отключает защитный модуль SELinux, а затем распаковывает в системе файлы руткита Linux.Rootkit.400, майнера Linux.BtcMine.815, а также бэкдоров Linux.BackDoor.Pam.8/9, Linux.BackDoor.SSH.425/426 и трояна Linux.BackDoor.RCTL.2 для удаленного доступа. Отличительной чертой дроппера является то, что он имеет довольно большой размер, так как содержит исполняемые файлы под различные дистрибутивы Linux. В данном случае в тело дроппера были вшито примерно 60 файлов для разных версий дистрибутивов Debian и Red Hat Enterprise Linux, которые наиболее часто устанавливаются на серверы.

После установки руткит перехватывает ряд системных вызовов, что позволяет ему выдавать фейковые сведения в ответ на диагностические команды, вводимые администратором. Среди перехватываемых функций встречаются те, которые сообщают о среднем значении загрузки ЦП, сетевой активности на ряде портов и выводят перечень файлов в папках. Руткит также проверяет все загружаемые модули ядра и запрещает запуск тех, которые могут детектировать его присутствие. Всё это позволяет полностью скрывать все аспекты деятельности майнера по добыче криптовалюты: вычисления, отправку хешей и получение заданий.

Назначение устанавливаемых дроппером бэкдоров в рамках этой атаки заключается в сохранении и отправке злоумышленникам данных обо всех SSH-авторизациях, а также создании мастер-пароля ко всем учетным записям в системе. Отметим, что все пароли при отправке дополнительно шифруются шифром Цезаря со смещением в 4 буквы.

Для расширения возможностей по контролю взломанной системы злоумышленники устанавливают RAT-троян Linux.BackDoor.RCTL.2. Он позволяет отправлять команды на скомпрометированный сервер и получать от него любые данные по зашифрованному соединению, которое троян инициирует самостоятельно.

В качестве майнера устанавливается программа xmrig, позволяющая добывать ряд криптовалют, наиболее известной из которых является Monero, снискавшая популярность в даркнете благодаря своей полной анонимности на уровне транзакций. Следует сказать, что обнаружение прикрытого руткитом майнера в кластере серверов является довольно нетривиальной задачей. В отсутствие достоверных сведений о потреблении ресурсов, единственное, что может натолкнуть на мысль о компрометации — это избыточное энергопотребление и повышенное теплообразование. Злоумышленники также могут изменять настройки майнера таким образом, чтобы обеспечить оптимальный баланс между производительностью майнинга и сохранением быстродействия оборудования, что позволит привлекать меньше внимания к скомпрометированной системе.

Эволюция семейства вредоносного ПО Skidmap проявляется в усложнении схемы атаки: запускаемые программы делают вызовы друг к другу, отключают защитные системы, вмешиваются в работу большого числа системных утилит и служб, загружают руткиты и т. д., что значительно затрудняет действия по реагированию на подобные инциденты.

Перечисленные угрозы внесены в вирусную базу Dr.Web и потому не представляют опасности для пользователей наших продуктов.

Индикаторы компрометации

Подробнее о Linux.MulDrop.142

Подробнее о Linux.MulDrop.143

Подробнее о Linux.MulDrop.144

Подробнее о Linux.Rootkit.400

«Доктор Веб»: обзор вирусной активности в III квартале 2024 года

Tue, 01 Oct 2024 11:14:03 GMT

1 октября 2024 года

Согласно статистике детектирований антивируса Dr.Web, в III квартале 2024 года общее число обнаруженных угроз возросло на 10,81% по сравнению со II кварталом. Число уникальных угроз снизилось на 4,73%. Большинство детектирований вновь пришлось на рекламные приложения. Распространение также получили вредоносные скрипты, трояны, демонстрирующие рекламу, и трояны, которое распространяются в составе других вредоносных приложений и применяются для затруднения их обнаружения. В почтовом трафике чаще всего выявлялись вредоносные скрипты и приложения, эксплуатирующие уязвимости документов Microsoft Office.

На Android-устройствах наиболее распространенными угрозами стали применяемые в мошеннических целях трояны Android.FakeApp, рекламные трояны Android.HiddenAds и обладающие различной функциональностью вредоносные программы Android.Siggen. При этом в августе наши специалисты обнаружили нового трояна Android.Vo1d, который заразил почти 1 300 000 ТВ-приставок, работающих на ОС Android. Кроме того, специалисты вирусной лаборатории «Доктор Веб» в течение III квартала выявили множество новых угроз в каталоге Google Play.

Главные тенденции III квартала

Рекламные приложения оставались наиболее часто детектируемыми угрозами
Во вредоносном почтовом трафике по-прежнему преобладали вредоносные скрипты
Обнаружено заражение более 1 000 000 ТВ-приставок на базе Android бэкдором Android.Vo1d
Были зафиксированы новые угрозы в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы III квартала:

Adware.Downware.20091
Adware.Downware.20477: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.StartPage1.62722: Вредоносная программа, подменяющая стартовую страницу в настройках браузера.
Adware.Ubar.20: Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
LNK.Starter.56: Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.
W97M.DownLoader.6154: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Trojan.AutoIt.1410: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Шифровальщики

В III квартале 2024 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 15,73% по сравнению со II кварталом.

Динамика поступления запросов на расшифровку в службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры III квартала:

Trojan.Encoder.35534 — 19.38%
Trojan.Encoder.3953 — 9.42%
Trojan.Encoder.38200 — 3.99%
Trojan.Encoder.26996 — 2.89%
Trojan.Encoder.35067 — 2.72%

Сетевое мошенничество

В течение III квартала 2024 года интернет-мошенники продолжили распространять электронные спам-письма со ссылками на различные фишинговые сайты. Например, русскоязычные пользователи вновь сталкивались с сообщениями, якобы отправленными от имени известных интернет-магазинов. В одних им предлагалось принять участие в розыгрыше призов или получить подарок. При переходе по ссылкам из таких писем потенциальные жертвы попадали на мошеннические сайты, где для «получения» того или иного приза или выигрыша от них требовалось оплатить комиссию.

Мошенники якобы от имени онлайн-магазина предлагают потенциальной жертве «получить выигрыш» в размере 208 760 рублей

В других письмах пользователей якобы ждала скидка на покупку товаров в крупном магазине электроники. Ссылки из этих сообщений вели на поддельный сайт, оформленный в стиле настоящего интернет-ресурса площадки. При оформлении «заказа» на нем потенциальные жертвы должны были указать свои персональные данные, а также данные банковской карты.

Мошенническое письмо, предлагающее «активировать промокод» для покупки электроники

Популярным среди мошенников остается спам финансовой тематики. Так, злоумышленники рассылали нежелательные письма для «подтверждения» получения крупных денежных переводов. Пример такого письма, нацеленного на англоязычных пользователей, представлен ниже. Ссылка в нем вела на фишинговую форму входа в учетную запись клиента банка, внешне напоминающую подлинную страницу на сайте кредитной организации.

Пользователю якобы необходимо подтвердить получение $1218,16 США

Фишинговый сайт банка, выдаваемый мошенниками за настоящий

Среди нежелательных писем, предназначенных для японской аудитории, наши специалисты зафиксировали очередные поддельные уведомления кредитных организаций — например, с информацией о расходах по банковской карте за месяц. В одном из таких сообщений мошенники замаскировали ссылку на фишинговый сайт: пользователи в тексте письма видели ссылки на настоящие адреса сайта банка, но те при нажатии вели на мошеннический интернет-ресурс.

Все ссылки в письме на самом деле ведут на фишинговый сайт

Франкоязычные пользователи (в частности, из Бельгии) сталкивались с фишинговыми письмами, которые сообщали о «блокировке» их банковских счетов. Для «разблокировки» им предлагалось перейти по ссылке, которая в действительности вела на сайт мошенников.

Мошенники пугают потенциальную жертву «заблокированным» банковским аккаунтом

А среди российских пользователей вновь активно распространялся почтовый спам, в котором потенциальным жертвам якобы от имени известных банков предлагалось стать инвесторами. Ссылки в таких нежелательных письмах ведут на мошеннические сайты, где у посетителей под видом получения доступа к инвестиционным сервисам запрашиваются персональные данные.

Пользователю якобы от имени банка предлагается пройти тест и стать инвестором

Вместе с тем интернет-аналитики «Доктор Веб» выявили новые фишинговые сайты, нацеленные на владельцев криптовалют. Так, на одном из них посетителям якобы от имени крупной криптобиржи сообщалось о неполученном Bitcoin-переводе. Для «завершения» транзакции потенциальным жертвам предлагалось оплатить «комиссию». Никакой криптовалюты пользователям, конечно же, не поступало — они лишь отдавали мошенникам собственные активы.

Мошеннический сайт сообщает, что у пользователя якобы имеется неполученный Bitcoin-перевод

Кроме того, были обнаружены фишинговые сайты, имитировавшие внешний вид социальной сети «ВКонтакте». Их посетителям предлагалось принять участие в некоем розыгрыше призов, открыв для этого несколько виртуальных коробок с подарками. После того как потенциальные жертвы открывали «правильные» коробки и якобы выигрывали крупную сумму денег, сайт предлагал им заплатить комиссию для получения «выигрыша».

Мошеннический сайт предлагает посетителям «испытать удачу»

Пользователь якобы выиграл приз в размере 194 562 рубля

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в III квартале 2024 года на защищаемых устройствах чаще всего обнаруживались вредоносные программы Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. Вторыми по распространенности стали рекламные трояны Android.HiddenAds. На третьем месте расположились трояны Android.Siggen.

За прошедший период наши специалисты выявили множество новых угроз в каталоге Google Play. Среди них — различные варианты троянов Android.FakeApp и Android.HiddenAds. Кроме того, была зафиксирована атака на ТВ-приставки с ОС Android—бэкдор Android.Vo1d заразил около 1 300 000 устройств у пользователей из 197 стран. Он помещал свои компоненты в системную область приставок и по команде злоумышленников мог незаметно скачивать и устанавливать сторонние программы.

Наиболее заметные события, связанные с «мобильной» безопасностью в III квартале:

обнаружение бэкдора Android.Vo1d, заразившего более миллиона ТВ-приставок,
высокая активность вредоносных программ Android.FakeApp,
высокая активность рекламных троянов Android.HiddenAds,
появление новых угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в III квартале 2024 года читайте в нашем обзоре.

«Доктор Веб»: обзор вирусной активности для мобильных устройств в III квартале 2024 года

Tue, 01 Oct 2024 11:07:03 GMT

1 октября 2024 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в III квартале 2024 года на защищаемых устройствах наиболее часто обнаруживались вредоносные приложения Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. На втором месте расположились рекламные трояны Android.HiddenAds. Третьими оказались представители семейства Android.Siggen — это программы, обладающие различной вредоносной функциональностью, которые сложно отнести к какому-либо конкретному семейству.

В августе специалисты «Доктор Веб» обнаружили бэкдор Android.Vo1d, который заразил почти 1 300 000 ТВ-приставок с ОС Android у пользователей из 197 стран. Эта вредоносная программа помещает свои компоненты в системную область устройств и по команде злоумышленников способна незаметно загружать и устанавливать различные приложения.

Вместе с тем наши вирусные аналитики вновь выявили угрозы в каталоге Google Play. Среди них было множество новых программ-подделок, а также сразу несколько рекламных троянов.

ГЛАВНЫЕ ТЕНДЕНЦИИ III КВАРТАЛА

Бэкдор Android.Vo1d заразил более миллиона ТВ-приставок
Высокая активность вредоносных программ Android.FakeApp, применяемых в мошеннических целях
Высокая активность рекламных троянов Android.HiddenAds
Появление новых вредоносных программ в каталоге Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.3994: Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7815
Android.MobiDash.7813: Троянские программы, показывающие надоедливую рекламу. Они представляют собой программные модули, которые разработчики ПО встраивают в приложения.
Android.Click.1751: Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.

Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты им не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.SilentInstaller.17.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.NPMod.1
Tool.NPMod.2: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Угрозы в Google Play

В III квартале 2024 года вирусные аналитики «Доктор Веб» продолжили выявлять угрозы в каталоге Google Play. Среди них было множество новых вредоносных программ-подделок Android.FakeApp, которые распространялись под видом самого разнообразного ПО. Часть из них злоумышленники вновь выдавали за программы финансовой тематики — приложения для инвестирования, обучающие пособия по финансам, вариации домашних бухгалтерий и т. п. Некоторые из них действительно предоставляли заявленную функциональность, однако их основная задача — загрузить мошеннические сайты. На них потенциальным жертвам обещают легкий и быстрый заработок через инвестиции в акции, торговлю сырьевыми товарами, криптовалютой и т. п. Пользователям под видом доступа к «услуге» предлагается зарегистрировать учетную запись или оформить заявку для участия, указав персональные данные.

Примечательно, что один из троянов Android.FakeApp злоумышленники выдавали за программу для онлайн-знакомств и общения, однако он тоже загружал мошеннический сайт с «инвестициями».

Другие трояны Android.FakeApp в очередной раз распространялись под видом игр. При определенных условиях они загружали сайты онлайн-казино и букмекеров.

Среди программ-подделок наши специалисты выявили и новые варианты троянов, маскирующихся под инструменты для поиска работы. Такие вредоносные программы загружают поддельные списки вакансий и предлагают потенциальным жертвам через мессенджер связаться с «работодателем» (который на самом деле является мошенником) или составить «резюме», указав персональные данные.

Вирусные аналитики «Доктор Веб» также обнаружили в Google Play очередные трояны семейства Android.HiddenAds, которые скрывают свои значки в меню главного экрана и начинают показывать надоедливую рекламу. Они маскировались под приложения различных типов — сборники изображений, фоторедакторы, сканеры штрих-кодов.

Индикаторы компрометации

Пустота захватила более миллиона ТВ-приставок на Android

Thu, 12 Sep 2024 13:35:09 GMT

12 сентября 2024 года

Специалисты «Доктор Веб» выявили новый случай инфицирования ТВ-приставок на базе Android. Вредоносная программа, получившая имя Android.Vo1d, заразила почти 1 300 000 устройств у пользователей из 197 стран. Это бэкдор, который помещает свои компоненты в системную область и по команде злоумышленников способен скрытно загружать и устанавливать стороннее ПО.

В августе 2024 года в компанию «Доктор Веб» обратилось несколько пользователей, на чьих устройствах антивирус Dr.Web зафиксировал изменения в системной файловой области. Это произошло со следующими моделями:

Модель ТВ-приставки	Заявленная версия прошивки
R4	Android 7.1.2; R4 Build/NHG47K
TV BOX	Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP	Android 10.1; KJ-SMART4KVIP Build/NHG47K

Во всех случаях признаки заражения оказались схожими, поэтому они будут описаны на примере одного из первых обращений. На затронутой трояном ТВ-приставке были изменены следующие объекты:

install-recovery.sh
daemonsu

Кроме того, в ее файловой системе появилось 4 новых файла:

/system/xbin/vo1d
/system/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real

Файлы vo1d и wd — компоненты выявленного нами трояна Android.Vo1d.

Авторы трояна, вероятно, пытались замаскировать один из его компонентов под системную программу /system/bin/vold, назвав его схожим именем «vo1d» (подменив строчную букву «l» цифрой «1»). По имени этого файла вредоносная программа и получила свое наименование. При этом такое написание созвучно со словом «void» (в переводе с английского — пустота).

Файл install-recovery.sh — это скрипт, который присутствует на большинстве Android-устройств. Он запускается при старте операционной системы и содержит данные для автозапуска указанных в нем элементов. Если у какой-либо вредоносной программы есть root-доступ и возможность записи в системный каталог /system, она может закрепиться на инфицированном устройстве, добавив себя в этот скрипт (либо создав его в случае отсутствия в системе). Android.Vo1d прописал в нем автозапуск компонента wd.

Модифицированный файл install-recovery.sh

Файл daemonsu присутствует на многих Android-устройствах с root-доступом. Он запускается системой при загрузке и отвечает за предоставление root-привилегий пользователю. Android.Vo1d прописал себя и в этом файле, также настроив автозапуск модуля wd.

Файл debuggerd является демоном, который обычно применяется для создания отчетов об ошибках. Но при заражении ТВ-приставки этот файл был подменен скриптом, запускающим компонент wd.

Файл debuggerd_real в рассматриваемом случае является копией скрипта, которым был подменен настоящий файл debuggerd. Специалисты «Доктор Веб» полагают, что по задумке авторов трояна исходный debuggerd должен был быть перемещен в debuggerd_real для сохранения его работоспособности. Однако из-за того, что заражение, вероятно, произошло дважды, троян переместил уже подмененный файл (то есть скрипт). В результате на устройстве оказалось два скрипта от трояна и ни одного настоящего файла программы debuggerd.

В то же время у других обратившихся к нам пользователей на зараженных устройствах был несколько иной список файлов:

daemonsu (аналог файла vo1d — Android.Vo1d.1);
wd (Android.Vo1d.3);
debuggerd (аналогичен описанному выше скрипту);
debuggerd_real (оригинальный файл утилиты debuggerd);
install-recovery.sh (скрипт, обеспечивающий загрузку указанных в нем объектов).

Изучение всех этих файлов показало, что для закрепления Android.Vo1d в системе его создатели использовали как минимум три различных метода — модификацию файлов install-recovery.sh и daemonsu, а также подмену программы debuggerd. Вероятно, они рассчитывали, что в инфицируемой системе будет присутствовать хотя бы один из целевых файлов, поскольку манипуляция даже с одним из них обеспечила бы успешный автозапуск трояна при последующих перезагрузках устройства.

Основная функциональность Android.Vo1d скрыта в его компонентах vo1d (Android.Vo1d.1) и wd (Android.Vo1d.3), которые работают в связке. Модуль Android.Vo1d.1 отвечает за запуск Android.Vo1d.3 и контролирует его активность, при необходимости перезапуская процесс. Также по команде управляющего сервера он может скачивать и запускать исполняемые файлы. В свою очередь, модуль Android.Vo1d.3 устанавливает на устройство и запускает зашифрованный в его теле демон (Android.Vo1d.5), который тоже способен скачивать и запускать исполняемые файлы. Кроме того, он отслеживает появление APK-файлов приложений в заданных каталогах и устанавливает их.

Проведенное вирусными аналитиками «Доктор Веб» исследование показало, что бэкдор Android.Vo1d заразил около 1 300 000 устройств, а география его распространения охватила почти 200 стран. Больше всего заражений было выявлено в Бразилии, Марокко, Пакистане, Саудовской Аравии, России, Аргентине, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.

Страны с наибольшим числом выявленных зараженных устройств

Возможной причиной того, что распространяющие Android.Vo1d злоумышленники выбрали своей целью именно ТВ-приставки, является то, что такие устройства часто работают на базе устаревших версий Android, в которых не закрыты уязвимости и для которых уже не выходят обновления. Например, модели у обратившихся к нам пользователей работают на базе Android 7.1 несмотря на то, что для некоторых из них в конфигурации указаны версии намного новее — Android 10 и Android 12. К сожалению, это нередкая практика, когда производители бюджетных устройств используют старые версии ОС и выдают их за более актуальные, чтобы повысить их привлекательность.

Кроме того, сами пользователи ошибочно могут воспринимать ТВ-приставки как более защищенные устройства по сравнению со смартфонами. Из-за этого они могут реже устанавливать на них антивирус и рискуют столкнуться с вредоносными программами при скачивании сторонних приложений или при установке неофициальных прошивок.

На данный момент источник заражения приставок бэкдором остается неизвестным. Одним из возможных векторов может рассматриваться атака промежуточной вредоносной программы, которая эксплуатирует уязвимости операционной системы для получения root-полномочий. Другим может быть использование неофициальных версий прошивок с root-доступом.

Dr.Web Security Space для мобильных устройств успешно детектирует все известные варианты трояна Android.Vo1d и при наличии root-доступа выполняет лечение зараженных гаджетов.

Индикаторы компрометации

Подробнее об Android.Vo1d.1

Подробнее об Android.Vo1d.3

Подробнее об Android.Vo1d.5

Использование Яндекс Браузера для закрепления в скомпрометированной системе. Несостоявшаяся целевая атака на российского оператора грузовых железнодорожных перевозок.

Wed, 04 Sep 2024 10:21:45 GMT

Скачать в PDF

4 сентября 2024 года

Социальная инженерия — крайне эффективный метод мошенничества, которому сложно противостоять. Опытный злоумышленник умеет найти правильный подход к жертве, запугать или убедить ее выполнить какое-то действие. Но что если для реализации атаки не требуется каких-либо значимых коммуникативных усилий, а компьютер из цифрового помощника превращается в невольного соучастника преступления?

Целевой фишинг — популярный метод доставки вредоносного ПО на компьютеры сотрудников крупных компаний. От обычного фишинга он отличается тем, что злоумышленники заранее собирают информацию и персонализируют свое сообщение, побуждая жертву выполнить какое-то действие, которое приведёт к компрометации. Основными целями преступники выбирают или высокопоставленных сотрудников, обладающих доступом к ценной информации, или сотрудников тех отделов, которые по долгу службы контактируют с множеством адресатов. В частности это касается работников отдела кадров: они получают массу писем от ранее незнакомых лиц с вложениями в самых разных форматах. Такой вектор атаки и был избран мошенниками в том случае, о котором мы сейчас вам расскажем.

В марте 2024 года в компанию «Доктор Веб» обратились представители крупного российского предприятия, работающего в отрасли грузовых железнодорожных перевозок. Внимание сотрудников отдела информационной безопасности привлекло подозрительное письмо с прикрепленным к нему вложением. После попытки самостоятельно определить, какую опасность несет приложенный файл, они обратились к нашим специалистам. Ознакомившись с полученным запросом, наши аналитики пришли к выводу, что компания чуть не стала жертвой целевой атаки. Задачами, которые ставили перед собой злоумышленники, был сбор информации о системе и запуск модульного вредоносного ПО на скомпрометированном ПК.

Для реализации атаки киберпреступники отправили на электронный адрес компании фишинговое письмо, замаскированное под резюме соискателя вакансии. К письму был приложен архив, якобы содержащий PDF-файл с анкетой. Этот файл имел «двойное» расширение .pdf.lnk. Сокрытие вредоносных объектов при использовании двойных расширений — довольно частая тактика злоумышленников, которой они пользуются для того, чтобы вводить своих жертв в заблуждение. По умолчанию ОС Windows скрывает расширения файлов для удобства пользователя. А если файл имеет «двойное» расширение, то система скрывает только последнее из них. Таким образом, в данном случае жертва могла видеть первое расширение — .pdf, а расширение .lnk было скрыто. Отметим, что даже при включенном отображении полных имен файлов расширение .lnk всегда скрывается ОС.

Идея компрометации систем посредством lnk-файлов не нова. Наиболее знаковая атака произошла в 2010 году, когда оборудование для обогащения урана в иранском городе Нетенз подверглось беспрецедентному кибервоздействию со стороны злоумышленников. Червь под название Stuxnet атаковал ПЛК, управляющие газовыми центрифугами, выводя последние на запредельную скорость вращения, а затем резко останавливая, из-за чего происходило разрушение их корпусов. Помимо порчи оборудования этот червь инфицировал более 200 000 компьютеров во многих странах мира. Основным вектором атаки был lnk-файл, который попал на управляющий компьютер предприятия на USB-носителе. А для запуска вредоносного достаточно было лишь перейти в папку, содержащую специально сформированный lnk-файл. В рамках атаки было задействовано 4 уязвимости нулевого дня, в частности эксплойт CPLINK, что позволило запустить червя Stuxnet без участия пользователя.

Метаданные, хранящиеся в lnk-файле

Истинное расширение .lnk является расширением ярлыков в ОС Windows. В поле «Объект» (Target) можно указать путь до любого объекта ОС — например, исполняемого файла — и запустить его с требуемыми параметрами. В рамках этой атаки скрытно происходил запуск интерпретатора команд PowerShell, скачивавший с сайта злоумышленников два вредоносных скрипта, каждый из которых запускал свою полезную нагрузку.

Схема атаки

Первая из них представляла собой отвлекающий PDF, а также исполняемый файл с названием YandexUpdater.exe, маскирующийся под компонент для обновления Яндекс Браузера (название реального компонента — service_update.exe). Данный исполняемый файл представляет собой дроппер трояна Trojan.Packed2.46324, который после ряда проверок, направленных на выявление факта запуска в эмулируемом окружении и наличия ПО для отладки, распаковывал в скомпрометированной системе трояна Trojan.Siggen28.53599. Последний имеет возможность удаленного управления, выполняет сбор системной информации и скачивание различных вредоносных модулей. Помимо данных функций троян также обладает возможностями по противодействию отладке. При выявлении процессов антивирусов, виртуальных машин и отладчиков троян перезаписывает свой файл нулями и удаляет его вместе с папкой, в которой он хранился.

Отвлекающий PDF-файл

Вторая полезная нагрузка состояла из отвлекающего PDF-файла и трояна Trojan.Siggen27.11306. Данный троян представляет собой динамическую библиотеку (DLL) с зашифрованной полезной нагрузкой. Особенность данного трояна заключается в том, что он эксплуатирует уязвимость Яндекс Браузера к перехвату порядка поиска DLL (DLL Search Order Hijacking). В ОС Windows DLL-файлы представляют собой библиотеки, которые используются приложениями для хранения функций, переменных и элементов интерфейса. В момент своего запуска приложения выполняют поиск библиотек в различных хранилищах данных в определенном порядке, поэтому злоумышленники могут попытаться «пролезть без очереди» и поместить вредоносную библиотеку в ту папку, где поиск DLL происходит с наибольшим приоритетом.

Упрощенная схема приоритета поиска библиотек

Данный троян сохраняется в скрытую папку %LOCALAPPDATA%\Yandex\YandexBrowser\Application под именем Wldp.dll. Именно в этот каталог устанавливается Яндекс Браузер, и там же браузер будет искать необходимые ему библиотеки при запуске. В свою очередь, легитимная библиотека Wldp.dll, функция которой заключается в обеспечении безопасности запуска приложений, является системной библиотекой ОС и находится в папке %WINDIR%\System32. А так как вредоносная библиотека располагается в папке установки Яндекс Браузера, то первой будет загружаться именно она. При этом она получает все разрешения основного приложения: может выполнять команды и создавать процессы от имени браузера, а также наследовать правила брандмауэра для доступа в интернет.

После запуска браузера вредоносная библиотека Wldp.dll расшифровывает зашитую в нее полезную нагрузку. Следует отметить, что расшифровка выполняется дважды. В первый раз она производится с помощью ключа, создаваемого на основе хеша пути, по которому расположена вредоносная DLL, а затем — с помощью глобального ключа, зашитого в тело трояна. Результатом расшифровки является шелл-код, выполнение которого позволяет злоумышленникам запустить в скомпрометированной системе приложение, написанное на языке .NET. В свою очередь, этот стейджер загружал из сети вредоносное ПО. К сожалению, на момент нашего расследования на сервере, с которым связывался загрузчик, искомый файл был недоступен, и нам не удалось узнать, какой конкретно троян скачивался в данном случае.

Таким образом, мы видим многовекторную и многоступенчатую схему инфицирования одновременно двумя разными троянами, которые доставляются в скомпрометированную систему при открытии файла из фишингового письма. Несмотря на запутанную реализацию, методы профилактики и защиты от таких атак довольно просты. Они изложены ниже.

Повышение осведомленности сотрудников в вопросах информационной безопасности (внимательно проверять ссылки и имена файлов, не открывать подозрительные объекты и т. п.).
Использование программных продуктов, выполняющих фильтрацию писем, для предотвращения доставки вредоносных писем и вложений — например, Dr.Web Mail Security Suite.
Установка на всех узлах сети антивирусного ПО, которое не пропустит опасный файл при работе в интернете или заблокирует подозрительную активность на компьютерах пользователей, если файл был доставлен на USB-носителе — например, Dr.Web Desktop Security Suite и Dr.Web Server Security Suite.
Своевременное обновление ПО, в рамках которого устраняются программные ошибки.

После обнаружения эксплуатации уязвимости в Яндекс Браузере мы передали информацию о ней в компанию Яндекс. Разработчики оперативно отреагировали на наше сообщение, в результате чего была выпущена версия Яндекс Браузера 24.7.1.380 с исправлением, а найденной уязвимости был присвоен идентификатор CVE-2024-6473.

В дальнейшем мы координировали дату публикации этой новости с разработчиками браузера, чтобы дать возможность пользователям получить исправленную версию Яндекс Браузера до обнародования подробностей об этой атаке.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности для мобильных устройств во II квартале 2024 года

Mon, 01 Jul 2024 12:01:11 GMT

1 июля 2024 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, во II квартале 2024 года на защищаемых устройствах наиболее часто выявлялись рекламные троянские программы Android.HiddenAds. Вторыми по распространенности стали вредоносные приложения Android.FakeApp, которые злоумышленники применяют при реализации различных мошеннических схем. Основная доля детектирований этого семейства пришлась на трояна Android.FakeApp.1600, которого наши специалисты обнаружили в конце мая. Он распространяется через вредоносные сайты, с которых скачивается под видом игрового приложения. Однако на самом деле эта подделка при запуске загружает прописанный в ее настройках веб-сайт — в известных модификациях им является сайт онлайн-казино. Его посетителям предлагается сыграть в игру вида «колесо удачи», но при попытке сделать это они перенаправляются на страницу с формой регистрации. Высокие показатели по числу детектирований этой вредоносной программы можно объяснить тем, что для ее продвижения злоумышленники используют в том числе рекламу в других приложениях. При нажатии на такое объявление пользователи попадают на соответствующий вредоносный сайт, с которого происходит загрузка трояна. Третьими по распространенности стали обладающие шпионской функциональностью трояны Android.Spy.

В течение II квартала вирусная лаборатория компании «Доктор Веб» выявила очередные угрозы в каталоге Google Play. Среди них — разнообразные вредоносные программы-подделки Android.FakeApp, а также нежелательная программа Program.FakeMoney.11, якобы позволяющая конвертировать виртуальные награды в настоящие деньги и выводить их из приложения. Кроме того, злоумышленники в очередной раз распространяли через Google Play трояна, который подписывает жертв на платные услуги.

ГЛАВНЫЕ ТЕНДЕНЦИИ II КВАРТАЛА

Рекламные троянские программы Android.HiddenAds остаются наиболее активными Android-угрозами
Появление очередных угроз в каталоге Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106: Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.NPMod.1
Tool.NPMod.2: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты, например ― онлайн-казино и букмекеров, сайты для взрослых.
Adware.AdPush.39.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

Во втором квартале 2024 года вирусная лаборатория компании «Доктор Веб» вновь выявила в каталоге Google Play троянские приложения из семейства Android.FakeApp. Часть из них распространялась под видом программ финансовой тематики, а также приложений для участия в опросах и викторинах:

Они могли загружать мошеннические сайты, на которых потенциальным жертвам якобы от имени известных кредитных организаций и нефтегазовых компаний предлагалось пройти финансовое обучение или стать инвесторами. Для доступа к тому или иному «сервису» от пользователей требовалось ответить на несколько вопросов, после чего указать персональные данные.

Другие трояны Android.FakeApp скрывались во всевозможных играх. При определенных условиях вместо заявленной функциональности они загружали сайты букмекеров и онлайн-казино.

Еще одна троянская программа семейства Android.FakeApp — Android.FakeApp.1607 — скрывалась в программе — сборнике изображений. Она действительно предоставляла заявленную функциональность, но вместо этого тоже могла загружать сайты онлайн-казино.

Несколько представителей семейства Android.FakeApp (Android.FakeApp.1605 и Android.FakeApp.1606) злоумышленники выдавали за программы для поиска работы. Эти трояны загружают поддельные списки вакансий, где предлагается связаться с «работодателем» через интернет-мессенджеры (например, Telegram), либо отправить «резюме», предоставив персональные данные. После привлечения внимания потенциальных жертв мошенники, пытаясь украсть деньги, могут заманивать пользователей в различные сомнительные схемы заработка.

Наши специалисты также выявили в Google Play еще одну нежелательную программу, принадлежащую семейству Program.FakeMoney. Такие приложения предлагают пользователям выполнять различные задания и получать виртуальные награды, которые в дальнейшем якобы возможно вывести в виде реальных денег. На самом деле они вводят владельцев Android-устройств в заблуждение, поскольку никаких выплат не происходит. Цель таких программ — стимулировать пользователей как можно дольше оставаться внутри них и показывать им рекламу, которая приносит прибыль разработчикам.

Выявленная программа (Program.FakeMoney.11) представляет собой вариант беспроигрышного «однорукого бандита», за игру в который и за просмотр рекламы внутри приложения пользователям начисляются виртуальные награды. При попытке вывести «заработанные» деньги программа максимально отдаляет эту возможность, устанавливая все новые условия. Если же пользователь в итоге «успешно» подаст заявку на вывод, он окажется в некой очереди на рассмотрение, состоящей из нескольких тысяч других «претендентов».

Кроме того, в каталоге Google Play распространялась очередная троянская программа семейства Android.Harly — Android.Harly.87. Вредоносные приложения этого семейства подписывают жертв на платные услуги.

Индикаторы компрометации