15 сентября 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в июле 2023 года пользователи сталкивались с рекламными троянскими программами семейства Android.HiddenAds на 33,48% чаще, чем в июне. При этом рекламные троянские программы семейства Android.MobiDash обнаруживались реже на 24,11%. По сравнению с предыдущим месяцем число атак шпионских троянских программ снизилось на 2,81%. В то же время активность банковских троянов увеличилась на 2,31%, а программам-вымогателей семейства Android.Locker — на 8,53%.

В каталоге Google Play были обнаружены новые угрозы. Среди них — троянская программа, с помощью которой злоумышленники пытались похитить у владельцев Android-устройств криптовалюту, а также очередные вредоносные приложения, подписывавшие жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3697

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.Pandora.7

Android.Pandora.5

Детектирование вредоносных приложений, скачивающих и устанавливающих троянскую программу-бэкдор Android.Pandora.2. Такие загрузчики злоумышленники часто встраивают в приложения для Smart TV, ориентированные на испаноязычных пользователей.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение,

15 сентября 2023 года

13 сентября 2023 года

Компания «Доктор Веб» выявила новые версии троянов семейства Android.Spy.Lydia, которые выполняют ряд шпионских функций на зараженных устройствах с ОС Android, а также предоставляют злоумышленникам возможность удаленного управления с целью кражи персональной информации и денег. При этом трояны имеют защитный механизм, который проверяет, не запускаются ли они в эмуляторе или на тестовом устройстве. В таких случаях они прекращают работу.

Трояны распространяются через вредоносные сайты, маскирующиеся под финансовые организации — например, онлайн-биржи, основной аудиторией которых, по замыслу мошенников, призваны стать жители Ирана. Пример такого сайта — hxxp[:]//biuy.are-eg[.]com/dashbord.

Здесь потенциальной жертве предлагается ввести персональные данные: фамилию, имя, отчество, номер мобильного телефона, а также национальный идентификационный номер. После ввода запрашиваемой информации устройство открывает страницу hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php, на которой сообщается, что для доступа к торгам необходимо скачать и установить специальное программное обеспечение. Однако после нажатия на кнопку загрузки вместо ожидаемой благонадежной программы жертве отправляется одна из модификаций трояна Android.Spy.Lydia.1.

При запуске троян запрашивает с сайта hxxp[:]//teuoi[.]com ссылку на фишинговый сайт, который затем отображается на экране устройства посредством компонента WebView без запуска браузера. Полученная нами версия вредоносной программы открывала следующий URL: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php.

Фишинговая веб-страница, загруженная WebView, показана на скриншоте ниже:

Это форма для ввода национального идентификационного номера, на который впоследствии будет выполняться «выплата дивидендов». На этом шаге троян отправляет на управляющий сервер свой уникальный идентификатор и информацию об успешном заражении устройства.

После заражения троян подключается к удаленному хосту ws[:]//httpiamaloneqs[.]xyz:80 по протоколу WebSocket и ожидает поступления команд, которые отправляются всем зараженным устройствам одновременно. При этом каждая команда снабжена идентификатором того устройства, которому она адресована. На скриншоте ниже показаны команды, отправленные C&C-сервером ботнету.

Трояны семейства Android.Spy.Lydia способны выполнять следующие функции:

• собирать информацию об установленных приложениях,
• скрывать или показывать свой значок в списке приложений на домашнем экране,
• выключать звук на устройстве,
• передавать содержимое входящих СМС на сервер или на указанный номер,
• передавать на сервер содержимое буфера обмена,
• отправлять СМС произвольного содержания на заданные номера,
• передавать на сервер список контактов из телефонной книги,
• добавлять новые контакты в телефонную книгу,
• загружать заданные веб-сайты посредством компонента WebView.

Такие возможности позволяют злоумышленникам использовать это семейство троянов для перехвата СМС-сообщений, определения того, какими банковскими приложениями пользуется потенциальная жертва, и совершения мошеннических действий с банковскими счетами. Например, киберпреступники могут читать СМС от банков, чтобы узнать подробности о балансе счета и совершенных покупках, что позволяет им в дальнейшем с легкостью войти в доверие к пользователю. Также, используя технологию A2P (отправка СМС из приложений) и уязвимости протокола пересылки СМС, мошенники могут отправлять поддельные сообщения от имени банков, запрашивая выполнение каких-либо действий, что ставит безопасность банковских счетов под угрозу. Прочитав переписку жертвы, скамеры могут представиться кем-то из знакомых и попросить перевести деньги «в долг», помочь оплатить какой-то счет и т. п. Наконец, эти

06 сентября 2023 года

Компания «Доктор Веб» выявила семейство троянских программ Android.Pandora, которое компрометирует устройства пользователей в процессе обновления прошивки или при установке приложений для нелегального просмотра видеоконтента. Обширные возможности по проведению DDoS-атак этот бэкдор унаследовал от своего предка — известного троянца Linux.Mirai.

Специалистам компании «Доктор Веб» поступили сообщения от нескольких пользователей о случаях изменения файлов в системной области. Монитор угроз отреагировал на наличие в файловой системе на устройствах следующих объектов:

• /system/bin/pandoraspearrk
• /system/bin/supervisord
• /system/bin/s.conf
• /system/xbin/busybox
• /system/bin/curl

Также было обнаружено изменение двух файлов:

• /system/bin/rootsudaemon.sh
• /system/bin/preinstall.sh

На разных устройствах изменялись разные файлы. Как выяснилось, скрипт, устанавливающий это вредоносное ПО, ищет системные сервисы, исполняемый код которых находится в .sh-файлах, и добавляет в них строчку, запускающую трояна:

• /system/bin/supervisord -c /system/bin/s.conf &

Это необходимо, чтобы троян закрепился в системе и запускался после перезагрузки устройства.

Особый интерес представляет обфусцированный файл с именем pandoraspearrk. После анализа он был добавлен в вирусную базу Dr.Web как бэкдор Android.Pandora.2. Основным его предназначением является использование зараженного устройства в составе ботнета для выполнения распределенных DDoS-атак. Файл supervisord — сервис, который контролирует статус исполняемого файла pandoraspearrk и в случае завершения его работы перезапускает бэкдор. Свои настройки supervisord получает из файла s.conf. Файлы busybox и curl являются обычными версиями одноименных утилит командной строки, которые присутствуют для обеспечения сетевых функций и работы с файловой системой. Файл rootsudaemon.sh запускает сервис daemonsu, обладающий root-привилегиями, и уже упомянутый supervisord с передачей ему параметров из s.conf. Программа preinstall.sh выполняет различные действия, заданные производителем устройства.

Данное вредоносное ПО направлено на пользователей устройств на базе Android TV, в первую очередь нижнего ценового сегмента. В частности, оно угрожает обладателям приставок Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 и ряда других.

Мы обнаружили, что этот троянец — модификация бэкдора Android.Pandora.10 (раньше назывался Android.BackDoor.334), содержавшегося во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3 от 3 декабря 2015 года. Вероятно, это обновление распространялось с различных сайтов, поскольку оно подписано публично доступными тестовыми ключами Android Open Source Project. Служба, которая запускает бэкдор, включена в загрузочный образ boot.img. На изображении ниже показан запуск вредоносного сервиса в файле init.amlogic.board.rc из boot.img.

Вторым вектором передачи бэкдоров семейства Android.Pandora является установка приложений с сайтов для нелегального стриминга фильмов и сериалов. Примерами таких ресурсов могут быть домены с именами типа youcine, magistv, latinatv и unitv, ориентированные на испаноязычных пользователей.

После установки и запуска приложения на устройстве

27 июля 2023 года

Компания «Доктор Веб» выявила атаку на пользователей Windows с применением модульной троянской программы-загрузчика Trojan.Fruity.1. С ее помощью злоумышленники способны заражать компьютеры различными типами вредоносных приложений в зависимости от своих целей. Для сокрытия атаки и повышения шансов на ее успех используется ряд приемов. Среди них — многоступенчатый процесс заражения целевых систем, применение безобидных программ для запуска компонентов трояна, а также попытка обойти антивирусную защиту.

Уже примерно год компания «Доктор Веб» регистрирует обращения пользователей с жалобами на заражение Windows-компьютеров вредоносной программой-шпионом Remcos RAT (Trojan.Inject4.57973). В ходе расследования этих инцидентов наши специалисты вскрыли атаку, в которой главная роль отведена многокомпонентной троянской программе-загрузчику Trojan.Fruity.1. Для ее распространения злоумышленники создают вредоносные сайты, а также специально подготовленные установщики различных программ. Среди них — инструменты для тонкой настройки работы процессоров, видеокарт и BIOS, утилиты для проверки состояния компьютерного оборудования и ряд других. Такие установщики служат приманкой и содержат не только интересующее потенциальную жертву ПО, но и самого трояна вместе со всеми его компонентами.

При попытке скачать ту или иную программу с поддельного сайта посетитель перенаправляется на страницу файлообменного сервиса MEGA, где ему предлагается загрузить zip-архив с троянским пакетом.

Когда ничего не подозревающая жертва извлекает из архива исполняемый файл и запускает его, начинается стандартный процесс установки. Однако наряду с искомой безобидной программой, которая отвлекает внимание пользователя, на компьютер попадает и Trojan.Fruity.1. Вместе с другими компонентами он копируется в ту же папку, что и программа-приманка.

Одними из «модулей» трояна злоумышленники сделали легитимные программы. В рассматриваемом примере Trojan.Fruity.1 внедрен в одну из библиотек языка программирования Python, для запуска которой используется интерпретатор python.exe с действительной цифровой подписью. Кроме того, были выявлены случаи применения файлов медиаплеера VLC и среды виртуализации VMWare.

Ниже представлен список файлов, связанных с трояном:

• python39.dll — копия библиотеки из пакета Python с внедренным в нее вредоносным кодом;
• python.exe — оригинальный интерпретатор языка Python для запуска модифицированной библиотеки;
• idea.cfg — конфигурация с данными о расположении полезной нагрузки;
• idea.mp3 — зашифрованные модули трояна;
• fruit.png — зашифрованная полезная нагрузка.

После их извлечения из установщика начинается многоступенчатый процесс заражения системы. На следующем изображении представлена общая схема алгоритма работы Trojan.Fruity.1:

1 этап заражения

При запуске библиотеки python39.dll Trojan.Fruity.1 расшифровывает содержимое файла idea.mp3 и извлекает из него dll-библиотеку и шелл-код (код №1) для второй стадии. Он также считывает содержимое файла idea.cfg. Тот содержит строку с информацией о расположении полезной нагрузки, которую троян

28 июня 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в мае 2023 года снизилась активность рекламных троянских программ семейств Android.HiddenAds и Android.MobiDash — на 9,04% и 6,3% соответственно. Вместе с тем число атак шпионских троянских приложений возросло на 120,53%. Чаще всего пользователи сталкивались с Android.Spy.5106 — шпионом, скрытым в некоторых неофициальных модификациях мессенджера WhatsApp. По сравнению с предыдущим месяцем число атак банковских троянских приложений снизилось на 55,33%, а программ-вымогателей — на 28,26%.

В мае специалисты компании «Доктор Веб» вновь обнаружили в каталоге Google Play вредоносные программы-подделки из семейства Android.FakeApp. Они распространялись под видом игр и могли загружать сайты онлайн-казино. Кроме того, были выявлены очередные троянские программы, подписывавшие пользователей на платные сервисы.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3697

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.7783

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.Spy.SpinOk.1

Детектирование приложений со встроенным маркетинговым SDK, которое предназначено для поддержания интереса пользователей к программам через систему заданий, мини-игр и якобы розыгрыши призов. Этот модуль обладает скрытыми шпионскими возможностями. Он собирает информацию о хранящихся на Android-устройствах файлах, способен передавать их злоумышленникам, а также может подменять и загружать содержимое буфера обмена на удаленный сервер.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег

28 июня 2023 года

Анализ статистики детектирований антивируса Dr.Web в мае 2023 года показал рост общего числа обнаруженных угроз на 1,24% по сравнению с апрелем. При этом число уникальных угроз снизилось на 8,25%. Наиболее часто пользователи вновь сталкивались с рекламными программами и троянскими приложениями различных семейств. В почтовом трафике массово распространялись применяемые в фишинг-атаках PDF-документы. Кроме того, через электронные письма киберпреступники рассылали вредоносные скрипты и программы, эксплуатирующие уязвимости в ПО Microsoft Office.

Число обращений пользователей за расшифровкой файлов снизилось на 0,27% по сравнению с предыдущим месяцем. Наиболее часто жертвы троянов-шифровальщиков сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35534.

В течение мая специалисты компании «Доктор Веб» вновь обнаружили в каталоге Google Play троянские программы семейства Android.FakeApp, которые злоумышленники применяют в различных мошеннических схемах. Кроме того, были выявлены очередные троянские программы, подписывающие пользователей на платные сервисы.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы мая:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Trojan.BPlug.4087

Trojan.BPlug.3814

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

PDF.Phisher.458

PDF.Phisher.455

PDF.Phisher.474

PDF.Phisher.467

PDF-документы, используемые в фишинговых email-рассылках.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Шифровальщики

В мае число запросов на расшифровку файлов, поврежденных троянскими программами-шифровальщиками, снизилось на 0,27% по сравнению с апрелем.

Наиболее распространенные энкодеры мая:

• Trojan.Encoder.26996 — 19.37%
• Trojan.Encoder.3953 — 15.71%
• Trojan.Encoder.35534 — 7.21%
• Trojan.Encoder.37400 — 3.60%
• Trojan.Encoder.34027 — 3.15%

14 июня 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в апреле 2023 года пользователи сталкивалась с рекламными троянскими программами семейства Android.HiddenAds на 16,13% реже, а с представителями семейства Android.MobiDash — на 40,42% чаще, чем в марте. При этом данный тип вредоносных приложений остается одним из наиболее распространенных для платформы Android.

На 27,89% сократилась активность шпионских троянских программ. Чаще всего на защищаемых устройствах вновь обнаруживались различные варианты трояна-шпиона (в том числе Android.Spy.5106 и Android.Spy.4498), скрытого в некоторых неофициальных модификациях мессенджера WhatsApp.

По сравнению с мартом количество атак банковских троянских программ возросло на 32,38%, а вредоносных приложений-вымогателей Android.Locker — на 14,83%.

В течение апреля вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные вредоносные приложения-подделки из семейства Android.FakeApp, которые злоумышленники использовали в различных мошеннических схемах. Кроме того, киберпреступники распространяли через Google Play троянскую программу из семейства Android.Joker — она подписывала жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.MobiDash.7783

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.HiddenAds.3597

Android.HiddenAds.3558

Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

14 июня 2023 года

Анализ статистики детектирований антивируса Dr.Web в апреле 2023 года показал снижение общего числа обнаруженных угроз на 2,08% по сравнению с мартом. Число уникальных угроз при этом также снизилось — на 17,40%. Наиболее активными среди них вновь оказались рекламные программы и троянские приложения различных семейств. В почтовом трафике преобладали вредоносные скрипты и PDF-документы, применяемые в фишинг-атаках.

Число обращений пользователей за расшифровкой файлов снизилось на 13,75% по сравнению с предыдущим месяцем. Наиболее часто жертвы троянов-шифровальщиков вновь сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35534.

В течение апреля в каталоге Google Play было выявлено множество угроз. Среди них — троянские программы Android.FakeApp, используемые в мошеннических целях, а также вредоносное приложение из семейства Android.Joker, которое подписывало жертв на платные услуги.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы апреля:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Trojan.BPlug.4087

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

PDF.Phisher.455

PDF.Phisher.456

PDF.Phisher.458

PDF.Phisher.463

PDF-документы, используемые в фишинговых email-рассылках.

Шифровальщики

В апреле число запросов на расшифровку файлов, поврежденных троянскими программами-шифровальщиками, снизилось на 13,75% по сравнению с мартом.

Наиболее распространенные энкодеры апреля:

• Trojan.Encoder.26996 — 24.31%
• Trojan.Encoder.3953 — 19.92%
• Trojan.Encoder.35534 — 4.38%
• Trojan.Encoder.35209 — 3.59%
• Trojan.Encoder.11539 — 3.19%

13 июня 2023 года

Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На данный момент с его помощью злоумышленникам удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.

В конце мая 2023 года в компанию «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный нашими специалистами анализ подтвердил факт присутствия троянских программ в системе —стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» успешно локализовала все эти угрозы и справилась с их обезвреживанием.

В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально. Дальнейшее исследование позволило выявить несколько таких зараженных сборок Windows:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Все они были доступны для скачивания на одном из торрент-трекеров, однако нельзя исключать, что злоумышленники используют и другие сайты для распространения инфицированных образов системы.

Вредоносные программы в этих сборках расположены в системном каталоге:

• \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
• \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
• \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа Trojan.MulDrop22.7578:

%SystemDrive%\Windows\Installer\iscsicli.exe

Ее задача — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.

В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.

Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется ряд ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.

Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для специалистов по информационной безопасности.

По подсчетам наших вирусных аналитиков, на момент публикации этой новости с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме $18

https://news.drweb.ru/show/?i=14705&lng=ru&c=9

17 мая 2023 год

Анализ статистики детектирований антивируса Dr.Web в марте 2023 года показал рост общего числа обнаруженных угроз на 21,39% по сравнению с февралем. Число уникальных угроз при этом увеличилось на 46,64%. Чаще всего пользователи сталкивались с рекламными приложениями, а также со всевозможными троянскими программами. В почтовом трафике наиболее часто выявлялись вредоносные скрипты и программы, эксплуатирующие уязвимости в ПО Microsoft Office.

Число обращений пользователей за расшифровкой файлов возросло на 7,3% по сравнению с предыдущим месяцем. Наиболее часто жертвы троянов-шифровальщиков сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35534.

Вместе с тем специалисты компании «Доктор Веб» обнаружили в каталоге Google Play свыше 60 вредоносных приложений из семейства Android.FakeApp, которые злоумышленники использовали в различных мошеннических схемах.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы марта:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Trojan.BPlug.4087

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

Trojan.Inject4.30942

Детектирование программного упаковщика, применяемого для защиты вредоносного приложения-кейлоггера.

Шифровальщики

В марте число запросов на расшифровку файлов, поврежденных троянами-шифровальщиками, увеличилось на 7,3% по сравнению с февралем.

• Trojan.Encoder.26996 — 20.00%
• Trojan.Encoder.3953 — 15.82%
• Trojan.Encoder.35534 — 10.15%
• Trojan.Encoder.35209 — 2.99%
• Trojan.Encoder.34027 — 2.39%

17 мая 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в марте 2023 года одними из наиболее распространенных угроз вновь стали рекламные троянские приложения, представленные семействами Android.HiddenAds и Android.MobiDash. Активность первых осталась на уровне прошлого месяца и выросла на незначительные 0,16%, в то время как вторые активизировались более заметно — на 11,89%. Реже (на 5,01%) детектировались шпионские троянские программы, существенную долю которых в очередной раз составили различные варианты трояна, скрытого в некоторых неофициальных модификациях мессенджера WhatsApp.

Количество атак банковских троянских приложений увеличилось на 78,47%. Чаще всего пользователи сталкивались с представителями семейства Android.BankBot, на которые пришлось 73,06% детектирований угроз этого типа. В то же время на 0,47% выросла активность вредоносных программ-вымогателей Android.Locker.

Вместе с тем в течение марта вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных программ из семейства Android.FakeApp, которые злоумышленники использовали в различных мошеннических схемах. Кроме того, были выявлены случаи заражения защищенного системного раздела одной из моделей ТВ-приставок на базе ОС Android опасным бэкдором Android.Pandora.2, способным по команде выполнять различные вредоносные действия.

Мобильная угроза месяца

В марте вирусные аналитики компании «Доктор Веб» выявили случаи заражения системного раздела одной из моделей телевизионных Android-приставок троянским приложением-бэкдором Android.Pandora.2. Установленный на затронутых устройствах антивирус Dr.Web зафиксировал появление новых файлов в защищенной системной области. Среди них была и указанная вредоносная программа. По команде злоумышленников Android.Pandora.2 способен модифицировать или полностью подменять системный файл hosts, отвечающий за преобразование доменных имен в соответствующие им IP-адреса, осуществлять DDoS-атаки, загружать и устанавливать собственные обновления, а также выполнять другие действия.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3597

Android.HiddenAds.3558

Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Clipper.7

Детектирование некоторых версий официальных приложений онлайн-магазинов SHEIN и

6 апреля 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в феврале 2023 года возросла активность рекламных троянских приложений семейства Android.HiddenAds — на 26,95% по сравнению с январем. В то же время на 7,27% снизилась активность рекламных вредоносных программ Android.MobiDash.

Реже на защищаемых Dr.Web устройствах выявлялись банковские троянские приложения и программы-вымогатели — на 70,57% и 14,63% соответственно. Кроме того, на 33,93% снизилась активность шпионских троянских приложений, наиболее распространенными среди которых стали различные варианты трояна, атакующего пользователей некоторых неофициальных модификаций мессенджера WhatsApp.

В течение февраля вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play свыше 70 вредоносных приложений. Большинство принадлежало к семейству мошеннических программ Android.FakeApp. Были среди них и троянские приложения, которые подписывали жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Android.Spy.4498

Детектирование различных вариантов трояна, который представляет собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Эта вредоносная программа может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3558

Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.7422

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeMoney.7

Program.FakeMoney.8

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут

6 апреля 2023 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2023 года показал рост общего числа обнаруженных угроз на 22,29% по сравнению с январем. Число уникальных угроз при этом увеличилось на 34,02%. Чаще всего детектировались всевозможные рекламные приложения и троянские программы различных семейств. В почтовом трафике наиболее часто выявлялись вредоносные скрипты и программы, эксплуатирующие уязвимости в ПО Microsoft Office. Кроме того, через сообщения электронной почты активно распространялись фишинговые HTML-файлы, которые имитировали авторизацию на известных сайтах с целью хищения аутентификационных данных.

Число обращений пользователей за расшифровкой файлов снизилось на 17,63% по сравнению с предыдущим месяцем. Наиболее часто жертв троянов-шифровальщиков атаковали энкодеры Trojan.Encoder.3953, Trojan.Encoder.26996 и Trojan.Encoder.35534.

В течение февраля специалисты компании «Доктор Веб» выявили десятки новых вредоносных приложений в Google Play. Среди них — множество программ-подделок, способных загружать всевозможные мошеннические и нежелательные сайты, а также трояны, которые подписывали пользователей Android-устройств на платные услуги.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы февраля:

Adware.Downware.20091

Adware.Downware.20280

Adware.Downware.20261

Adware.Downware.20272

Adware.Downware.20088

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

LNK.Starter.56

Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.

Шифровальщики

В феврале число запросов на расшифровку файлов, поврежденных троянами-шифровальщиками, снизилось на 17,63% по сравнению с январем.

• Trojan.Encoder.3953 — 23.62%
• Trojan.Encoder.26996 — 21.26%
• Trojan.Encoder.35534 — 5.51%
• Trojan.Encoder.34027 — 2.36%
• Trojan.Encoder.30356 — 1.97%