В 2023 году одними из самых активных угроз вновь стали троянские приложения Trojan.AutoIt, созданные с использованием скриптового языка AutoIt. Они распространяются в составе других вредоносных приложений и затрудняют их обнаружение. Также наблюдалась высокая активность рекламных троянских программ Trojan.BPlug и различных вредоносных скриптов. В почтовом трафике чаще всего встречались вредоносные скрипты, а также фишинговые документы. Кроме того, злоумышленники активно распространяли вредоносные программы, эксплуатирующие уязвимости документов Microsoft Office. Часть распространяемых по электронной почте угроз пришлась на различные троянские приложения.

По сравнению с предыдущим годом, в 2023 снизилось число обращений пользователей за расшифровкой файлов. При этом также наблюдалось снижение количества детектирований банковских троянских программ.

Минувший год запомнился рядом событий в сфере информационной безопасности. Весной наши специалисты зафиксировали атаку Android-троянов, которые заражают смарт-телевизоры и приставки с Android TV. Летом вирусные аналитики «Доктор Веб» выявили трояна, предназначенного для кражи криптовалют. Он скрывался в некоторых пиратских сборках Windows 10 и при заражении компьютеров инфицировал системный EFI-раздел. Уже осенью мы сообщили об атаке шпионских троянских приложений на иранских пользователей Android. Эти вредоносные программы похищали персональные данные и деньги жертв. Кроме того, наша компания предупредила о распространении вредоносных плагинов для сервера обмена сообщениями Openfire. Они эксплуатировали одну из уязвимостей в ПО Openfire и выполняли различные команды злоумышленников.

Среди мобильных угроз наибольшее распространение получили рекламные троянские приложения, вредоносные программы-шпионы, а также нежелательное рекламное ПО. При этом в каталоге Google Play было выявлено множество новых вредоносных приложений с почти полумиллиардным суммарным числом установок. Также наши специалисты обнаружили очередных троянов — похитителей криптовалют, нацеленных не только на пользователей ОС Android, но и на владельцев устройств под управлением iOS.

Интернет-аналитики компании «Доктор Веб» продолжили выявлять фишинговые интернет-ресурсы. Популярностью среди мошенников вновь пользовались поддельные сайты банков, интернет-магазинов, нефтегазовых компаний.

Наиболее интересные события 2023 года

В мае 2023 года компания «Доктор Веб» рассказала о троянском модуле Android.Spy.SpinOk, который предлагался разработчикам Android-игр и программ в качестве маркетингового инструмента, но при этом обладал шпионской функциональностью. Он собирал информацию о хранящихся на устройствах файлах и мог передавать их злоумышленникам, а также был способен подменять и загружать содержимое буфера обмена на удаленный сервер. Кроме того, он мог демонстрировать рекламу. Наши вирусные аналитики выявили этот модуль в более чем ста приложениях, загруженных из Google Play свыше 421 000 000 раз. После выхода соответствующей публикации разработчик SpinOk обратился в компанию «Доктор Веб» с целью проверки и устранения причин классификации модуля как вредоносного. Впоследствии он был обновлен до версии 2.4.2, в которой троянская функциональность отсутствовала.

В июне наши специалисты обнаружили вредоносное приложение Trojan.Clipper.231 для кражи криптовалюты. Оно было встроено в ряд пиратских сборок Windows 10 и при заражении компьютеров проникало в системный EFI-раздел. Стилер подменял адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На момент обнаружения злоумышленникам с его помощью удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.

Уже в июле компания «Доктор Веб» выявила

В 2023 году самыми распространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по сравнению с предыдущим годом снизили свою активность и стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. Несмотря на то, что банковские трояны также выявлялись реже, они по-прежнему представляют серьезную опасность для пользователей по всему миру, поскольку данный тип угроз продолжает развиваться. В минувшем году было выявлено большое число новых семейств Android-банкеров, многие из них целенаправленно атаковали, например, российских и иранских пользователей.

Вместе с тем сохранялась высокая активность мошенников — те использовали всевозможные вредоносные приложения, с помощью которых реализовывали разнообразные мошеннические схемы.

В очередной раз киберпреступники не оставили без внимания и каталог Google Play. В течение года вирусная лаборатория «Доктор Веб» обнаружила в нем более 400 троянских программ, которые суммарно были загружены по меньшей мере 428 000 000 раз.

Кроме того, наши специалисты выявили очередные троянские программы, предназначенные для кражи криптовалют, при этом злоумышленников вновь интересовали владельцы устройств не только под управлением Android, но и операционной системы iOS.

Наиболее интересные события 2023 года

В мае прошлого года компания «Доктор Веб» выявила в Google Play более 100 приложений с программным модулем SpinOk, который позиционировался как специализированная маркетинговая платформа для встраивания в Android-игры и программы. Этот инструмент предназначался для удержания пользователей в приложениях с помощью мини-игр, системы заданий и якобы розыгрышей призов. Однако модуль обладал шпионской функциональностью и потому был добавлен в вирусную базу Dr.Web как Android.Spy.SpinOk. Он собирал информацию о хранящихся на Android-устройствах файлах и мог передавать их злоумышленникам, а также подменять и загружать содержимое буфера обмена на удаленный сервер. Кроме того, модуль демонстрировал рекламу в виде баннеров, примеры которых показаны ниже.

В общей сложности найденные приложения с Android.Spy.SpinOk были загружены более 421 000 000 раз. После обращения в нашу компанию разработчик SpinOk внес исправления в модуль, вследствие чего актуальная на тот момент версия платформы 2.4.2 уже не содержала троянской функциональности.

В начале прошлого сентября компания «Доктор Веб» опубликовала исследование бэкдора Android.Pandora.2, который нацелен преимущественно на испаноязычных пользователей. Массовые случаи атак с его участием фиксировались в марте 2023 года. Первые модификации этой троянской программы были добавлены в вирусную базу антивируса Dr.Web еще в июле 2017 года.

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 года показал рост общего числа обнаруженных угроз на 1,26% по сравнению с январем. При этом число уникальных угроз снизилось на 0,78%. Лидирующие позиции по количеству детектирований вновь заняли различные рекламные трояны и нежелательные рекламные программы. Кроме того, высокую активность сохранили вредоносные приложения, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике чаще всего выявлялись вредоносные скрипты, фишинговые документы, а также программы, которые эксплуатируют уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов снизилось на 7,02% по сравнению с предыдущим месяцем. Наиболее часто виновниками атак становились трояны-шифровальщики Trojan.Encoder.3953 (18,27% инцидентов), Trojan.Encoder.37369 (9,14% инцидентов) и Trojan.Encoder.26996 (8,12% инцидентов).

На Android-устройствах наиболее часто вновь детектировались рекламные трояны семейства Android.HiddenAds, активность которых значительно возросла.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы февраля:

Adware.Downware.20091

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Trojan.BPlug.3814

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Trojan.StartPage1.62722

Вредоносная программа, подменяющая стартовую страницу в настройках браузера.

Adware.Siggen.33194

Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.

Trojan.AutoIt.1224

Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

HTML.FishForm.365

Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.

Trojan.PackedNET.2511

Вредоносное ПО, написанное на VB.NET и защищенное программным упаковщиком.

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office,

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в феврале 2024 года значительно возросла активность рекламных троянских программ из семейства Android.HiddenAds - на 73,26% по сравнению с январем. В то же время пользователи на 58,85% реже сталкивались с другим семейством рекламных троянов, Android.MobiDash.

Активность банковских троянов различных семейств снизилась на 18,77%, а шпионских троянских приложений Android.Spy - на 27,33%. При этом число детектирований вредоносных программ-вымогателей Android.Locker увеличилось на 29,85%.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3956

Android.HiddenAds.3851

Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Spy.5106

Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.Aegis.1

Android.HiddenAds.Aegis.4.origin

Троянские программы, которые скрывают свое присутствие на Android-устройствах и показывают надоедливую рекламу. Они отличаются от других представителей семейства Android.HiddenAds рядом признаков. Например, эти трояны способны самостоятельно запускаться после установки. Кроме того, в них реализован механизм, позволяющий их сервисам оставаться постоянно запущенными. В ряде случаев в них также могут быть задействованы скрытые функции ОС Android.

Program.CloudInject.1

Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в январе 2024 года пользователи чаще всего сталкивались с рекламными троянскими приложениями Android.HiddenAds. По сравнению с декабрем 2023 года они выявлялись на защищаемых устройствах на 54,45% чаще. При этом активность другого популярного семейства рекламных троянских программ, Android.MobiDash, практически не изменилась, увеличившись всего на 0,9%.

Число атак банковских троянов различных семейств возросло на 17,04%, шпионских троянских программ Android.Spy - на 11,16%, а вредоносных программ-вымогателей Android.Locker - на незначительные 0,92%.

Вместе с тем наши специалисты выявили очередные угрозы в каталоге Google Play. Среди них - новое семейство нежелательных рекламных модулей Adware.StrawAd, а также троянские программы семейства Android.FakeApp. Последние злоумышленники используют для реализации всевозможных мошеннических схем.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3851

Android.HiddenAds.3831

Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Spy.5106

Android.Spy.4498

Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.MobiDash.7805

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Анализ статистики детектирований антивируса Dr.Web в январе 2024 года показал рост общего числа обнаруженных угроз на 95,66% по сравнению с декабрем 2023 года. Число уникальных угроз при этом возросло на 2,15%. Чаще всего детектировались нежелательное рекламное ПО и рекламные троянские приложения, а также вредоносные программы, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике наиболее часто выявлялись вредоносные скрипты и фишинговые документы.

Число обращений пользователей за расшифровкой файлов увеличилось на 22,84% по сравнению с предыдущим месяцем. Чаще всего жертвы троянских программ-шифровальщиков вновь сталкивались с Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.37369 - на их долю пришлось 17,98%, 12,72% и 3,51% зафиксированных инцидентов соответственно.

В январе специалисты компании «Доктор Веб» выявили новое семейство нежелательных рекламных модулей Adware.StrawAd в ряде программ, которые распространялись через каталог Google Play. Там же наши специалисты обнаружили множество новых троянских приложений семейства Android.FakeApp, применяемых злоумышленниками в мошеннических целях.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы января:

Adware.Downware.20091

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Trojan.BPlug.3814

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Adware.Siggen.33194

Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.

Trojan.AutoIt.1224

Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

Trojan.Inject4.30867

Троянская программа, предназначенная для внедрения вредоносного кода в процессы других приложений.

Trojan.Siggen24.7712

Детектирование вредоносных программ с различной функциональностью.

LNK.Starter.56

Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители