Мобильные преступления, вирусы

Новый Android-троянец, внесенный в вирусную базу компании «Доктор Веб» под именем Android.Elite.1.origin, является представителем весьма редкого типа вредоносных программ, относящихся к классу программ-вандалов. Такие вредоносные приложения обычно создаются не для получения каких-либо материальных выгод, а для доказательства своих навыков программирования, выражения своей точки зрения, либо с целью развлечения или хулиганства. Часто подобные угрозы демонстрируют различные сообщения, портят пользовательские файлы и мешают нормальной работе зараженного оборудования. Именно так и действует новый Android-троянец, который распространяется под видом популярных приложений, таких, например, как игры.

При запуске Android.Elite.1.origin обманным путем пытается получить доступ к функциям администратора мобильного устройства, которые, якобы, необходимы для завершения корректной установки приложения. В случае успеха троянец приступает к немедленному форматированию подключенной SD-карты, удаляя все хранящиеся на ней данные. После этого вредоносная программа ожидает запуска ряда популярных приложений для общения. Как только пользователь попытается запустить официальный клиент социальной сети Facebook, программу WhatsApp Messenger, Hangouts, либо стандартное системное приложение для работы с SMS-сообщениями, Android.Elite.1.origin блокирует их активное окно, демонстрируя на экране изображение с текстом OBEY or Be HACKED. При этом данная блокировка сохраняется только для указанных программ и не распространяется на прочие приложения или операционную систему в целом.

Чтобы еще больше ограничить доступ пользователя к инструментам мобильного общения, троянец препятствует прочтению всех вновь поступающих SMS-сообщений, для чего скрывает от своей жертвы все оповещения о новых SMS. В то же время, сами сообщения сохраняются и заботливо помещаются в раздел «Входящие», который, впрочем, остается недоступным из-за действующей блокировки. Помимо форматирования SD-карты и частичной блокировки средств коммуникации, Android.Elite.1.origin с периодичностью в 5 секунд рассылает по всем найденным в телефонной книге контактам SMS со следующим текстом: HEY!!! Elite has hacked you.Obey or be hacked.

Кроме того, похожий текст отправляется в ответ на все входящие SMS, поступившие с действующих мобильных номеров других пользователей: Elite has hacked you.Obey or be hacked. Таким образом, счет мобильного телефона большинства пострадавших владельцев зараженных мобильных устройств может быть опустошен за считанные минуты и даже секунды. Специалисты компании «Доктор Веб» не рекомендуют пользователям загружать приложения из сомнительных источников и предоставлять им доступ к правам администратора. Запись для детектирования троянца Android.Elite.1.origin внесена в вирусную базу, поэтому пользователи антивируса Dr.Web для Android и Dr.Web для Android Light защищены от его атак.
(с)

Оператор «МегаФон» предупреждает абонентов об активизации мошенников, использующих Skype. Пользуясь похищенными учетными записями популярного сервиса, они просят пополнить счет мобильного телефона. Выявить злоумышленников несложно, достаточно проявлять бдительность и перепроверять все подозрительные просьбы, считает компания. «МегаФон» проводит планомерную работу по борьбе с мобильным мошенничеством. За летний период компанией были заблокированы десятки «кошельков» злоумышленников. Одним из новых видов мошенничества, с которым начали поступать обращения абонентов, являются взломы аккаунтов в Skype с последующей рассылкой по списку контактов просьб о переводе денежных средств на счета мобильных телефонов.

Чтобы не попасться на уловки интернет-мошенников, абонентам важно помнить и соблюдать несколько правил. Во-первых, злоумышленник не обращается по имени и использует шаблонные сообщения. Если в Skype обращается знакомый, но его сообщение не похоже на другие, это повод насторожиться. Во-вторых, мошенник не отвечает на вопросы или делает это максимально уклончиво. Наконец, рассылка таких сообщений происходит поздно вечером и ночью, когда бдительность получателей заведомо снижена. Специально для своих абонентов оператор запустил отдельный сайт, на котором описаны все актуальные схемы злоумышленников.
(с)

«Лаборатория Касперского» обнаружила нового мобильного троянца, нацеленного на Android-устройства и прикрывающегося безобидной игрой в крестики-нолики. Зловред Gomal, маскирующийся под игру Tic Tac Toe, собирает информацию о зараженном устройстве и отправляет все полученные личные данные пользователя на сервер злоумышленников. Однако, в этой вредоносной программе есть и новые, нетипичные для подобных зловредов функции, отмечают эксперты.

Помимо ставших уже традиционными для мобильных шпионов возможностей записи звуков, обработки звонков и кражи SMS, Gomal обладает механизмами доступа к различным сервисам ОС Linux, на базе которой построена платформа Android. В частности, зловред имеет возможность обращаться к блоку памяти интересующего его процесса, что подвергает риску многие коммуникационные приложения. Например, троянец крадет почтовую переписку приложения Good for Enterprise, которое позиционируется как безопасный почтовый клиент для корпоративного использования.

Специалисты по информационной безопасности рекомендуют не устанавливать приложения из сторонних источников - лучше ограничиться официальным магазином Google Play. Помимо этого, нужно следить за теми правами, которые приложения запрашивают при установке, и если что-то вызовет подозрения, лучше отказаться от использования программы. И наконец, необходимо использовать специализированное защитное решение для мобильных устройств.

(с)

Специалисты компании «Доктор Веб» обнаружили троянца-дозвонщика, который заражает мобильные устройства под управлением ОС Android и обладает механизмом самозащиты. Вредоносные программы, совершающие дорогостоящие звонки без согласия пользователя, известны давно: основная задача такого ПО - установить соединение с определенным телефонным номером (в большинстве случаев принадлежащим развлекательному сервису категории «для взрослых»), за что с абонентского счета жертвы списывается внушительная сумма, поступающая в карман злоумышленников.

Новый Android-троянец, добавленный специалистами компании «Доктор Веб» в вирусную базу под именем Android.Dialer.7.origin, представляет собой классическую вредоносную программу-дозвонщик, совершающую звонки на премиум-номера. Троянец распространяется злоумышленниками под видом эротического приложения и после установки помещает на главный экран мобильного устройства свой ярлык, который не имеет подписи и значка. В ряде случаев после запуска Android.Dialer.7.origin может продемонстрировать сообщение об ошибке, после чего окончательно скрывает следы своего пребывания и функционирует в дальнейшем в качестве системного сервиса. Помимо ручного запуска через ярлык, троянец активирует данный сервис автоматически, например, после очередного включения зараженного устройства, поэтому для начала вредоносной деятельности, фактически, не требуется вмешательство пользователя.

Запускаемый Android.Dialer.7.origin сервис с определенной периодичностью осуществляет звонки на номер 803402470, информация о котором хранится в настройках троянца. Однако, при необходимости киберпреступники могут изменить целевой номер дозвона, отдав соответствующую команду с управляющего сервера. Чтобы уменьшить вероятность обнаружения пользователем нежелательной активности, троянец отключает разговорный динамик мобильного устройства на время «телефонного разговора», а для окончательного сокрытия своей деятельности удаляет из системного журнала, а также из списка совершенных звонков всю информацию. Однако, главной особенностью дозвонщика является его способность противостоять попыткам удалить угрозу с зараженного мобильного устройства: как только пользователь откроет раздел системных настроек, отвечающий за управление приложениями, Android.Dialer.7.origin заблокирует это действие, переведя пользователя на главный экран операционной системы. Таким образом, ручное удаление троянца становится практически невозможным.

(с)

На протяжении всего октября специалисты компании «Доктор Веб» фиксировали появление различных вредоносных приложений, среди которых были программы-вымогатели, банковские троянцы и другие угрозы. Одной из обнаруженных в октябре Android-угроз, созданных для заработка злоумышленников, стал троянец Android.Selfmite.1.origin, который распространялся в модифицированном вирусописателями официальном приложении-клиенте социальной сети Google+. После установки на Android-смартфон или планшет эта программа помещала на главном экране операционной системы несколько ярлыков, которые, в зависимости от географического расположения пользователя, вели на различные веб-сайты. В результате каждое нажатие на данные ярлыки приносило авторам Android.Selfmite.1.origin доход. Также троянец мог «рекламировать» размещенные в каталоге Google Play приложения, демонстрируя на экране мобильного устройства соответствующие разделы онлайн-магазина. И, наконец, вредоносная программа была способна рассылать SMS, в которых могли содержаться ссылки на те или иные веб-сайты, а также на загрузку других программ, включая копию самого троянца. Главная опасность Android.Selfmite.1.origin заключалась в том, что рассылка таких сообщений производилась по всем контактам из телефонной книги пользователя, причем количество отправляемых SMS никак не ограничивалось, поэтому жертвы троянца могли понести финансовые потери.

Еще одна обнаруженная в октябре вредоносная Android-программа получила имя Android.Dialer.7.origin. Этот троянец относится к классу вредоносных программ-дозвонщиков, приносящих киберпреступникам прибыль за счет выполнения звонков на различные премиум-номера. Запускаясь на зараженном мобильном устройстве, Android.Dialer.7.origin осуществляет телефонное соединение с заданным в его настройках номером, однако может позвонить и на другие телефоны, получив необходимую информацию с управляющего сервера. Ярлык этого дозвонщика не имеет собственного изображения и подписи, а после запуска вредоносной программы и вовсе удаляется, делая Android.Dialer.7.origin «невидимым» для пользователя. Также троянец удаляет информацию обо всех совершаемых им телефонных соединениях и препятствует своему удалению.

Другой Android-угрозой, созданной киберпреступниками для заработка, стал очередной троянец-блокировщик семейства Android.Locker. Вредоносная программа Android.Locker.54.origin, действовала уже по отработанной схеме, блокируя экран зараженного мобильного устройства и требуя у пользователя оплату за его разблокировку. Отличием этого троянца от прочих подобных угроз стало то, что данный вымогатель мог разослать всем сохраненным в телефонной книге контактам SMS, содержащее ссылку на загрузку копии вредоносного приложения. В результате пользователи не только становились жертвой шантажа, но и способствовали распространению этой угрозы.
(с)

Одна из вредоносных программ, обнаруженная специалистами компании «Доктор Веб» в начале ноября, представляет собой опасного бота, способного по команде злоумышленников отправлять SMS, удалять установленные программы и файлы пользователей, красть конфиденциальную информацию, атаковать веб-сайты и выполнять на зараженном устройстве множество других нежелательных действий. Новая угроза была внесена в вирусную базу Dr.Web под именем Android.Wormle.1.origin. После установки троянец не создает ярлык на главном экране операционной системы и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system.

Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников. Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging - сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google. Данный троянец обладает чрезвычайно обширным функционалом: он может рассылать SMS-сообщения, включать диктофонную запись, заносить в черный список определенный телефонный номер, получать информацию о списке контактов, телефонном номере жертвы и другие данные, удалять файлы и приложения с устройства и многое другое. Кроме того, функционал вредоносной программы позволяет получать доступ к банковским счетам пользователей, поэтому данный бот может использоваться и в качестве банковского троянца.

Android.Wormle.1.origin реализует функционал SMS-червя, распространяясь среди владельцев Android-устройств при помощи SMS-сообщений, содержащих ссылку на загрузку копии вредоносной программы. Подобные сообщения рассылаются по всем телефонным номерам из книги контактов пользователей, поэтому за короткий промежуток времени Android.Wormle.1.origin способен заразить большое число мобильных устройств. Полученная специалистами компании «Доктор Веб» статистика показывает, что на данный момент вредоносная программа успела инфицировать более 14 000 Android-смартфонов и планшетов, принадлежащих пользователям из более чем 20 стран. Наибольшее число - 12 946 (или 91,49%) инфицированных троянцем мобильных устройств находится в России, далее с заметным отставанием следуют устройства из Украины (0,88%), США (0,76%), Беларуси (0,51%), Казахстана (0,25%), Узбекистана (0,21%), а также Таджикистана (0,15%).
(с)

Компании «Доктор Веб» подвела итоги декабря 2014 года, отметив, что на протяжении всего минувшего месяца вирусная база Dr.Web пополнялась новыми записями вредоносных приложений для ОС Android, среди которых были как очередные банковские троянцы, так и троянцы, помещенные злоумышленниками непосредственно в образ прошивки операционной системы. Так, внесенный в вирусную базу Dr.Web троянец Android.Backdoor.126.origin по команде управляющего сервера мог размещать среди входящих сообщений пользователя зараженного мобильного устройства различные SMS с заданным злоумышленниками текстом. Другой троянец Android.Backdoor.130.origin, «спрятанный» внутри операционной системы, предоставлял создавшим его киберпреступникам еще больше возможностей для незаконной деятельности. Например, Android.Backdoor.130.origin может отправлять SMS, совершать звонки, демонстрировать рекламу, загружать, устанавливать и запускать приложения без ведома пользователя, а также передавать на управляющий сервер различную конфиденциальную информацию. Кроме того, Android.Backdoor.130.origin имеет возможность удалять уже установленные на зараженном устройстве приложения.

Еще одной заслуживающей внимания вредоносной Android-программой, обнаруженной в декабре, стал троянец Android.SmsBot.213.origin, который по команде киберпреступников мог выполнять нежелательные действия, например, перехватывать и отправлять SMS, а также передавать на управляющий сервер конфиденциальную информацию пользователей. Главная опасность данного троянца заключалась в том, что он позволял злоумышленникам получить доступ к управлению банковскими счетами пользователей, у которых была подключена услуга мобильного банкинга. Так, Android.SmsBot.213.origin мог незаметно для своих жертв перевести все их деньги на счет злоумышленников. Интересной особенностью данной вредоносной программы является то, что она распространялась под видом популярной игры, которая в конечном итоге все же устанавливалась на заражаемое устройство. В частности, после установки и запуска пользователем Android.SmsBot.213.origin инициировал инсталляцию скрытого внутри него файла оригинального игрового приложения, после чего удалял свой ярлык и функционировал уже в качестве системного сервиса.

©

пециалисты компании «Доктор Веб» обнаружили очередного мобильного троянца, который демонстрирует различные рекламные уведомления, ведущие к загрузке нежелательного и вредоносного ПО. Данная программа интересна тем, что отображаемые ею сообщения имитируют поступление SMSи email-корреспонденции, в результате чего потенциальные жертвы с большей вероятностью обратят на них внимание. Исследованная специалистами компании «Доктор Веб» вредоносная программа, получившая имя Android.DownLoader.157.origin, распространяется на посвященных мобильным приложениям сайтах, и, по заявлению ее создателей, представляет собой телефонного помощника, демонстрирующего во время звонка на экране страну, регион собеседника, а также название предоставляющего ему услуги связи оператора.

Приложение действительно обладает заявленным функционалом, однако через некоторое время после его запуска в информационной панели мобильного устройства неожиданно начинают появляться уведомления, внешне напоминающие системные нотификации о входящем SMS или электронном письме. В результате жертвы данного обмана могут по ошибке принять эти сообщения за подлинные. После того как пользователь нажмет на одно из подобных SMS, троянец загружает с удаленного сервера заданный киберпреступниками apk-файл и вновь размещает в области нотификаций соответствующее ему уведомление, нажатие на которое начинает процесс установки загруженного ранее приложения. Проведенное вирусными аналитиками «Доктор Веб» исследование показало, что большая часть из распространяемых таким образом программ представляет собой различных троянцев, среди которых - троянцы-загрузчики, бэкдоры и другое опасное ПО.


©

Несмотря на то, что Google Play является официальным каталогом приложений для мобильной операционной системы Android, на данном сайте время от времени появляются потенциально опасные и даже вредоносные программы. Одну из них, получившую наименование Android.DownLoader.171.origin, недавно обнаружили вирусные аналитики компании «Доктор Веб». Вредоносная программа Android.DownLoader.171.origin распространяется под именем KKBrowser. Статистика загрузок на Google Play показывает порядка 100 000 – 500 000 установок приложения, однако, если прибавить к этому числу китайские сборники ПО, на которых также распространяется Android.DownLoader.171.origin (Baidu — 880 000 установок, qq — 310 000, 360cn — 60 000, Wandoujia —58 000), общее количество скачиваний превысит 1,5 миллиона.

Android.DownLoader.171.origin сочетает в себе функции троянца-загрузчика и рекламного приложения. После установки на инфицированном устройстве вредоносная программа обращается к управляющим серверам и загружает указанные злоумышленниками приложения. При этом, в случае наличия на устройстве доступа с привилегиями root, приложения устанавливаются автоматически, а в противном случае на экране устройства демонстрируется соответствующий запрос. Троянец умеет не только устанавливать, но также незаметно для пользователя удалять программы — автоматически при наличии прав root или с использованием запроса соответствующего разрешения у пользователя.

Помимо этого, Android.DownLoader.171.origin способен демонстрировать пользователю уведомление в панели нотификаций Android, выглядящее, как сообщение о поступлении электронной почты, в то время как на самом деле содержимое нотификаций определяет управляющий сервер. При нажатии на такое сообщение открывается окно браузера и выполняется переход на указанный злоумышленниками веб-сайт. Вредоносная программа выполняет проверку на наличие установленных антивирусов китайского производства, а также собирает и отправляет на сервер злоумышленников сведения об инфицированном устройстве, такие как язык локализации и версия ОС, наличие административного доступа, модель устройства, разрешение экрана, значение IMEI и другие данные.
©

Антивирусная компания ESET предупреждает о дальнейшем распространении трояна Android/Clicker в Google Play.

Android/Clicker – троян-порнокликер для смартфонов и планшетов на базе Android, предназначенный для генерации трафика на «взрослые» ресурсы. Ранее специалисты ESET обнаружили на Google Play несколько версий вредоносной программы, замаскированных под легитимное приложение Dubsmash 2. Подделка была загружена более 10 000 раз и удалена после обращения в Google.

Тем не менее, Android/Clicker продолжает распространяться через магазин приложений. Вирусные эксперты ESET выявили 51 новое приложение, содержащее вредоносную программу. Четыре приложения набрали более 10 000 загрузок, а одно было установлено более 50 000 раз. Среди зараженных программ печально известная Dubsmash, а также Download Manager, Pou 2, Clash of Clans 2, Subway Surfers 2, Subway Surfers 3, Minecraft 3, Hay Day 2, чит-коды к играм и другое ПО.

В общей сложности для скачивания в Google Play было доступно 60 мобильных приложений, зараженных трояном-порнокликером. В течение последних трех месяцев они были установлены около 210 000 раз. За неделю после публикации первого отчета ESET приложения набрали примерно 106 000 загрузок.

Вирусные эксперты ESET отмечают, что даже сегодня, спустя месяц после обнаружения первых образцов Android/Clicker в Google Play, вредоносные приложения продолжают обходить систему фильтрации Bouncer, подвергая риску миллионы пользователей. Зараженные приложения были удалены из Google Play только после уведомления от ESET.
©

Новая угроза взлома смартфонов, работающих на операционной системе Android, грозит от банального MMS-сообщения. Специалисты по мобильной безопасности из компании Zimperium обнаружили очередную уязвимость в ОС, которая кроется в компоненте ядра Android, отвечающем за работу с мультимедийными файлами. Хакеру всего лишь нужно знать номер телефона жертвы. Отправленное сообщение, содержащее особым образом составленный код, способно самостоятельно добраться до системы.

Пользователям не обязательно даже запускать заражённый файл. Уязвимый компонент используется для автоматической генерации эскизов, извлечения метаданных видео и аудио. Достаточно просто получить заражённый файл посредством MMS или скопировать внутри файловой системы. В первом случае пользователь даже не поймёт, как было взломано его устройство, ведь MMS может прийти ночью в беззвучном режиме, а вредоносный код удалит любое упоминание о сообщении.

Специалисты не только выявили уязвимость, но и создали патчи, закрывающие её. Но проблема состоит в том, что обновление Anroid происходит очень медленно, а потому 95% устройств с данной операционной системой всё ещё находятся в зоне риска. Более всего уязвимы смартфоны и планшеты, функционирующие на ОС Android 4.3 и ниже, так как в них отсутствуют определённые защитные механизмы от такого типа атак, появившихся в последующих версиях Android.

(с)

Одной из главных тенденций в развитии киберугроз остается непрекращающийся быстрый рост количества вредоносных программ, нацеленных на мобильные операционные системы. Так, за период с апреля по июнь 2015 года эксперты «Лаборатории Касперского» зафиксировали почти 300 тысяч образцов новых мобильных зловредов, а значит по сравнению с первым кварталом этого года их число увеличилось почти в три раза. Одной из главных мобильных угроз продолжают оставаться банковские троянцы. К примеру, уже отмеченный исследователями «Лаборатории Касперского» троянец OpFake сейчас умеет атаковать 114 банковских и финансовых приложений, тогда как в первом квартале их было лишь 29.

Наиболее активно мобильные банковские троянцы распространяются в Корее, а вот второе место в этом рейтинге принадлежит России. Как свидетельствуют внутренние статистические данные «Лаборатории Касперского», во втором квартале 2015 года каждый десятый российский пользователь, столкнувшийся хотя бы с одним мобильным зловредом, был атакован, в том числе, и мобильным банковским троянцем. Как отметил Роман Унучек, антивирусный эксперт «Лаборатории Касперского», помимо роста числа непосредственно вредоносных программ для мобильных платформ, во втором квартале этого года особенно заметны были мобильные троянцы, которые могут получать повышенные права для показа или установки рекламных приложений.

Всего же за второй квартал решения «Лаборатории Касперского» отразили почти 380 миллионов вредоносных атак по всему миру. И половина этих атак осуществлялась с Интернет-ресурсов, расположенных в России. К примеру, занявшие вторую строчку в рейтинге США оказались ответственны лишь за 12% всех веб-атак.

(с)

Две недели назад специалисты рассказали о том, как одним MMS-сообщением можно взломать Android-смартфон. Сегодня на конференции по безопасности группа исследователей продемонстрировала, как перехватить управление смартфоном с помощью поддельного приложения или простого SMS. Проблема кроется в мобильном инструменте удаленной поддержки. Это приложение чаще всего устанавливает производитель для того, чтобы специалисты компании смогли помочь пользователю разобраться в возникшей проблеме на смартфоне. С его помощью сервис поддержки получает полный доступ к устройству и способен управлять им удаленно. Никаких иконок на рабочем столе с этим приложением найти не удастся. Группа исследователей под названием Check Point продемонстрировала, как с помощью поддельного сертификата можно получить полный доступ к этому приложению. Для этого есть два пути: установка пользователем поддельного приложения (например, фонарика) или отправка на устройство жертвы SMS, которое заставит инструмент удаленного управления выполнить любую команду. Check Point уже сообщила об уязвимости Google многим производителям смартфонов, которым придется принять меры по устранению этой опасной «дыры» в своем ПО. Кроме того, в магазине Google Play опубликовали сканер, который позволит узнать, установлено ли на смартфоне приложение удаленного доступа.
©

Специалисты компании «Доктор Веб» продолжают отмечать случаи, когда Android-троянцы уже предустановлены на мобильные устройства в качестве системных приложений и незаметно для их владельцев осуществляют вредоносную деятельность. Очередной такой инцидент, «героем» которого стал бэкдор Android.Backdoor.114.origin, был зафиксирован нашими вирусными аналитиками совсем недавно. Само вредоносное приложение Android.Backdoor.114.origin уже известно специалистам «Доктор Веб»: этот бэкдор внедряется непосредственно в прошивку мобильных устройств и функционирует в качестве системного приложения. Как результат, удаление троянца стандартными способами становится практически неосуществимым.

Об очередном случае заражения мобильных устройств троянцем Android.Backdoor.114.origin стало известно в середине сентября. Новыми жертвами бэкдора стали владельцы Android-планшета Oysters T104 HVi 3G, на котором вредоносная программа скрывается в предустановленном приложении c именем GoogleQuickSearchBox.apk. Производитель данной модели был уведомлен о наличии проблемы, однако, пока официальная версия прошивки аппарата не претерпела никаких изменений и по-прежнему содержит в себе бэкдор, отмечают эксперты «Доктор Веб». Android.Backdoor.114.origin собирает и отправляет на управляющий сервер широкий спектр информации о зараженном устройстве.

Однако, основное предназначение Android.Backdoor.114.origin - незаметная загрузка, установка и удаление приложений по команде управляющего сервера. Примечательно, что троянец способен самостоятельно активировать отключенную опцию установки ПО из непроверенных источников, если данная функция изначально была неактивна. В результате, даже если владелец зараженного устройства соблюдает меры безопасности, это ему не поможет, т. к. бэкдор все равно изменит соответствующие настройки и сможет незаметно инсталлировать всевозможные рекламные, нежелательные и откровенно опасные вредоносные программы.
(с)

Угрозы для мобильных устройств на базе Android перестали уступать по сложности вредоносному ПО, атакующему традиционные компьютеры, считают эксперты «Лаборатории Касперского». Они обнаружили мобильный троянец Triada, который с технической точки зрения значительно превосходит все другие аналогичные зловреды. Отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на зараженном устройстве, и возможность менять логику их работы. Зловред тщательно скрывает следы своего присутствия в системе, поэтому обнаружить и удалить его не так-то просто. Угроза особенно актуальна для пользователей Android версии 4.4.4 и более ранних, отмечают аналитики.

Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote, ранее подобные техники рассматривались исключительно с теоретической точки зрения. Другой особенностью Triada является его модульная структура. Основная программа-загрузчик устанавливает на устройство различные модули зловреда, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом, троянец скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретенным правам суперпользователя.

На сегодняшний день Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троянец перехватывает, модифицирует и фильтрует платежные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры. Как рассказал Никита Бучка, антивирусный аналитик «Лаборатории Касперского», спектр техник, использованных данным троянцем, не встречается ни в одном из известных ранее мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления зловреда, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность.
©

Специалисты компании "Доктор Веб" рассказали об обнаружении новой вредоносной программы, которая была внедрена в прошивки многих Android-устройств - более 40 моделей, а также в код нескольких известных мобильных приложений для ОС от Google. Как утверждается, троянец предназначен для показа навязчивой рекламы, а также кражи личных данных, причём в сети была замечена активность нескольких модификаций троянца с разным поведением. Модуль Android.Gmobi.1 расширяет функциональные возможности Android-приложений и предназначен для дистанционного обновления операционной системы, сбора аналитических данных, показа различных уведомлений (в том числе рекламы) и осуществления мобильных платежей.

Несмотря на кажущуюся безобидность, Android.Gmobi.1 во многом ведёт себя как типичный троянец, поэтому содержащие его программы детектируются антивирусными продуктами как вредоносные. На текущий момент специалисты "Доктор Веб" обнаружили этот SDK в предустановленном системном ПО почти 40 популярных мобильных устройств, а также в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и ASUS WebStorage, которые доступны для загрузки в каталоге Google Play. Все компании уже оповещены о возникшей проблеме и занимаются её решением. Так, последние официальные версии программ TrendMicro Dr.Safety и TrendMicro Dr.Booster уже не содержат этого троянца.

Android.Gmobi.1 имеет несколько модификаций, которые объединяет общая функциональность - сбор и отправка на удалённый узел конфиденциальной информации. Например, версии троянца, которые встроены в приложения TrendMicro Dr.Safety и TrendMicro Dr.Booster, имеют только указанную шпионскую функцию, в то время как модификация, обнаруживаемая в прошивках мобильных устройств, является наиболее продвинутой. При каждом подключении к Интернету или включении экрана зараженного смартфона или планшета (если перед этим экран был выключен более минуты) Android.Gmobi.1 собирает и отправляет на управляющий сервер целый ряд конфиденциальных данных, таких как:

email-адреса пользователя;
наличие роуминга;
текущие географические координаты на основе данных спутников GPS или информации мобильной сети;
подробную техническую информацию об устройстве;
страну нахождения пользователя;
наличие установленного приложения Google Play.

В ответ троянец получает от сервера конфигурационный файл в формате JSON (JavaScript Object Notation), который может содержать следующие управляющие команды:

сохранить в базу данных информацию о рекламе, которую необходимо показать пользователю;
создать рекламный ярлык на рабочем столе;
показать уведомление с рекламой;
показать уведомление, нажатие на которое приведет к запуску уже установленного на устройстве приложения;
загрузить и установить apk-файлы с использованием стандартного системного диалога или скрытно от пользователя, если для этого имеются соответствующие права.

Далее в соответствии с полученными командами вредоносная программа приступает к непосредственному выполнению своей основной вредоносной функции - показу рекламы, а также других действий, нацеленных на получение прибыли. В частности, троянец может продемонстрировать рекламу следующих типов:

реклама в панели уведомлений;
реклама в виде диалогового окна;
реклама в виде интерактивных диалоговых окон - при нажатии кнопки подтверждения происходит отправка SMS (при этом она выполняется только в том случае, если у приложения, в которое встроен вредоносный SDK, есть на это соответствующие права);
рекламный баннер поверх окон других приложений и графического интерфейса ОС;
открытие заданной страницы в веб-браузере или в приложении Google Play.

Кроме того, Android.Gmobi.1 способен автоматически запускать программы, уже установленные на устройстве, а также скачивать приложения по указанным злоумышленниками ссылкам, тем самым "накручивая" их популярность.

В настоящий момент все известные модификации этого троянца детектируются и обезвреживаются антивирусными продуктами только в тех случаях, если они находятся не в системных каталогах ОС. Если Android.Gmobi.1 был обнаружен в прошивке зараженного мобильного устройства, его удаление обычными средствами не представляется возможным, поскольку для этого антивирусу необходимо наличие root-полномочий. Однако даже если необходимые права в системе имеются, удаление троянца может привести к нарушению работы заражённого смартфона или планшета, поскольку Android.Gmobi.1 может быть встроен в критически важное системное приложение. В этом случае необходимо обратиться к производителю мобильного устройства и запросить у него новую версию прошивки, в которой троянец будет отсутствовать.
(с)

Очередного троянца, обладающего шпионскими функциями и получившего имя Android.Spy.277.origin, специалисты компании «Доктор Веб» обнаружили в более чем 100 приложениях, размещенных в каталоге Google Play. Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок троянца. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности, вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3 200 000. Компания «Доктор Веб» уведомила службу безопасности Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play.

После запуска программ, в которых находится троянец, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троянец повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. Как видно на примерах рекламных баннеров, троянец может фактически запугивать пользователей, например, ложно информируя о повреждении аккумулятора устройства и предлагая скачать ненужные программы для его «починки».

Примечательно, что плагин, скрытый в файловых ресурсах Android.Spy.277.origin, имеет тот же самый функционал, что и сам троянец. Получив необходимую команду от сервера, вредоносное приложение пытается установить этот модуль под видом важного обновления. После его установки на зараженном устройстве фактически будут находиться две копии Android.Spy.277.origin, поэтому, даже в случае удаления исходной версии троянца в системе останется его «дублер», который продолжит показывать навязчивую рекламу. Компания «Доктор Веб» рекомендует владельцам Android-смартфонов и планшетов внимательно относиться к скачиваемым приложениям и устанавливать их только в том случае, если есть уверенность в благонадежности разработчика. Все известные модификации Android.Spy.277.origin успешно обнаруживаются и удаляются антивирусными продуктами Dr.Web для Android.

(с)

а я на этой неделе наблюдал инфицированный роутер
TP-Link ND742 кажется - работники на след. день
после подключения в инет через него начали жаловаться,
что на многих сайтах начали окна рекламные всплывать
сразу по два-три... воткнули другой роутер и чудеса исчезли...
Лечится оригинальной прошивкой с сайта производителя,
интересен механизм каким образом роутер был инфицирован
(эта дрянь на компьютеры не прыгает)

Недавно специалисты компании «Доктор Веб» выявили в каталоге Google Play более 190 приложений, в которых находится троянец Android.Click.95, пугающий пользователей наличием проблем на мобильных устройствах и заставляющий их устанавливать рекламируемые программы. Обычно приложения, в которые встроен Android.Click.95, представляют собой типичные программы-сборники, содержащие различные советы, гороскопы, сонники, анекдоты и т. д. Вирусные аналитики «Доктор Веб» обнаружили более 190 таких приложений, распространяемых в Google Play как минимум шестью разработчиками: allnidiv, malnu3a, mulache, Lohari, Kisjhka и PolkaPola. В общей сложности, троянца успели загрузить, как минимум, 140 000 пользователей. Компания Google уже оповещена об этом инциденте, однако некоторые из выявленных приложений остаются доступными для загрузки.
Попадая на мобильное устройство, Android.Click.95 начинает вредоносную деятельность не сразу, а лишь через 6 часов после того, как будет запущена содержащая троянца программа. Это сделано для того, чтобы отвести подозрения жертвы от истинного источника проблемы. По прошествии 6 часов Android.Click.95 проверяет, установлено ли на зараженном устройстве приложение, которое заранее указано в настройках троянца. В зависимости от результата Android.Click.95 открывает в веб-браузере мошеннический сайт с определенным тревожным сообщением. Например, если троянец не находит определенное приложение-браузер, пользователю демонстрируется соответствующее предупреждение о том, что его текущий веб-обозреватель небезопасен и нуждается в замене. Если же рекламируемая программа уже установлена, жертву пугают иной неполадкой, например, неисправностью аккумулятора.

Для решения проблем пользователю предлагается установить рекламируемую программу, причем, чтобы заставить его это сделать, Android.Click.95 загружает мошенническую веб-страницу каждые 2 минуты, фактически, не давая владельцу смартфона или планшета нормально пользоваться устройством. После того, как хозяин атакованного мобильного устройства все же соглашается установить предлагаемое ему ПО и нажимает соответствующую кнопку на веб-странице, он перенаправляется в каталог Google Play, в котором автоматически открывается раздел с той или иной программой, рекламируемой троянцем в данный момент. За каждую успешную установку злоумышленники получают денежное вознаграждение в рамках рекламных партнерских программ.
(с)