Пользователей Android атаковал троян, похищающий личные данные с мобильных телефонов
 

Согласно отчету компании Panda Security, в первые три месяца 2011 г. ежедневно появлялось в среднем 73 тыс. новых образцов вредоносного программного обеспечения, что на 10 тыс. (на 26%) больше прошлогоднего показателя за тот же период. По данным компании, первый квартал отличился невероятно интенсивной вирусной активностью, а также тремя произошедшими за этот период инцидентами: массивная атака, направленная против мобильных телефонов на базе Android; необычно широкое использование Facebook для распространения вредоносного программного обеспечения; нападение группы анонимных киберактивистов на сайт компании HBGary Federal, которая работает в сфере безопасности.

В начале марта специалистами Panda Security была зафиксирована крупнейшая на сегодняшний день атака на Android. Нападение было спровоцировано вредоносными приложениями на Android Market — официальный магазин приложений для операционной системы. Всего за четыре дня эти приложения, которые автоматически заражали устройство трояном, были загружены примерно 50 тыс. раз. В данном случае троян не только похищал личную информацию из мобильных телефонов, но также загружал и устанавливал другие приложения без ведома пользователя, сообщили в Panda Security. Google удалось избавить свой магазин от всех вредоносных приложений, а через несколько дней и удалить их с телефонов пользователей.

В деле с Facebook был признан виновным во взломе учетных записей и шантаже Джордж С. Бронк, 23-летний молодой человек из Калифорнии, за что ему грозит до шести лет лишения свободы. Используя информацию со страниц пользователей Facebook, ему удалось получить доступ к электронной почте жертв. Взломав почту, мошенник выискивал любую информацию, которую он мог бы использовать для шантажа. Любопытно то, что любой пользователь может стать жертвой таких атак, ведь даже Марк Цукерберг, создатель Facebook, не избежал этого. Страница его фан-группы была также взломана, и на ней появилось сообщение «Начать взломы!», говорится в отчете Panda Security.

Между тем, группа анонимных киберактивистов, ответственная, наряду с другими преступлениями, еще и за атаки против SGAE («Испанское Агентство защиты авторских прав») в 2010 г., по-прежнему не даёт о себе забыть. Последний инцидент произошел после того, как технический директор американской компании HBGary Federal Аарон Барр объявил о том, что располагает подробной информацией об участниках группировки анонимных киберактивистов. По информации, расстроенная данным фактом вышеупомянутая группа решила взломать сайт компании, а также её аккаунт в Twitter, украв тысячи писем, которые затем были распространены на сайте The Pirate Bay, крупнейшем в мире BitTorrent-трекере. Примечательно, что содержание некоторых опубликованных писем было весьма неэтичным: например, предложение о разработке руткита. Все это вынудило Аарона Барра уйти в отставку с поста технического директора компании.

Большинство из обнаруженных угроз в первом квартале 2011 г., по данным Panda Security, составили именно трояны — около 70% от общего числа новых вредоносных программ. На втором месте — вирусы (16,82%), на третьем — черви (7,77%). Далее следуют рекламное ПО (2,27%) и бэкдоры (1,89%). На долю программ-шпионов пришлось всего 0,08% вредоносных программ.

В рейтинге наиболее инфицированных стран, составленном Panda Security на основе данных, полученных от онлайн-антивируса Panda ActiveScan, Китай, Тайланд и Тайвань продолжают занимать первые три места с показателем заражённости примерно 70%. Россия также остается в пятерке стран с наивысшим показателем инфицированности. Последние три места в двадцатке занимают Ирландия, Перу и Эквадор: _CNews

Android.Plankton — новый троянец для Android
 

Компания "Доктор Веб" предупредила пользователей о появлении нового опасного семейства вредоносных программ для смартфонов под управлением ОС Android — Android.Plankton. Встроенный в приложение Angry Birds Rio Unlock, которое дает доступ к скрытым уровням этой популярной игры, троянец передает злоумышленникам данные о зараженном устройстве, а также загружает на него другое вредоносное ПО. В отличие от выявленного днем ранее вредоносного приложения Android.Gongfu, новый троянец Android.Plankton не использует известные уязвимости операционной системы для повышения собственных привилегий. Алгоритм реализации атаки выглядит следующим образом: непосредственно после запуска инфицированного приложения троянец загружает в фоновом режиме собственную службу, которая собирает информацию о зараженном устройстве (ID устройства, версия SDK, сведения о привилегиях файла) и передает ее на удаленный сервер.

Затем вредоносная программа получает с сайта злоумышленников данные для последующей загрузки и установки на смартфон жертвы другого приложения, функционал которого, по предположениям аналитиков, может варьироваться. В настоящее время специалистам компании «Доктор Веб» известно о нескольких видах такого вредоносного ПО. В частности, это пакеты plankton_v0.0.3.jar и plankton_v0.0.4.jar, предназначенные для выполнения на инфицированном устройстве получаемых от управляющего центра команд.

Источник: news.drweb.com

"Доктор Веб" отмечает десятикратный рост угроз для платформы Android
 

С января 2011 года количество угроз для платформы Android возросло в десять раз. Такой неутешительный вывод содержится в подготовленном аналитиками компании "Доктор Веб" отчете, свидетельствующем о неуклонном росте популярности упомянутой системы среди вирусописателей.

В опубликованном документе, в частности, отмечается, что большинство вредоносных программ для Android встраивается злоумышленниками в легитимные продукты, распространяемые через популярные сайты. При этом для реализации атак используются не только уязвимости операционной системы, но и невнимательность самих пользователей, назначающих устанавливаемому приложению слишком высокие привилегии.

Говоря о причинах стремительного роста числа угроз для Android, эксперты, прежде всего, акцентируют внимание на чрезвычайно широком распространении платформы. Немалую роль играет открытость исходных кодов системы, благодаря чему любые обнаруженные в ней уязвимости быстро становятся достоянием широкой общественности. Дополнительную опасность создает и то обстоятельство, что пользователи устройств на базе Android могут загружать приложения с различных площадок, что значительно повышает вероятность заражения.

Чтобы не попасться на удочку злоумышленников, специалисты компании "Доктор Веб" рекомендуют пользователям быть предельно внимательными при установке программ и советуют вчитываться в демонстрируемые инсталляторами продуктов уведомления.

Источник: news.drweb.com

Обнаружен очередной троян для платформы Android
 

Компания "Доктор Веб" предупреждает владельцев портативных Android-устройств о появлении очередной вредоносной программы для упомянутой платформы.

Троян, получивший кодовое обозначение Android.Ggtrack.1-2, крадет деньги со счетов обладателей смартфонов на базе этой ОС, без ведома подписывая их на различные платные услуги. Зловред проникает в операционную систему мобильного устройства при посещении пользователем фишингового сайта, маскирующегося под официальный Android Market. По сведениям экспертов, ссылка на поддельный интернет-ресурс фигурирует в рассылаемой спамерами рекламе, также на него можно наткнуться при просмотре некоторых веб-страниц в глобальной сети.

Для того чтобы уберечься от заражения Android.Ggtrack.1-2, специалисты компании рекомендуют устанавливать на мобильные устройства приложения, загруженные только из проверенных источников, таких как официальный Android Market. Также не следует всецело доверять предлагающим установить бесплатные программы рекламным сообщениям, пришедшим по электронной почте или SMS.

Интерес киберпреступников к основанной на ядре Linux мобильной платформе обусловлен стремительно возрастающей популярностью системы. По данным Google, каждый день по всему миру активируются более 500 тысяч новых Android-аппаратов, при этом общие продажи достигли 135 млн устройств. Если темпы роста сохранятся, то миллион активаций будет зарегистрирован в середине октября этого года.

Источник: ews.drweb.com

Свыше 30 SMS-троянов атаковали пользователей Android Market
 

Компания «Доктор Веб» сообщила об обнаружении большого количества вредоносных программ в официальном каталоге приложений Android Market. Все эти программы относятся к семейству троянов Android.SmsSend, способных отправлять SMS-сообщения на платные номера без согласия пользователя. После обращения специалистов «Доктор Веб» в компанию Google вредоносные приложения были оперативно удалены из Android Market, при этом необходимые записи внесены в вирусные базы Dr.Web. Примечательно, что каталог приложений Android Market уже не в первый раз становится источником распространения вредоносных программ. Так, ранее в нем были найдены трояны семейства Android.DreamExploid, Android.DDLight и некоторые другие. Несмотря на то что единичные случаи появления в Android Market троянов семейства Android.SmsSend отмечались и раньше, такое массовое их распространение зафиксировано впервые.

На сегодняшний день специалистами «Доктор Веб» на Android Market были выявлены 33 вредоносные программы данного типа, созданные двумя различными разработчиками. Для распространения угрозы злоумышленники используют интересную схему: большинство вредоносных программ позиционируются как приложения – каталоги изображений, позволяющие изменять фоновый рисунок рабочего стола Android, и они действительно обладают таким функционалом. Тематика предлагаемых картинок самая широкая: от компьютерных игр до фотографий природы. Среди прочих вредоносных приложений встречаются и весьма оригинальные. Например, программа для составления гороскопов, диет, программа-фонарик и другие. Стоит отметить, что их интерфейс весьма аскетичен, и наличие хоть какого-то функционала призвано, скорее, прикрыть истинную цель вирусописателей — отправку с мобильного устройства жертвы платных SMS.

Помимо прочего, злоумышленники используют простой, но эффективный метод, позволяющий максимально увеличить вероятность того, что данные приложения будут замечены пользователями. Для этого в ключевых словах, которые разработчики добавляют в описания программ, часто помещаются популярные словосочетания, не относящиеся к данному продукту, например, названия популярных игр, таких как Angry Birds. В результате ссылки на подобные программы часто демонстрируются в первых строках результатов поиска по каталогу Android Market.

Принцип действия данных вредоносных приложений вполне стандартен. После запуска программы пользователю обычно демонстрируется текст, говорящий о том, что владелец мобильного устройства соглашается с неким условиями, причем само соглашение с перечнем этих условий, как правило, отсутствует. Хитрость заключается в том, что последнее слово в данном тексте представляет собой гиперссылку на страницу с лицензионным соглашением и никак не выделяется на фоне окружающих слов. После подтверждения согласия нажатием на соответствующую кнопку приложение немедленно попытается отправить платное SMS-сообщение.

В приложениях другого разработчика функционал несколько отличается, хотя и незначительно. После запуска на экране устройства появляется вступительный текст и две кнопки: первая для подтверждения согласия с условиями лицензии и вторая для открытия теста соглашения. Но и здесь не обошлось без хитрости: соглашение располагается на стороннем веб-сайте, который в данный момент не функционирует, поэтому ознакомиться с предлагаемыми условиями пользователь не может. После получения подтверждения приложение немедленно пытается отправить SMS-сообщения.

Источник: CNews

Список вредоносных приложений для Android пополняется
 

После проведения антивирусной компании Google удалила 22 новых вредоносных приложения из Android Market, которые заставляют пользователей отправлять платные SMS. По мнению Lookout Mobile Security, вредоносные приложения представляют собой особые трояны, которые отправляют SMS-сообщения на премиум-номера других телефонов. В свою очередь Symantec заявила, что подобные приложения обладают очень низким уровнем угрозы для устройств на базе Android, и главная их опасность – возможность нанести пользователям операционной системы от Google финансовые потери за отправку SMS. При удалении вредоносного ПО проблема полностью ликвидируется.

Согласно заявлению Lookout, при установке приложения из Android Market пользователь соглашается с тем, что оно может самостоятельно отправлять sms, а потому разработчик снимает с себя всю ответственность, согласно законодательству. Вредоносные коды, известные как RuFound, за последнее время были обнаружены в приложениях гороскопов, обоев, поддельных загрузчиков популярных игр и бесплатных Full-версий платных приложений. При этом действие мошеннических приложений представляло наибольшую опасность на пользователей из России, Азербайджана, Армении, Грузии, Чехии, Польши, Казахстана, Беларуси, Латвии, Кыргызстана, Таджикистана, Украины, Эстонии, Великобритании, Италии, Израиля, Франции и Германии.

На момент написания новости все из найденных вредоносных приложений были ликвидированы, правда, как сообщает Google, они еще могут сохраниться на устройствах со старой версией Android.

Источник: arstechnica.com

HP продала последние 8 тысяч TouchPad через eBay
 

В минувшее воскресенье, как и планировалось, компания HP занималась распродажей остатков планшетов TouchPad через секцию для товаров со скидкой или после ремонта на eBay. Несмотря на то, что в этот раз в продаже были только восстановленные планшеты, скорость реализации была ошеломляющей. Планшеты HP TouchPad с 16 Гбайт встроенной памяти, предлагаемые по цене $99, разошлись всего за 15 минут. Реализация TouchPad с 32 Гбайт встроенной памяти стоимостью $99 длилась немного дольше, но, как свидетельствуют записи ритейлера, распродажа планшетов закончилась через 25 минут после старта. Всего было реализовано 7850 TouchPad. Единственное, что не известно — итоги продаж комплектов аксессуаров, цена которых равнялась $79.

Ажиотаж вокруг распродажи был настолько велик, что произошел сбой работы сайта eBay, а также наблюдались задержки с прохождением транзакций в платежном сервисе Paypal.

Информированные источники утверждают, что первоначально предполагалось реализовать остатки запасов TouchPad сотрудникам HP, но затем, по неизвестным причинам, компания изменила планы.

Источник: TG Daily

В телефонах обнаружена уязвимость на уровне SIM-карты
 

Для взлома мобильных телефонов и отправки с них SMS-сообщений на платные номера может использоваться уязвимость, обнаруженная в стандартах самой мобильной связи.

Как сообщает британское издание The Register, уязвимость касается системы обмена сообщениями на приложениях, которые устанавливаются операторами на SIM-карты. Эта система имеет название SIM Application Toolkits. Данные приложения используются для таких функций как вывод на экран баланса на счете, работы с голосовой почтой или совершения электронных микроплатежей.

Эти приложения обмениваются с инфраструктурой оператора особым образом отформатированными SMS-сообщениями с цифровой подписью. Эти сообщения обрабатываются телефоном, не попадая в папку входящих и не подавая сигнала для пользователей. В крайнем случае телефон при получении такого сообщения выводится из спящего режима. При этом используется надежная технология шифрования данных, вот только проблема в том, что если какая-либо команда не может быть выполнена, то оператору отсылается сообщение об ошибке. Это открывает для хакеров две возможности для совершения вредоносных действий.

В первом случае хакер может использовать данный сервис для подмены операторского номера на номер для платных SMS, в результате деньги со счета жертвы будут переводиться на счет злоумышленника, имеющего субконтракт с контент-провайдерами. При этом злоумышленники не могут контролировать непосредственный процесс отправки служебных сообщений, однако это не умаляет опасности данных действий. Во втором случае в ответ на запрос оператора отправляются преднамеренно поврежденные сообщения, которые интерпретируются системой как недоставленные, запрос отправляется снова, и на него опять приходит «поврежденный» ответ. Процесс зацикливается, и обычные SMS-сообщения на телефон уже не проходят. Получается что-то вроде DoS-атаки.

Уязвимость была продемонстрирована специалистом по имени Богдан Алеку (Bogdan Alecu) на конференции по вопросам безопасности DeepSec, которая проводилась в Вене (Австрия). Указанные методы взлома работают на устройствах производства Samsung, Nokia, HTC, RIM и Apple. Защититься от уязвимость можно только на телефонах Nokia — меню этих устройств позволяет устанавливать подтверждения перед отправкой служебных сообщений. Однако по умолчанию эта опция отключена.

Источник: http://infox.ru/hi-tech/communication/2011/12/20/V_tyelyefonah_obnaru.phtml

30% вирусов для Android распространяется через Android Market
 

Компания Eset, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщила о трендах и прогнозах развития вредоносного программного обеспечения для мобильных платформ. Специалисты аналитического центра кибер-угроз Eset в Латинской Америке провели исследование «Тенденции на 2012 год: мобильные вирусы», в рамках которого были проанализированы рост, развитие, схемы распространения вредоносного ПО для мобильных устройств, а также сформированы прогнозы для данного сегмента на следующий год.

На сегодняшний день в мире насчитывается более 5 млрд мобильных устройств, каждое четвертое из которых — смартфон с возможностью подключения к интернету, то есть с доступом к электронной почте, социальным сетям, интернет-магазинам и даже интернет-банкингу, что позволяет вирусописателям получать сверхприбыли за короткое время. Внимание злоумышленников привлекает и растущий объем памяти мобильных устройств, а соответственно увеличение конфиденциальной информации, хранящейся на смартфоне.

Аналитики Eset также отмечают, что многие телефонные аппараты уже не поддерживаются разработчиками и содержат в своей программной начинке критические уязвимости, которые могут быть использованы для удаленных атак со стороны хакеров. Еще одним эффективным вектором атаки могут стать мобильные приложения для платежных систем.

«Что касается российских пользователей, то рост продаж смартфонов в нашей стране, а также активное использование мобильного интернета и его проникновение в регионы только способствует увеличению атак на мобильные устройства, — отметил Александр Матросов, директор Центра вирусных исследований и аналитики Eset. — При этом абсолютным лидером по количеству экземпляров вредоносного ПО для мобильных платформ и числу атак стала платформа Android».

В этом году вирусные аналитики Eset зафиксировали резкий рост создания и распространения вредоносного ПО для операционной системы Android. Так, только за последние 5 месяцев рост угроз для данной мобильной платформы составил 65%. При этом 30% вредоносных программ для Android распространяется через официальный интернет-магазин Android Market, подчеркнули в компании.

Среди злонамеренного ПО, проникающего на мобильные устройства, было зафиксировано 37% троянских программ, передающихся с помощью SMS- и MMS-сообщений, а также 60% вирусов, имеющих удаленный контроль над мобильным устройством.

Источник: CNews

Число угроз для Android выросло в 2011 году в 20 раз
 

Одной из ключевых тенденций в ушедшем году стал значительный рост угроз для мобильной платформы Android. Такой вывод содержится в опубликованном аналитиками компании "Доктор Веб" отчете, свидетельствующем о популярности упомянутой системы среди вирусописателей.

По данным экспертов, за прошедший год количество вредоносных программ для Android возросло более чем в двадцать раз. Если на начало прошлого года в сигнатурных базах Dr.Web насчитывалось всего три десятка записей, соответствующих Android-зловредам, то к концу года число таковых достигло 630. Для Symbian OS на сегодняшний день известно 212 вредоносных приложений, для Windows Mobile - 30, троянцев, способных работать на любой мобильной платформе с поддержкой Java ME, насчитывается 923. Основываясь на этих цифрах, можно сделать вывод о том, что по числу специализированных угроз ОС Android только за 2011 год уверенно опередила своих ближайших конкурентов. Большинство вредоносных программ для Android встраивается злоумышленниками в легитимные продукты, распространяемые через популярные сайты. При этом для реализации атак используются не только уязвимости операционной системы, но и невнимательность самих пользователей, назначающих устанавливаемому приложению слишком высокие привилегии.

Чтобы не стать жертвой киберпреступников, специалисты компании "Доктор Веб" рекомендуют пользователям быть предельно внимательными при установке программ и советуют вчитываться в демонстрируемые инсталляторами продуктов уведомления.

Источник: news.drweb.com

Руткиты добрались до мобильных устройств
 

Компания AVG Technologies (AVG), поставщик защитных решений для компьютеров и смартфонов, подготовила отчёт об основных угрозах киберпространства за четвертый квартал 2011 г. Наиболее яркими тенденциями компьютерной преступности стали новые типы атак на смартфоны — заражение через графические QR-коды, кража цифровых сертификатов для подписи мобильных приложений, а также появление руткитов для мобильных устройств наряду с их совершенствованием для настольных компьютеров.

QR-коды быстро набирают популярность среди мобильных пользователей — так, вместо трудоемкого набора веб-адреса на экранной клавиатуре можно сфотографировать камерой двумерную картинку и сразу перейти на нужный сайт. Коды публикуются в журналах, на уличной рекламе, а также на различных веб-сайтах. К сожалению, эти коды, легко читаемые смартфоном, стали идеальным способом распространения ссылок на вредоносный софт, говорится в отчете AVG Technologies. Пользователь не знает, что скрывается за ссылкой, до того момента, когда начинается скачивание нежелательного контента. По оценкам специалистов AVG, технология будет широко использоваться в 2012 г., и для завлечения жертв будет применяться наклеивание вредоносных QR-кодов на настоящую рекламу.

«В четвертом квартале мы явно увидели, что конвергенция между компьютерами и мобильными телефонами происходит и в мире вредоносного ПО. Телефоны все больше похожи на компьютеры, становятся схожими и риски», — говорит Юваль Бен-Ицхак, директор по технологиям AVG Technologies. — Многие вредоносные трюки с компьютеров сегодня переносятся на смартфоны. Но поскольку с телефона доступны деньги на операторском счете, потенциальные доходы злоумышленников куда выше».

В 2011 г. значительно увеличилось число пользователей Android, а вместе с тем и количество образцов вредоносного кода для этой платформы. В декабре компания Google удалила из Android Market 22 вирусных приложения, и, таким образом, их число за год превысило 100. По данным AVG, с целью распространения зловредного ПО для мобильных устройств киберпреступниками была заимствована техника кражи с компьютеров цифровых сертификатов, которые позволяют легитимно подписать зловредное приложение, обойти систему безопасности в ОС и упростить, таким образом, его установку на смартфоны жертв.

Кроме того, в четвертом квартале 2011 г. специалистами AVG было зафиксировано появление первых руткитов для мобильных устройств. В частности, был обнаружен руткит ZeroAccess, который отличается высокой сложностью, эффективностью и серьезной защитой от отладки и поиска антивирусами. ZeroAccess является руткитом режима ядра (kernel mode), предназначенным для шпионажа за пользователями и загрузки других вредоносных приложений по команде с дистанционного сервера.

Наиболее распространенной угрозой в вебе в отчетном периоде являлся набор по эксплуатации уязвимостей (exploit toolkit) Blackhole — он обнаружен более чем на 50% вредоносных веб-сайтов. Всего за квартал зарегистрировано около миллиона срабатываний антивируса на мобильных устройствах. Главным источником спама в последнем квартале года остались США. На второе место поднялась Великобритания. При этом Бразилия является одним из самых активных рынков для троянов, крадущих доступ в электронные банки. Также португальский язык стал вторым по распространенности в спам-сообщениях после английского, сообщили в AVG.

Источник: CNews

На китайских сайтах «поселился» новый бэкдор для мобильных устройств на базе Android
 

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила о появлении нового бэкдора для мобильной операционной системы Android. Android.Anzhu позволяет выполнять различные директивы, поступающие от удаленного командного центра злоумышленников, устанавливать без ведома пользователя приложения и изменять закладки браузера. Вредоносная программа Android.Anzhu распространяется с китайских сайтов, предоставляющих бесплатное программное обеспечение для ОС Android. Троян-бэкдор встроен в легитимную программу Screen Off And Lock, предназначенную для блокировки экрана и выключения мобильного устройства в одно касание без использования анимированного слайдера и кнопки питания.

После начала инсталляции в систему устанавливается сама программа Screen Off And Lock и создается дополнительный значок для ее запуска в режиме конфигурирования — Configure Screen Off And Lock. Если это приложение загружено с официального сайта Android Market, на этом все и заканчивается, но если пользователь скачал его с одного из китайских сайтов, помимо вышеуказанных компонентов на устройстве запускается бэкдор, который, установив соединение с одним из принадлежащих вирусописателям удаленных серверов, переходит в режим ожидания поступающих от злоумышленников команд, говорится в сообщении «Доктор Веб».

Помимо выполнения различных директив, Android.Anzhu «умеет» скачивать и устанавливать без ведома пользователя программы, указанные злоумышленниками в передаваемой бэкдору инструкции. Загрузив заданное приложение, Android.Anzhu может изменить его системные привилегии и запустить на выполнение. Кроме того, в трояне имеется функционал по изменению закладок в нескольких наиболее популярных браузерах для мобильной ОС Android. Android.Anzhu не просто устанавливает закладки из переданного вирусописателями списка, но также меняет их атрибуты, помечая как посещенные, что придает таким закладкам больший вес в глазах пользователя.

Еще одна функция Android.Anzhu — способность мониторить системный журнал Android, в частности, отслеживать события, связанные с запуском и открытием окон других приложений. Наконец, троян способен собирать информацию о мобильном устройстве (список установленных приложений, IMEI) и отправлять ее злоумышленникам.

Безусловно, наибольшую опасность Android.Anzhu представляет для владельцев так называемых «рутованных» телефонов — устройств, в которых пользователь имеет права администратора операционной системы, подчеркнули в «Доктор Веб». Сигнатура данной угрозы добавлена в вирусные базы «Dr.Web для Android Антивирус + Антиспам» и «Dr.Web для Android Light».

Источник: CNews

«Яндекс» начал исключать сайты с вредоносными мобильными редиректами из поиска
 

Компания «Яндекс» сообщила о том, что начала исключать сайты с вредоносными мобильными редиректами из результатов поиска. <em>«Мы уже писали об угрозе, которую представляют вредоносные мобильные редиректы для мобильных устройств. В декабре прошлого года мы разослали предупреждения о потенциальной опасности вебмастерам более 16000 сайтов. Многие вебмастера удалили вредоносный код. Тем не менее, зараженные сайты продолжают появляться. Сейчас «Яндексу» известно более тысячи ресурсов с вредоносными мобильными редиректами»,</em> - говорится в сообщении компании.

29 февраля, «Яндекс» начал исключать эти сайты из мобильных результатов поиска, так как при переходе на них пользователь не может получить ответ на свой вопрос. Кроме того, теперь «Яндекс» предупреждает пользователей о мобильных редиректах на сайте и в большом поиске — ведь если они есть на сайте, скорее всего, он взломан злоумышленниками и может нанести вред компьютеру или мобильному устройству.

Источник: CNews

Число мобильных угроз в 2011 году выросло более чем в шесть раз
 

Количество вредоносных программ для портативных устройств в прошлом году увеличилось в 6,4 раза. Об этом свидетельствуют статистические данные, представленные в отчете "Лаборатории Касперского". Только в декабре 2011 года специалисты антивирусной компании добавили в свои сигнатурные базы больше мобильных зловредов, чем за предыдущие семь лет. Одной из ключевых тенденций в ушедшем году стал значительный рост угроз для платформы Android. Среди обнаруженных зловредов по-прежнему доминируют примитивные SMS-троянцы, позволяющие злоумышленникам наживаться без особых усилий. На втором месте фигурируют бэкдоры, используемые киберпреступниками для получения контроля над мобильными устройствами, на третьем - программы-шпионы, промышляющие воровством конфиденциальной информации. "Подводя итоги прошедшего года, мы можем с уверенностью сказать, что он стал очень важным в эволюции мобильных угроз, - заключает автор отчета старший вирусный аналитик Денис Масленников. - Во-первых, по причине стремительного роста количества вредоносного ПО. Во-вторых, потому что злоумышленники выбрали Android как основную целевую платформу для атаки. А в-третьих, потому что в 2011 году киберпреступники фактически автоматизировали производство и распространение вредоносного ПО".

С полной версией проведенного "Лабораторией Касперского" исследования можно ознакомиться на информационном сайте компании securelist.com.

Источник: «Лаборатория Касперского»

Новый троян-шпион крадет SMS с Android-устройств
 

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщил о появлении новой версии шпиона Android.SpyEye, предназначенного для перехвата злоумышленниками входящих SMS-сообщений пользователей мобильных устройств. Этот троян скрывается за приложением Android Security Suite Premium, якобы обеспечивающим защиту смартфона от вредоносного ПО.

Новая версия трояна, добавленная в вирусные базы как Android.SpyEye.2.origin, распространяется под видом защитного приложения Android Security Suite Premium и имеет соответствующую иконку. После запуска программы на экране мобильного устройства также отображается образ щита и некий код активации.

Несколько дней назад некоторые эксперты уже информировали об этом трояне, но специалистам «Доктор Веб» удалось более детально изучить его особенности. Android.SpyEye.2.origin является представителем троянов-шпионов, главная цель которых — получить доступ к SMS-сообщениям, поступающим на мобильный номер пользователя от банковских систем при выполнении ряда финансовых операций. В таких сообщениях содержится одноразовый код (так называемый mTAN-код), который пользователь должен ввести в специальную форму, чтобы подтвердить выполнение денежной транзакции, говорится в сообщении компании. Троян отслеживает несколько системных событий: SMS_RECEIVED (получение нового SMS-сообщения), NEW_OUTGOING_CALL (исходящий с мобильного устройства звонок) и BOOT_COMPLETED (загрузка операционной системы).

Киберпреступники также имеют возможность определенным образом контролировать трояна удаленно. При поступлении нового сообщения Android.SpyEye.2.origin проверяет, содержится ли в тексте предназначенная для него команда. Если это так, вредоносная программа выполняет ее, а само сообщение удаляет.

Как удалось выяснить специалистам «Доктор Веб», злоумышленники могут задействовать несколько функций: активацию режима работы, при котором троян отправляет все вновь поступающие SMS на заданный номер, при этом целевой номер указывается в командном сообщении; деактивацию этого режима; команду на удаление трояна. Если управляющая команда во входящем сообщении отсутствует, информация о нем добавляется в специальную базу данных.

При обнаружении исходящего вызова, а также после загрузки операционной системы троян ждет 180 секунд, после чего помещает в ту же базу данных сведения о последнем входящем SMS-сообщении. Если же добавление этих сведений в базу было сделано ранее, то имеющиеся данные загружаются на сервер злоумышленников.

Следует также отметить, что после обработки поступающего SMS троян отправляет на принадлежащий злоумышленникам сервер информацию о номере мобильного телефона и идентификатор инфицированного устройства. Таким образом, помимо сведений, представляющих непосредственную финансовую ценность (mTAN-коды), в руки злоумышленников могут попасть и другие важные данные, например часть личной переписки жертвы.

Пользователи антивирусных продуктов Dr.Web для Android защищены от данной вредоносной программы: все ее модификации успешно детектируются с использованием технологии Origins Tracing.

Источник: CNews

Обнаружена новая уязвимость в Android: атака через NFC
 

Компания eScan сообщила о том, что исследователи из MWR Labs наглядно продемонстрировали на конференции EUSecWest, прошедшей 19-20 сентября в Амстердаме, новую уязвимость мобильной платформы Android. Хакерская атака была произведена с использованием технологии «коммуникация ближнего поля» (Near Field Communication, NFC). Через NFC-соединение специалистам MWR Labs удалось передать между двумя смартфонами Samsung Galaxy S III вредоносный файл, представляющий собой эксплойт нулевого дня. Самозапускающийся эксплойт позволил установить полный контроль над принимающим устройством. Хакер мог выполнить произвольный код и получил доступ к SMS-сообщениям, изображениям, контакт-листам и другой информации, хранящейся на смартфоне, говорится в сообщении eScan.

«NFC — технология бесконтактного обмена данными с малым (2-10 см) радиусом действия — становится всё более популярным методом платежей, легко превращая мобильное устройство в кредитную карту или электронный кошелек, — отметили в компании. — Для осуществления платежа через NFC нужно только поднести телефон к считывателю в турникете, киоске или просто в постере на стене».

Данная технология используется и в России. Например, NFC применяется в московском метрополитене — мобильный телефон можно использовать для проверки билетов или непосредственно для оплаты проезда. К сожалению, быстрое распространение NFC привело к тому, что мобильные телефоны приобрели ряд уязвимостей, присущих новой технологии, подчеркнули в eScan.

«Разработчики NFC допустили ряд ошибок, которыми сейчас с удовольствием пользуются злоумышленники, — заявили эксперты eScan в России и странах СНГ. — Например, киберпреступники могут создавать некорректные NFC-сообщения, отключающие считывающий их телефон, передавать через NFC вредоносные ссылки и файлы, а также подменять NFC-метки на ложные, что ведёт к незаконным списаниям денег со счетов пользователей».

По мнению экспертов eScan, для предотвращения атак, подобных продемонстрированной MWR Labs, необходимо, чтобы полученный через NFC файл передавался приложению на телефоне только после дополнительного подтверждения пользователем. Возможно, в будущем производители мобильных устройств реализуют опцию такого подтверждения и включат её в настройках телефона по умолчанию. Такая же опция необходима, чтобы пользователь четко видел ссылку, полученную через NFC, и подтверждал переход по ней. Кроме того, эксперты eScan рекомендуют пользователям NFC-аппаратов совершать платежи только через доверенные метки.

Источник: CNews

В 2012 г. наблюдался взрывной рост числа угроз для Android и развитие мобильного шпио
 

«Лаборатория Касперского» сообщила о том, что в 2012 г. платформа Android окончательно стала главной мишенью для вирусописателей и мошенников в мобильных сетях, а кибершпионаж и программы слежения, разрабатываемые при участии государственных структур, теперь очевидно нацелены и на мобильные устройства. К таким выводам пришли эксперты «Лаборатории Касперского» по результатам анализа развития мобильных угроз в прошедшем году.

Так, если в 2011 г. эксперты «Лаборатории Касперского» обнаружили около 5,3 тыс. новых вредоносным программ для этой платформы, то в 2012 г. такое же число новых зловредов и даже больше они находили в течение одного месяца. А в общей сложности за весь прошлый год аналитики детектировали более 6 млн уникальных вредоносных программ для Android, сообщили CNews в компани. В результате такого взрывного роста активности вирусописателей платформа стала абсолютным лидером в рейтинге распределения мобильных атак: на долю Android в 2012 г. пришлось 94% всех мобильных вредоносных программ (для сравнения: в 2011 г. этот показатель составлял 65%).

Согласно данным облачного сервиса мониторинга угроз Kaspersky Security Network, который с весны 2012 г. используется и в мобильных продуктах «Лаборатории Касперского», наиболее популярными Android-зловредами у злоумышленников оказались SMS-трояны. Такие зловреды нацелены, в основном, на пользователей из России. Вторую по популярности группу зловредов составляют рекламные модули Plangton и Hamob. К третьей группе относятся различные модификации Lotoor-эксплойтов для получения прав доступа на смартфонах с ОС Android различных версий.

Кроме того, в 2012 г. эксперты отметили достаточно широкое распространение мобильных банковских троянов. Большинство этих угроз опять же были нацелены на платформу Android. Так, мобильные банковские трояны, перехватывающие SMS-сообщения с кодами авторизаций банковских операций и отправляющие их прямиком в руки киберпреступников, в 2012 г. расширили географию своей деятельности и, вслед за европейскими странами, появились и в России, где пользователей систем онлайн-банкинга становится всё больше. В частности, в 2012 г. эксперты «Лаборатории Касперского» обнаружили мобильную версию известного трояна Carberp, который распространялся через фишинговую стартовую страницу сайта крупного российского банка.

Что касается мобильных ботнетов, то в 2012 г. было зафиксировано широкое их распространение на платформе Android в самых разных странах мира. Так, бот-программа Foncy смогла заразить более 2 тыс. устройств в Европе, а бэкдор RootSmart превратил в ботов сотни тысяч смартфонов. Эти и другие подобные зловреды действовали по одной схеме: работая в связке с SMS-троянами, они рассылали без ведома владельцев смартфонов сообщения на платные номера. Одни только создатели Foncy смогли заработать по такой схеме около 100 тыс. евро.

Наконец, одним из самых важных открытий 2012 г. стало подтверждение факта, что программы для кибершпионажа собирают данные не только с компьютеров, но и с мобильных устройств, отметили в «Лаборатории Касперского». В ходе расследования кибершпионской операции «Красный октябрь» эксперты компании получили доказательства того, что вредоносные программы пытались собрать сведения об атакуемом мобильном устройстве, списке контактов, хранящемся на нём, информацию из журнала звонков, SMS-сообщений, календаря, заметок, историю интернет-сёрфинга и разнообразные текстовые и графические файлы и документы. И это только в рамках одной операции.

«По темпам роста мобильных угроз 2012 год продолжил тенденцию, наметившуюся ещё в 2011 году, но в значительной мере превзошёл результаты годичной давности. Теперь мы с уверенностью можем говорить, что индустрия мобильных киберпреступлений стала по-настоящему международной — создатели вредоносных программ на протяжении всего года атаковали не только привычных для них российских и китайских пользователей, но и владельцев смартфонов во многих других странах, — прокомментировал итоги анализа развития мобильных угроз в 2012 г. ведущий антивирусный эксперт «Лаборатории Касперского» Денис Масленников. — Кроме того, с распространением систем для кибершпионажа и слежения подобные программы пришли и в мобильную среду. И это действительно можно назвать началом новой эпохи».

Источник: CNews

Число угроз для мобильных устройств резко растет
 

Компания McAfee опубликовала отчет «Безопасность мобильных устройств. Отчет McAfee о тенденциях угроз для потребителя» (Mobile Security: McAfee Consumer Trends Report), данные которого свидетельствуют о резком увеличении числа вредоносных приложений, в том числе различного рода фишинговых сообщений, мошеннических инструментов черного рынка, тайпсквоттинга, «попутных загрузок» и угроз атак по беспроводной связи ближнего радиуса. Отчет указывает на волну новых приемов, используемых киберпреступниками с целью хищения цифровой личной информации, попыток финансового мошенничества и получения доступа к частной информации, хранящейся на мобильных устройствах.

«Несмотря на рост осознания потребителями угроз, исходящих от мобильных платформ, по-прежнему сохраняется значительный дефицит знаний о том, как и где устройства могут заразиться вредоносной программой и каков уровень потенциального ущерба, — сообщил CNews Луис Бландо (Luis Blando), вице-президент McAfee по разработке продуктов для мобильных устройств. — Киберпреступники демонстрируют высокий уровень настойчивости и изощренности, что ведет к более разрушительным хакерским атакам самого различного рода, которые весьма сложно обнаружить. Именно поэтому необходим более высокий уровень защиты и бдительности. Цель отчета состоит в том, чтобы помочь потребителям осознать риски, с которыми они сталкиваются, и рассказать о методах, позволяющих обезопасить себя и свою работу, уверенно пользуясь всеми своими мобильными устройствами».

Так, с помощью широкой сети сбора информации об угрозах безопасности Global Threat Intelligence (GTI) специалисты лаборатории McAfee Labs проанализировали данные о безопасности мобильных устройств за последние три квартала и обнаружили резкое увеличение количества угроз. Самыми опасными современными угрозами и новыми тенденциями, с которыми потребитель столкнется в 2013 г., они определили: опасные приложения; деятельность на черном рынке; тайпсквоттинг; попутные загрузки; беспроводная связь ближнего радиуса.

Согласно данным McAfee, киберпреступники стараются изо всех сил внедрить зараженные приложения в ассортимент таких доверенных источников, как Google Play, а скрывающиеся в приложениях угрозы становятся все более изощренными. В частности, специалисты McAfee Labs обнаружили, что 75% зараженных вредоносным ПО приложений, загруженных владельцами продукта McAfee Mobile Security, распространялись через магазин Google Play. Таким образом, шанс среднего потребителя загрузить опасное приложение составляет один к шести. Почти 25% опасных приложений, содержащих вредоносные программы, также содержат подозрительные URL-адреса, а 40% семейств вредоносных программ осуществляют злонамеренные действия сразу по нескольким направлениям.

Используя опасное приложение, злоумышленник может: похитить личную информацию, в том числе данные для доступа к услугам интернет-банкинга, адреса электронной почты и коды доступа к беспроводному интернет-подключению, что вместе с данными о местоположении пользователя даст ему полное представление о его личности; выполнять мошеннические действия, включая рассылку мошеннических SMS-сообщений, оплата за которые взимается со счета жертвы без её ведома; использовать устройство жертвы в преступных целях, сделав его частью бот-сети, позволяющей злоумышленнику дистанционно управлять телефоном.

Клиенты бот-сетей, загрузчики и руткиты — распространенный и ходовой товар на черном рынке — продается как часть наборов программных инструментов. Преступники используют их для рассылки SMS-сообщений от имени жертвы на платные номера, размещения кликфродов, рассылки нежелательных сообщений, кражи данных, попыток банковских махинаций, причем сложность и изощренность инструментов, используемых в данной сфере преступной деятельности, постоянно увеличивается. Затем финансовые мошенники повторно используют эти компоненты в разных комбинациях для составления новых схем незаконного обогащения.

Преступники применяют тайпсквоттинг, пытаясь воспользоваться опечатками потенциальных жертв при поиске URL-адресов популярных сайтов и известных брендов. «Возьмем, например, доменное имя example.com. Используя его название, преступник может создать атаку на базе адреса www.exemple.com, в расчете на допущенную пользователем обычную орфографическую ошибку или опечатку»,— пояснили в McAfee.

Первые случаи «попутных загрузок» были отмечены в 2012 г. По оценкам специалистов McAfee, в 2013 г. их количество возрастет. При «попутных загрузках» вредоносный код загружается на мобильные устройства автоматически без ведома пользователя. Как только пользователь запускает такое приложение, преступники получают доступ к его устройству.

В 2013 г. также ожидается повышение преступной активности, использующей уязвимости услуг бесконтактных платежей по модели tap-and-pay на базе технологии (NFC). Технология NFC используется в бизнес-моделях мобильных платежей, иначе называемых «электронными кошельками». Данная разновидность мошеннического ПО использует черви для проникновения в устройства-жертвы с близкого расстояния. Такие атаки происходят по сценарию bump and infect («столкнулся и заразил»). Этот путь заражения позволяет вредоносной программе быстро распространяться в местах скопления большого числа людей, например, в электричках в часы пик или парках развлечений.

Когда жертва использует только что зараженное устройство для оплаты с помощью услуги tap-and-pay, злоумышленник получает всю информацию об учетной записи кошелька и, пользуясь полученными данными, тайно похищает деньги. Вредоносные черви такого типа будут распространяться, используя уязвимости устройств. Согласно прогнозам, этот вид угроз будет использовать 11,8% семейств вредоносных программ, которые уже содержат средства эксплуатации уязвимостей.

В целом, по мнению специалистов McAfee, по мере развития мобильных технологий преступники будут стремиться найти пути обогащения, используя функции, которыми обладают только мобильные устройства. Так, в 2012 г. 16% обнаруженных McAfee семейств вредоносных программ составляли программы, рассылающие платные SMS-сообщения на специальные номера по высоким тарифам. В 2013 г. в компании прогнозируют рост числа вредоносных программ, подписывающих пользователей на дорогостоящие приложения без их согласия.

Источник: CNews

От новых SMS-троянов в Google Play могли пострадать 25 тыс. пользователей
 

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщила об обнаружении в каталоге Google Play нескольких вредоносных программ, которые устанавливают на мобильные устройства пользователей троянов семейства Android.SmsSend, отправляющих платные SMS-сообщения и обнуляющих счета абонентов. Компания Google была оперативно проинформирована о данном инциденте.

Как рассказали CNews в «Доктор Веб», обнаруженные специалистами компании «Доктор Веб» программы принадлежат вьетнамскому разработчику под названием AppStore Jsc и представляют собой два аудиопроигрывателя, а также видеоплеер для просмотра эротических роликов. По данным компании, на сегодняшний день суммарное число установок всех трех программ составляет от 11 до 25 тыс.

Эти приложения внешне ничем особо не выделяются, однако внутри них скрыт дополнительный apk-файл, представляющий собой SMS-трояна семейства Android.SmsSend. Во время работы этих приложений-носителей, добавленных в вирусную базу Dr.Web как Android.MulDrop, Android.MulDrop.1 и Android.MulDrop.2, пользователи могут столкнуться с предложением загрузить интересующий их контент, однако после согласия на его загрузку вместо ожидаемого результата начнется процесс установки нового приложения. Так, например, один из «дропперов» предлагает пользователям получить новые эротические видеоролики.

Если беспечный пользователь согласится на установку подозрительного приложения, на его мобильное Android-устройство будет инсталлирован троян Android.SmsSend.517, скрытно отправляющий SMS на короткий номер 8775, который указан в конфигурационном файле вредоносной программы. Примечательно, что этот троян действительно позволяет просматривать эротические видео. Добавив такую возможность, злоумышленники, вероятно, решили перестраховаться, чтобы не вызывать лишних подозрений, считают в «Доктор Веб».

http://filearchive.cnews.ru/img/cnew..._full_size.jpg

Что же касается второго и третьего трояна-носителя, то они содержат вредоносную программу Android.SmsSend.513.origin, действующую аналогичным с Android.SmsSend.517 образом, но, в отличие от него, получают информацию о коротких номерах с управляющего сервера.

По информации «Доктор Веб», пользователи антивирусных продуктов Dr.Web для Android защищены от этих вредоносных программ: соответствующие записи были оперативно внесены в вирусную базу.

Источник: CNews

Троян, использующий уязвимость Master Key, распространяется через каталог приложений
 

Компания «Доктор Веб» обнаружила первую вредоносную Android-программу, для распространения которой используется известная с недавнего времени уязвимость Master Key.

Как рассказали CNews в компании, обнаруженный троян, добавленный в вирусную базу Dr.Web под именем Android.Nimefas.1.origin, способен отправлять SMS-сообщения, передавать злоумышленникам конфиденциальную информацию пользователей, а также позволяет удаленно выполнять ряд команд на инфицированном мобильном устройстве. На данный момент троян распространяется в большом количестве игр и приложений, доступных для загрузки в одном из китайских онлайн-каталогов приложений для Android. Тем не менее, не исключено, что в ближайшее время число эксплуатирующих уязвимость Master Key вредоносных программ увеличится, и, соответственно, расширится география распространения угрозы, полагают в «Доктор Веб».

По словам экспертов компании, троян распространяется в Android-приложениях в виде модифицированного киберпреступниками dex-файла и располагается рядом с оригинальным dex-файлом программы.

«Уязвимость Master Key заключается в особенностях обработки устанавливаемых приложений одним из компонентов ОС Android: в случае, если apk–пакет содержит в одном подкаталоге два файла с одинаковым именем, операционная система проверяет цифровую подпись первого файла, но устанавливает второй файл, проверка которого не производилась, — пояснили в компании. — Таким образом, обходится защитный механизм, препятствующий инсталляции приложения, модифицированного третьими лицами».

http://filearchive.cnews.ru/img/cnew.../masterkey.jpg
Пример одной из инфицированных Android.Nimefas.1.origin программ

Запустившись на инфицированном мобильном устройстве, троян, в первую очередь, проверяет, активна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений. В случае если хотя бы одна из них обнаруживается, Android.Nimefas.1.origin определяет наличие root-доступа путем поиска файлов «/system/xbin/su» или «/system/bin/su». Если такие файлы присутствуют, троян прекращает работу. Если же ни одно из приведенных условий не выполняется, вредоносная программа продолжает функционировать.

Источник: CNews

Новый SMS-троян для Android крадет деньги с банковского счета жертвы
 

«Лаборатория Касперского» обнаружила принципиально новую схему работы мобильных зловредов, которая позволяет злоумышленникам быстро и незаметно украсть у владельцев Android-смартфонов значительную сумму денег. Как рассказали в компании, особенность текущей схемы работы SMS-троянов, рассылающих сообщения на премиум-номера, заключается в том, что при монетизации украденных средств значительная часть денег уходит «посредникам», зачастую ни о чем не подозревающим: оператору сотовой связи, контент-провайдеру и организаторам партнерской программы. Поэтому чаще всего зловред старается отправить сразу 2-3 дорогих сообщения на весомую сумму, например, 1000 российских рублей, что привлекает внимание жертвы. В такой ситуации появление новых способов отъема денег у населения было лишь вопросом времени.

В июле эксперты «Лаборатории Касперского» обнаружили троян, задачей которого было выполнение инструкций, поступающих с удаленного командного сервера. Это характерное поведение для вредоносов такого класса, однако, дальнейшее расследование показало, что новый SMS-зловред предоставлял своим владельцам возможность хищения денег не с мобильного, а c банковского счета жертвы.

Данный троян лишен самостоятельности и, связываясь с управляющим сервером, только транслирует команды злоумышленника, пересылая обратно результат. Специалистам «Лаборатории Касперского» удалось перехватить несколько поступивших команд. В ходе выполнения одной из них троян отправил SMS со словом «Balance» на номер сервиса «Мобильного Банка» «Сбербанка России». Получив ответ от банка с информацией о подключенном счете и его балансе, зловред передавал его преступникам.

По мнению экспертов «Лаборатории Касперского», такое поведение трояна позволяет предположить, что следующим шагом будет перевод любой доступной в «Мобильном банке» суммы на мобильный номер злоумышленников. Далее украденные деньги могут быть использованы или обналичены. Например, большая тройка операторов сотовой связи позволяет переводить деньги с мобильного счета на «Qiwi кошелек», откуда впоследствии их можно вывести на банковскую карту и обналичить. А для того чтобы жертва как можно дольше оставалась в неведении, троян тщательно заметает следы своей деятельности, перехватывая SMS и звонки со стороны банка.

«Мы хотим напомнить, что мобильные зловреды постоянно эволюционируют, реализовывая принципиально новые схемы атак, — прокомментировал появление новой схемы кражи денежных средств Виктор Чебышев, ведущий антивирусный эксперт «Лаборатории Касперского». — Быть готовым к новым угрозам можно только в случае, если ваше Android-устройство защищено антивирусным приложением с регулярно обновляемыми базами — таким, как Kaspersky Internet Security для Android».

Источник: CNews

Symantec обнаружила новую порцию вредоносных приложений на Google Play
 

Корпорация Symantec сообщила о выявлении новых угроз в магазине приложений Android. Служба Symantec Security Response обнаружила 14 приложений, позволяющих злоумышленникам незаметно для пользователя направлять запросы с устройства на внешние ресурсы. 14 вредоносных приложений опубликованы одним и тем же разработчиком. Данные приложения делают запрос с устройства пользователя, направляя трафик на веб-сайт, необходимый злоумышленникам. Вредоносный код работает в фоновом режиме, выдавая себя за часть операционной системы Android. Он принимает сигналы с некоторого количества управляющих серверов (С&C) и постоянно ждет команды на очередной запрос по протоколу HTTP. Такая схема удаленного управления предоставляет широкий выбор способов использования. Например, с ее помощью можно получать доход в системах монетизации перехода по рекламным ссылкам и баннерам, рассказали CNews в компании.

«С начала года японские интернет-мошенники, зарабатывающие на кликах, продолжают выпускать все новые приложения на Google Play. И хотя многие из таких приложений удаляются администраторами через несколько часов после публикации, некоторым удается продержаться несколько дней, — отметили в Symantec. — Манипуляции с поисковой системы Google Play позволяют злоумышленникам выводить свои приложения в самые верхние строчки поиска по ключевым словам. Во многих случаях выявить вредоносный характер приложений затруднительно, проверяя каждое приложение вручную и подвергая его глубокому анализу».

Так, вредоносный компонент содержится в следующих приложениях, опубликованных на Google Play: com.cyworld.ncamera; com.kth.thbdvyPuddingCamera; com.tni.pgdnaaeTasKillerFull; com.greencod.wqbadtraffic; com.teamlava.nbsbubble; com.bestappshouse.vpiperoll2ages; com.ledong.hamusicbox; com.ktls.wlxscandandclear; maxstrom.game.hvihnletfindbeautyhd; org.woodroid.muhflbalarmlady; com.lxsj.rbaqiirdiylock; com.neaststudios.wnkvprocapture; com.gamempire.cqtetris. Эти зараженные приложения в основном относятся к популярным категориям, таким как игры и прикладные приложения, например, для работы с камерой телефона.

Symantec идентифицировала эти приложения как Android.Malapp, а в Google было направлено сообщение об их наличии. Вскоре вредоносный контент был удален.

Источник: CNews

Россия, Китай и Иран лидируют по числу обнаруженных мобильных угроз в 2013 г.
 

По данным вирусной лаборатории Eset, в 2013 г. Россия наряду с Ираном и Китаем вошла в тройку лидеров по числу обнаруженных мобильных угроз.

Как говорится в заявлении Eset, поступившем в редакцию CNews, усилия злоумышленников направлены, прежде всего, на Android-устройства — в прошлом году число вредоносных программ для этой платформы возросло на 63%, составив до 99% известных мобильных угроз. Если в 2010 г. эксперты Eset открыли три семейства вредоносных программ для Android, то в 2013 г. их число достигло 79. Одно семейство или группа вредоносных объектов (вирусов, троянов, потенциально небезопасных приложений) может объединять несколько миллионов образцов.

По словам экспертов компании, вредоносное ПО проникает на Google Play под видом обычных приложений. Так, по данным компании RiskIQ, с 2011 по 2013 гг. число подделок возросло на 388%. По оценкам Eset, в группе риска — большая часть продаваемых в России мобильных гаджетов. Согласно статистике, J’son & Partners Consulting, 77% смартфонов, реализованных во втором квартале 2013 г., работали на Android.

Еще одна проблема пользователей мобильной связи — спам. По данным опроса Eset, от мобильного спама страдают 76% пользователей. Актуальной также остается проблема инициативы пользователей в вопросах безопасности мобильных устройств и их грамотности.

По данным исследования Eset в США и странах Латинской Америки, 63% пользователей теряли мобильные устройства, но при этом 74% опрошенных не делают резервных копий данных, а 58% хранят на смартфоне или планшете пароли и аутентификационные данные.

«Хотя для защиты мобильного устройства достаточно соблюдать простые правила, большинство пользователей все еще думают, что обладают неким “цифровым иммунитетом” от любых угроз. Как они считают, им не нужны ни бэкапы, ни мобильный антивирус. И только после потери устройства или кражи средств со счета они начинают осознавать, что смартфонам и планшетам нужна защита. Чтобы как можно меньше людей приходили к этому не из-за негативного опыта, а благодаря компьютерной грамотности, вирусная лаборатория Eset и публикует результаты исследований по мобильным угрозам», — подчеркнул Артем Баранов, вирусный аналитик Eset в России.

Источник: CNews

Simplocker охотится на англоязычных пользователей Android
 

Эксперты вирусной лаборатории Eset в Братиславе (Словакия) зафиксировали появление новых модификаций шифровальщика Simplocker для смартфонов и планшетов на базе Android. Теперь троян ориентирован на англоговорящих пользователей, сообщили CNews в Eset.

Simplocker — это первый троян-вымогатель для Android-устройств, шифрующий файлы. Он блокирует доступ к мобильному устройству и требует денежный выкуп за расшифровку. В предыдущих версиях сообщение о блокировке было написано на русском языке, сумма выкупа указывалась в украинских гривнах, а перевод осуществлялся посредством сервиса MoneXy.

В новой версии Simplocker требование выкупа написано на английском языке. В нем используются снимки со встроенной камеры и сообщается, что устройство заблокировано ФБР после обнаружения незаконного контента — детской порнографии. Стоимость расшифровки файлов составляет $300, жертве предлагается перевести средства через сервис MoneyPak, рассказали в компании.

С технической точки зрения, механизм шифрования файлов в обновленном Simplocker остается прежним, за исключением использования нового ключа шифрования. Кроме того, новые модификации трояна могут шифровать не только изображения, документы и видео, но и архивы ZIP, 7z и RAR. Это может иметь неприятные последствия для пользователя, поскольку средства резервного копирования в Android хранят копии именно в формате архива, указали в Eset.

Для распространения Simplocker злоумышленники используют методы социальной инженерии и маскируют вредоносную программу под видеоплеер. В процессе установки троян запрашивает расширенные права (DeviceAdministrator) для обеспечения собственной безопасности.

Для восстановления данных на инфицированном устройстве эксперты Eset рекомендуют использовать бесплатное приложение Eset Simplocker Decryptor. При этом наиболее эффективной тактикой является предотвращение заражения — стоит соблюдать бдительность при установке приложений и избегать продуктов, которые запрашивают расширенные права администратора, подчеркнули в компании.

Источник: CNews

Вирус AdThief заразил более 75 тыс. iOS-устройств
 

Вирус AdThief, разработанный китайским хакером Rover 12421, заразил более 75 тыс. iOS-устройств с джейлбрейком (модификация iOS-устройства пользователем, позволяющая получить доступ к файловой системе iOS-устройств и устанавливать программы не из App Store). Как сообщили CNews в Zecurion, вирус распространяется с расширением Cydia Substrate, после чего изменяет рекламные объявления, появляющиеся в бесплатных приложениях. Деньги за показ объявлений, уплаченные разработчикам приложений, перенаправляются на счет хакеров.

AdThief работает с 15 крупнейшими ресурсами таргетированной рекламы, в том числе AdMob (Google), Mobile Ads, AdWhirl, MdotM и MobClick. Злоумышленники уже смогли перевести на свой счет прибыль от 22 млн рекламных объявлений. Вирус не заметен для владельцев iOS-устройств, так как он работает в фоновом режиме.

Примечательно, что хакер Rover 12421 подтвердил, что он разработал AdThief, однако отрицает свою роль в его распространении.

«По нашим оценкам, из-за вируса разработчики приложений могли потерять около $1,5-2 млн, — отметил Александр Ковалев, заместитель генерального директора компании Zecurion. — Хакера, создавшего вирус, смогли вычислить благодаря его невнимательности. Дело в том, что он забыл удалить из программного кода строку с идентифицирующей информацией. В дальнейшем это позволило вычислить блог Rover 12421, посвященный деталям хакерских атак на Android, Github и Twitter».

Источник: CNews

Новый троян-вымогатель устанавливает пароль на Android-устройства
 

Компания «Доктор Веб» обнаружила очередной троян-вымогатель, обладающий, по сравнению с другими вредоносными программами данного класса, более широким функционалом. Так, помимо блокировки зараженного устройства с типичным требованием выкупа, он также может самостоятельно установить пароль на разблокировку экрана, задействовав для этого стандартную системную функцию, сообщили в «Доктор Веб». Новый троян, добавленный в вирусную базу Dr.Web под именем Android.Locker.38.origin, является представителем растущего семейства вредоносных программ, блокирующих мобильные устройства пользователей и требующих выкуп за их разблокировку. Данный Android-вымогатель распространяется киберпреступниками под видом системного обновления и после своего запуска запрашивает доступ к функциям администратора устройства. Далее троян имитирует процесс установки обновления, удаляет свой значок с главного экрана, после чего передает на удаленный сервер информацию об успешном заражении и ждет дальнейших указаний.

Команда на блокировку целевого устройства может быть отдана злоумышленниками как при помощи JSON-запроса с веб-сервера, так и в виде SMS-сообщения, содержащего директиву set_lock. Как и многие трояны семейства Android.Locker, Android.Locker.38.origin блокирует устройство, демонстрируя сообщение с требованием выкупа, которое практически невозможно закрыть.

Однако если пострадавший пользователь все же попытается удалить вымогателя, отозвав у вредоносной программы права администратора, Android.Locker.38.origin задействует дополнительный уровень блокировки, отличающий его от прочих подобных Android-угроз, указали в «Доктор Веб». Вначале троян переводит зараженное устройство в ждущий режим, блокируя экран стандартной системной функцией. После его разблокировки он демонстрирует ложное предупреждение об удалении всей хранящейся в памяти устройства информации.

После подтверждения выбранного действия экран устройства снова блокируется, и троян активирует встроенную в операционную систему функцию защиты паролем при выходе из ждущего режима. Вне зависимости от того, была задействована эта функция ранее или нет, вредоносная программа устанавливает на разблокировку мобильного устройства собственный пароль, состоящий из числовой комбинации «12345». Таким образом, зараженный Android-смартфон или планшет окончательно блокируется до получения злоумышленниками оплаты (блокировка может быть снята ими при помощи управляющей команды set_unlock) или выполнения пользователем полного сброса параметров устройства.

Помимо блокировки мобильных устройств, Android.Locker.38.origin также может выступать и в роли SMS-бота, выполняя по команде киберпреступников отправку различных SMS-сообщений, что может привести к дополнительным финансовым потерям.
По информации «Доктор Веб», пользователи «Антивируса Dr.Web для Android» защищены от действий данного трояна.

Источник: CNews

Новый Android-троян шпионит за протестующими в Гонконге
 

Специалисты компании «Доктор Веб» обнаружили очередной Android-троян, предназначенный для незаконного сбора информации и шпионажа за пользователями. Зловред выделяется на фоне большинства подобных угроз не только заложенными в него функциями, но и тем, что атака с его использованием рассчитана на конкретную группу лиц, интересующую злоумышленников, сообщили в «Доктор Веб».

Новая Android-угроза распространялась среди протестующих жителей Гонконга, выступающих за более демократичную избирательную систему. Троян устанавливался на мобильные устройства активистов под видом приложения для координации их действий, поэтому не должен был вызвать особых подозрений у большинства своих жертв.

После своего запуска Android.SpyHK.1.origin устанавливает соединение с управляющим сервером, куда загружает большой объем общей информации о зараженном устройстве (например, версию операционной системы, номер телефона, IMEI-идентификатор, аппаратные характеристики и т.п.), после чего ожидает дальнейших указаний злоумышленников. Троян оснащен обширным функционалом и, в зависимости от поступившей команды, может выполнить следующие действия: получить содержимое заданной директории (имена, размеры, даты последних изменений файлов и папок); получить GPS-координаты устройства; сделать запись в лог-файле; отобразить на экране сообщение с заданным текстом; выполнить звонок на заданный номер; получить информацию об устройстве; исполнить заданный shell-скрипт; получить расширенный список контактов (включая имя, номер, а также email-адрес); получить доступ к SMS-переписке; получить историю звонков; добавить определенные номера телефонов в список прослушиваемых; получить текущий список прослушиваемых номеров; загрузить файл с заданного веб-адреса; удалить заданный файл с устройства; загрузить заданный файл на управляющий сервер; активировать диктофонную запись через определенное время; активировать диктофонную запись с одновременной ее передачей на сокет управляющего сервера; остановить диктофонную запись; загрузить на управляющий сервер локальные базы встроенного почтового клиента; получить историю веб-бразуера; отправить на управляющий сервер информацию о хранящихся на карте памяти файлах и каталогах; выполнить сразу несколько команд по сбору конфиденциальной информации и отправить ее на сервер.

По информации компании, Android.SpyHK.1.origin обладает рядом интересных функциональных особенностей, выделяющих его среди прочих троянов-шпионов. В частности, для определения GPS-координат зараженных мобильных Android-устройств троян эксплуатирует известную уязвимость системного виджета управления питанием, которая позволяет активировать некоторые функции мобильного устройства в обход глобальных системных настроек. Несмотря на то, что данная уязвимость была устранена еще в 2011 г., некоторые пользователи сообщали о ее повторном появлении в последних версиях операционной системы. Таким образом, в ряде случаев Android.SpyHK.1.origin теоретически может активировать GPS-приемник зараженного смартфона или планшета, даже если владелец устройства запретил использование этой функции в соответствующих настройках.

Кроме этого, осуществляемая шпионом передача диктофонной записи на сокет управляющего сервера позволяет выполнять прослушивание в реальном времени. Такое интересное техническое решение дает альтернативу прослушиванию при помощи скрытого телефонного звонка: в то время, когда передача данных по каналам сотовых сетей может быть заблокирована правоохранительными органами, вероятность доступных и активных Wi-Fi-сетей остается весьма высокой, поэтому у злоумышленников имеется определенный шанс получить необходимую им информацию. Более того, благодаря передаче большей части собираемой трояном информации непосредственно на сокет удаленного сервера при достаточно мощных вычислительных ресурсах последнего злоумышленники могут в реальном времени получать оперативную информацию об окружающей обстановке там, где находятся зараженные Android-устройства, объединив инфицированные смартфоны и планшеты в мощную систему слежения, указали в «Доктор Веб».

«Все это позволяет говорить о проведении хорошо спланированной таргетированной атаки, направленной на получение важной информации о бастующих в настоящее время жителях Гонконга, а также их возможных действиях в будущем. Нельзя исключать применения этой или аналогичных вредоносных программ и в других регионах мира, поэтому владельцы мобильных устройств должны проявлять осторожность и не устанавливать на свои мобильные устройства подозрительные приложения», — подчеркнули в компании.

Запись для данного трояна добавлена в вирусные базы, поэтому Android.SpyHK.1.origin не представляет опасности для пользователей антивируса Dr.Web для Android и Dr.Web для Android Light, отметили в«Доктор Веб».

Источник: CNews

Встроенный в Android-прошивку троян загружает и удаляет программы в тайне от юзера
 

Специалисты компании «Доктор Веб» обнаружили нового трояна, встроенного непосредственно в образ операционной системы целого ряда мобильных устройств под управлением Android. Вредоносное приложение, получившее имя Android.Becu.1.origin, способно загружать, устанавливать и удалять программы без ведома пользователей, а также может блокировать поступающие с определенных номеров SMS-сообщения, сообщили CNews в «Доктор Веб».

По словам экспертов «Доктор Веб», данная вредоносная программа представляет собой комплексную угрозу, состоящую из нескольких тесно взаимодействующих друг с другом модулей. Основным компонентом Android.Becu.1.origin является apk-файл с именем Cube_CJIA01.apk, который располагается непосредственно в системном каталоге и имеет цифровую подпись самой операционной системы, что дает ему неограниченные полномочия и позволяет выполнять все действия без вмешательства пользователя. Кроме того, расположение этого приложения непосредственно в прошивке мобильного устройства значительно затрудняет его удаление стандартными методами.

Троян начинает свою вредоносную деятельность при каждом включении зараженного устройства, а также при получении его владельцем новых SMS-сообщений. Как только наступает одно из этих событий, Android.Becu.1.origin в соответствии со своим конфигурационным файлом загружает с удаленного сервера блок зашифрованных данных, который после расшифровки сохраняется под именем uac.apk в рабочем каталоге трояна и запускается в оперативной памяти при помощи класса DexClassLoader. Вслед за этим троян запускает свой второй компонент uac.dex, хранящийся в том же рабочем каталоге. Оба этих модуля отвечают за основной вредоносный функционал данной Android-угрозы, а именно — возможность скрытно загружать, устанавливать и удалять те или иные приложения по команде управляющего сервера, указали в компании.

После успешной активации данных компонентов вредоносная программа проверяет наличие в системе своего третьего модуля, находящегося в пакете com.zgs.ga.pack, который в случае отсутствия загружается и устанавливается на устройство. Данный модуль регистрирует зараженный смартфон или планшет на сервере злоумышленников, предоставляя им информацию об активных копиях Android.Becu.1.origin. Если один или несколько модулей трояна будут удалены пользователем, основной файл вредоносного приложения восстановит их, повторив процесс инсталляции.
Помимо выполнения своего основного предназначения — незаметной работы с приложениями, троян также может блокировать все поступающие с определенных номеров SMS-сообщения.

На данный момент специалистам «Доктор Веб» известно о присутствии данной угрозы на целом ряде моделей популярных Android-устройств бюджетного ценового сегмента. Среди них — UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 и многие другие. Наиболее вероятным вектором заражения этих устройств трояном Android.Becu.1.origin является распространение в интернете модифицированных злоумышленниками файлов-прошивок, которые загружают сами пользователи, а также установка таких образов операционной системы недобросовестными поставщиками смартфонов и планшетов, участвующими в преступной схеме.

Поскольку Android.Becu.1.origin расположен непосредственно внутри самой операционной системы, его полное удаление стандартными методами весьма проблематично, поэтому наиболее простым и безопасным способом борьбы с трояном является его «заморозка» в меню управления приложениями. Для этого необходимо найти основной файл трояна в списке установленных программ (пакет com.cube.activity) и нажать на кнопку «Отключить». В результате вредоносное приложение станет неактивным и не сможет продолжить свою работу. После этого потребуется выполнить удаление вспомогательных компонентов трояна (пакеты com.system.outapi и com.zgs.ga.pack), которые могли быть установлены им ранее.

Более радикальными способами противодействия Android.Becu.1.origin являются ручное удаление его основного компонента при наличии root-доступа, а также установка заведомо «чистого» образа операционной системы, которая повлечет за собой потерю всей сохраненной информации. Обе эти процедуры сопряжены с определенной опасностью повреждения работоспособности устройства, поэтому должны выполняться только опытными пользователями на свой страх и риск и сопровождаться созданием резервной копии важных данных, подчеркнули в «Доктор Веб».

Антивирусные продукты Dr.Web для Android и Dr.Web для Android Light детектируют данную Android-угрозу, поэтому пользователям рекомендуется выполнить полную проверку своих мобильных устройств на наличие трояна Android.Becu.1.origin и его компонентов.

Источник: CNews

Android-троян распространяется при помощи SMS-сообщений
 

В начале ноября специалисты компании «Доктор Веб» обнаружили вредоносную программу, представляющую собой опасного бота, способного по команде злоумышленников отправлять SMS, удалять установленные программы и файлы пользователей, красть конфиденциальную информацию, атаковать веб-сайты и выполнять на зараженном устройстве множество других нежелательных действий.

Как сообщили в «Доктор Веб», новая Android-угроза внесена в вирусную базу Dr.Web под именем Android.Wormle.1.origin. Вредоносная программа реализует функционал SMS-червя, распространяясь среди владельцев Android-устройств при помощи SMS-сообщений, содержащих ссылку на загрузку копии вредоносной программы. Например, такие сообщения могут иметь следующий вид: «Я тебя люблю http://[]app.ru/*number*», где «number» — номер получателя SMS.

Подобные сообщения рассылаются по всем телефонным номерам из книги контактов пользователей, поэтому за короткий промежуток времени Android.Wormle.1.origin способен заразить большое число мобильных устройств, значительно увеличив размер созданной киберпреступниками бот-сети. Полученная специалистами «Доктор Веб» статистика показывает, что на данный момент вредоносная программа успела инфицировать более 14 тыс. Android-смартфонов и планшетов, принадлежащих пользователям из более чем 20 стран. Наибольшее число — 12 946 (или 91,49%) — инфицированных трояном мобильных устройств находится в России. Далее с заметным отставанием следуют устройства из Украины (0,88%), США (0,76%), Беларуси (0,51%), Казахстана (0,25%), Узбекистана (0,21%), а также Таджикистана (0,15%). Географическое распределение созданного Android.Wormle.1.origin мобильного ботнета представлено на следующей иллюстрации: После установки троян не создает ярлык на главном экране операционной системы и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system. Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников. Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging — сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google.

По информации «Доктор Веб», Android-троян обладает обширным функционалом. В частности, бот способен выполнить следующие действия: отправить SMS-сообщение с заданным текстом на один или несколько номеров, указанных в команде; разослать SMS-сообщение с заданным текстом по всем номерам из телефонной книги; занести в черный список определенный телефонный номер, чтобы заблокировать поступающие с него SMS-сообщения, а также звонки; выполнить USSD-запрос (номер, с которого планируется получить ответ на произведенный запрос, заносится в черный список в соответствии с отданной командой — это сделано для того, чтобы заблокировать получение пользователем ответных сообщений); переслать на управляющий сервер информацию обо всех полученных SMS-сообщениях, а также совершенных звонках; включить диктофонную запись, либо остановить ее, если запись уже ведется; получить информацию об учетных записях, привязанных к зараженному устройству, обо всех установленных приложениях, о списке контактов, о мобильном операторе, об установленной версии ОС, о стране, в которой зарегистрирована SIM-карта, о телефонном номере жертвы, о хранящихся на карте памяти файлах и каталогах; удалить указанное в команде приложение (для этого троян демонстрирует специально сформированное диалоговое окно, призванное заставить пользователя выполнить удаление); загрузить на управляющий сервер zip-архив, содержащий указанный в команде файл или каталог; удалить заданный файл или каталог; удалить все хранящиеся на устройстве SMS-сообщения; выполнить DDoS-атаку на указанный в команде веб-ресурс; установить связь с управляющим сервером, используя специальные параметры; изменить адрес управляющего сервера; очистить черный список номеров.

Таким образом, Android.Wormle.1.origin позволяет киберпреступникам решать самые разные задачи, начиная с рассылки платных SMS-сообщений и кражи конфиденциальных данных и заканчивая организацией DDoS-атак на различные веб-сайты. Кроме того, функционал вредоносной программы позволяет злоумышленникам получить доступ к банковским счетам пользователей, поэтому данный бот может использоваться и в качестве банковского трояна, что расширяет сферу его применения, подчеркнули в компании.

Специалисты «Доктор Веб» продолжают наблюдать за развитием ситуации. Запись для детектирования этой угрозы была оперативно внесена вирусную базу, поэтому пользователи «Антивируса Dr.Web для Android» и «Антивируса Dr.Web для Android Light» защищены от данного трояна.

Источник: CNews

Новый Android-троян атакует клиентов нескольких российских банков
 

Компания «Доктор Веб» зафиксировала распространение нового трояна, заражающего мобильные Android-устройства. Главная опасность этой вредоносной программы заключается в том, что она способна похищать деньги с банковских счетов пользователей, причем жертвами подобных атак могут стать клиенты сразу нескольких российских кредитных организаций, сообщили в «Доктор Веб». Обнаруженная специалистами компании Android-угроза, внесенная в вирусную базу как Android.BankBot.33.origin, представляет собой бота, способного выполнять различные команды злоумышленников. Этот троян распространяется киберпреступниками под видом различных приложений и может быть установлен на смартфон или планшет только его владельцем (при этом в настройках операционной системы должна быть разрешена установка программ из сторонних источников).

Будучи запущенной, вредоносная программа пытается получить права администратора мобильного устройства, для чего настойчиво демонстрирует соответствующее системное уведомление и фактически не позволяет потенциальной жертве отказаться от выполнения запрошенного действия. После успешного получения системных привилегий Android.BankBot.33.origin, в зависимости от модификации, может вывести на экран сообщение об ошибке, либо отобразить интерфейс приложения, под прикрытием которого и распространялся троян. В обоих случаях бот удаляет созданный им ранее ярлык, «прячась» таким образом от неопытных пользователей.

Затем троян устанавливает соединение с удаленным узлом и загружает на него ряд сведений о зараженном мобильном устройстве. В частности, Android.BankBot.33.origin передает на сервер следующие данные: IMEI-идентификатор; IMSI-идентификатор; текущее время, установленное в системе; номер мобильного телефона; версия трояна; SID-идентификатор; версия ОС; модель устройства; производитель устройства; версия SDK системы; идентификатор трояна.

В ответ сервер отправляет боту список команд, которые тот должен исполнить. По информации «Доктор Веб», Android.BankBot.33.origin может выполнить следующие действия: установить время следующего соединения с командным центром; изменить адрес командного центра; занести в конфигурационный файл список номеров, сообщения с которых будут скрываться от пользователя; занести в конфигурационный файл список номеров, сообщения с которых будут пересылаться на управляющий сервер; убрать из конфигурационного файла список номеров, сообщения с которых будут скрываться от пользователя; убрать из конфигурационного файла список номеров, сообщения с которых будут пересылаться на управляющий сервер; отправить SMS-сообщение с заданным текстом на указанный в команде номер; загрузить и попытаться установить приложение (необходимо подтверждение пользователя); попытаться удалить заданное в команде приложение (необходимо подтверждение пользователя); вывести в область уведомлений сообщение с заданным в команде текстом; открыть в браузере заданный в команде веб-адрес; отправить на управляющий сервер список контактов; отправить на управляющий сервер список установленных приложений.

«Главная опасность этого вредоносного приложения заключается в том, что оно способно функционировать в качестве банковского трояна и выполнять незаконные операции с денежными средствами владельцев Android-устройств, — подчеркнули в компании «Доктор Веб». — Так, Android.BankBot.33.origin пытается получить информацию о текущем балансе банковского счета, либо списке подключенных к мобильному телефону пользователя банковских карт. Для этого бот отправляет соответствующий SMS-запрос в системы мобильного банкинга сразу нескольких российских кредитных организаций, а также одной из популярных платежных систем». Если троян получит ответ, то при помощи специально сформированных SMS-команд он попытается автоматически вывести доступные денежные средства на принадлежащий злоумышленникам счет. При этом жертва может долгое время оставаться в неведении о произошедшей краже, так как Android.BankBot.33.origin способен перехватить и заблокировать SMS-уведомления о совершенных операциях, указали в компании.

Также вредоносная программа вполне может помочь киберпреступникам похитить аутентификационные данные учетной записи онлайн-банкинга пользователя, загрузив в браузере зараженного устройства имитирующий внешний вид настоящего интернет-портала банка мошеннический веб-сайт, где жертве будет предложено ввести конфиденциальные сведения для входа. В результате такой атаки могут быть скомпрометированы все банковские счета владельца зараженного Android-устройства, что может стать причиной серьезных финансовых потерь.

Запись для детектирования этого трояна внесена в вирусную базу «Доктор Веб», поэтому для пользователей «Антивируса Dr.Web для Android» и «Антивируса Dr.Web для Android Light» он не представляет угрозы, отметили в «Доктор Веб».

Источник: CNews

Новый Android-троян крадет деньги и конфиденциальные данные пользователей
 

Вирусные аналитики компании «Доктор Веб» исследовали нового трояна, предназначенного для заражения смартфонов и планшетов под управлением ОС Android. Данная вредоносная программа, внесенная в вирусную базу под именем Android.BankBot.34.origin, способна красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов своих жертв, сообщили в «Доктор Веб».

Начать свою вредоносную деятельность Android.BankBot.34.origin может только после установки в систему самим владельцем мобильного устройства. Поэтому с целью увеличения вероятности инсталляции и запуска трояна потенциальными жертвами авторы Android.BankBot.34.origin распространяют его под видом системного обновления и снабжают ярлыком одной из популярных программ. После установки троян размещает свой ярлык на главном экране, при этом он может соседствовать рядом с ярлыком оригинальной программы, если она уже присутствует в системе. Таким образом, неопытные пользователи могут спутать приложения и случайно запустить троян вместо настоящего ПО. Если же владелец зараженного мобильного устройства не активирует вредоносное приложение после его установки самостоятельно, запуск трояна все равно произойдет, так как в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении операционной системы.

Вслед за своей инициализацией Android.BankBot.34.origin запрашивает у жертвы доступ к функциям администратора мобильного устройства, которые в некоторой степени позволяют вредоносному приложению затруднить его деинсталляцию. Кроме того, троян удаляет созданный им ранее ярлык в случае если запуск Android.BankBot.34.origin производился самим владельцем смартфона или планшета. После этого программа приступает непосредственно к вредоносной деятельности, рассказали в компании.

По словам вирусных аналитиков «Доктор Веб», фактически, Android.BankBot.34.origin способен реализовать на зараженном Android-устройстве два сценария атаки. Первый сценарий напрямую зависит от поведения самого пользователя и задействуется, когда тот пытается запустить одно из интересующих злоумышленников приложений. Если владелец инфицированного трояном смартфона или планшета запустит подобную программу, Android.BankBot.34.origin отобразит поверх ее интерфейса фишинговое диалоговое окно с полями для ввода конфиденциальной информации — логина и пароля, номера телефона или сведений о кредитной карте. При этом для каждого из этих приложений зловред весьма правдоподобно имитирует соответствующую форму запроса. Подобным образом киберпреступники атакуют следующие мобильные приложения: Google Play; Google Play Music; Gmail; WhatsApp; Viber; Instagram; Skype; «ВКонтакте»; «Одноклассники»; Facebook; Twitter. В конечном итоге вся введенная жертвой информация передается трояном на управляющий сервер.

Реализация второго сценария атаки, напротив, не зависит от совершаемых пользователем действий и происходит только в соответствии с указаниями злоумышленников, поступающими от удаленного узла. В частности, по команде с управляющего сервера Android.BankBot.34.origin может исполнить следующие операции: начать или остановить перехват входящих и исходящих SMS; выполнить USSD-запрос; внести в черный список определенный номер, сообщения с которого будут скрываться от пользователя (по умолчанию в списке содержатся сервисные номера ряда телефонных операторов, системы мобильного банкинга известного российского банка, а также популярной платежной платформы); очистить список блокируемых номеров; передать на сервер информацию об установленных на устройстве приложениях; выполнить отправку SMS-сообщения; передать на сервер идентификатор вредоносной программы; отобразить на экране диалоговое окно или сообщение в соответствии с полученными с управляющего сервера параметрами (например, в команде может задаваться текст, предназначенный для демонстрации на экране, количество полей для ввода данных и т.п.).

Примечательно, что адрес основного управляющего сервера Android.BankBot.34.origin расположен в анонимной сети Tor, а соединение по соответствующему защищенному протоколу обеспечивается за счет использования в трояне кода официального клиента для подключения к сетевым ресурсам с псевдодоменом .onion. Подобный прием обеспечивает авторам вредоносных приложений высокую степень защищенности и все чаще начинает встречаться в Android-троянах, отметили в «Доктор Веб».

Благодаря тому, что Android.BankBot.34.origin способен незаметно для владельца зараженного мобильного устройства отправлять и перехватывать SMS-сообщения, киберпреступники могут использовать эту вредоносную программу в качестве банковского трояна для похищения денежных средств со счетов своих жертв при помощи управляющих SMS-команд мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, воспользовавшись USSD-командами и переведя определенную сумму на свой телефонный номер. При этом список атакуемых мобильных операторов и кредитных организаций практически никак не ограничен и всецело зависит от текущих потребностей создателей вредоносной программы. В частности, наибольшему риску подвержены клиенты тех банков и платежных систем, которые предлагают услугу управления счетом посредством SMS-сообщений, а также абоненты операторов мобильной связи, предоставляющих функцию мобильного перевода со счетов телефонов.

Более того, способность трояна вывести на экран мобильного устройства любое сообщение или диалоговое окно произвольной формы и содержания открывает перед киберпреступниками практически неограниченные возможности по совершению самых разнообразных атак, указали в компании. Например, похитив у пользователя аутентификационные данные для доступа к учетной записи одной из социальных сетей, злоумышленники могут изменить пароль доступа к ней и отдать вредоносной программе команду на демонстрацию сообщения вида «Ваша учетная запись заблокирована, для разблокировки выполните денежный перевод на номер 1234». Также создатели Android.BankBot.34.origin могут «приказать» трояну от имени банка вывести на экран запрос ввода пароля для доступа к учетной записи онлайн-банкинга жертвы и получить контроль над всеми ее счетами. Таким образом, реализуемый этой вредоносной программой функционал представляет весьма серьезную опасность для владельцев мобильных Android-устройств.

Во избежание заражения устройств данным трояном специалисты «Доктор Веб» рекомендуют пользователям не устанавливать приложения, полученные из сомнительных источников, а также по возможности запретить загрузку программ, минуя каталог Google Play. Кроме того, при установке приложений необходимо обращать внимание на функции, доступ к которым они запрашивают.

Запись для детектирования Android.BankBot.34.origin оперативно внесена в вирусную базу «Доктор Веб», поэтому пользователи «Антивируса Dr.Web для Android» и «Антивируса Dr.Web для Android Light» защищены от действий этого трояна.

Источник: CNews

Мобильные азиатские ботнеты - главный источник DDoS в 2015 году
 

В будущем азиатские государства возглавят рейтинг стран-источников DDoS-трафика, утверждают эксперты Black Lotus. Причиной всему огромное количество скомпрометированных мобильных устройств в регионе. Предлагающая бизнесу услуги зашиты от DDoS-атак компания Black Lotus опубликовала собранную с помощью своего сервиса статистику по DDoS-атакам за третий квартал 2014 г. В топ-5 основных источников DDoS-трафика в третьем квартале попали Китай, США, Россия, Германия и Вьетнам. Было зафиксировано чуть больше 255 тыс. атак, из них 58% эксперты Black Lotus оценивают как тяжелые. Средняя мощность атаки составила 3,5 Гбит/с, максимальная мощность была зафиксирована 14 сентября на уровне 54 Гбит/с.

Исследователи отмечают, что уровень средней мощности атак довольно низкий по сравнению с ресурсами, находящимися в распоряжении современных провайдеров и предприятий. Однако многим компаниям подобная пропускная способность недоступна в силу технических ограничений или высокой стоимости услуг связи, и именно им и будет нанесен наибольший урон. На протяжении 2014 г. среднестатистическая мощность атаки возрастала примерно на 10% от квартала к кварталу. Для обеспечения защиты от DDoS-атак с помощью современных сервисов компаниям необходимо иметь канал с пропускной способностью минимум 5, а лучше от 10 Гбит/с.

Прогнозируя дальнейшее развитие ситуации, эксперты Black Lotus отметили активизацию трафика из Вьетнама, Индии и Индонезии. В 2015 г. именно эти страны станут основным источником DDoS-трафика и «поставщиком» атак для заказчиков со всего мира. И недостаток пропускной способности сетей связи в этих странах — не помеха. Он с избытком компенсируется огромным числом скомпрометированных мобильных устройств, которые с успехом могут играть роль «строительного материала» для ботнетов.

«DDoS — дешевый и эффективный способ кибератак, результат которого виден сразу», — комментирует Валентин Крохин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет». «Ущерб в результате DDoS-атак заметен, при этом такие атаки легко заказать, и стоят они не дорого, поэтому число DDoS-атак будет продолжать расти», — озвучивает неутешительный прогноз эксперт.

Согласен с коллегой и руководитель направления Kaspersky DDoS Prevention «Лаборатории Касперского» Евгений Виговский: «DDoS-атаки сегодня стали обычным методом ведения конкурентной борьбы, их легко организовать и они всегда приводят к серьезным потерям, в первую очередь финансовым. Нет необходимости в крупных финансовых вложениях или наличии контактов в хакерской среде. Заказать DDoS можно анонимно за весьма скромную сумму в интернете: самая простая атака стоит всего $50».

«Другими словами, заказчиком атаки может стать практически кто угодно: конкурент, уволенный сотрудник или просто сумасшедший, — раскрывает механизм атаки Евгений Виговский. — Да и жертвой может стать любой интернет-ресурс — от частного блога до сервера крупной компании. Ситуация усугубляется тем, что киберпреступников в данном случае сложно привлечь к ответственности. Как правило, непосредственные исполнители атаки находятся в стране, далекой от местонахождения жертвы, поэтому даже если при расследовании будет установлена связь конкретного ботнета с конкретным киберпреступником, он вряд ли предстанет перед судом. Связь же между исполнителем и заказчиком доказать практически невозможно благодаря использованию механизмов сокрытия финансовых потоков (например, криптовалют)».

Источник: CNews

В 2014 году проникновение Android-вирусов в США выросло на 75 %
 

Хакеры и прочие злоумышленники проявляют всё больше интереса к личной информации пользователей на мобильных устройствах, которые хранят её там всё чаще. Последнее время наблюдается непрерывный рост вредоносного программного обеспечения для мобильных устройств, в основном на Android.

Компания Lookout провела исследование с участием свыше 60 млн пользователей по всему миру и выяснила, что только в США в 2014 году распространённость вредоносного ПО для Android увеличилась на 75 % по сравнению с предыдущим годом. Исследователи оговариваются, что мобильные вирусы и прочие угрозы по-прежнему довольно редки, однако такой сильный рост не может не вызывать беспокойства. Один из самых распространённых видов угроз — вирусы-вымогатели, или ransomware. Такие программы блокируют устройство и требуют денег для разблокировки. Вымогатели ScareMeNot и ScarePakage вошли в пятёрку самых опасных мобильных угроз в ряде развитых стран, таких как США, Великобритания и Германия.

Мобильные угрозы по-разному выражены в разных географических регионах. Так, в Западной Европе очень активны фиктивные услуги, снимающие деньги с телефонного счёта (chargeware), тогда как в США этот механизм часто запрещён операторами и редко встречается.
Есть и хорошие новости: в 2014 году резко сократилось число заражений рекламными вирусами (adware), с 25 % до 10 %. В основном это произошло благодаря Google, которая предприняла радикальные меры по их искоренению в своём поиске и магазине Play.

Источник: ZDNet

Обнаруженные «Доктор Веб» приложения из Google Play содержат троянский плагин
 

23 июня 2016 года

Каталог цифрового контента Google Play остается самым безопасным источником Android-приложений, однако и в нем время от времени появляются всевозможные вредоносные программы. Одной из них стал обнаруженный вирусными аналитиками компании «Доктор Веб» троянец Android.Valeriy.1.origin, которого вирусописатели используют для заработка на дорогостоящих подписках, а также для распространения других вредоносных приложений.

Троянец Android.Valeriy.1.origin представляет собой вредоносный плагин, который вирусописатели встроили в безобидное ПО. Он распространяется разработчиками ZvonkoMedia LLC, Danil Prokhorov, а также horshaom в шести приложениях, доступных в Google Play:

• Battery Booster;
• Power Booster;
• Blue Color Puzzle;
• Blue And White;
• Battery Checker;
• Hard Jump - Reborn 3D.

Все они являются играми и сервисными утилитами, и к настоящему моменту в общей сложности из каталога их загрузило более 15 500 пользователей. В то же время управляющий сервер троянца, к которому получили доступ специалисты компании «Доктор Веб», содержит сведения о более чем 55 000 уникальных установках. Вирусные аналитики «Доктор Веб» передали в компанию Google информацию о программах, скрывающих в себе Android.Valeriy.1.origin, однако на момент выхода новости они все еще присутствовали в каталоге.
https://st.drweb.com/static/new-www/...valeriy_01.png
https://st.drweb.com/static/new-www/...valeriy_03.png
https://st.drweb.com/static/new-www/...valeriy_05.png
После запуска игр и приложений, в которых находится Android.Valeriy.1.origin, вредоносный модуль соединяется с управляющим сервером и получает от него задание, содержащее специально сформированную ссылку. Троянец автоматически переходит по указанной ссылке, которая ведет на промежуточный веб-сайт, и тот, в зависимости от различных параметров, передает вредоносному приложению конечный URL. В большинстве случаев этот URL ведет на сомнительные веб-порталы, основная задача которых – получить номер мобильного телефона потенциальных жертв и подписать их на услугу, за использование которой ежедневно будет взиматься плата. Среди рекламируемых троянцем сервисов может встретиться, например, предложение посмотреть материалы эротического характера, а также скачать популярное ПО, которое на самом деле является бесплатным и доступно для загрузки в каталоге Google Play. Несмотря на то, что информация о факте подписки и ее стоимости указана на загружаемых страницах, многие пользователи могут ее просто не заметить и указать свой номер телефона.
https://st.drweb.com/static/new-www/...valeriy_07.png
https://st.drweb.com/static/new-www/...valeriy_09.png
Android.Valeriy.1.origin автоматически открывает в окне WebView один из таких сайтов и выводит его на экран в виде рекламного баннера. Одновременно с получением соответствующего задания Android.Valeriy.1.origin начинает отслеживать все входящие СМС. После того как жертва указывает номер телефона, ей поступает код подтверждения подписки на платный сервис. Однако Android.Valeriy.1.origin перехватывает и блокирует эти сообщения, тем самым лишая пользователя информации о том, что он согласился с условиями предоставления дорогостоящей услуги. В результате с мобильных счетов жертв, попавших на уловку злоумышленников и фактически согласившихся с условиями предоставления сервиса, каждый день будет списываться определенная плата.

Троянец может также скачивать и различные программы, в том числе вредоносные. Например, среди них вирусные аналитики «Доктор Веб» обнаружили троянца-загрузчика Android.DownLoader.355.origin. Кроме того, в задании от управляющего сервера Android.Valeriy.1.origin способен получать различные JavaScript-сценарии, которые также выполняются через WebView. Этот функционал может использоваться для незаметных нажатий на интерактивные элементы, рекламные баннеры и ссылки на загружаемых веб-страницах. Например, для автоматического подтверждения введенного пользователем номера телефона, а также с целью накрутки всевозможных счетчиков.

Для защиты от мошеннических действий со стороны злоумышленников специалисты компании «Доктор Веб» советуют пользователям Android-смартфонов и планшетов внимательно читать информацию во всплывающих окнах и уведомлениях, а также рекомендуют не вводить номер мобильного телефона в сомнительные экранные формы.

Большинство приложений, содержащих троянца Android.Valeriy.1.origin, защищено упаковщиком, который осложняет их анализ, однако антивирусные продукты Dr.Web для Android могут детектировать такие программы как Android.Valeriy.1 или Android.Packed.1. Все они успешно обнаруживаются и удаляются с мобильных устройств, поэтому для наших пользователей этот троянец опасности не представляет.

Источник: http://news.drweb.ru/show/?i=10036&c=5&lng=ru&p=0

155 приложений с троянцем из Google Play скачало более 2 800 000 пользователей
 

Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца, который показывает надоедливую рекламу, а также крадет различную конфиденциальную информацию. Эта вредоносная программа встроена в более чем 150 приложений, которые в общей сложности загрузило не менее 2 800 000 пользователей.

Троянец, получивший имя Android.Spy.305.origin, представляет собой очередную рекламную платформу (SDK), которую создатели ПО используют для монетизации приложений. Специалисты компании «Доктор Веб» выявили как минимум семь разработчиков, встроивших Android.Spy.305.origin в свои программы и распространяющих их через каталог Google Play. Среди них — разработчики MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps и Mothrr Mobile Apps.

http://i79.fastpic.ru/thumb/2016/073...1a2c2000c.jpeg http://i79.fastpic.ru/thumb/2016/073...f0b9ce6c6.jpeg http://i79.fastpic.ru/thumb/2016/073...c6f9da726.jpeg

Среди приложений, в которых был найден троянец, встречаются «живые обои», сборники изображений, утилиты, ПО для работы с фотографиями, прослушивания интернет-радио и т. п. На данный момент вирусные аналитики «Доктор Веб» выявили 155 таких программ, суммарное число загрузок которых превысило 2 800 000. Компания Google получила информацию об этих приложениях, однако многие из них все еще доступны для загрузки.

http://i79.fastpic.ru/thumb/2016/073...df469b356.jpeg

При запуске программ, в которых находится троянец, Android.Spy.305.origin соединяется с управляющим сервером, откуда получает команду на загрузку вспомогательного модуля, детектируемого как Android.Spy.306.origin. Этот компонент содержит основной вредоносный функционал, который Android.Spy.305.origin использует при помощи класса DexClassLoader.

После этого троянец передает на сервер следующие данные:

• адрес электронной почты, привязанный к пользовательской учетной записи Google;
• список установленных приложений;
• текущий язык операционной системы;
• наименование производителя мобильного устройства;
• наименование модели мобильного устройства;
• IMEI-идентификатор;
• версию операционной системы;
• разрешение экрана;
• название мобильного оператора;
• имя приложения, в котором содержится троянец;
• идентификатор разработчика приложения;
• версию троянского рекламного SDK.

Далее Android.Spy.305.origin приступает к выполнению основных функций, а именно показу навязчивой рекламы. Троянец может выводить поверх интерфейса работающих приложений и операционной системы различные рекламные баннеры, в том числе с видеороликами. Кроме того, он способен размещать сообщения в панели уведомлений, например, предлагая скачать то или иное ПО и даже пугая пользователя якобы обнаруженными вредоносными программами.

http://i79.fastpic.ru/thumb/2016/073...a86af2db6.jpeg http://i79.fastpic.ru/thumb/2016/073...99d28fc98.jpeg http://i79.fastpic.ru/thumb/2016/073...4144ecd74.jpeg


Несмотря на то что каталог Google Play является самым надежным источником приложений для Android-смартфонов и планшетов, в него также могут проникать и различные вредоносные и нежелательные программы. В этой связи специалисты компании «Доктор Веб» рекомендуют владельцам мобильных устройств обращать внимание на отзывы других пользователей, которые могут указать на то, что от установки того или иного приложения лучше воздержаться, а также загружать ПО только от известных разработчиков. Троянец Android.Spy.305.origin успешно детектируется и удаляется антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей он опасности не представляет.

Источник: https://news.drweb.ru/show/?i=10115

Специалисты обнаружили Android-вирус, который распространяется по клиенту соцсетей
 

Специалисты обнаружили опаснейший Android-вирус Tordow, который довольно быстро способен заполучить любые данные смартфона - логины, пароли, файлы. Распространяется вредоносное ПО при помощи клиентов соцсетей.
http://i78.fastpic.ru/big/2016/0926/...9705c19406.png
Эксперты “Лаборатории Касперского” объяснили, как защитить свое устройство от вируса. Первоначально, необходимо отказаться от скачивания неофициальных клиентов социальных сетей, модов и дополнений - особенно, вне Google Play.

После установки Android-вирус получает root-права, из-за чего обнаружить его антивирусом становится невозможным. Благодаря правам администратора ПО получает буквально все данные - логины, пароли, номера и данные. Программа получает возможность отсылать СМС, звонить, скачивать файлы и перезагружать устройство.

Судя по озвученной экспертами информации, на данный момент “Лаборатория Касперского” не имеет достаточно “мощностей” для того, чтобы бороться с вирусом Tordow.

Источник: http://actualnews.org/tehnologii/113535-specialisty-obnaruzhili-android-virus-kotoryy-rasprostranyaetsya-po-klientu-socsetey.html

Более 1 000 000 пользователей загрузили Android-троянца из Google Play


Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play очередного троянца. Эта вредоносная программа, добавленная в вирусную базу как Android.MulDrop.924, без ведома пользователей скачивает приложения и предлагает их установить. Кроме того, она показывает навязчивую рекламу.

Android.MulDrop.924 распространяется через каталог Google Play в виде приложения с именем «Multiple Accounts: 2 Accounts», которое скачали уже более 1 000 000 владельцев Android-смартфонов и планшетов. Программа позволяет одновременно использовать несколько учетных записей в играх и другом ПО, установленном на мобильном устройстве. Однако это внешне безобидное и даже полезное приложение скрывает троянский функционал, о котором разработчик забыл сообщить потенциальным жертвам. Компания «Доктор Веб» передала корпорации Google информацию о троянце, однако на момент публикации этой новости Android.MulDrop.924 все еще был доступен для загрузки.

Эта троянская программа имеет необычную модульную архитектуру. Часть ее функционала расположена в двух вспомогательных программных модулях, которые зашифрованы и спрятаны внутри PNG-изображения, расположенного в каталоге ресурсов Android.MulDrop.924. При запуске троянец извлекает и копирует эти модули в свою локальную директорию в разделе /data, после чего загружает их в память.

Один из этих компонентов помимо безобидных функций содержит несколько рекламных плагинов, которые авторы Android.MulDrop.924 используют для получения прибыли. Среди них – троянский модуль Android.DownLoader.451.origin, без разрешения пользователя скачивающий игры и приложения и предлагающий установить их. Кроме того, он показывает навязчивую рекламу в панели уведомлений мобильного устройства.


Помимо каталога Google Play, Android.MulDrop.924 распространяется и через сайты–сборники ПО. Одна из модификаций троянца встроена в более раннюю версию приложения Multiple Accounts: 2 Accounts. Она подписана сторонним сертификатом и наряду с вредоносным модулем Android.DownLoader.451.origin содержит дополнительный троянский плагин Android.Triada.99, который скачивает эксплойты, чтобы получить на зараженном устройстве root-права, а также способен незаметно загружать и устанавливать программы. Использование стороннего сертификата может говорить о том, что указанную версию Android.MulDrop.924 модифицировала и распространяет другая группа вирусописателей, не связанная с создателями оригинального приложения.

Все известные версии троянца Android.MulDrop.924 и его вредоносных компонентов успешно детектируются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей они опасности не представляют.

Источник

добавлено через 11 минут


По результатам исследования Strategy Analytics, которая проанализировала рынок смартфонов за третий квартал 2015 и 2016 годов, всего за третий квартал 2016 года было продано 328,6 млн. смартфонов на операционной системе Android, их доля в нынешнем году выросла и составляет рекордные 87,5%, против 84% в 2015.
Доля iPhone снизилась на полтора процента до 12,1. В третьем квартале купертиновцы отгрузили 45,5 млн. iPhone - это на 5,2% меньше, чем в прошлом году.
Смартфонов ни на Android ни на iOS в третьем квартале сего года было реализовано 1,3 миллиона, против 8 за аналогичный период 2015. Их доля на рынке составила менее 0,4%.
Производители смартфонов в третьем квартале 2016 года отгрузили 375,4 млн. устройств. Прирост составил около 6% по сравнению с предыдущим годом.



Источник.

В популярном приложении AirDroid найдена критическая уязвимость

Если вы пользуетесь популярным приложением для удалённого доступа к данным на мобильных устройствах AirDroid, то вам следует знать, что в нём обнаружена серьёзная уязвимость. Об этом сообщила компания Zimperium, специализирующаяся на мобильной безопасности. Напомним, что сервис AirDroid позволяет получить доступ и управлять смартфоном или планшетом на Android с компьютера на Windows или Mac, а также через Интернет. Также с его помощью можно отвечать на звонки, сообщения и уведомления прямо на экране компьютера.
Как выяснилось, связь между устройствами по AirDroid осуществляется по незащищённому каналу. Сами запросы зашифрованы, а вот ключ шифрования находится внутри приложения, поэтому злоумышленник может получить его и подключиться к каналу передачи данных.

Благодаря уязвимости, злоумышленник может выдавать себя за устройство жертвы, чтобы выполнить какие-либо HTTP- или HTTPS-запросы и удалённо запустить вредоносный код на чужом смартфоне или планшете. Когда AirDroid уведомит пользователя о доступности обновления для установки, приложение загрузит вредоносный apk-файл, указанный злоумышленником, а "жертва", ничего не подозревая, установит его на своё устройство. Это может иметь серьёзные последствия для тех, кто использует AirDroid через незащищённую сеть Wi-Fi.
Специалисты Zimperium отмечают, что AirDroid действительно использует защищённые конечные точки HTTP API, но они обнаружили другие незащищённые каналы, которые используются для выполнения определённых функций в приложении. Самое главное, компания уведомила разработчиков AirDroid об этой уязвимости ещё в мае, но они до сих пор не приняли никаких мер.


Источник: phandroid.com