Компания «Доктор Веб» представила обзор вирусной активности за февраль 2015 г. В течение последнего месяца зимы специалисты компании исследовали новый троян-шпион, угрожающий пользователям Mac OS X, а также очередную вредоносную программу, нацеленную на ОС Linux, сообщили CNews в «Доктор Веб».

Новая троянская программа для Mac OS X, получившая наименование Mac.BackDoor.OpinionSpy.3, обладает широким набором функциональных возможностей и предназначена, прежде всего, для шпионажа за пользователями. По данным компании, троян распространялся на сайтах, предлагавших загрузку бесплатного ПО вместе с вполне безобидными приложениями, в дистрибутив которых был встроен дополнительный исполняемый файл. Запустившись в процессе инсталляции с правами администратора, данная программа загружала, устанавливала и запускала на компьютере Apple вредоносное приложение. Троян успешно детектируется и удаляется «Антивирусом Dr.Web для Mac OS X», указали в «Доктор Веб».

Другим примечательным событием февраля стало появление трояна для ОС Linux, названного Linux.BackDoor.Xnote.1. Эту вредоносную программу злоумышленники также наделили внушительным ассортиментом вредоносных функций, отметили в компании. Так, троян умеет выполнять следующие команды для работы с файловой системой, поступающие от злоумышленников: перечислить файлы и каталоги внутри указанного каталога; отослать на сервер сведения о размере файла; создать файл, в который можно будет сохранить принимаемые данные; принять файл; отправить файл на управляющий сервер; удалить файл; удалить каталог; отправить управляющему серверу сигнал о готовности принять файл; создать каталог; переименовать файл; запустить файл.

Кроме того, троян может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней, запустить на зараженном компьютере SOCKS proxy или собственную реализацию сервера portmap, а также осуществлять DDoS-атаки.

В то же время, все так же проявляет активность Linux-троян Linux.BackDoor.Gates.5, продолжающий осуществлять DDoS-атаки на различные сайты в интернете. В феврале 2015 г. было выявлено 1129 уникальных IP-адресов, на которые осуществлялись атаки, что на 3880 меньше, чем в прошлом месяце. Как и прежде, большинство из них расположено на территории Китая.

Пользователям ОС Windows по-прежнему угрожают трояны-шифровальщики, вымогающие у своих жертв выкуп за расшифровку файлов. Кроме того, в феврале было выявлено большое число разнообразных вредоносных и потенциально опасных программ для мобильной платформы Google Android, среди них: агрессивные рекламные модули; трояны-вымогатели; SMS-трояны; трояны-банкеры.

В целом в течение февраля 2015 г. в базу нерекомендуемых и вредоносных сайтов Dr.Web было добавлено 22 033 интернет-адреса

Специалисты компании «Доктор Веб» обнаружили новые версии Android-троянов семейства Android.BankBot, атакующих клиентов банков множества стран. Некоторые модификации этих троянов, известные также под именем Svpeng, опасны тем, что похищают деньги с банковских счетов пользователей мобильных Android-устройств и способны завершать работу целого ряда антивирусных программ, сообщили сегодня в «Доктор Веб».

Трояны семейства Android.BankBot знакомы специалистам по информационной безопасности уже несколько лет. Однако широкую известность они получили лишь в начале апреля 2015 г., когда МВД России сообщило о задержании киберпреступников, использовавших несколько модификаций этих вредоносных приложений при реализации атак на клиентов ряда российских и иностранных кредитных организаций, рассказали в компании. Несмотря на то, что деятельность этих злоумышленников была пресечена, распространение данных троянов другими вирусописателями продолжилось, о чем свидетельствует появление очередных модификаций банкеров.

Так, совсем недавно вирусные аналитики «Доктор Веб» обнаружили несколько подобных троянов, среди которых Android.BankBot.43 и Android.BankBot.45. Они распространяются под видом легального ПО, такого как игры, медиаплееры или обновления операционной системы, и благодаря применению злоумышленниками различных методов социальной инженерии опрометчиво устанавливаются на Android-смартфоны и планшеты самими же пользователями.

Запустившись в зараженной системе, трояны Android.BankBot пытаются получить доступ к функциям администратора мобильного устройства, которые дают им расширенные возможности, включая способность препятствовать их удалению. По информации «Доктор Веб», в процессе получения необходимых прав вредоносные программы используют весьма интересный механизм. В частности, они отображают поверх стандартного системного диалогового окна собственное сообщение, которое закрывает собой настоящее уведомление операционной системы и предлагает установить некие «дополнения». Соглашаясь с предложенным действием, пользователь на самом деле добавляет троянов в список администраторов мобильного устройства, так как при нажатии кнопки «Продолжить», происходит активация скрытой за мошенническим окном оригинальной функции ОС.

В то же время, при попытке удаления троянов Android.BankBot процедура исключения их из списка администраторов пресекается демонстрацией специального сообщения, в результате чего деинсталляция вредоносных приложений стандартными средствами системы становится невозможной.
После получения необходимых полномочий данные трояны устанавливают связь с управляющим сервером и ожидают поступления дальнейших указаний. В частности, они способны выполнить следующие действия по команде с сервера: позвонить на указанный в команде номер; использовать для связи с управляющим сервером полученный в команде веб-адрес; выполнить указанный в команде USSD-запрос; отправить на сервер все входящие и исходящие SMS-сообщения; выполнить сброс настроек устройства с удалением всех данных пользователя; отправить SMS-сообщение с заданными параметрами; отправить на сервер подробную информацию о зараженном устройстве; осуществить поиск файла в соответствии с полученным в команде именем; использовать заданный телефонный номер для получения дублирующих команд.

Поскольку большинство управляющих команд дублируется злоумышленниками через SMS-канал, вредоносные приложения способны выполнять многие из своих функций даже при отсутствии интернет-соединения и связи с управляющим центром, что увеличивает их вредоносный потенциал, подчеркнули в компании.

Основное предназначение троянов семейства Android.BankBot — кража конфиденциальных банковских сведений пользователей и хищение их денежных средств. Для этого вредоносные приложения атакуют установленные на мобильных устройствах пользователей программы типа «Банк-Клиент» ряда кредитных организаций, а также программу «Play Маркет» (Play Store). В частности, после запуска потенциальной жертвой целевых банковских программ-клиентов трояны подделывают внешний вид данных приложений, отображая на экране фальшивую форму ввода аутентификационных данных. Если же пользователь запускает приложение «Play Маркет», они имитируют стандартную форму добавления к учетной записи пользователя реквизитов его банковской карты. При этом вредоносные приложения фактически заставляют своих жертв ввести необходимые данные, поскольку демонстрируемое диалоговое окно невозможно закрыть, и работа с каталогом Google Play блокируется. Полученные таким обманным способом конфиденциальные сведения в дальнейшем передаются на управляющий сервер, после чего киберпреступники беспрепятственно могут совершать хищение денег со счетов пользователей, так как все поступающие от системы безопасности банков SMS-сообщения с кодами подтверждения перехватываются вредоносными приложениями.

Однако это — не единственная опасность, исходящая от троянов семейства Android.BankBot. Так, многие из них способны нарушать работу ряда популярных антивирусных приложений в момент, когда те выполняют попытку удаления банкеров с зараженных мобильных устройств, указали в «Доктор Веб». Компания выпустила специальное обновление для своих антивирусных продуктов для ОС Android, в котором был реализован механизм противодействия подобным атакам, поэтому современные банковские трояны Android.BankBot более не представляют серьезной опасности для пользователей решений «Доктор Веб».

Для владельцев Android-смартфонов и планшетов с установленными антивирусными продуктами Dr.Web обновление пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти в каталог Google Play, выбрать в списке приложений соответствующую версию инсталлированного «Антивируса Dr.Web для Android» и нажать на кнопку «Обновить». Для обновления через сайт «Доктор Веб» необходимо скачать новый дистрибутив программы.

Специалисты компании «Доктор Веб» обнаружили нового троянца, предназначенного для кражи денег с банковских счетов пользователей мобильных Android-устройств.

Основная особенность этой вредоносной программы, получившей имя Android.BankBot.65.origin, заключается в том, что злоумышленники встроили ее в одно из официальных приложений-клиентов для доступа к онлайн-банкингу и распространяют в Интернете под видом оригинального ПО.

Внедрение троянского функционала в легитимные приложения с последующим размещением их на различных сайтах – сборниках ПО и файлообменных сервисах – весьма популярный среди вирусописателей и давно известный специалистам по информационной безопасности способ доставки вредоносных программ на мобильные Android-устройства. Подобный механизм распространения троянцев значительно увеличивает шансы на то, что потенциальные жертвы успешно установят и будут использовать скомпрометированное приложение на своих смартфонах или планшетах – ведь они скачивают внешне безобидное ПО, которое обладает всеми функциональными возможностями оригинала. В действительности же вместе с искомой программой пользователи получают «подарок» в виде троянца, который работает незаметно для них и выполняет выгодные для вирусописателей действия.

Одним из последних таких случаев, зафиксированных компанией «Доктор Веб», стало распространение киберпреступниками банковского троянца Android.BankBot.65.origin, внедренного в официальное приложение для доступа к мобильному банкингу от Сбербанка России. Предприимчивые вирусописатели модифицировали эту программу, добавив к ней вредоносную надстройку, после чего разместили на одном из популярных веб-порталов, посвященных мобильным устройствам. Главная опасность данной ситуации заключается в том, что скомпрометированная версия банковского клиентского ПО сохраняет все свои оригинальные функции, в результате чего у беспечных пользователей нет причины ожидать подвоха. На момент публикации этой новости более 70 владельцев Android-устройств уже успели загрузить модифицированную злоумышленниками версию приложения.

Сразу после установки скомпрометированной версии программы и ее запуска неосторожным пользователемAndroid.BankBot.65.origin создает специальный конфигурационный файл, в котором заданы основные параметры работы троянца. В соответствии с данными настройками вредоносное приложение соединяется с управляющим сервером, куда при помощи POST-запроса отправляет следующую информацию:

IMEI-идентификатор устройства;
наименование мобильного оператора;
MAC-адрес встроенного Bluetooth-адаптера;
установлено ли приложение платежной системы QIWI;
версия API операционной системы;
версия троянского приложения;
название пакета троянского приложения;
текущая выполняемая команда.

Если в ответ от удаленного узла Android.BankBot.65.origin успешно получает команду «hokkei», то сразу после этого он отправляет на сервер зашифрованный список контактов пользователя, а также по команде злоумышленников обновляет конфигурационной файл.

По своему основному вредоносному функционалу данный троянец мало чем отличается от большинства аналогичных банкеров. В частности, Android.BankBot.65.origin способен выполнять типичные для троянцев данного семейства действия, а именно – по команде с управляющего сервера перехватывать входящие СМС и отправлять различные сообщения на заданные злоумышленниками телефонные номера. Кроме того,Android.BankBot.65.origin «умеет» внедрять специально сформированные СМС в список входящих сообщений мобильного устройства. Все эти действия могут использоваться киберпреступниками как в процессе хищения денег с банковских счетов пользователей (отправка СМС-команд для банковского перевода в пользу вирусописателей и перехват проверочных сообщений с кодами подтверждения), так и для реализации различных мошеннических схем. Так, злоумышленники могут разместить специально сформированные СМС среди сообщений жертв, например, о блокировке банковской карты с требованием позвонить в «банк» по указанному номеру, с просьбой пополнить баланс «попавшего в беду родственника» и т. п.

Специалисты компании «Доктор Веб» настоятельно рекомендуют владельцам Android-устройств загружать приложения для онлайн-банкинга только из надежных источников, таких как каталог Google play или веб-сайты соответствующих кредитных организаций, а также использовать для защиты Антивирус Dr.Web для Android Light или Антивирус Dr.Web для Android. Запись для детектирования троянца Android.BankBot.65.origin добавлена в вирусную базу Dr.Web, поэтому для наших пользователей он не представляет опасности.

Вирусные аналитики компании «Доктор Веб» обнаружили очередную программу для Mac OS X из числа рекламных приложений и установщиков семейства Trojan.Crossrider. Установщик рекламных и нежелательных приложений Adware.Mac.MacInst.1 был создан с использованием ресурсов партнерской программы для монетизации приложений macdownloadpro.com. Установщик посетителям предлагается скачать под видом какого-либо «полезного» приложения или даже музыкального MP3-файла. В некоторых случаях загрузка установщика осуществляется с использованием автоматического перенаправления пользователя на соответствующую веб-страницу.

Образ установщика Adware.Mac.MacInst.1 имеет примечательную структуру: он содержит две скрытые папки, которые не будут демонстрироваться на компьютере со стандартными настройками операционной системы, если пользователь решит просмотреть содержимое DMG-файла в программе Finder.

Сама директория расположения приложения содержит бинарный файл, запускающий программу-установщик, и папку, в которой размещено изображение с логотипом этого приложения и зашифрованный конфигурационный файл. Установщик демонстрирует на экране компьютера соответствующее окно, где сначала отображается информация о запрошенном пользователем файле, который он изначально и собирался скачать.

Если пользователь нажмет на едва заметную ссылку «Decline» в нижней части окна, на его компьютер будет загружен только изначально выбранный им файл, однако по нажатии на кнопку «Next» вместе с ним программа скачает из Интернета и запустит другую программу, детектируемую Антивирусом Dr.Web как Trojan.VIndinstaller.3.

Это приложение, в свою очередь, устанавливает на компьютер вредоносные надстройки для браузеров Safari, Firefox и Chrome, детектируемые как троянцы семейства Trojan.Crossrider. Все скачанные из Интернета компоненты Adware.Mac.MacInst.1 копирует в папку "~/Library/Application Support/osxDownloader".