«Доктор Веб»: за 3 года количество попыток взлома и заражения IoT-устройств возросло на внушительные 13 497 %
Компания «Доктор Веб» опубликовала отчёт о трендах информационной безопасности в сфере Интернета вещей (Internet of Things, IoT).
Согласно представленным аналитиками «Доктор Веб» данным, менее чем за три года количество попыток взлома и заражения IoT-устройств возросло на внушительные 13 497 процентов. Если в четвёртом квартале 2016 года было зафиксировано примерно 730 тысяч таких атак, то всего через год их стало в 32 раза больше — около 24 млн. Ещё через 12 месяцев этот показатель достиг планки в 100 млн. Что же касается текущего года, то лишь за первые шесть месяцев злоумышленниками было совершено 73,5 млн атак — почти столько же, сколько за весь 2018 год. При этом попытки взлома «умных» устройств выполнялись с IP-адресов, расположенных в более чем 50 странах. Чаще всего это были США, Нидерланды, Россия, Германия, Италия, Великобритания, Франция, Канада, Сингапур, Индия, Испания, Румыния, Китай, Польша и Бразилия.
Исследования показывают, что чаще всего взломанные и заражённые устройства Интернета вещей используются киберпреступниками для организации масштабных атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), и распространения вредоносного ПО. В меньшей степени скомпрометированные IoT-устройства задействуются злоумышленниками в качестве прокси-серверов, для удалённого управления заражёнными системами и майнинга криптовалют.
По словам экспертов, многие IoT-устройства плохо или совсем не защищены от атак. «Например, для подключения к ним могут использоваться простые или общеизвестные пары «логин-пароль», которые по умолчанию устанавливаются на сотни тысяч моделей. Их владельцы либо не задумываются об изменении заданных на заводе настроек, либо не могут этого сделать из-за ограничений самих производителей. Злоумышленники относительно легко получают доступ к таким устройствам, используя подбор комбинаций по словарю (так называемый brute force). Кроме того, они могут эксплуатировать уязвимости установленных на них операционных систем», — говорят исследователи.
В настоящий момент активно развиваемый рынок IoT во многом повторяет ситуацию с началом массового распространения персональных компьютеров, когда механизмы борьбы с угрозами для них только обретали форму и совершенствовались. «Пока производители оборудования и владельцы «умных» устройств адаптируются к новым реалиям, у злоумышленников есть огромные возможности для совершения атак. Поэтому в ближайшем будущем стоит ожидать появления новых вредоносных программ для Интернета вещей», — прогнозируют вирусные аналитики «Доктор Веб».
«Доктор Веб»: опасный Android-бэкдор распространяется через Google Play
Компания «Доктор Веб» выявила в Google Play новый троянец-бэкдор, который выполняет команды злоумышленников, позволяет им дистанционно управлять инфицированными Android-устройствами и шпионить за пользователями.
Вредоносная программа получила имя Android.Backdoor.736.origin. Она распространяется под видом приложения OpenGL Plugin для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений.
При запуске Android.Backdoor.736.origin запрашивает доступ к нескольким важным системным разрешениям, которые позволят ему собирать конфиденциальную информацию и работать с файловой системой. Кроме того, он пытается получить допуск к показу экранных форм поверх интерфейса других программ.
В окне вредоносного приложения имеется кнопка для «проверки» обновлений графического программного интерфейса OpenGL ES. После ее нажатия троянец имитирует процесс поиска новых версий OpenGL ES, однако на самом деле никаких проверок он не выполняет и лишь вводит пользователя в заблуждение.
После того как жертва закрывает окно приложения, Android.Backdoor.736.origin убирает свой значок из списка программ меню главного экрана и создает ярлык для своего запуска. Это делается для того, чтобы в дальнейшем пользователю было сложнее удалить троянца, поскольку удаление ярлыка не затронет саму вредоносную программу.
Android.Backdoor.736.origin постоянно активен в фоновом режиме и может запускаться не только через значок или ярлык, но также автоматически при старте системы и по команде злоумышленников через Firebase Cloud Messaging. Основной вредоносный функционал троянца расположен во вспомогательном файле, который зашифрован и хранится в каталоге с ресурсами программы. Он расшифровывается и загружается в память при каждом старте Android.Backdoor.736.origin.
Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды злоумышленников и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging. Android.Backdoor.736.origin способен выполнять следующие действия:
передать на сервер информацию о контактах из телефонной книги; передать на сервер информацию об СМС-сообщениях (в исследованной версии троянца для этого нет необходимых разрешений); передать на сервер информацию о телефонных вызовах; передать на сервер информацию о местоположении устройства; загрузить и запустить apk- или dex-файл с использованием класса DexClassLoader; передать на сервер сведения об установленных программах; скачать и запустить исполняемый файл; загрузить файл с сервера; отправить заданный файл на сервер; передать на сервер информацию о файлах в заданном каталоге или о файлах на карте памяти; выполнить shell-команду; запустить активность, заданную в команде; загрузить и установить Android-приложение; показать уведомление, заданное в команде; запросить заданное в команде разрешение; передать на сервер список разрешений, предоставленных троянцу; не позволять устройству переходить в спящий режим в течение заданного времени. Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.
Android.Backdoor.736.origin способен устанавливать приложения сразу несколькими способами:
автоматически, если в системе есть root-доступ (с использованием shell-команды); при помощи системного менеджера пакетов (только для системного ПО); показав стандартный системный диалог установки программ, где пользователь должен согласиться на инсталляцию. Таким образом, этот бэкдор представляет серьезную опасность. Он не только занимается кибершпионажем, но также может использоваться для фишинга, т. к. способен показывать окна и уведомления с любым содержимым. Кроме того, он может загружать и устанавливать любые другие вредоносные приложения, а также выполнять произвольный код. Например, по команде злоумышленников Android.Backdoor.736.origin может скачать и запустить эксплойт для получения root-полномочий, поле чего ему уже не потребуется участие пользователя для инсталляции других программ.
Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на момент публикации этого материала он уже был удален из Google Play.
Android.Backdoor.736.origin и его компоненты надежно детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей он опасности не представляет.
Мобильный зловред охотится за учетными данными жертв
В июле компания «Доктор Веб» сообщила об опасном мобильном троянце Android.Backdoor.736.origin, который выполнял команды злоумышленников, похищал конфиденциальные данные и мог показывать мошеннические окна и сообщения. В течение июля вирусные аналитики обнаружили множество новых рекламных троянцев семейства Android.HiddenAds, распространявшихся через каталог Google Play.
Кроме того, в вирусную базу были добавлены записи для детектирования нежелательного рекламного модуля Adware.HiddenAds.9.origin, а также троянцев-шпионов Android.Spy.567.origin и Android.Spy.568.origin.
Наиболее распространенные вредоносные программы под Android, по данным статистики:
Android.Backdoor.682.origin – троянец, который выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства; Android.HiddenAds.1424 – троянец, предназначенный для показа навязчивой рекламы. Распространяется под видом популярных приложений; Android.RemoteCode.197.origin, Android.RemoteCode.5564, Android.RemoteCode.216.origin – вредоносные приложения, предназначенные для загрузки и выполнения произвольного кода.
Самые распространенные нежелательные и потенциально опасные программы, а также модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах: Adware.Zeus.1, Adware.Gexin.3.origin, Adware.Patacore.253, Adware.Altamob.1.origin.
Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки: Tool.VirtualApk.1.origin.
С начала июля вирусные аналитики выявили в Google Play множество рекламных троянцев семейства Android.HiddenAds, которые установили свыше 8,2 млн. пользователей. Эти вредоносные программы распространялись под видом безобидных игр и полезных приложений – фильтров для фотокамеры, системных утилит, будильников и т.д. После запуска троянцы скрывали свой значок из списка ПО на главном экране и начинали показывать баннеры, которые мешали работе с устройствами.
Кроме того, был выявлен нежелательный рекламный модуль Adware.HiddenAds.9.origin, встроенный в программу-компас и сборник обоев для рабочего стола. Он отображал рекламу даже тогда, когда эти приложения были закрыты.
Вместе с тем в прошедшем месяце в вирусную базу Dr.Web были добавлены записи для детектирования троянцев-шпионов Android.Spy.567.origin и Android.Spy.568.origin. Первый передавал на удаленный сервер SMS-сообщения, информацию о телефонных звонках, записи календаря и телефонной книги, а также сведения о хранящихся на устройстве файлах.
Второй показывал мошенническое сообщение, в котором потенциальной жертве сообщалось о необходимости установки обновления одного из компонентов Google Play. Если пользователь соглашался, троянец отображал фишинговое окно, которое имитировало страницу входа в учетную запись Google.
Вирусописатели допустили грамматическую ошибку во фразе «Sign in», что могло указать на подделку. Если же жертва этого не замечала и авторизовывалась в своем аккаунте, Android.Spy.568.origin крал данные текущей сессии, и злоумышленники получали доступ к конфиденциальной информации – записям календаря, проверочным кодам, телефонам и адресам электронной почты для восстановления доступа к учетной записи.
Стартовало бета-тестирование Dr.Web Enterprise Security Suite 12.0
Компания «Доктор Веб» сообщила о начале открытого бета-тестирования двенадцатой версии комплексного решения Dr.Web Enterprise Security Suite, обеспечивающего централизованную защиту всех узлов корпоративной сети — рабочих станций, почтовых, файловых серверов и серверов приложений, включая терминальные, интернет-шлюзов и мобильных устройств сотрудников организации.
Решение Dr.Web Enterprise Security Suite имеет клиент-серверную архитектуру. Клиентские компоненты комплекса устанавливаются на защищаемые рабочие станции, мобильные устройства и прочие узлы корпоративной сети. Серверная часть продукта обеспечивает централизованное администрирование антивирусной и антиспам-защиты сети предприятия, включая развёртывание, обновление вирусных баз и программных модулей компонентов, мониторинг состояния сети, оповещение о вирусных событиях, сбор статистики. Для связи сервера Dr.Web с агентами используются протоколы TCP/IP.
В новой версии Dr.Web Enterprise Security Suite 12.0 реализована поддержка протокола SMBv2, ОС Windows Server 2019 и добавлен компонент «Контроль приложений», при помощи которого системные администраторы и ИБ-службы могут определять, запуск каких программ разрешать, а каких — запрещать на защищаемых рабочих станциях. Также сообщается о включении в состав продукта дополнительных диагностических утилит, доработках средств аудита защищаемой IT-инфраструктуры, расширении набора настроек, добавлении журнала аварийно завершённых соединений сервера Dr.Web с клиентскими машинами и внесении ряда изменений в инструменты управления программным комплексом. Отдельный акцент делается на прекращении поддержки сервером Dr.Web операционных систем ниже Windows 7 (х32) и Windows Server 2008 R2 (х64). С полным списком нововведений можно ознакомиться по этой ссылке.
В компании подчёркивают, что бета-версия защитного решения предназначена исключительно для ознакомления с продуктом и может содержать некоторые ошибки или недоработки. Не рекомендуется использовать тестовую сборку Dr.Web Enterprise Security Suite 12.0 для защиты информации на рабочих станциях и серверах, критически важных для функционирования IT-инфраструктуры организации.
