27 января 2023 года

Согласно данным статистики детектирований антивируса Dr.Web для Android, в декабре 2022 года возросла активность рекламных троянских приложений, а также шпионских программ. В то же время в течение предыдущего месяца в каталоге Google Play было выявлено множество новых угроз, включая десятки программ-подделок, а также троянские приложения, подписывающие жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Android.Spy.4498

Детектирование различных вариантов трояна, который представляет собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Эта вредоносная программа может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3558

Троянская программа, предназначенная для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.MobiDash.6950

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.FakeMoney.3

Program.FakeMoney.7

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, при этом для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.17.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.ApkProtector.16.origin

Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.AdPush.36.origin

Adware.Adpush.19599

Adware.SspSdk.1.origin

Adware.Airpush.7.origin

Adware.Fictus.1.origin

Угрозы в Google Play

В декабре 2022 года специалисты компании «Доктор Веб» выявили множество новых угроз в каталоге Google Play. Среди них — десятки троянских программ из семейства Android.FakeApp. Они подключались к удаленному серверу и в соответствии с поступающими от него настройками вместо предоставления ожидаемых функций могли демонстрировать содержимое различных сайтов, в том числе фишинговых.

Некоторые из этих программ-подделок распространялись под видом инвестиционных приложений, справочников и опросников. С их помощью пользователи якобы могли повысить финансовую грамотность, вложить деньги в фондовый и криптовалютный рынки, напрямую торговать нефтью и газом и даже бесплатно получить акции крупных компаний. Вместо этого им предлагалось указать персональные данные для отправки «заявки» на регистрацию учетной записи или для связи со «специалистом».

Другие программы-подделки скрывались во множестве игр.

В зависимости от получаемой от управляющего сервера конфигурации они могли демонстрировать сайты различных онлайн-казино или безобидную игру, как показано на примерах ниже.

Также была выявлена очередная программа-подделка, которая распространялась под видом приложения для поиска работы под названием SEEKS. На самом деле она загружала веб-сайты с вымышленными вакансиями и заманивала потенциальных жертв в руки мошенников. Эта подделка была добавлена в вирусную базу Dr.Web как Android.FakeApp.1133.

Получившую имя Android.FakeApp.1141 вредоносную программу злоумышленники выдавали за VPN-клиент Safe VPN. На самом деле это было поддельное приложение.

Программа при запуске демонстрировала содержимое сайта, на котором потенциальным жертвам предлагалось всего за 1 рубль получить доступ к VPN-сервису. Для этого от них требовалось создать учетную запись и произвести оплату банковской картой. В действительности они приобретали пробную трехдневную версию услуги, и по истечении пробного периода с их счета ежедневно должна была списываться сумма в 140 рублей. Информация об этих условиях присутствовала на сайте, однако располагалась таким образом, что большинство жертв этой схемы обмана могло ее не заметить.

При этом данное приложение имитировало возможность подключения к защищенной сети, уведомляя пользователей об успешном соединении. На самом деле это был обман — заявленная функциональность в программе отсутствовала.

Были обнаружены и очередные мошеннические программы, которые якобы позволяли зарабатывать на выполнении тех или иных заданий. Так, приложение Wonder Time предлагало устанавливать, запускать и использовать другие программы и игры. За это пользователи получали виртуальное вознаграждение — токены, которые якобы можно было обменять на настоящие деньги. Однако, чтобы вывести «заработанное», требовалось накопить миллионы наград, в то время как за выполнение заданий начислялись лишь небольшое количество токенов. Таким образом, даже если пользователи могли собрать требуемую сумму, они затратили бы на это намного больше времени, сил и других ресурсов по сравнению с ожидаемой выгодой. В зависимости от версии это приложение детектируется Dr.Web как Program.FakeMoney.4, Program.FakeMoney.5 и Program.FakeMoney.6.

Несколько программ с аналогичным принципом работы были внесены в вирусную базу Dr.Web как Program.FakeMoney.7. Например, этой записью детектируются приложения Lucky Habit: health tracker, WalkingJoy и некоторые версии Lucky Step-Walking Tracker. Первая распространялась в качестве программы для выработки полезных привычек, другие — как шагомеры. Они начисляли виртуальное вознаграждение («тикеты» или «монеты») за различные достижения — пройденное пользователями расстояние, соблюдение распорядка дня и т. д., а также позволяли получать дополнительные начисления за просмотр рекламы.

Как и в предыдущем случае, для начала процесса вывода заработанных наград было необходимо накопить их существенный объем. Если собрать необходимую сумму пользователю удавалось, программы дополнительно требовали просмотреть несколько десятков рекламных роликов. Затем они предлагали просмотреть еще несколько десятков объявлений, чтобы «ускорить» процесс вывода. При этом проверка корректности указываемых пользователем платежных данных не проводилась, поэтому вероятность получения им каких-либо выплат от этих программ крайне мала.

Более того, ранние версии Lucky Step-Walking Tracker, которые детектирует антивирус Dr.Web, предлагали конвертировать награду в подарочные карты интернет-магазинов. Однако с выходом обновления приложения разработчики убрали возможность обмена наград на настоящие деньги, избавившись от соответствующих элементов интерфейса. В результате все ранее накопленные начисления фактически стали бесполезными цифрами. При этом и Lucky Habit: health tracker, и Lucky Step-Walking Tracker, и WalkingJoy имеют общий управляющий сервер [string]richox[.]net[/string]. Это может говорить о том, что они связаны друг с другом, и что пользователи Lucky Habit: health tracker и WalkingJoy в любой момент также могут лишиться всех надежд на получение выплат.

Среди обнаруженных угроз также оказались и новые троянские приложения из семейства Android.Joker, которые подписывают жертв на платные услуги. Они скрывались в таких программах как Document PDF Scanner (Android.Joker.1941), Smart Screen Mirroring (Android.Joker.1942) и Smart Night Clock (Android.Joker.1949).

Кроме того, в каталоге Google Play распространялась программа FITSTAR, позиционируемая как фитнес-приложение.

При запуске она загружала веб-сайты, где пользователям за относительно небольшие деньги — 29 рублей — предлагалось приобрести индивидуальные планы похудения. При этом в действительности указанная цена не была окончательной. За эти деньги они лишь приобретали пробный доступ к сервису на 1 день. По окончании пробного периода выполнялось автоматическое продление подписки на 4 дня — уже за 980 рублей. Стоимость же полного доступа к сервису могла достигать 7000 рублей, при этом предполагалось дальнейшее автоматическое продление имеющейся подписки.

Таким образом, установившие данную программу владельцы Android-устройств по неосторожности могли лишиться существенной суммы денег. Это приложение было добавлено в вирусную базу Dr.Web как Program.Subscription.1.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

27 января 2023 года

Анализ статистики детектирований антивируса Dr.Web в декабре показал рост общего числа обнаруженных угроз на 14,02% по сравнению с ноябрем. Число уникальных угроз при этом также увеличилось — на 2,2%. Наиболее активными по-прежнему остаются рекламные приложения. В почтовом трафике чаще всего встречались вредоносные скрипты, ПО для эксплуатации различных уязвимостей, а также рекламные программы.

Число обращений пользователей за расшифровкой файлов снизилось на 1,5% по сравнению с предыдущим месяцем. Наиболее часто жертвы энкодеров сталкивались с такими троянскими программами как Trojan.Encoder.3953, Trojan.Encoder.26996 и Trojan.Encoder.34027.

Кроме того, в декабре вирусные аналитики компании «Доктор Веб» вновь выявили многочисленные угрозы в каталоге Google Play. Среди них были как троянские, так и нежелательные приложения.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Downware.20091

Adware.Downware.20261

Adware.Downware.20272

Adware.Downware.20280

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Exploit.CVE-2018-0798.4

Exploit.CVE-2017-11882.123

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

LNK.Starter.56

Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.

Шифровальщики

В минувшем месяце число запросов на расшифровку файлов, поврежденных троянами-шифровальщиками, снизилось на 1,5% по сравнению с ноябрем.

• Trojan.Encoder.3953 — 22.98%
• Trojan.Encoder.26996 — 18.12%
• Trojan.Encoder.34027 — 6.80%
• Trojan.Encoder.30356 — 1.94%
• Trojan.Encoder.35209 — 1.94%

Опасные сайты

В прошлом месяце интернет-аналитики «Доктор Веб» вновь наблюдали рост числа сайтов, которые маскировались под веб-ресурсы крупных российских нефтегазовых и других компаний. На них потенциальным жертвам предлагается выгодно вложить деньги в те или иные проекты.

На скриншоте изображен пример одного из таких сайтов. Мошенники предлагают пользователям торговать газом, при этом на странице расположены ложные счетчики посещения и количества оставшихся для регистрации свободных мест. Второй счетчик показывает, что мест якобы практически не осталось. Этот прием применяется для того, чтобы жертвы совершили так называемую спонтанную или импульсную покупку — согласились с предложением под влиянием эмоций. Чтобы «начать» торговлю, от посетителей сайта требуется указать персональные данные.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в заключительном месяце 2022 года возросла активность рекламных троянских приложений, а также шпионских программ. При этом в течение декабря в каталоге Google Play вновь было выявлено множество новых угроз. Среди них — опасные трояны Android.Joker, которые подписывали жертв на платные услуги, программы-подделки Android.FakeApp, применяемые в различных мошеннических схемах, а также нежелательное ПО.

Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:

• рост активности рекламных троянских программ и шпионских приложений;
• появление очередных угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.

25 января 2023 года

Специалисты «Доктор Веб» продолжают совершенствовать популярную лечащую утилиту Dr.Web CureIt! и подготовили ее очередное обновление.

Устранены причины возможного «зависания» системы при сканировании дисков, а также исправлена ошибка, которая могла приводить к некорректному завершению работы утилиты на компьютерах с малым объемом оперативной памяти.

Dr.Web CureIt — утилита, которая позволяет просканировать рабочие станции и серверы под управлением MS Windows на наличие вредоносных и нежелательных программ и при необходимости произвести лечение. Работает на Windows 7–11, а также совместима с Windows XP и Vista, которые более не поддерживаются корпорацией Microsoft. Интерфейс сканера реализован более чем на 20 языках. Для домашнего использования утилита бесплатна.

Скачать Dr.Web CureIt!

25 января 2023 года

Сообщаем об обновлении Dr.Web 12.0 для рабочих станций Windows (с централизованным управлением): устранена выявленная ранее ошибка.

Ошибка возникала при подключении Dr.Web 13.0 для рабочих станций Windows (с централизованным управлением) к Центру управления 12-й версии для получения обновлений вирусных баз.

Обновление пройдет автоматически.

Dr.Web для рабочих станций Windows в составе продукта Dr.Web Desktop Security Suite предназначен для защиты системной памяти, жестких дисков и съемных носителей от угроз любого типа: вирусов, руткитов, троянских, шпионских, и рекламных программ, хакерских утилит и других вредоносных объектов. Наш антивирус работает на ПК под управлением широкого спектра операционных систем: от Windows XP и до новейшей Windows 11. За счет централизованного управления администратор может настраивать Dr.Web и реагировать на инциденты на защищаемых компьютерах со своего рабочего места.

23 января 2023 года

«Доктор Веб» сообщает об устранении потенциальной причины медленной обработки почты в продуктах Dr.Web для рабочих станций Linux и Dr.Web для почтовых серверов UNIX.

Компания «Доктор Веб» продолжает вносить улучшения в свои антивирусные продукты. В рамках данного релиза была исправлена проблема, которая могла быть потенциальной причиной медленной обработки писем.

Решения компании «Доктор Веб» работают в самых разных конфигурациях различных операционных систем, в частности — во множестве Linux-подобных ОС. Постоянное совершенствование делает продукты Dr.Web очень востребованными среди бизнес-пользователей, а также позволяет использовать их для защиты данных в организациях с повышенными требованиями к уровню безопасности, в том числе — данных уровня «совершенно секретно».

23 января 2023 года

В ряде продуктов Dr.Web оперативно устранены выявленные ошибки, которые могли затруднять комфортное использование защиты.

Устранена причина ложных блокировок при запуске сторонних процессов через инструментарий управления Windows (WMI, что могло препятствовать работе с легитимными приложениями. Также исправлена ошибка, в некоторых случаях вызывавшая необоснованное сообщение антивируса о повреждении лицензии.

Изменения коснулись Dr.Web 12.0 для Windows в составе Dr.Web Security Space (защита ПК), Dr.Web 12.0 для серверов Windows в Dr.Web Server Security Suite, Dr.Web 12.0 и 13.0 для рабочих станций Windows (с централизованным управлением) в Dr.Web Desktop Security Suite и Dr.Web 13.0 для Windows по подписке.

Обновление пройдет автоматически.

20 января 2023 года

«Доктор Веб» представляет обновленный до версии 2.0.1 Dr.Web для мобильных устройств Аврора.

Основным нововведением стали настройки для обновления вирусных баз: теперь их можно обновлять в фоновом режиме, задавать периодичность обновлений и загружать базы через протоколы HTTP или HTTPS. Обновление для пользователей становится удобнее.

Использование лицензии упрощено: активировать лицензию теперь можно сразу из архива с ключевым файлом, не распаковывая его.

Помимо этого, внесен ряд других изменений и улучшений, а выявленные в работе продукта ошибки исправлены.

Перед установкой обновленной версии приложения предыдущую требуется удалить.

Dr.Web — первый антивирус для первой отечественной мобильной ОС Аврора, разработанной для бизнес-пользователей и госкорпораций.

11 января 2023 года

В антивирусное ядро Dr.Web Virus-Finding Engine внесены изменения, которые увеличивают скорость сканирования и позволяют избежать возможных «зависаний».

Ядро обновлено в продуктах Dr.Web, работающих на платформах х64, х86, ARM64, ppc64le и «Эльбрус», — как корпоративных, так и «домашних». Dr.Web Virus-Finding Engine – основной компонент, отвечающий за антивирусную защиту системы. В нем реализованы алгоритмы поиска и распознавания вирусов и вредоносных программ, а также механизм анализа подозрительного поведения.

Корпоративные продукты, входящие в комплекс Dr.Web Enterprise Security Suite, обеспечивают централизованную защиту всех популярных ОС и платформ, в том числе российских, оперативно выявляя любые угрозы вне зависимости от размеров сети. Продукты Dr.Web для домашнего использования, в которых применяются те же компоненты и технологии, что и в бизнес-решениях, защищают ПК под управлением Windows, Linux и macOS — и так же уберегают пользователей от всех видов вредоносных программ и интернет-мошенников. Антивирусное ядро Dr.Web Virus-Finding Engine является общим для всех продуктов Dr.Web.

Обновление пройдет автоматически.

10 января 2023 года

«Доктор Веб» сообщает об обновлении в продуктах Антивирус Dr.Web 12.0 и 13.0 для рабочих станций (Windows), Антивирус Dr.Web 13.0 для ПК (Windows) по подписке. Обновление позволило усовершенствовать старые и реализовать новые методы обнаружения и обезвреживания угроз, повысить быстродействие и уменьшить потребление памяти.

В частности, в рамках релиза была усилена защита от шифровальщиков: изменения для снижения числа пропусков этих опасных вредоносных программ внесены в модуль Превентивной защиты.

Вредоносное ПО наносит огромный ущерб как бизнесу, так и отдельным пользователям. Один из самых активных сегментов в этой сфере — вирусы-шифровальщики. Чаще всего они попадают в корпоративную сеть через сотрудника, который по невнимательности (или иным причинам) открывает зараженный файл, сайт или флешку. В службу технической поддержки «Доктор Веб» ежемесячно поступает порядка 500 заявок на расшифровку файлов, пострадавших от действий троянцев-энкодеров. Работа над снижением количества атак шифровальщиков на защищаемые компьютеры — в числе основных приоритетов компании.

30 декабря 2022 года

Компания «Доктор Веб» выявила вредоносную программу для ОС Linux, которая взламывает сайты на базе CMS WordPress через эксплуатацию 30 уязвимостей в ряде плагинов и тем оформления для этой платформы. Если на сайтах используются устаревшие версии таких плагинов без необходимых исправлений, в целевые веб-страницы внедряются вредоносные JavaScript-скрипты. После этого при клике мышью в любом месте атакованной страницы пользователи перенаправляются на другие ресурсы.

Киберпреступники на протяжении многих лет атакуют сайты на базе WordPress. Эксперты по информационной безопасности наблюдают за случаями, когда для взлома интернет-ресурсов и внедрения в них вредоносных скриптов применяются различные уязвимости платформы и ее компонентов. Проведенный специалистами «Доктор Веб» анализ обнаруженной троянской программы показал, что она может быть тем вредоносным инструментом, с помощью которого злоумышленники более 3 лет совершали подобные атаки и зарабатывали на перепродаже трафика — арбитраже.

Вредоносная программа, получившая по классификации Dr.Web имя Linux.BackDoor.WordPressExploit.1, предназначена для работы на устройствах под управлением 32-битных ОС семейства Linux, однако может функционировать и в 64-битных системах. Linux.BackDoor.WordPressExploit.1 — это бэкдор, которым злоумышленники управляют дистанционно. По их команде он способен выполнять следующие действия:

• атаковать заданную веб-страницу (сайт);
• переходить в режим ожидания;
• завершать свою работу;
• останавливать ведение журнала выполненных действий.

Основной функцией трояна является взлом веб-сайтов на базе системы управления контентом WordPress и внедрение вредоносного скрипта в их веб-страницы. Для этого он использует известные уязвимости в плагинах для WordPress, а также в темах оформления сайтов. Перед атакой троян связывается с управляющим сервером и получает от него адрес веб-ресурса, который требуется взломать. Затем Linux.BackDoor.WordPressExploit.1 по очереди пытается эксплуатировать уязвимости в устаревших версиях следующих плагинов и тем, которые могут быть установлены на сайте:

• WP Live Chat Support Plugin
• WordPress – Yuzo Related Posts
• Yellow Pencil Visual Theme Customizer Plugin
• Easysmtp
• WP GDPR Compliance Plugin
• Newspaper Theme on WordPress Access Control (уязвимость CVE-2016-10972)
• Thim Core
• Google Code Inserter
• Total Donations Plugin
• Post Custom Templates Lite
• WP Quick Booking Manager
• Faceboor Live Chat by Zotabox
• Blog Designer WordPress Plugin
• WordPress Ultimate FAQ (уязвимости CVE-2019-17232, CVE-2019-17233)
• WP-Matomo Integration (WP-Piwik)
• WordPress ND Shortcodes For Visual Composer
• WP Live Chat
• Coming Soon Page and Maintenance Mode
• Hybrid

В случае успешной эксплуатации одной или нескольких уязвимостей в целевую страницу внедряется загружаемый с удаленного сервера вредоносный JavaScript. При этом инжектирование происходит таким образом, что при загрузке зараженной страницы данный JavaScript будет инициирован самым первым, — независимо от того, какое содержимое было на странице ранее. В дальнейшем при клике мышью в любом месте зараженной страницы пользователи будут перенаправлены на нужный злоумышленникам сайт.

Пример инжекта в одной из взломанных страниц:

Троянская программа ведет статистику своей работы: она отслеживает общее число атакованных сайтов, все случаи успешного применения эксплойтов и дополнительно — число успешных эксплуатаций уязвимостей в плагине WordPress Ultimate FAQ и Facebook-мессенджере* от компании Zotabox. Кроме того, он информирует удаленный сервер обо всех выявленных незакрытых уязвимостях.

Вместе с текущей модификацией этой троянской программы наши специалисты также выявили ее обновленную версию — Linux.BackDoor.WordPressExploit.2. Она отличается от исходной адресом управляющего сервера, адресом домена, с которого загружается вредоносный скрипт, а также дополненным списком эксплуатируемых уязвимостей для следующих плагинов:

• Brizy WordPress Plugin
• FV Flowplayer Video Player
• WooCommerce
• WordPress Coming Soon Page
• WordPress theme OneTone
• Simple Fields WordPress Plugin
• WordPress Delucks SEO plugin
• Poll, Survey, Form & Quiz Maker by OpinionStage
• Social Metrics Tracker
• WPeMatico RSS Feed Fetcher
• Rich Reviews plugin

При этом в обоих вариантах трояна была обнаружена нереализованная функциональность для взлома учетных записей администраторов атакуемых веб-сайтов методом грубой силы (брутфорс) — подбором логинов и паролей по имеющимся словарям. Можно предположить, что данная функция присутствовала в более ранних модификациях, либо, наоборот, запланирована злоумышленниками для будущих версий вредоносного приложения. Если такая возможность появится в других версиях бэкдора, киберпреступники смогут успешно атаковать даже часть тех сайтов, где используются актуальные версии плагинов с закрытыми уязвимостями.

Компания «Доктор Веб» рекомендует владельцам сайтов на базе CMS WordPress вовремя обновлять все компоненты платформы, включая сторонние плагины и темы, а также использовать надежные и уникальные логины и пароли к учетным записям.

* Деятельность социальной сети Facebook запрещена на территории России.

Индикаторы компрометации

Подробнее о Linux.BackDoor.WordPressExploit.1

Подробнее о Linux.BackDoor.WordPressExploit.2

23 декабря 2022 года

В ноябре анализ статистики детектирований антивируса Dr.Web показал снижение общего числа обнаруженных угроз на 8,58% по сравнению с октябрем. В то же время число уникальных угроз выросло на 3,27%. Наибольшую активность вновь проявили всевозможные рекламные приложения. В почтовом трафике преобладали вредоносные скрипты, трояны-загрузчики, рекламные программы и угрозы, которые для заражения атакуемых компьютеров эксплуатируют различные уязвимости.

Число обращений пользователей за расшифровкой файлов в минувшем месяце снизилось на 6,8% по сравнению с октябрем. Наиболее часто жертвы энкодеров сталкивались с троянской программой Trojan.Encoder.26996 — она стала причиной 28,24% зафиксированных инцидентов. Второй по распространенности оказалась вредоносная программа Trojan.Encoder.3953 с долей 22,19%. На третьем месте расположился Trojan.Encoder.567 — он стал виновником 2,88% выявленных случаев повреждения пользовательских файлов.

В течение ноября вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество новых угроз для ОС Android. Среди них — вредоносные программы, которые загружали мошеннические веб-сайты, а также троянские приложения, которые подписывали жертв на платные услуги.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.Downware.20091

Adware.Downware.20088

Adware.Downware.20261

Adware.Downware.20272

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Exploit.CVE-2018-0798.4

Эксплойт для использования уязвимости в ПО Microsoft Office, позволяющий выполнить произвольный код.

Trojan.Packed2.44597

Троянская программа-загрузчик, написанная на C#. Она загружает широкий спектр вредоносных приложений на атакуемые компьютеры, например — представителей семейств Formbook, SnakeKeylogger, AgentTesla, Redline, AsyncRAT и другие.

Adware.Downware.19998

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Шифровальщики

В минувшем месяце число запросов на расшифровку файлов, испорченных троянами-шифровальщиками, снизилось на 6,8% по сравнению с октябрем.

• Trojan.Encoder.26996 — 28.24%
• Trojan.Encoder.3953 — 22.19%
• Trojan.Encoder.567 — 2.88%
• Trojan.Encoder.34027 — 2.31%
• Trojan.Encoder.30356 — 1.73%

Опасные сайты

В ноябре 2022 года интернет-аналитики «Доктор Веб» продолжили фиксировать фишинговые рассылки и атаки с применением различных мошеннических сайтов. Среди таких сайтов вновь были отмечены ресурсы, которые вводили пользователей в заблуждение якобы выгодными предложениями. Например, получить бесплатные лотерейные билеты или принять участие в различных акциях известных интернет-магазинов и компаний.

На скриншотах ниже показан пример мошеннического сайта, где по заранее заготовленному сценарию имитируется розыгрыш лотереи и сообщается о выигрыше. Для «получения» денег потенциальной жертве предлагается оплатить пошлину или комиссию. Если пользователь поверит и согласится на оплату, его деньги уйдут мошенникам. Кроме того, он рискует раскрыть данные своей банковской карты.

На следующем изображении — поддельный сайт крупного российского ритейлера, где потенциальной жертве мошенников предлагается принять участие в новогодней акции с перспективой получить подарок. Вначале пользователь должен пройти опрос, а затем — поучаствовать в мини-игре и угадать, в какой из коробок находится приз. Как и в предыдущем случае, факт выигрыша здесь заранее предопределен. Для «получения» подарка пользователь должен поделиться предоставленной ему ссылкой с определенным числом контактов или групп в мессенджере WhatsApp. При этом подвох заключается в том, что такая ссылка будет вести не на текущий, как могла бы предположить жертва, а на какой-либо другой сайт. В том числе это может быть сайт с фишингом или рекламой, либо веб-ресурс, распространяющий вредоносные приложения. После того как введенный в заблуждение пользователь распространит ссылку на сомнительный сайт среди большого числа своих контактов, он увидит сообщение с ложной информацией о том, что его заявка на участие в акции якобы находится в обработке.

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований антивируса Dr.Web для Android, в ноябре возросла активность банковских, а также рекламных троянских приложений. В то же время пользователи реже сталкивались с программами, содержащими нежелательные рекламные модули.

В течение месяца наши вирусные аналитики выявили в каталоге Google Play десятки новых вредоносных приложений. Среди них — множество программ-подделок из семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах, а также троянские программы Android.Joker и Android.Subscription, подписывающие жертв на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

• рост активности банковских и рекламных троянских программ;
• появление новых угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.

23 декабря 2022 года

Согласно данным статистики детектирований антивируса Dr.Web для Android, в ноябре незначительно снизилась активность троянских и нежелательных приложений, демонстрирующих рекламу. Тем не менее, они по-прежнему остаются одними из наиболее распространенных Android-угроз. Вместе с тем возросла активность программ, которые могут применяться для кибершпионажа.

В течение месяца вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play множество новых вредоносных приложений. Среди них — десятки программ-подделок, которые киберпреступники используют в различных мошеннических схемах, а также трояны, подписывающие жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106

Android.Spy.4498

Детектирование различных модификаций трояна, который похищает содержимое уведомлений от других приложений. Он также загружает и предлагает пользователям установить другие программы и может демонстрировать диалоговые окна.

Android.HiddenAds.3558

Троянская программа, предназначенная для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.MobiDash.6950

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.BankBot.11466

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.FakeMoney.3

Программа, якобы позволяющая зарабатывать на просмотре видеороликов и рекламы. Она имитирует начисление вознаграждений за выполненные задания. Для вывода «заработанных» денег пользователи якобы должны накопить определенную сумму, но даже когда им это удается, получить выплаты они не могут.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.13.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.Obfuscapk.1

Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.AdPush.36.origin

Adware.Adpush.6547

Adware.Fictus.1.origin

Adware.SspSdk.1.origin

Adware.Airpush.7.origin

Угрозы в Google Play

В ноябре 2022 года вирусные аналитики компании «Доктор Веб» обнаружили более 80 новых вредоносных приложений в каталоге Google Play. Среди них было множество троянских программ из семейства Android.FakeApp — злоумышленники использовали их в различных мошеннических схемах. Например, трояны Android.FakeApp.1036, Android.FakeApp.1039, Android.FakeApp.1041, Android.FakeApp.1045, Android.FakeApp.1046, Android.FakeApp.1047 и Android.FakeApp.1055 распространялись под видом приложений для поиска работы, но на самом деле лишь загружали веб-сайты с поддельными вакансиями.

Когда пользователи пытались откликнуться на понравившиеся объявления, у них запрашивалась персональная информация — имя и фамилия, адрес электронной почты и номер мобильного телефона. В дальнейшем эти данные попадали в руки киберпреступников. При этом в ряде случаев потенциальным жертвам мошенников предлагалось связаться с «работодателем» напрямую — например, через мессенджеры WhatsApp и Telegram. Выдавая себя за представителей различных компаний, злоумышленники приглашали пользователей стать участниками сомнительных сервисов онлайн-заработка, после чего пытались выманить у них деньги. Подробнее об этом случае рассказано в материале на нашем сайте.

Троянские приложения, получившие имена Android.FakeApp.1081, Android.FakeApp.1082, Android.FakeApp.1083 и Android.FakeApp.1084, якобы позволяли зарабатывать на просмотре рекламы. Они загружали рекламные видеоролики и баннеры. За каждый успешный просмотр полноэкранной рекламы пользователю «начислялась» награда — 1 рубль. Однако при попытке вывести деньги программы сообщали, что для этого требуется накопить большую сумму — до нескольких тысяч рублей. В данном случае создатели подделок обманывали жертв, чтобы те просматривали как можно больше рекламы и приносили доход злоумышленникам. При этом для увеличения объема рекламного трафика в «справке» некоторых модификаций троянов сообщалось, что при клике по объявлениям вознаграждение якобы увеличится до 2 рублей. Никаких выплат пользователи на самом деле не получали и лишь тратили время.

Эти вредоносные приложения были нацелены на русскоязычных пользователей, однако их авторы допустили множество грамматических и лексических ошибок. Среди них — ошибки в названиях программ (например, «Заработка без вложений», «Заработка денег с Одной клик»), а также ошибки в текстах интерфейса (например, «Порог начисление деньги это 2000 рублей», «Вам зачисленно 1 рублей», «Вам надо заработать 3000 рублей чтобы вывести денег»).

Наши специалисты выявили более 20 модификаций этих троянских программ.

Среди найденных подделок были и очередные троянские приложения, якобы позволяющие зарабатывать на различных инвестициях в криптовалюту и фондовый рынок, а также в торговлю нефтью и газом. Они распространялись под видом всевозможных инструментов, таких как справочники и непосредственно приложения для торговли, и предназначались для пользователей из ряда стран, включая Россию и Казахстан. Эти подделки загружали мошеннические сайты, вводя потенциальных жертв в заблуждение.

Помимо них, специалисты «Доктор Веб» выявили в каталоге Google Play троянские приложения, подписывающие жертв на платные услуги. Они были внесены в вирусную базу Dr.Web как Android.Joker.1917, Android.Joker.1920 и Android.Joker.1921, а также Android.Subscription.13, Android.Subscription.14 и Android.Subscription.15. Первые три скрывались в программах Paint Art, Emoji Chat Messages и Art Filters Paint. Остальные — в приложениях Call Fhone, IOS Launch и Clapper Radar.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

16 декабря 2022 года

В Агентах Антивируса Dr.Web 12.0 и 13.0 для рабочих станций (Windows) устранена проблема, приводившая к возможным ошибкам обновления антивируса.

Проблема могла возникать при переключении однопользовательского Антивируса Dr.Web для ПК (Windows) в режим централизованной защиты — после установки Агента в уже защищенную систему.

Обновление пройдет автоматически.

16 декабря 2022 года

В Агенте устранена проблема, связанная с перемещаемыми пользовательскими профилями: папка профиля не удалялась из-за того, что содержала лог-файл. Перемещаемые профили используются для удобного доступа сотрудников, использующих ОС Windows, к своим данным с любого компьютера в локальной сети, без привязки к рабочему месту.

Изменения внесены в Агент Антивируса Dr.Web 12.0 и 13.0 для рабочих станций (Windows), Антивируса Dr.Web 12.0 для ПК (Windows) и Антивируса Dr.Web 12.0 для файловых серверов (Windows).

Обновление пройдет автоматически.

16 декабря 2022 года

Обновлены продукты Антивирус Dr.Web 11.1 для рабочих станций (Linux), Антивирус Dr.Web 11.1 для почтовых серверов (UNIX) и Антивирус Dr.Web 11.1 для интернет-шлюзов (UNIX). При обновлении исправлены выявленные ошибки.

В Антивирусе Dr.Web 11.1 для почтовых серверов (UNIX) и Антивирусе Dr.Web 11.1 для рабочих станций (Linux) исправлена ошибка, с которой сталкивались пользователи hMailServer при включенном веб-антивирусе SpIDer Gate.

В Антивирусе Dr.Web 11.1 для рабочих станций (Linux) устранена проблема, возникавшая при проверке почтовых сообщений.

UNIX-продукты Dr.Web пользуются неизменной популярностью среди бизнес-пользователей и постоянно совершенствуются. В числе преимуществ — поддержка платформ «Эльбрус» и ARM64 (включая «Байкал») и совместимость с широким спектром UNIX-подобных операционных систем на базе ядра Linux, а также FreeBSD.

15 декабря 2022 года

«Доктор Веб» сообщает про обновление в продукте Dr.Web FixIt!. Главное в этом релизе — реализация двух новых команд, расширяющих функционал лечения файла HOSTS, а также их поддержка в веб-интерфейсе сервиса.

Файл HOSTS используется операционной системой Windows для перевода символьных доменных имен в соответствующие этим именам IP-адреса. Он представляет собой обычный текстовый документ без видимого расширения. Прописав в него несколько строчек, можно заблокировать доступ к определенным интернет-ресурсам, перенаправлять программы между сайтами или запретить выход в интернет любому приложению.

Мошенники не прошли мимо возможностей, предоставляемых редактированием HOSTS. Ряд интегрированных в установщики вредоносные приложения самостоятельно вносят изменения в этот текстовый документ с целью посещения определенных сайтов или воровства паролей от социальных сетей. Схема их работы следующая: во время инсталляции приложения устанавливается вредоносная программа, которая изменяет HOSTS таким образом, чтобы тот перенаправлял с популярных сайтов на сайт злоумышленников или страницу с рекламным содержимым. После ввода пароля и логина вредоносный сайт отправляет их злоумышленнику на электронную почту.

В рамках релиза в Dr.Web FixIt! добавлены две новые команды для лечения файла HOSTS: hosts-default и hosts-cure. Они предназначены для ситуаций, когда вредоносная программа вносит много изменений, которые трудозатратно лечить по одному.

9 декабря 2022 года

В связи с выявленной и оперативно исправленной ошибкой в продуктах Dr.Web Security Space 12.0 и Антивирус Dr.Web 12.0 для файловых серверов Windows обновлен антируткитный модуль.

Проблема заключалась в возможном отключении антивируса, если пользователь переместил системную папку Temp (временные файлы) в корневой каталог диска.

Обновление пройдет автоматически.

8 декабря 2022 года

Сообщаем об улучшениях продуктов Dr.Web Security Space 12.0 и Антивирус Dr.Web 12.0 для файловых серверов Windows. Существенно увеличена скорость работы на современных версиях Windows, улучшено детектирование и лечение актуальных угроз, уменьшено потребление памяти. Специалисты «Доктор Веб» расширяют возможности Dr.Web, повышая уровень защиты в составе всех компонентов антивируса. При этом продукт продолжает оставаться легким и незаметным для пользователя: бережное отношение к ресурсам компьютера — один из главных принципов Dr.Web.

Защита от шифровальщиков была усилена: изменения для снижения числа пропусков этих опасных вредоносных программ внесены в модуль Превентивной защиты Трояны-шифровальщики остаются на сегодня угрозой №1, причиной финансовых потерь как домашних пользователей, так и компаний и организаций, в том числе крупных. В последнем случае убытки могут достигать колоссальных размеров.

Число обращений пострадавших от энкодеров в службу технической поддержки «Доктор Веб» в последнее время держится примерно на уровне 500 ежемесячно. Отметим, что далеко не все жертвы вымогателей обращаются за помощью к специалистам, в то время как имеется некоторый, пусть не очень большой шанс вернуть утраченные данные. Наряду с использованием антивируса с включенным модулем Защита от потери данных рекомендуем регулярно создавать резервные копии важной информации, своевременно обновлять ПО и применять сложные пароли в учетных записях.

Постоянная работа над снижением количества проникновений шифровальщиков на защищаемые компьютеры — один из приоритетов работы наших аналитиков и программистов.

Также в рамках этого обновления была решена проблема, вызывавшая (не по вине нашего антивируса) непредвиденное завершение работы ОС при одновременной работе Dr.Web с компонентами ПО для удаленного доступа Sangfor SSL VPN.

Обновление пройдет автоматически.

7 декабря 2022 года

Представляем улучшенный Dr.Web Security Space для Android — приложение обновлено до версии 12.8.4. Усовершенствования коснулись работы как на Android TV, так и на смартфонах и планшетах.

Для удобства пользователей Android TV с ОС Android версии 11 и более поздними добавлен переход в системные настройки с разрешением на доступ ко всем файлам — такое разрешение необходимо дать при первом включении нашего приложения.

Вместе с тем был изменен механизм выборочной проверки для устройств на ОС Android 13, поскольку эта версия операционной системы больше не позволяет сторонним приложениям просматривать содержимое некоторых директорий во внутренней памяти.

Помимо этого, ряд исправлений и улучшений внесен в работу Брандмауэра — как на мобильных, так и на ТВ-устройствах.

Для пользователей, загрузивших продукт с Google Play, обновление пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти на Google Play, выбрать в списке приложений Dr.Web Security Space и нажать на кнопку «Обновить».

При возникновении сложностей, вызванных ограничениями со стороны Google Play, и для беспроблемной дальнейшей работы приложения Dr.Web Security Space Life рекомендуем перейти к использованию подписки. Для этого потребуется указать номер покупки, сделанной в Google Play. Также можно обратиться в службу технической поддержки.

Для обновления на сайте «Доктор Веб» можно скачать новый дистрибутив. Если в настройках включена опция «Новая версия», при обновлении вирусных баз пользователь получит уведомление о доступной новой версии, которую можно будет загрузить прямо из этого диалога.

6 декабря 2022 года

Специалисты «Доктор Веб» улучшают механизмы работы с фильтрами в составе сервиса для удаленной диагностики инцидентов Dr.Web FixIt! Фильтры — основной «козырь» сервиса: из огромного потока данных они выделяют нужные срезы, выявляя тем самым заражения, проблемы и аномалии. Анализ собранных данных происходит с помощью как предустановленных фильтров, так и собственных, заданных оператором.

В обновленной версии сервиса было повышено удобство работы с фильтрами: теперь в разделе «Поиск и анализ» можно легко выбрать все объекты фильтра на странице и задать действия сразу для каждой категории. Тем самым работа с фильтрами стала комфортнее и нагляднее, что упрощает и ускоряет для пользователя получение результата.

Вместе с тем был пересмотрен механизм работы с сеансами пользователей: теперь по истечении сессии отображается соответствующее оповещение, после чего происходит переход на страницу авторизации в сервисе.

Выявленные в работе сервиса ошибки были исправлены.

Приобрести Dr.Web FixIt! можно пакетами по 1, 10, 20, 50 или 100 задач. Срок лицензии Dr.Web FixIt! — 1 год. Для экспертного сопровождения задачи специалистами «Доктор Веб» можно приобрести сертификат, обратившись в службу поддержки. Для предварительного знакомства с сервисом предусмотрена возможность демодоступа.

2 декабря 2022 года

Согласно данным статистики детектирований антивируса Dr.Web для Android, в октябре одними из наиболее распространенных угроз оставались приложения, демонстрирующие нежелательную рекламу. Однако по сравнению с прошлым месяцем их активность несколько снизилась.

Заметную активность проявили банковские трояны и приложения, позволяющие злоумышленникам шпионить за пользователями. Например, владельцы Android-устройств вновь сталкивались с троянской программой Android.Spy.4498 и различными ее модификациями. Она способна похищать содержимое уведомлений от других приложений, что может привести к утечке конфиденциальных данных.

Вместе с тем в течение месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество новых угроз, включая вредоносное, рекламное и нежелательное ПО.

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.4498

Android.Spy.5106

Детектирование различных модификаций трояна, крадущего содержимое уведомлений от других приложений. Он также загружает и предлагает пользователям установить другие программы и может демонстрировать диалоговые окна.

Android.MobiDash.6945

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Android.HiddenAds.3558

Троянская программа, предназначенная для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.BankBot.11466

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское, а также другое вредоносное ПО.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.wSpy.1.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку пользователя (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.WapSniff.1.origin

Программа для перехвата сообщений в мессенджере WhatsApp.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.Obfuscapk.1

Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.SspSdk.1.origin

Adware.AdPush.36.origin

Adware.Adpush.6547

Adware.Fictus.1.origin

Adware.Airpush.7.origin

Угрозы в Google Play

В начале октября вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play троянскую программу Fast Cleaner & Cooling Master, которую злоумышленники выдавали за утилиту оптимизации работы операционной системы. Она управляется при помощи команд, которые получает через Firebase Cloud Messaging или AppMetrica Push SDK. В зависимости от команды приложение показывает рекламу или запускает на Android-устройстве прокси-сервер для использования третьими лицами, которые могут перенаправлять через него трафик. Различные версии этого трояна антивирус Dr.Web детектирует как Android.Proxy.35, Android.Proxy.36 и Android.Proxy.37.

Позднее были выявлены приложения, содержащие новый рекламный модуль Adware.FireAd. Он получает команды через Firebase Cloud Messaging и открывает в веб-браузере заданные в них ссылки. Модуль был встроен в некоторые версии таких программ как Volume, Music Equalizer (версии 2.9-3.5, детектируются Dr.Web как Adware.FireAd.1), Bluetooth device auto connect (версии 46-58, детектируются как Adware.FireAd.2) и Bluetooth & Wi-Fi & USB driver (версии 15-19, детектируются как Adware.FireAd.2).

В конце октября в вирусную базу Dr.Web была добавлена запись Program.FakeMoney.3 для детектирования нежелательного приложения под названием TubeBox. С его помощью владельцы Android-устройств якобы могли зарабатывать на просмотре видеороликов и рекламы.

За каждый просмотр на внутренний счет им якобы начислялось вознаграждение — монеты и купоны, которые можно конвертировать в деньги и вывести удобным способом — например, банковским переводом или через платежные системы. При этом, чтобы вывести деньги, они должны были накопить минимально допустимую сумму. Если же нужная сумма со временем набиралась, получить выплаты пользователи не могли из-за тех или иных проблем, о которых сообщала программа. Создатели приложения старались как можно дольше удержать своих жертв внутри него, чтобы те продолжали смотреть видео и рекламу, на самом деле зарабатывая деньги для мошенников, а не для себя.

Также в течение месяца было найдено множество новых программ-подделок семейства Android.FakeApp, которые киберпреступники использовали в различных мошеннических схемах. Троянские приложения распространялись под видом инвестиционных программ, якобы имеющих прямое отношение к российским банкам и сырьевым компаниям, а также маскировались под справочники и программы для участия в опросах. Мошенники обещали потенциальным жертвам (в том числе через рекламу), что те смогут пройти обучение инвестированию, выгодно вложить средства, самостоятельно торговать газом и даже бесплатно получить акции соответствующих компаний. На самом деле такие подделки загружали специально созданные сайты, на которых под видом участия в опросах, регистрации учетных записей или подачи заявок собирались персональные данные.

Ниже представлены примеры рекламы, в которой потенциальным жертвам предлагается установить троянские приложения. Злоумышленники используют образы известных личностей и компаний, а также делают громкие заявления. В частности, обещают высокий доход и сопровождают рекламу такими фразами как «Против санкций всей страной», «Дарим 10 акций бесплатно», «Заработайте уже во время обучения», «Я дам вам 100 000 USD, если вы не станете миллионером за 6 месяцев» и т. п.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

2 декабря 2022 года

Компания «Доктор Веб» представляет обзор вирусной активности в октябре 2022 года. Согласно полученной статистике, в прошлом месяце наблюдалось увеличение общего числа обнаруженных угроз. При этом наиболее распространенными среди них по-прежнему остаются рекламные приложения. В почтовом трафике вновь преобладали вредоносные скрипты, фишинговые документы и приложения, использующие уязвимости документов Microsoft Office.

Число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, снизилось на 28,06%. В то же время злоумышленники продолжили активно заманивать пользователей на мошеннические сайты. Кроме того, в течение месяца специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых угроз, среди которых были как вредоносные, так и рекламные и нежелательные программы.

Подробнее об этих и других событиях читайте в октябрьском обзоре вирусной активности.

Читать обзор полностью

2 декабря 2022 года

В октябре анализ статистики детектирований антивируса Dr.Web показал увеличение общего числа обнаруженных угроз на 6,6% по сравнению с сентябрем. Количество уникальных угроз также несколько выросло — на 1,73%. При этом одними из наиболее распространенных опасных приложений по-прежнему остаются рекламные программы. В почтовом трафике чаще всего наблюдались вредоносные скрипты, используемые в фишинг-атаках PDF-файлы, а также программы, эксплуатирующие уязвимости документов Microsoft Office.

В минувшем месяце число обращений пользователей за расшифровкой файлов снизилось на 28,06%. После кратковременного спада активности, произошедшего в сентябре, самым распространенным энкодером вновь стал Trojan.Encoder.26996 с долей 27,05% от общего числа зафиксированных инцидентов. При этом лидер предыдущего месяца — Trojan.Encoder.3953 — опустился на второе место с долей 25,46%.

В течение октября вирусные аналитики компании «Доктор Веб» обнаружили множество новых угроз в каталоге Google Play. Среди них были как троянские программы, так и рекламные нежелательные приложения.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Downware.20091

Adware.Downware.20088

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.OpenCandy.247

Семейство приложений для установки на компьютер различного дополнительного рекламного ПО.

Trojan.AutoIt.1122

Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

HTML.FishForm.365

Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.

Exploit.CVE-2018-0798.4

Эксплойт для эксплуатации уязвимости в ПО Microsoft Office, позволяющий выполнить произвольный код.

Шифровальщики

В октябре число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, снизилось на 28,06% по сравнению с сентябрем.

• Trojan.Encoder.26996 — 27.05%
• Trojan.Encoder.3953 — 25.99%
• Trojan.Encoder.567 — 2.65%
• Trojan.Encoder.30356 — 1.33%
• Trojan.Encoder.34790 — 1.33%

Опасные сайты

В октябре 2022 года наблюдался рост числа поддельных сайтов для поиска работы. На них пользователям от имени представителей крупных российских компаний предлагалось трудоустройство с привлекательными условиями — простыми обязанностями, гибким рабочим графиком и высокой заработной платой. Например, мошенники создавали поддельные вакансии на должность «удаленного сотрудника обработки заказов». От кандидатов требовалось зарегистрировать учетную запись, после чего те якобы сразу могли приступить к работе. Однако для вывода «заработанных» денег они должны были «активировать» аккаунт, заплатив некоторую сумму.

Чтобы заманить как можно больше пользователей в ловушку, злоумышленники рассылали фишинговые письма со ссылками на такие сайты.

На скриншоте изображен пример мошеннического сайта с поддельной вакансией. Мошенники используют название и логотип компании, от имени которой дается объявление. Кроме того, на странице содержатся поддельные комментарии, призванные убедить потенциальных жертв в безопасности и легитимности предлагаемой работы.

Вредоносное и нежелательное ПО для мобильных устройств

В октябре наблюдалось небольшое снижение активности рекламных троянских приложений по сравнению с предыдущим месяцем. Тем не менее, они по-прежнему остаются одними из наиболее распространенных угроз, с которыми сталкиваются владельцы Android-устройств. Кроме того, отмечалась активность банковских троянов, а также приложений, которые могут использоваться для кибершпионажа.

За прошедший месяц вирусные аналитики компании «Доктор Веб» выявили множество новых угроз в каталоге Google Play — например, поддельные программы семейства Android.FakeApp, применяемые в различных мошеннических схемах. Среди них также были рекламные и нежелательные приложения.

Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:

• активность рекламных троянских программ;
• появление новых угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.

2 декабря 2022 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за октябрь 2022 года. Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, наиболее распространенными угрозами прошедшего месяца вновь оказались троянские программы, демонстрирующие рекламу. Кроме того, заметную активность проявили шпионские приложения и банковские трояны. Также в октябре вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество новых угроз. Подробнее об этих и других событиях читайте в нашем обзоре.

Читать обзор полностью

1 декабря 2022 года

Компания «Доктор Веб - Центральная Азия» объявляет о запуске в публичную эксплуатацию Антивируса Dr.Web по подписке провайдером UZTELECOM™.

Акционерная компания «Узбектелеком» - крупнейший телекоммуникационный оператор Узбекистана, чья сеть охватывает всю территорию Республики. Компания стремится к расширению спектра предоставляемых услуг, своевременно реагирует на запросы клиентов и учитывает тенденции развития современных технологических решений.

Забота о безопасности интернет-серфинга абонентов является для провайдера ключевой. Стремясь обеспечить защиту пользователей, UZTELECOM™ выбирает только те решения, которые соответствуют самым высоким стандартам информационной безопасности. Именно поэтому компания обратила внимание на сервис Dr.Web AV-Desk, на базе которого предоставляется Антивирус Dr.Web по подписке, и который демонстрирует отличные результаты комплексной защиты широкого числа пользователей от различных вирусных угроз.

Внедрение возможности подписки на антивирус позволит обеспечить комплексную защиту всем абонентам провайдера - не только надежную, но и удобную в использовании, с гибкой возможностью настраивать параметры оплаты и без необходимости переплачивать за неиспользуемые периоды.