Перейти к содержимому


News Robot

Дата рег: 17 Фев 2008
Оффлайн Был(а) онлайн: Июн 24 2009 23:30
*****

Темы пользователя

«Доктор Веб»: VPN-клиент для Android содержал троянца-загрузчика

Сегодня, 03:00

19 октября 2018 года

Троянцы-загрузчики — это вредоносные программы, которые киберпреступники используют для распространения других троянцев. Вирусные аналитики компании «Доктор Веб» обнаружили одного из таких загрузчиков в каталоге Google Play. Он скрывался в программе для подключения к частным виртуальным сетям (VPN).

Троянец, получивший имя Android.DownLoader.818.origin, был встроен в программу с именем Turbo VPN – Unlimited Free VPN & Proxy, которую загрузили свыше 11 000 владельцев мобильных Android-устройств. Название вредоносного приложения практически полностью совпадало с именем популярного VPN-клиента Turbo VPN — Unlimited Free VPN & Fast Security VPN от компании Innovative Connecting, которая к созданию подделки не имеет никакого отношения. Выдавая Android.DownLoader.818.origin за известное ПО для подключения к частным виртуальным сетям, авторы троянца пытались ввести потенциальных жертв в заблуждение и увеличить число его загрузок.

Android.DownLoader.818.origin #drweb

При запуске Android.DownLoader.818.origin пытался получить разрешение на чтение и запись файлов, показывая соответствующий запрос. После этого он запрашивал доступ к правам администратора мобильного устройства.

Android.DownLoader.818.origin #drwebAndroid.DownLoader.818.origin #drweb

Android.DownLoader.818.origin действительно позволял работать с VPN-сетями — при его создании злоумышленники позаимствовали наработки из проекта с открытым исходным кодом OpenVPN for Android. Однако те, кто установил, приложение, воспользоваться им не смогли — после получения необходимых системных привилегий Android.DownLoader.818.origin удалял свой значок из списка программ главного экрана операционной системы. С этого момента запустить троянский VPN-клиент самостоятельно становилось невозможно.

После того как вредоносная программа скрывалась от пользователя, она незаметно скачивала с удаленного сервера apk-файл и сохраняла его на карту памяти. Затем она предлагала установить загруженное приложение до тех пор, пока пользователь не соглашался это сделать. Пример сообщения, которым Android.DownLoader.818.origin вынуждал выполнить установку другой программы, показан ниже:

Android.DownLoader.818.origin #drweb

На момент анализа Android.DownLoader.818.origin скачиваемый им файл представлял собой троянца Android.HiddenAds.710, который предназначен для показа рекламы. Однако в зависимости от настроек сервера и целей злоумышленников Android.DownLoader.818.origin может загрузить и попытаться установить любое другое вредоносное или нежелательное приложение.

Специалисты «Доктор Веб» оповестили корпорацию Google о найденной в Google Play опасной программе, после чего она была оперативно удалена из каталога.

Все описанные выше троянцы не представляют опасности для наших пользователей — антивирусные продукты Dr.Web для Android успешно детектируют и удаляют их с мобильных устройств.

#Android, #Google_Play, #вредоносное_ПО, #троянец

Читать оригинал

«Доктор Веб» сообщает: сетевой мошенник нанес ущерб более чем на $24 000, число же...

Вчера, 03:00

18 октября 2018 года

Аналитики «Доктор Веб» расследовали деятельность киберпреступника, занимающегося мошенничеством на рынке криптовалют. Криминальный бизнес злоумышленника, который скрывается под псевдонимом Investimer, отличает широкий ассортимент используемого вредоносного ПО и богатый набор способов незаконного заработка.

Кибермошенник, известный в Интернете под вымышленными именами Investimer, Hyipblock и Mmpower, использует в своей деятельности широчайший набор самых распространенных сегодня на подпольном рынке коммерческих троянцев. Среди них — стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony. Также в арсенале злоумышленника замечен бэкдор Spy-Agent, разработанный на базе приложения TeamViewer, бэкдоры DarkVNC и HVNC, предназначенные для доступа к зараженному компьютеру по протоколу VNC, и еще один бэкдор, созданный на основе ПО RMS. Киберпреступник активно применяет загрузчик Smoke Loader, а ранее использовал Loader by Danij и троянца-майнера, имеющего встренный модуль для подмены содержимого буфера обмена (клипер). Управляющие серверы с административным интерфейсом Investimer держит на таких площадках как jino.ru, marosnet.ru и hostlife.net, при этом большинство из них работает под защитой сервиса Cloudflare с целью скрыть истинный IP-адрес этих сетевых ресурсов.

Investimer специализируется на мошенничестве с криптовалютами, преимущественно — с Dogecoin. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Один из них — поддельная криптовалютная биржа, для работы с которой якобы требуется специальная программа-клиент. Под видом этого приложения на компьютер жертвы скачивается троянец Spy-Agent.

#drweb

#drweb

#drweb

#drweb

Другой «стартап» того же кибермошенника — пул устройств для майнинга криптовалюты Dogecoin, который якобы сдается в аренду по очень выгодным ценам. Для работы с этим несуществующим в реальности пулом тоже якобы требуется специальное приложение-клиент, которое загружается на компьютер потенциальной жертвы в запароленном архиве. Наличие пароля не позволяет антивирусным программам проанализировать содержимое архива и удалить его еще на этапе скачивания. Внутри же, как несложно догадаться, прячется троянец-стилер.

#drweb

Еще один созданный Investimer’ом мошеннический ресурс посвящен криптовалюте Etherium. Потенциальным жертвам мошенник предлагает вознаграждение за просмотр сайтов в Интернете, для чего им также предлагается установить вредоносную программу под видом специального приложения. Здесь троянец начинает загружаться автоматически при заходе посетителя на сайт. Кибермошенник даже озаботился написанием нескольких поддельных отзывов о работе этого сервиса.

#drweb

#drweb

#drweb

Еще один способ сетевого мошенничества, который практикует Investimer, — организация онлайн-лотерей, призом в которых служит определенная сумма в криптовалюте Dogecoin. Разумеется, лотереи устроены таким образом, что выиграть в них стороннему участнику невозможно, заработать на этом может только сам организатор розыгрыша. Тем не менее, на момент написания этой статьи на сайте организованной Investimer’ом лотереи было зарегистрировано более 5800 пользователей.

#drweb

#drweb

#drweb

#drweb

#drweb

#drweb

Помимо проведения лотерей на одном из своих сайтов Investimer предлагает выплату вознаграждения в Dogecoin за просмотр веб-страниц с рекламой. Этот проект насчитывает более 11 000 зарегистрированных пользователей.

#drweb

#drweb

#drweb

#drweb

#drweb

Разумеется, с сайта «партнера» на компьютер участника системы под видом плагина для браузера, позволяющего зарабатывать на серфинге в Интернете, незамедлительно скачивается бэкдор. Затем он обычно устанавливает на инфицированное устройство троянца-стилера.

#drweb

Не брезгует Investimer и традиционным фишингом. Созданный им веб-сайт якобы предлагает вознаграждение за привлечение новых пользователей в платежную систему Etherium, однако на самом деле собирает введенную пользователями при регистрации информацию и передает ее злоумышленнику.

#drweb

#drweb

#drweb

Помимо перечисленных выше способов криминального заработка, Investimer попытался скопировать официальный сайт cryptobrowser.site. Создатели оригинального проекта разработали специальный браузер, который в фоновом режиме добывает криптовалюту в процессе просмотра пользователем веб-страниц. Подделка, которую создал Investimer, выполнена не слишком качественно: часть графики на сайте не отображается вовсе, в тексте лицензионного соглашения фигурирует адрес электронной почты настоящих разработчиков, а троянец, которого жертва получает под видом браузера, загружается с ресурса, расположенного на другом домене. На следующей иллюстрации показан поддельный сайт, созданный Investimer’ом (слева), в сравнении с оригинальным (справа).

#drweb

Investimer был замечен в реализации и других схем сетевого жульничества – в частности онлайн-игр, построенных по принципу финансовой пирамиды. Собранную с при помощи троянцев-стилеров информацию этот злоумышленник использует преимущественно для хищения криптовалюты и денег, которые его жертвы хранят в кошельках различных электронных платежных систем. Примечательно, что в административной панели, с использованием которой Investimer управляет доступом к взломанным компьютерам, запись о каждой своей жертве он снабжает непристойными комментариями, процитировать которые мы не можем по цензурным соображениям.

#drweb

В целом используемая киберпреступником схема обмана пользователей Интернета такова. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает троянца, который по команде злоумышленника устанавливает на компьютер другие вредоносные программы. Такие программы (в основном троянцы-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой жулик затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.

Аналитики «Доктор Веб» полагают, что общее количество пользователей, пострадавших от противоправной деятельности Investimer’а, превышает 10 000 человек. Ущерб, нанесенный злоумышленником своим жертвам, наши специалисты оценивают в более чем 23 000 долларов США. К этому следует добавить более 182 000 в криптовалюте Dogecoin, что по нынешнему курсу составляет еще порядка 900 долларов.

Адреса всех созданных Investimer’ом веб-сайтов были добавлены в базы Dr.Web SpIDer Gate, все используемые им вредоносные программы успешно детектируются и удаляются нашим Антивирусом.

Полный список индикаторов компрометации можно посмотреть по ссылке https://github.com/DoctorWebLtd/malware-iocs/tree/master/investimer.

#криминал #криптовалюты #майнинг #мошенничество


Читать оригинал

Специалисты по ИБ соберутся в Казани

15 Октябрь 2018 - 16:34

15 октября 2018 года

Компания «Доктор Веб» приглашает обсудить инструменты для ИБ-специалиста на конференции «Код информационной безопасности», которая состоится 25 октября в Казани.

Как Dr.Web vxCube может помочь ИБ-специалистам — обсудим на конференции «Код ИБ» в Казани.

В рамках вводной дискуссии специалисты по информационной безопасности обсудят ключевые ИБ-тренды. На секции «Технологии» представитель компании «Доктор Веб» Кирилл Тезиков расскажет собравшимся об облачном интеллектуальном интерактивном анализаторе подозрительных объектов Dr.Web vxCube и продемонстрирует участникам конференции возможности этого полезного инструмента для ИБ-специалистов.

Конференция начнется 25 октября в 09:30 по адресу: г. Казань, ул. Николая Ершова, д. 1а, отель Korston. Организатором конференций «Код информационной безопасности» выступает компания «Экспо-линк».

На встречу с нашим представителем можно записаться заблаговременно в календаре мероприятий «Доктор Веб».

Календарь мероприятий

#КодИБ #конференции #мероприятия


Читать оригинал

Три года защиты Dr.Web для Android со скидкой 44% в салонах МТС

15 Октябрь 2018 - 11:54

15 октября 2018 года

Компания «Доктор Веб» сообщает об акции для владельцев Android-устройств в розничных салонах МТС: с 15 октября по 16 декабря 2018 года при покупке Dr.Web Mobile Security для одного мобильного устройства на три года выгода покупателя составит 398 рублей.

Dr.Web Mobile Security на 3 года для 1 устройства за 499 рублей — до 16 декабря в салонах МТС

До 16 декабря в салонах телекоммуникационного оператора МТС антивирусная защита Dr.Web Mobile Security на три года для одного устройства продается всего за 499 рублей.

Покупатели, которые воспользуются этим предложением, получат один серийный номер для защиты одного мобильного устройства на 3 года, а также Dr.Web-ки за регистрацию в программе лояльности «Я + Dr.Web», которые можно обменять на подарочные сертификаты на покупку антивирусов Dr.Web со скидкой или поставить на понравившиеся лоты в ежемесячных аукционах.

Если в магазине вам предложат установить Dr.Web и активировать серийный номер к купленной лицензии, пожалуйста, предоставьте продавцу или техническому специалисту, устанавливающему ПО, принадлежащий вам действующий e-mail. Он требуется для регистрации лицензии, а также понадобится вам при обращении в службу технической поддержки и при продлении лицензии. Лицензия должна быть зарегистрирована только на адрес владельца коммерческой лицензии Dr.Web.

Приглашаем владельцев мобильных устройств сделать выгодную покупку в салонах МТС! Срок действия акционного серийного номера Dr.Web Mobile Security увеличен на год и составляет три года, а цена лицензии ниже обычной стоимости антивируса Dr.Web для Android на 398 рублей.

#акция #МТС

Читать оригинал

Dr.Web приглашает в центр Азии

11 Октябрь 2018 - 17:25

11 октября 2018 года

Компания «Доктор Веб» сообщает о следующем направлении акции-конкурса «С мечтой (п)о России», каждый участник которой, купивший антивирус Dr.Web в коробке с акционной наклейкой, получит гарантированный приз или возможность отправиться в путешествие в один из экологически чистых уголков России. До 31 октября мы будем разыгрывать поездку в Тыву.

Dr.Web разыгрывает четвертый сертификат на путешествие: обладатель суперприза отправится в Тыву.

В первую очередь традиционно отмечаем пользователей, которые угадали следующее направление маршрута акции. Тыву назвали Татьяна, Альфа, Dmur и Неуёмный Обыватель, они получают по 10 Dr.Web-ок. Первой среди отгадавших была Татьяна, поэтому она становится обладателем лицензии Dr.Web Security Space для 1 ПК/Mac на 6 месяцев, которая ждет ее в личном кабинете на сайте. Поздравляем самых догадливых!

Конкурс с угадыванием следующей точки маршрута продолжается. Поскольку количество этапов акции увеличилось, теперь еще больше участников сообщества Web могут выиграть лицензии и виртуальные награды за правильно названные маршруты. Если у вас есть идеи о том, куда отправится обладатель суперприза на пятом этапе, — назовите новое направление в комментариях к этой новости.

А пока вы прикидываете, куда еще может отправиться победитель, напоминаем условия участия в акции.

Суперприз — подарочный сертификат на туристическую поездку в Республику Тыву.

На берегу Енисея в городе Кызыле находится «Центр Азии» — обелиск, указывающий символический центр самой большой части света. Поэтому можно смело сказать, что наш следующий победитель отправится на просто в Азию, а в самое ее сердце.

К суперпризу прилагается денежная компенсация в размере 80% от стоимости тура. Использовать сертификат можно в течение года с момента получения.

Как выиграть суперприз?

  • Приобретите коробку Dr.Web с наклейкой акции.
  • Зарегистрируйте акционную лицензию.
  • В течение 24 часов после регистрации акционной лицензии в качестве гарантированного приза акции выберите возможность участвовать в розыгрыше суперприза.
  • Перейдите на страницу розыгрыша суперприза и ознакомьтесь с условиями творческого задания.
  • Выполните акционную работу и отправьте ее на рассмотрение жюри.

#drweb

Обладатель суперприза и авторы лучших работ (которых на этот раз ожидают жилет сисадмина и бейсболка с логотипом Dr.Web) будут объявлены 2 ноября.

Также напоминаем, что каждый участник акции может получить гарантированный подарок. Это виртуальные награды Dr.Web-ки, купон на скидку при покупке годовой лицензии Dr.Web Security Space на 1 ПК или годовая лицензия на Dr.Web Security Space для Android. В случае выбора Dr.Web-ок они немедленно зачисляются на счет участника, а при выборе скидочного купона формируется специальная ссылка на покупку в нашем интернет-магазине.

Поездку своей мечты с Dr.Web уже планируют наши победители: Неуёмный Обыватель готовится исследовать Камчатку, ka_s собирается в Бурятию, Lia00 продумывает маршрут по Алтаю, а жюри «Доктор Веб» рассматривает творческие работы о путешествии в Тыву до 31 октября включительно.

Условия акции

#живиздесь #акция


Читать оригинал