1. Більше 40 шкідливих програм виявлено на Android Market
2. Політичний спамер для Android
3. Зламані сайти загрожують мобільних платформ
4. Новий бекдор для Windows ...
5. ... і троянець для Mac OS X
6. Інші тенденції року, що минає
7. Шкідливі файли, виявлені в поштовому трафіку в грудні
8. Шкідливі файли, виявлені в грудні на комп'ютерах користувачів

13 січня 2012 року

Останній місяць 2011 року виявився досить бідним на події вірусної тематики: як видно, мережеві шахраї і вирусописатели вирішили взяти колективний відпустку для підготовки до новорічних свят. На початку грудня фахівцями компанії «Доктор Веб» було виявлено 45 шкідливих додатків для мобільної платформи Google Android, що розповсюджувалися на Android Market. Крім того, останній місяць року Кота (Кролика) був відзначений появою нового бекдор для ОС Windows і черговий модифікації троянця Trojan.Merin для Mac OS X.

Більше 40 шкідливих програм виявлено на Android Market

На початку грудня аналітики «Доктор Веб» провели спеціальну операцію з пошуку шкідливого ПЗ в офіційному каталозі програм для Android - Google Market. Спочатку було виявлено 33 таких додатки, проте незабаром до них додалося ще 12, таким чином, загальне число виявлених загроз досягло 45. Практично всі виявлені фахівцями «Доктор Веб» шкідливі програми відносяться до давно відомого сімейства Android.SmsSend, їх призначення - відправка без відома користувача платних СМС-повідомлень на преміум-номери.

Каталог додатків Android Market вже не в перший раз стає джерелом розповсюдження шкідливих програм. Так, раніше в ньому були знайдені троянці сімейства Android.DreamExploid, Android.DDLight і деякі інші. Незважаючи на те що поодинокі випадки появи в Android Market троянців сімейства Android.SmsSend відзначалися і раніше, таке масове їх поширення зафіксовано вперше.

Все що розповсюджувалися на Android Market троянські програми були створені кількома розробниками, при цьому велика їх частина маскувалася під додатки - каталоги зображень, що дозволяють змінювати фоновий малюнок Робочого столу Android, і вони дійсно мали таким функціоналом. Тематика пропонованих картинок найширша: від комп'ютерних ігор до фотографій природи. Серед інших шкідливих додатків зустрічаються і вельми оригінальні. Наприклад, програма для складання гороскопів, дієт, програма-ліхтарик і інші. Варто відзначити, що їх інтерфейс дуже аскетичний, і наявність хоч якогось функціоналу покликане, скоріше, прикрити справжню мету авторів вірусів - відправку з мобільного пристрою жертви платних СМС.

Принцип дії даних шкідливих додатків цілком стандартний. Після запуску програми користувачеві зазвичай демонструється текст, який свідчить про те, що власник мобільного пристрою погоджується з якимись умовами, причому сама угода з переліком цих умов, як правило, відсутня. Хитрість полягає в тому, що останнє слово в даному тексті є гіперпосилання на сторінку з ліцензійною угодою і часто ніяк не виділяється на тлі навколишніх слів. Користувач повинен дуже постаратися, щоб виявити таку приховану посилання. У випадку з додатками інших розробників функціонал дещо відрізняється, хоча і незначно. Так, наприклад, після запуску програми на екрані пристрою з'являється вступний текст і дві кнопки: підтвердження згоди з умовами ліцензії, і друга, при натисканні на яку повинен відкриватися тест угоди. Але і тут не обійшлося без хитрощів: угода розташовується на сторонньому веб-сайті, який в даний момент не функціонує, тому ознайомитися з пропонованими умовами користувач не може. Після отримання підтвердження додаток негайно намагається відправляти СМС-повідомлення.

Компанія «Доктор Веб» негайно повідомила фахівцям Google про виявлення такої значної «колекції» шкідливого ПО, і всі небезпечні додатки незабаром були вилучені з каталогу Android Market.

Політичний спамер для Android

Однак тільки цими подіями кількість грудневих загроз для мобільної платформи Android аж ніяк не обмежилася: в кінці місяця з'явилася перша шкідливий додаток для цієї ОС, призначене для розсилки політичного спаму - правда, орієнтований він на близькосхідну аудиторію.

Шкідлива програма Android.Arspam.1 вбудована в легітимне додаток AlSalah, призначене для мусульман і реалізує функції компаса, який за допомогою GPS-координат абонента визначає напрямок на Мекку і відстань до неї. Також додаток демонструє поточну дату за мусульманським календарем і здатне вираховувати час п'яти щоденних молитов. Важливо й те обставина, що пропонована на офіційному сайті Android Market версія даної програми не несе будь-якого деструктивного функціонала, в той час як аналогічний додаток, яке розповсюджується на арабомовних форумах, як правило, містить у собі троянця. Іншими словами, зловмисники скористалися програмою AlSalah в своїх інтересах, додавши в неї шкідливу навантаження.

Запустивши на інфікованому пристрої спеціальну службу, троянець збирає перелік контактів, збережених в адресній книзі мобільного пристрою, і розсилає кожному з них одну з посилань на інтернет-форуми, присвячені політичним подіям на Близькому Сході, зокрема, революції в Тунісі. Список розсилаються адрес зберігається безпосередньо в тілі троянця. Крім того, якщо працює в пристрої сім-карта зареєстрована в Бахрейні, то троянець завантажує з віддаленого сервера PDF-документ, що містить розроблений Незалежною комісією Бахрейну (Bahrain Independent Commission) звіт про порушення прав людини в цій країні.

Оскільки Android.Arspam.1 вже зараз містить функціонал, що дозволяє завантажувати файли з віддалених вузлів, в подальшому можна очікувати появи нових, більш досконалих його модифікацій, здатних, наприклад, отримувати від керівників центрів конфігураційні файли або списки посилань для подальшої відправки одержувачам. Теоретично також можливе об'єднання працюють під управлінням Android спам-ботів в ботнети.

Зламані сайти загрожують мобільних платформ

Те, що кіберзлочинці звертають все більше уваги на власників смартфонів і планшетних ПК, стало цілком очевидною тенденцією. У грудні 2011 року фахівці «Доктор Веб» виявили понад 100 російськомовних майданчиків, які зазнали злому з метою здійснення атаки на користувачів мобільних пристроїв. Так, багато власників смартфонів і планшетів, що працюють під управлінням ОС Android і інших системних платформ з підтримкою Java (наприклад, Symbian), останнім часом стали помічати, що вони втратили можливість відвідати свої улюблені сайти. При відкритті деяких веб-сторінок відбувається автоматичне перенаправлення користувача на інтернет-ресурс, що імітує оформлення офіційного веб-сайту Opera Mini і пропонує завантажити оновлення браузера. Під виглядом такого поновлення, розповсюджуваного в залежності від типу клієнтської ОС у вигляді або файлів .jar, або додатків для Android (.apk), зазвичай ховається троянець сімейства Java.SMSSend або Android.SmsSend.

Діє дана схема наступним чином: експлуатуючи уразливості встановлених на різних сайтах серверних додатків, таких як «Пошуку» форумів і системи управління контентом (CMS), зловмисники отримують доступ до ресурсу і підміняють зберігається на сервері файл .htaccess. В результаті цих змін при кожному зверненні до зламали сайт сервер перевіряє user-agent користувача, і в тому випадку, якщо клієнтський браузер працює на мобільній платформі з підтримкою Java (в тому числі Symbian OS і Android), відбувається переадресація користувача на приналежну зловмисникам веб- сторінку.

Оскільки зловмисники використовують одні і ті ж уразливості для організації несанкціонованого доступу до різних ресурсів і діють за стандартною схемою, можна припустити, що злом здійснюється автоматично з використанням спеціалізованого програмного забезпечення. За оцінками фахівців «Доктор Веб», в Рунеті одночасно працює близько 100 зламаних зловмисниками майданчиків, при цьому оперативне усунення слідів зараження на деяких з них компенсується новими зломами. Адміністрації багатьох інтернет-ресурсів повідомляють про багаторазових випадках злому: незважаючи на те, що власникам сайту вдається швидко видалити шкідливі об'єкти, через деякий час хакери знову беруть ресурс під свій контроль. Також можна припустити, що зломщики кооперуються з власниками партнерських програм, які розповсюджують Android.SmsSend під виглядом підроблених оновлень для Opera Mini. У цьому випадку діють дві незалежні групи зловмисників, одна з яких спеціалізується на зломі сайтів, а друга - на «роздачі» шкідливого ПЗ. В даний час відомо кілька «партнерських програм», що пропонують хакерам плату за перенаправлення трафіку на поширюють троянців сайти.

Новий бекдор для Windows ...

У першій половині грудня в вірусні бази була додана шкідлива програма BackDoor.Pads, написана на мові асемблер і представляє собою модуль, реалізований у вигляді декількох компонентів.

Функціонал BackDoor.Pads цілком стандартний для бекдор подібного типу: він збирає інформацію про інфікованому комп'ютері, включаючи версію операційної системи, ім'я комп'ютера і його IP-адресу. Якщо троянцу вдається отримати токен explorer.exe (права на доступ), він розшифровує і запускає в інфікованій системі кейлоггер, який фіксує натискання клавіш користувачем. Цей модуль внесений в вірусні бази Dr.Web під ім'ям Trojan.PWS.Pads.

Небезпека даної шкідливої ​​програми для користувача криється, перш за все, в тому, що вона здатна надавати зловмисникам доступ до ресурсів інфікованої машини і виконувати різні команди, в тому числі команду пошуку файлів, створення / видалення папок, копіювання, переміщення і видалення файлів, перезавантаження Windows , отримання списку запущених процесів, завантаження файлів і їх запуску від імені певного користувача. Крім того, BackDoor.Pads може виконувати функції проксі-сервера.

... і троянець для Mac OS X

Крім іншого, перша половина грудня ознаменувалася виявленням на торрент-трекер The Pirate Bay нових архівів, що містять троянську програму Trojan.Merin.3, призначену для Майнінг електронної валюти Bitcoin і крадіжки паролів у користувачів Mac OS X. Шкідлива програма розповсюджується під виглядом додатків WritersCafe, Twitterrific і EvoCam.

Після завершення закачування інфікованого програми з Інтернету і його виконання Trojan.Merin.3 запускає спеціальний скрипт, що активізує завантажувач троянця. Завантажувач поміщається в одну з підпапок домашньої директорії Library під ім'ям eCamd або twitterd, після чого завантажує з FTP-сервера зловмисників архів bin.bop.

Всередині архіву міститься модуль біткойн-клієнта для Mac OS X під назвою DiabloMiner і сама троянська програма. У даній версії троянця використовуються нові біткойн-адреси в порівнянні з попередніми реалізаціями Trojan.Merin. Основний троянський модуль Trojan.Merin.3 здатний красти на інфікованому комп'ютері користувача паролі, дані електронних гаманців, а також логи командного інтерпретатора bash (.bash_history), і відсилати всі ці дані на віддалений сервер, що належить зловмисникам.

Інші тенденції року, що минає

Протягом 2011 року значно зросла кількість випадків використання мережевими шахраями кириличних доменів в російській зоні .рф - перші подібні ресурси були додані в бази Dr.Web рівно рік тому, в грудні 2010 року, і на сьогоднішній день їх число вже перевищує 110. Зараз в зоні .рф зареєстровано вже більше 949 000 доменних імен (за даними на 21 грудня 2011 року), число незайнятих доменів тут все ж значно більше в порівнянні з кількістю вільних доменів в інших зонах, таких як .ru, .su, .com,. org або .net. Для порівняння, на сьогоднішній день в зоні .ru зареєстровано 3 593 854 домену. Ймовірно, відносна легкість при підборі вільного доменного імені в кириличній доменній зоні і привертає мережевих шахраїв. Стримуючим же фактором, швидше за все, для них служить відносна дорожнеча реєстрації і продовження домена в зоні .рф в порівнянні з іншими доменними зонами.

У 2011 році експоненціально зросла загальна кількість загроз для мобільної платформи Android. Всього в вірусних базах Dr.Web на середину грудня 2011 року числиться без малого 600 шкідливих програм для Android, в той час як на початок року їх налічувалося всього 30. Таким чином, можна сказати, що за останні 12 місяців загальне число загроз для мобільної платформи Google Android збільшилася в 20 разів, - а це вельми красномовний показник.

Крім того, згідно з наявною в розпорядженні компанії «Доктор Веб» статистикою за рік майже вдвічі збільшилася кількість програм-вимагачів сімейства Trojan.Winlock, а кількість блокувальників завантажувального запису, що відносяться до сімейства Trojan.MBRLock, зросла з початку року в 52 рази.

Шкідливі файли, виявлені в поштовому трафіку в грудні

180,905,399 інфікованих: 5,603,704 (3.10%)

Шкідливі файли, виявлені в грудні на комп'ютерах користувачів

140,431,895,720 інфікованих: 170,366,888 (0.12%)

Назад до списку статей