Свободен
Скрыть опции темы
Привет, гость!
Зарегистрируйся, чтобы получить полный доступ и возможность писать в форуме, группах и блогах.
Вход Регистрация
Вход Регистрация
 deadeyes
|
|
|
Одна из вредоносных программ, обнаруженная специалистами компании «Доктор Веб» в начале ноября, представляет собой опасного бота, способного по команде злоумышленников отправлять SMS, удалять установленные программы и файлы пользователей, красть конфиденциальную информацию, атаковать веб-сайты и выполнять на зараженном устройстве множество других нежелательных действий. Новая угроза была внесена в вирусную базу Dr.Web под именем Android.Wormle.1.origin. После установки троянец не создает ярлык на главном экране операционной системы и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system. Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников. Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging - сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google. Данный троянец обладает чрезвычайно обширным функционалом: он может рассылать SMS-сообщения, включать диктофонную запись, заносить в черный список определенный телефонный номер, получать информацию о списке контактов, телефонном номере жертвы и другие данные, удалять файлы и приложения с устройства и многое другое. Кроме того, функционал вредоносной программы позволяет получать доступ к банковским счетам пользователей, поэтому данный бот может использоваться и в качестве банковского троянца. Android.Wormle.1.origin реализует функционал SMS-червя, распространяясь среди владельцев Android-устройств при помощи SMS-сообщений, содержащих ссылку на загрузку копии вредоносной программы. Подобные сообщения рассылаются по всем телефонным номерам из книги контактов пользователей, поэтому за короткий промежуток времени Android.Wormle.1.origin способен заразить большое число мобильных устройств. Полученная специалистами компании «Доктор Веб» статистика показывает, что на данный момент вредоносная программа успела инфицировать более 14 000 Android-смартфонов и планшетов, принадлежащих пользователям из более чем 20 стран. Наибольшее число - 12 946 (или 91,49%) инфицированных троянцем мобильных устройств находится в России, далее с заметным отставанием следуют устройства из Украины (0,88%), США (0,76%), Беларуси (0,51%), Казахстана (0,25%), Узбекистана (0,21%), а также Таджикистана (0,15%). (с) |
|
deadeyes
|
|
|
Вирусные аналитики компании «Доктор Веб» исследовали нового троянца, предназначенного для заражения смартфонов и планшетов под управлением ОС Android. Троянец Android.BankBot.34.origin способен красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов. Начать свою деятельность Android.BankBot.34.origin может только после установки в систему самим владельцем смартфона. Поэтому авторы этой вредоносной программы распространяют ее под видом системного обновления и снабжают ярлыком одной из популярных программ, причем, выбор приложения для имитации может быть абсолютно любым. Пользователь может случайно запустить троянца вместо настоящего ПО через ярлык на рабочем столе. Если же вредоносное приложение не активируется пользователем, запуск троянца все равно произойдет, т. к. в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении операционной системы. Android.BankBot.34.origin запрашивает у жертвы доступ к функциям администратора мобильного устройства. Кроме того, троянец удаляет созданный им ранее ярлык в случае, если запуск Android.BankBot.34.origin производился самим владельцем смартфона или планшета. После этого троянец приступает непосредственно к вредоносной деятельности. Например, он может отображать фишинговое диалоговое окно с полями для ввода конфиденциальной информации - логина и пароля, номера телефона или сведений о кредитной карте. При этом, троянец правдоподобно имитирует форму запроса настоящих приложений, в числе которых - Google Play, Gmail, Instagram, Skype, «ВКонтакте», «Одноклассники», Facebook, Twitter и ряд других. Вся введенная жертвой информация передается троянцем на управляющий сервер. Либо Android.BankBot.34.origin может выполнять указания злоумышленников, поступающие от удаленного узла. Например, отправлять или перехватывать SMS, вносить в черный список определенный номер, очистить список блокируемых номеров, передать на сервер информацию об установленных на устройстве приложениях и так далее. Благодаря тому, что Android.BankBot.34.origin способен отправлять и перехватывать SMS, киберпреступники могут использовать его в качестве банковского троянца для похищения денежных средств со счетов своих жертв при помощи управляющих SMS мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, воспользовавшись USSD-командами и переведя определенную сумму на свой телефонный номер. (с) |
|
deadeyes
|
|
|
Компании «Доктор Веб» подвела итоги декабря 2014 года, отметив, что на протяжении всего минувшего месяца вирусная база Dr.Web пополнялась новыми записями вредоносных приложений для ОС Android, среди которых были как очередные банковские троянцы, так и троянцы, помещенные злоумышленниками непосредственно в образ прошивки операционной системы. Так, внесенный в вирусную базу Dr.Web троянец Android.Backdoor.126.origin по команде управляющего сервера мог размещать среди входящих сообщений пользователя зараженного мобильного устройства различные SMS с заданным злоумышленниками текстом. Другой троянец Android.Backdoor.130.origin, «спрятанный» внутри операционной системы, предоставлял создавшим его киберпреступникам еще больше возможностей для незаконной деятельности. Например, Android.Backdoor.130.origin может отправлять SMS, совершать звонки, демонстрировать рекламу, загружать, устанавливать и запускать приложения без ведома пользователя, а также передавать на управляющий сервер различную конфиденциальную информацию. Кроме того, Android.Backdoor.130.origin имеет возможность удалять уже установленные на зараженном устройстве приложения. Еще одной заслуживающей внимания вредоносной Android-программой, обнаруженной в декабре, стал троянец Android.SmsBot.213.origin, который по команде киберпреступников мог выполнять нежелательные действия, например, перехватывать и отправлять SMS, а также передавать на управляющий сервер конфиденциальную информацию пользователей. Главная опасность данного троянца заключалась в том, что он позволял злоумышленникам получить доступ к управлению банковскими счетами пользователей, у которых была подключена услуга мобильного банкинга. Так, Android.SmsBot.213.origin мог незаметно для своих жертв перевести все их деньги на счет злоумышленников. Интересной особенностью данной вредоносной программы является то, что она распространялась под видом популярной игры, которая в конечном итоге все же устанавливалась на заражаемое устройство. В частности, после установки и запуска пользователем Android.SmsBot.213.origin инициировал инсталляцию скрытого внутри него файла оригинального игрового приложения, после чего удалял свой ярлык и функционировал уже в качестве системного сервиса. © |
|
deadeyes
|
|
|
пециалисты компании «Доктор Веб» обнаружили очередного мобильного троянца, который демонстрирует различные рекламные уведомления, ведущие к загрузке нежелательного и вредоносного ПО. Данная программа интересна тем, что отображаемые ею сообщения имитируют поступление SMSи email-корреспонденции, в результате чего потенциальные жертвы с большей вероятностью обратят на них внимание. Исследованная специалистами компании «Доктор Веб» вредоносная программа, получившая имя Android.DownLoader.157.origin, распространяется на посвященных мобильным приложениям сайтах, и, по заявлению ее создателей, представляет собой телефонного помощника, демонстрирующего во время звонка на экране страну, регион собеседника, а также название предоставляющего ему услуги связи оператора. Приложение действительно обладает заявленным функционалом, однако через некоторое время после его запуска в информационной панели мобильного устройства неожиданно начинают появляться уведомления, внешне напоминающие системные нотификации о входящем SMS или электронном письме. В результате жертвы данного обмана могут по ошибке принять эти сообщения за подлинные. После того как пользователь нажмет на одно из подобных SMS, троянец загружает с удаленного сервера заданный киберпреступниками apk-файл и вновь размещает в области нотификаций соответствующее ему уведомление, нажатие на которое начинает процесс установки загруженного ранее приложения. Проведенное вирусными аналитиками «Доктор Веб» исследование показало, что большая часть из распространяемых таким образом программ представляет собой различных троянцев, среди которых - троянцы-загрузчики, бэкдоры и другое опасное ПО. © |
|
deadeyes
|
|
|
Несмотря на то, что Google Play является официальным каталогом приложений для мобильной операционной системы Android, на данном сайте время от времени появляются потенциально опасные и даже вредоносные программы. Одну из них, получившую наименование Android.DownLoader.171.origin, недавно обнаружили вирусные аналитики компании «Доктор Веб». Вредоносная программа Android.DownLoader.171.origin распространяется под именем KKBrowser. Статистика загрузок на Google Play показывает порядка 100 000 – 500 000 установок приложения, однако, если прибавить к этому числу китайские сборники ПО, на которых также распространяется Android.DownLoader.171.origin (Baidu — 880 000 установок, qq — 310 000, 360cn — 60 000, Wandoujia —58 000), общее количество скачиваний превысит 1,5 миллиона. Android.DownLoader.171.origin сочетает в себе функции троянца-загрузчика и рекламного приложения. После установки на инфицированном устройстве вредоносная программа обращается к управляющим серверам и загружает указанные злоумышленниками приложения. При этом, в случае наличия на устройстве доступа с привилегиями root, приложения устанавливаются автоматически, а в противном случае на экране устройства демонстрируется соответствующий запрос. Троянец умеет не только устанавливать, но также незаметно для пользователя удалять программы — автоматически при наличии прав root или с использованием запроса соответствующего разрешения у пользователя. Помимо этого, Android.DownLoader.171.origin способен демонстрировать пользователю уведомление в панели нотификаций Android, выглядящее, как сообщение о поступлении электронной почты, в то время как на самом деле содержимое нотификаций определяет управляющий сервер. При нажатии на такое сообщение открывается окно браузера и выполняется переход на указанный злоумышленниками веб-сайт. Вредоносная программа выполняет проверку на наличие установленных антивирусов китайского производства, а также собирает и отправляет на сервер злоумышленников сведения об инфицированном устройстве, такие как язык локализации и версия ОС, наличие административного доступа, модель устройства, разрешение экрана, значение IMEI и другие данные. © |
|
deadeyes
|
|
|
Антивирусная компания ESET предупреждает о дальнейшем распространении трояна Android/Clicker в Google Play. Android/Clicker – троян-порнокликер для смартфонов и планшетов на базе Android, предназначенный для генерации трафика на «взрослые» ресурсы. Ранее специалисты ESET обнаружили на Google Play несколько версий вредоносной программы, замаскированных под легитимное приложение Dubsmash 2. Подделка была загружена более 10 000 раз и удалена после обращения в Google. Тем не менее, Android/Clicker продолжает распространяться через магазин приложений. Вирусные эксперты ESET выявили 51 новое приложение, содержащее вредоносную программу. Четыре приложения набрали более 10 000 загрузок, а одно было установлено более 50 000 раз. Среди зараженных программ печально известная Dubsmash, а также Download Manager, Pou 2, Clash of Clans 2, Subway Surfers 2, Subway Surfers 3, Minecraft 3, Hay Day 2, чит-коды к играм и другое ПО. В общей сложности для скачивания в Google Play было доступно 60 мобильных приложений, зараженных трояном-порнокликером. В течение последних трех месяцев они были установлены около 210 000 раз. За неделю после публикации первого отчета ESET приложения набрали примерно 106 000 загрузок. Вирусные эксперты ESET отмечают, что даже сегодня, спустя месяц после обнаружения первых образцов Android/Clicker в Google Play, вредоносные приложения продолжают обходить систему фильтрации Bouncer, подвергая риску миллионы пользователей. Зараженные приложения были удалены из Google Play только после уведомления от ESET. © |
|
deadeyes
|
|
|
Новая угроза взлома смартфонов, работающих на операционной системе Android, грозит от банального MMS-сообщения. Специалисты по мобильной безопасности из компании Zimperium обнаружили очередную уязвимость в ОС, которая кроется в компоненте ядра Android, отвечающем за работу с мультимедийными файлами. Хакеру всего лишь нужно знать номер телефона жертвы. Отправленное сообщение, содержащее особым образом составленный код, способно самостоятельно добраться до системы. Пользователям не обязательно даже запускать заражённый файл. Уязвимый компонент используется для автоматической генерации эскизов, извлечения метаданных видео и аудио. Достаточно просто получить заражённый файл посредством MMS или скопировать внутри файловой системы. В первом случае пользователь даже не поймёт, как было взломано его устройство, ведь MMS может прийти ночью в беззвучном режиме, а вредоносный код удалит любое упоминание о сообщении. Специалисты не только выявили уязвимость, но и создали патчи, закрывающие её. Но проблема состоит в том, что обновление Anroid происходит очень медленно, а потому 95% устройств с данной операционной системой всё ещё находятся в зоне риска. Более всего уязвимы смартфоны и планшеты, функционирующие на ОС Android 4.3 и ниже, так как в них отсутствуют определённые защитные механизмы от такого типа атак, появившихся в последующих версиях Android. (с) |
|
deadeyes
|
|
|
Одной из главных тенденций в развитии киберугроз остается непрекращающийся быстрый рост количества вредоносных программ, нацеленных на мобильные операционные системы. Так, за период с апреля по июнь 2015 года эксперты «Лаборатории Касперского» зафиксировали почти 300 тысяч образцов новых мобильных зловредов, а значит по сравнению с первым кварталом этого года их число увеличилось почти в три раза. Одной из главных мобильных угроз продолжают оставаться банковские троянцы. К примеру, уже отмеченный исследователями «Лаборатории Касперского» троянец OpFake сейчас умеет атаковать 114 банковских и финансовых приложений, тогда как в первом квартале их было лишь 29. Наиболее активно мобильные банковские троянцы распространяются в Корее, а вот второе место в этом рейтинге принадлежит России. Как свидетельствуют внутренние статистические данные «Лаборатории Касперского», во втором квартале 2015 года каждый десятый российский пользователь, столкнувшийся хотя бы с одним мобильным зловредом, был атакован, в том числе, и мобильным банковским троянцем. Как отметил Роман Унучек, антивирусный эксперт «Лаборатории Касперского», помимо роста числа непосредственно вредоносных программ для мобильных платформ, во втором квартале этого года особенно заметны были мобильные троянцы, которые могут получать повышенные права для показа или установки рекламных приложений. Всего же за второй квартал решения «Лаборатории Касперского» отразили почти 380 миллионов вредоносных атак по всему миру. И половина этих атак осуществлялась с Интернет-ресурсов, расположенных в России. К примеру, занявшие вторую строчку в рейтинге США оказались ответственны лишь за 12% всех веб-атак. (с) |
|
deadeyes
|
|
|
Две недели назад специалисты рассказали о том, как одним MMS-сообщением можно взломать Android-смартфон. Сегодня на конференции по безопасности группа исследователей продемонстрировала, как перехватить управление смартфоном с помощью поддельного приложения или простого SMS. Проблема кроется в мобильном инструменте удаленной поддержки. Это приложение чаще всего устанавливает производитель для того, чтобы специалисты компании смогли помочь пользователю разобраться в возникшей проблеме на смартфоне. С его помощью сервис поддержки получает полный доступ к устройству и способен управлять им удаленно. Никаких иконок на рабочем столе с этим приложением найти не удастся. Группа исследователей под названием Check Point продемонстрировала, как с помощью поддельного сертификата можно получить полный доступ к этому приложению. Для этого есть два пути: установка пользователем поддельного приложения (например, фонарика) или отправка на устройство жертвы SMS, которое заставит инструмент удаленного управления выполнить любую команду. Check Point уже сообщила об уязвимости Google многим производителям смартфонов, которым придется принять меры по устранению этой опасной «дыры» в своем ПО. Кроме того, в магазине Google Play опубликовали сканер, который позволит узнать, установлено ли на смартфоне приложение удаленного доступа. © |
|
deadeyes
|
|
|
Специалисты компании «Доктор Веб» продолжают отмечать случаи, когда Android-троянцы уже предустановлены на мобильные устройства в качестве системных приложений и незаметно для их владельцев осуществляют вредоносную деятельность. Очередной такой инцидент, «героем» которого стал бэкдор Android.Backdoor.114.origin, был зафиксирован нашими вирусными аналитиками совсем недавно. Само вредоносное приложение Android.Backdoor.114.origin уже известно специалистам «Доктор Веб»: этот бэкдор внедряется непосредственно в прошивку мобильных устройств и функционирует в качестве системного приложения. Как результат, удаление троянца стандартными способами становится практически неосуществимым. Об очередном случае заражения мобильных устройств троянцем Android.Backdoor.114.origin стало известно в середине сентября. Новыми жертвами бэкдора стали владельцы Android-планшета Oysters T104 HVi 3G, на котором вредоносная программа скрывается в предустановленном приложении c именем GoogleQuickSearchBox.apk. Производитель данной модели был уведомлен о наличии проблемы, однако, пока официальная версия прошивки аппарата не претерпела никаких изменений и по-прежнему содержит в себе бэкдор, отмечают эксперты «Доктор Веб». Android.Backdoor.114.origin собирает и отправляет на управляющий сервер широкий спектр информации о зараженном устройстве. Однако, основное предназначение Android.Backdoor.114.origin - незаметная загрузка, установка и удаление приложений по команде управляющего сервера. Примечательно, что троянец способен самостоятельно активировать отключенную опцию установки ПО из непроверенных источников, если данная функция изначально была неактивна. В результате, даже если владелец зараженного устройства соблюдает меры безопасности, это ему не поможет, т. к. бэкдор все равно изменит соответствующие настройки и сможет незаметно инсталлировать всевозможные рекламные, нежелательные и откровенно опасные вредоносные программы. (с) |
|
deadeyes
|
|
|
«Лаборатория Касперского» обнаружила один из самых опасных мобильных троянцев, атакующих пользователей Android. Зловред Acecard крадет данные банковских карт и учетные данные для доступа к различным мобильным и онлайн-сервисам, перекрывая официальные приложения фишинговыми окнами. Однако, в отличие от многих аналогичных вредоносных программ, Acecard обладает функцией перекрытия абсолютно любого приложения по команде злоумышленников, что делает возможности троянца практически безграничными. В настоящее время зловред активен во многих странах мира, хотя заражению им в большей степени подвержены пользователи в России, Австралии, Германии, Австрии и Франции. Новейшие модификации Acecard способны атаковать более 30 финансовых приложений, включая платежный сервис PayPal и системы мобильного банкинга, а также ряд популярных мессенджеров (WhatsApp, Viber, Skype) и мобильных приложений социальных сетей (Instagram, «ВКонтакте», «Одноклассники», Facebook, Twitter). Кроме того, как выяснили эксперты «Лаборатории Касперского», ряд модификаций Acecard способен перекрывать окно приложений Google Play и Google Music для того чтобы заполучить данные банковской карты пользователя. Помимо фишинговых приемов, в арсенале Acecard есть также функция перехвата SMS от банков с одноразовыми паролями для денежных транзакций, а в область интересов злоумышленников при этом попали 17 российских банков. Кроме того, некоторые модификации зловреда способны получать права суперпользователя, укореняясь в системной папке устройства, вследствие чего избавиться от Acecard стандартными средствами невозможно. Для распространения троянца используются названия, похожие на легитимные и популярные программы. К примеру, эксперты «Лаборатории Касперского» находили его в официальном магазине Google Play под видом невинной игры. Как полагают аналитики, создатели Acecard имеют русское происхождение. (с) |
|
deadeyes
|
|
|
Угрозы для мобильных устройств на базе Android перестали уступать по сложности вредоносному ПО, атакующему традиционные компьютеры, считают эксперты «Лаборатории Касперского». Они обнаружили мобильный троянец Triada, который с технической точки зрения значительно превосходит все другие аналогичные зловреды. Отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на зараженном устройстве, и возможность менять логику их работы. Зловред тщательно скрывает следы своего присутствия в системе, поэтому обнаружить и удалить его не так-то просто. Угроза особенно актуальна для пользователей Android версии 4.4.4 и более ранних, отмечают аналитики. Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote, ранее подобные техники рассматривались исключительно с теоретической точки зрения. Другой особенностью Triada является его модульная структура. Основная программа-загрузчик устанавливает на устройство различные модули зловреда, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом, троянец скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретенным правам суперпользователя. На сегодняшний день Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троянец перехватывает, модифицирует и фильтрует платежные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры. Как рассказал Никита Бучка, антивирусный аналитик «Лаборатории Касперского», спектр техник, использованных данным троянцем, не встречается ни в одном из известных ранее мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления зловреда, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность. © |
|
deadeyes
|
|
|
Специалисты компании "Доктор Веб" рассказали об обнаружении новой вредоносной программы, которая была внедрена в прошивки многих Android-устройств - более 40 моделей, а также в код нескольких известных мобильных приложений для ОС от Google. Как утверждается, троянец предназначен для показа навязчивой рекламы, а также кражи личных данных, причём в сети была замечена активность нескольких модификаций троянца с разным поведением. Модуль Android.Gmobi.1 расширяет функциональные возможности Android-приложений и предназначен для дистанционного обновления операционной системы, сбора аналитических данных, показа различных уведомлений (в том числе рекламы) и осуществления мобильных платежей. Несмотря на кажущуюся безобидность, Android.Gmobi.1 во многом ведёт себя как типичный троянец, поэтому содержащие его программы детектируются антивирусными продуктами как вредоносные. На текущий момент специалисты "Доктор Веб" обнаружили этот SDK в предустановленном системном ПО почти 40 популярных мобильных устройств, а также в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и ASUS WebStorage, которые доступны для загрузки в каталоге Google Play. Все компании уже оповещены о возникшей проблеме и занимаются её решением. Так, последние официальные версии программ TrendMicro Dr.Safety и TrendMicro Dr.Booster уже не содержат этого троянца. Android.Gmobi.1 имеет несколько модификаций, которые объединяет общая функциональность - сбор и отправка на удалённый узел конфиденциальной информации. Например, версии троянца, которые встроены в приложения TrendMicro Dr.Safety и TrendMicro Dr.Booster, имеют только указанную шпионскую функцию, в то время как модификация, обнаруживаемая в прошивках мобильных устройств, является наиболее продвинутой. При каждом подключении к Интернету или включении экрана зараженного смартфона или планшета (если перед этим экран был выключен более минуты) Android.Gmobi.1 собирает и отправляет на управляющий сервер целый ряд конфиденциальных данных, таких как: email-адреса пользователя; наличие роуминга; текущие географические координаты на основе данных спутников GPS или информации мобильной сети; подробную техническую информацию об устройстве; страну нахождения пользователя; наличие установленного приложения Google Play. В ответ троянец получает от сервера конфигурационный файл в формате JSON (JavaScript Object Notation), который может содержать следующие управляющие команды: сохранить в базу данных информацию о рекламе, которую необходимо показать пользователю; создать рекламный ярлык на рабочем столе; показать уведомление с рекламой; показать уведомление, нажатие на которое приведет к запуску уже установленного на устройстве приложения; загрузить и установить apk-файлы с использованием стандартного системного диалога или скрытно от пользователя, если для этого имеются соответствующие права. Далее в соответствии с полученными командами вредоносная программа приступает к непосредственному выполнению своей основной вредоносной функции - показу рекламы, а также других действий, нацеленных на получение прибыли. В частности, троянец может продемонстрировать рекламу следующих типов: реклама в панели уведомлений; реклама в виде диалогового окна; реклама в виде интерактивных диалоговых окон - при нажатии кнопки подтверждения происходит отправка SMS (при этом она выполняется только в том случае, если у приложения, в которое встроен вредоносный SDK, есть на это соответствующие права); рекламный баннер поверх окон других приложений и графического интерфейса ОС; открытие заданной страницы в веб-браузере или в приложении Google Play. Кроме того, Android.Gmobi.1 способен автоматически запускать программы, уже установленные на устройстве, а также скачивать приложения по указанным злоумышленниками ссылкам, тем самым "накручивая" их популярность. В настоящий момент все известные модификации этого троянца детектируются и обезвреживаются антивирусными продуктами только в тех случаях, если они находятся не в системных каталогах ОС. Если Android.Gmobi.1 был обнаружен в прошивке зараженного мобильного устройства, его удаление обычными средствами не представляется возможным, поскольку для этого антивирусу необходимо наличие root-полномочий. Однако даже если необходимые права в системе имеются, удаление троянца может привести к нарушению работы заражённого смартфона или планшета, поскольку Android.Gmobi.1 может быть встроен в критически важное системное приложение. В этом случае необходимо обратиться к производителю мобильного устройства и запросить у него новую версию прошивки, в которой троянец будет отсутствовать. (с) |
|
deadeyes
|
|
|
Очередного троянца, обладающего шпионскими функциями и получившего имя Android.Spy.277.origin, специалисты компании «Доктор Веб» обнаружили в более чем 100 приложениях, размещенных в каталоге Google Play. Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок троянца. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности, вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3 200 000. Компания «Доктор Веб» уведомила службу безопасности Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play. После запуска программ, в которых находится троянец, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троянец повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. Как видно на примерах рекламных баннеров, троянец может фактически запугивать пользователей, например, ложно информируя о повреждении аккумулятора устройства и предлагая скачать ненужные программы для его «починки». Примечательно, что плагин, скрытый в файловых ресурсах Android.Spy.277.origin, имеет тот же самый функционал, что и сам троянец. Получив необходимую команду от сервера, вредоносное приложение пытается установить этот модуль под видом важного обновления. После его установки на зараженном устройстве фактически будут находиться две копии Android.Spy.277.origin, поэтому, даже в случае удаления исходной версии троянца в системе останется его «дублер», который продолжит показывать навязчивую рекламу. Компания «Доктор Веб» рекомендует владельцам Android-смартфонов и планшетов внимательно относиться к скачиваемым приложениям и устанавливать их только в том случае, если есть уверенность в благонадежности разработчика. Все известные модификации Android.Spy.277.origin успешно обнаруживаются и удаляются антивирусными продуктами Dr.Web для Android. (с) |
|
Vuego
|
|
|
а я на этой неделе наблюдал инфицированный роутер TP-Link ND742 кажется - работники на след. день после подключения в инет через него начали жаловаться, что на многих сайтах начали окна рекламные всплывать сразу по два-три... воткнули другой роутер и чудеса исчезли... Лечится оригинальной прошивкой с сайта производителя, интересен механизм каким образом роутер был инфицирован (эта дрянь на компьютеры не прыгает) |
|
deadeyes
|
|
|
Недавно специалисты компании «Доктор Веб» выявили в каталоге Google Play более 190 приложений, в которых находится троянец Android.Click.95, пугающий пользователей наличием проблем на мобильных устройствах и заставляющий их устанавливать рекламируемые программы. Обычно приложения, в которые встроен Android.Click.95, представляют собой типичные программы-сборники, содержащие различные советы, гороскопы, сонники, анекдоты и т. д. Вирусные аналитики «Доктор Веб» обнаружили более 190 таких приложений, распространяемых в Google Play как минимум шестью разработчиками: allnidiv, malnu3a, mulache, Lohari, Kisjhka и PolkaPola. В общей сложности, троянца успели загрузить, как минимум, 140 000 пользователей. Компания Google уже оповещена об этом инциденте, однако некоторые из выявленных приложений остаются доступными для загрузки. Попадая на мобильное устройство, Android.Click.95 начинает вредоносную деятельность не сразу, а лишь через 6 часов после того, как будет запущена содержащая троянца программа. Это сделано для того, чтобы отвести подозрения жертвы от истинного источника проблемы. По прошествии 6 часов Android.Click.95 проверяет, установлено ли на зараженном устройстве приложение, которое заранее указано в настройках троянца. В зависимости от результата Android.Click.95 открывает в веб-браузере мошеннический сайт с определенным тревожным сообщением. Например, если троянец не находит определенное приложение-браузер, пользователю демонстрируется соответствующее предупреждение о том, что его текущий веб-обозреватель небезопасен и нуждается в замене. Если же рекламируемая программа уже установлена, жертву пугают иной неполадкой, например, неисправностью аккумулятора. Для решения проблем пользователю предлагается установить рекламируемую программу, причем, чтобы заставить его это сделать, Android.Click.95 загружает мошенническую веб-страницу каждые 2 минуты, фактически, не давая владельцу смартфона или планшета нормально пользоваться устройством. После того, как хозяин атакованного мобильного устройства все же соглашается установить предлагаемое ему ПО и нажимает соответствующую кнопку на веб-странице, он перенаправляется в каталог Google Play, в котором автоматически открывается раздел с той или иной программой, рекламируемой троянцем в данный момент. За каждую успешную установку злоумышленники получают денежное вознаграждение в рамках рекламных партнерских программ. (с) |
|
Рекомендуем почитать также топики: Загрузка с HDD Проблема с квипом. Самый объёмный текст Меняю =FIFA= или =PES= |