Специалист по безопасности мобильного сервиса Lookout обнаружил представителей нового семейства Android-троянцев в 32 приложениях, выложенных четырьмя разными разработчиками на Google Play. Согласно статистике онлайн-магазина, зараженные продукты были скачаны от 2 до 9 млн. раз.

BadNews (дословно «плохие новости») маскируется под безобидный, хотя и несколько агрессивный SDK-пакет для рекламной сети. Чтобы обойти защиту Google Play, авторы зловреда создали подставную рекламную сеть, через которую осуществляется загрузка вредоносного кода на зараженные устройства. При запуске BadNews отсылает на командный сервер информацию о зараженном устройстве (номер телефона, IMEI), а затем обращается к нему раз в четыре часа для получения дальнейших инструкций. Функционал нового троянца позволяет ему отображать на экране поддельные сообщения от имени легальных веб-сервисов (Skype, ВКонтакте), провоцируя пользователя на установку других вредоносных программ. Так, при анализе одного из образцов BadNews исследователи обнаружили, что он продвигает хорошо известного троянца, отсылающего текстовые сообщения на российские премиум-номера. Анализ также показал, что новый зловред по коду схож со многими SMS троянцами восточноевропейского происхождения.

Согласно статистике ОАО «АльфаСтрахование», за прошедший год количество случаев незаконного снятия денежных средств со счетов россиян увеличилось в 2 раза. По итогам 2012 года доля таких страховых инцидентов возросла в 1,5 раза, составив 54,8% обращений.

В 2011 году самой частой причиной финансовых потерь для владельцев банковских счетов являлась утрата карты (потеря, хищение или повреждение) — 62,6% от общего количества страховых случаев. На долю несанкционированного вывода средств пришлось 36,8% обращений. В 2012 году эти позиции рейтинга рисков поменялись местами, доля страховых случаев, связанных с утерей пластиковой карты, снизилась до 43,3%. Риски, связанные с получением наличности в банкомате (ограбление в момент снятия денег или в течение 12 часов после снятия), увеличились почти в четыре раза — с 0,6 до 2,1%.

По размеру убытков, понесенных держателями банковских карт в результате страхового инцидента, мошеннические транзакции являются абсолютным лидером. В 2011 году на их долю пришлось 87,8% компенсаций, выплаченных компанией «АльфаСтрахование», в 2012 году — 90,7%. Выплаты по утрате банковской карты в 2011 году составили 11,8%, в 2012-м — 5,4%. Меньше прочих теряют клиенты банков, ограбленные у банкомата (0,4% и 3,9% соответственно).

По данным Института социологии РАН и Ассоциации российских банков (АРБ), пластиковыми картами уже пользуются 66,1% россиян, и этот показатель растет. Аналитики «АльфаСтрахование» относят к группе повышенного риска тех клиентов, которые часто проводят платежи с помощью карты, в том числе за границей и через интернет. Эксперты также отмечают, что процесс возврата утраченных денег может оказаться длительным и трудоемким, причем без гарантии положительного исхода.

В тот самый день, когда в Бостоне произошел взрыв, я как раз направлялся на SourceConference. Трудно описать свои чувства по прибытии в город. Как сказал президент Обама в своем обращении к жителям Бостона: «Вы будете бегать снова». Мои искренние соболезнования, друзья.

В своей презентации на конференции Source я рассказывал о мошенничестве в Твиттере. В последнее время мы встречаем в этой социальной сети довольно много спам-ботов – как тех, которые наугад рассылают незапрошенные сообщения другим пользователям, так и тех, что проводят предварительный семантический анализ ваших твитов, чтобы затем осуществить целенаправленную атаку.

Программист из Тольятти, писавший на заказ веб-инжекты для троянской программы-банкера Carberp, осужден условно.

Согласно материалам дела, Александр Пакичев, 1971 года рождения, публиковал в интернете объявления, предлагая свои услуги по созданию модификаций Carberp, ориентированных на конкретные банки. За полгода он продал более десятка таких программ, получая с заказчиков в среднем по 9 тыс. рублей (по другим данным, от 400 до 1500 долларов). После запуска на зараженной машине Carberp воровал персональные данные жертвы и ее идентификаторы к аккаунту в системе ДБО, а для обхода двухфакторной аутентификации троянец на лету изменял страницу регистрации (веб-инжектирование) и запрашивал у жертвы номер мобильного телефона. Украденная зловредом информация позволяла злоумышленникам клонировать SIM-карты в салонах сотовой связи и проводить мошеннические транзакции от имени своих жертв.

В минувшем квартале Cloudmark зафиксировала резкое сокращение потоков мошеннических SMS-сообщений, предлагающих абонентам «бесплатные» призы и подарочные карты от ведущих ритейлеров. По мнению экспертов, главной причиной этого спада являются коллективные иски, поданные Федеральной комиссией США (ФТК) против распространителей такого спама.

ФТК подала в суд на SMS-мошенников в начале марта. Сразу после публикации этой новости Cloudmark отметила, что дневная норма жалоб на «подарочный» SMS-спам снизилась до 10% от общего объема. В 2012 году на его долю пришлось 44% текстовых спам-сообщений, в январе-феврале нового года на пике эксперты получали до 78% жалоб в сутки, а в марте этот показатель сократился до 6%.

«Яндекс» предупреждает: на российских веб-сайтах расплодилось большое количество мошеннических объявлений, в которых посетителей просят ввести номер мобильного телефона, а затем — код, присланный в SMS. Согласно данным компании, такие сайты посещает 21% месячной аудитории Рунета и около 2% суточной, в сутки на них приходится в среднем свыше 10 млн. визитов, в результате которых жертвы теряют десятки миллионов рублей.

Эти цифры прозвучали в докладе «Мошеннические интернет сайты, опыт противодействия», представленном на конференции РИФ+КИБ 2013 руководителем группы антивирусных проектов «Яндекс» Александром Сидоровым. По его словам, поисковая система «Яндекс» опознает мошеннические сайты, ограничивает число их показов в выдаче, предупреждая пользователей об опасности, а также отправляет списки этих сайтов партнерам.

В марте текущего года компании «Яндекс», Mail.ru Group, Google, «ВКонтакте», «Лаборатория Касперского», Group-IB и «Доктор Веб» опубликовали совместное заявление, в котором отметили рост случаев сбора телефонных номеров для принудительной подписки абонентов на платные услуги. Злоумышленники создают имитации популярных ресурсов и размещают на них объявления типа «Вы выиграли приз», «Ваш аккаунт заблокирован» и т.п. Созданные страницы содержат поле для ввода номера телефона, на который впоследствии высылается SMS с кодом подтверждения. После ввода этого кода на мошенническом веб-сайте жертва в качестве «приза» получает SMS-подписку, за которую с ее счета ежедневно списываются деньги.

Чтобы обезопасить пользователей от этого вида мошенничества, названные компании наладят взаимный обмен данными об угрозах и оповещение телеоператоров о коротких номерах, используемых злоумышленниками. Потенциальным жертвам напоминают о бдительности, рекомендуют тщательно проверять адреса страниц с заманчивыми объявлениями и использовать специализированную программную защиту. Избавиться от навязанного сервиса можно, обратившись к своему сотовому оператору.

Опыт многих офицеров информационной безопасности показывает, что лишь малая доля инцидентов происходит в результате тщательно спланированных и очень сложных таргетированных атак, большая же часть инцидентов является результатом отсутствия эффективных мер защиты и контроля. Мы начинаем серию публикаций, посвященных угрозам информационной безопасности, которые связанны с использованием легитимного ПО.

TeamViewer

Чрезвычайно популярные, удобные и полезные инструменты для организации удаленного доступа по достоинству оценили не только системные администраторы и разработчики, но и все, кому хоть раз приходилось срочно подключаться к рабочему компьютеру в ходе деловой поездки, отпуска или из дома. Однако бесконтрольное использование такого ПО создает угрозу безопасности компании и может привести к возникновению инцидентов.

Так, очень распространенное и часто используемое ПО для удаленного доступа – TeamViewer – было использовано для шпионажа в восточной Европе, направленного против как государственных, так и частных компаний. Однако проникновение в корпоративную сеть через ПО для удаленного доступа может быть не только внешней угрозой (хакеры и вредоносное ПО). Не менее опасны в этом случае и внутренние угрозы – бесконтрольное использование удаленного доступа сотрудниками, злонамеренная установка и использование такого ПО инсайдером. Рассмотрим возможные угрозы на примере реальной истории, свидетелями которой стали сотрудники нашей компании.

Федеральная торговая комиссия США (ФТК) подала иск против двух компаний, которые, по данным комиссии, заработали миллионы долларов, обманом подписывая владельцев мобильных устройств на премиум-услуги и взимая с них плату за навязанный сервис.

Согласно исковому заявлению ФТК, Wise Media, LLC распространяла текстовые сообщения с предложениями платных услуг по составлению гороскопов, поиску новых знакомств, предоставлению информации по разным вопросам и т.п. Многие получатели этих SMS удаляли их как спам или просто игнорировали, некоторые отвечали отказом. Но независимо от ответной реакции адресатов автоматически подписывали на премиум-сервис и взимали ежемесячную плату в размере $9,99 без ведома и согласия «подписчика».

Примечательно, что в итоговом счете за мобильные услуги подписка от Wise Media обозначалась аббревиатурой, поэтому потребителю было нелегко понять имя получателя платежа. Чаще всего абоненты и не пытались вникнуть в содержание счета, а просто оплачивали итоговую сумму. Кроме того, по утверждению ФТК, Wise Media старалась всячески скрыть свои координаты от потребителей. Если кому-то из обманутых удавалось раздобыть ее контактный телефон, ему сулили компенсацию, но денег так и не возвращали.

ФТК сочла вышеперечисленную деятельность противоречащей правилам добросовестной торговли и обратилась в суд. Американский регулятор ходатайствует о замораживании счетов ответчиков, пресечении порочных методов ведения бизнеса, а также конфискации обманом нажитых доходов в пользу потерпевших. В числе ответчиков фигурирует еще одна компания, Concrete Marketing Research, LLC, которая, по мнению ФТК, тоже получала доход от реализации данной мошеннической схемы.

В мае ФТК проводит круглый стол по проблеме навязчивого сервиса, в котором примут участие защитники прав потребителей, ведущие представители сферы премиум-услуг и органы правительственного надзора.

Как только в мире случается какое-то громкое событие, спамеры и кибермошенники немедленно используют его для привлечения внимания пользователей к своим рассылкам. Не стали исключением и последние трагические события в США: теракт на марафоне Бостоне и взрыв на химическом заводе в Техасе послужили поводом для создания новых рассылок вредоносного спама.

Уже 17 апреля мы зафиксировали первую рассылку писем, использующую происшествие в Бостоне для привлечения внимания получателей. Спам-сообщения содержали ссылки на взломанные страницы, на которых злоумышленники разместили вредоносные объекты.

На следующий день, 18 апреля, вновь мы зафиксировали рассылки, спекулирующие на трагедии в Бостоне. Темы рассылаемых сообщений имитировали заголовки новостей на сайте CNN (Opinion: Osama death was Faked by CIA - Boston Marathon Explosions Worse News. - CNN.com, Opinion: Updates on the Aftermath of Boston Marathon Explosions - CNN.com, Opinion: Boston Marathon Explosions - Obama Benefits? - CNN.com), но при этом имели абсолютно произвольные и, естественно, поддельные поля «From». Такие «новости» с шокирующими заголовками рассылались также от имени социальной сети LinkedIn и других респектабельных источников. Размещенные в сообщениях ссылки вели на взломанные сайты с эксплойт-паком BlackHole 2. В случае успешной атаки эксплойт загружал шпионскую программу, предназначенную для передачи данных с пользовательского компьютера: информацию из защищенных соединений браузера (HTTPS); cookies браузеров; скриншоты; список контактов, информацию о компьютере (установленные программы, конфигурация системы). «Лаборатория Касперского» детектирует эту программу как Backdoor.Win32.Papras.ppk.

Хостинг-провайдеры и специалисты по сетевой безопасности регистрируют резкий рост трафика на веб-сайтах, работающих на движке WordPress. Используя десятки тысяч IP-адресов, неизвестные злоумышленники пытаются получить доступ к административной панели сайтов перебором логин-паролей по словарю (метод brute force). В случае успеха взломанный ресурс становится частью ботнета и подключается к текущей серии атак.

Попытки массового взлома WordPress нередки, однако на сей раз хакеры действуют с небывалым размахом. По данным мониторинговой компании Sucuri, число заблокированных брут-форс атак на платформу WordPress в апреле утроилось и в среднем составляет 77,4 тыс. атак в сутки, а на пике превышает 100 тысяч. Боты запрашивают /wp-login.php и пытаются осуществить вход, оперируя списком из 1 тыс. популярных комбинаций логин-пароль. Чаще всего они авторизуются под именем admin, а из паролей отдают предпочтение admin, 123456, 666666, 111111, 12345678 и qwerty. На взломанный сайт внедряется бэкдор, обеспечивающий злоумышленникам удаленный контроль над ресурсом.

По оценке компании HostGator, которая первым из хостинг-провайдеров обнародовала информацию о глобальном инциденте, в хакерскую кампанию вовлечены свыше 90 тыс. разноплеменных IP адресов. Их мишенью является не только WordPress, но и Joomla, хотя и в значительно меньшем объеме. Оператор крупнейшей CDN сети CloudFlare, который обслуживает, по собственным оценкам, около 3% подаваемых по Сети запросов, за час заблокировал 60 млн. обращений к своим клиентам, использующим WordPress. При этом с каждого атакующего IP-адреса за раз подается всего лишь один запрос.

CloudFlare полагает, что атакующие оперируют небольшим ботнетом, составленным из домашних ПК, и намереваются создать более солидную сеть на базе веб-серверов. Последние доступны круглосуточно и способны генерировать мощный трафик, к тому же их не так-то легко заблокировать. Построенный на серверах ботнет может причинить большой ущерб, работая на фишеров, распространяя зловредов или участвуя в DDoS-атаках – например, с использованием эффективного набора скриптов itsoknoproblembro.

В этом печальном событии есть своя ложка меда: его масштабность подвигла хостинг-провайдеров на совместный поиск решений. В Сети стала появляться информация «из первых рук», предложения и рекомендации для многочисленных пользователей WordPress. Компания CloudFlare, как всегда, готова играть в открытую и поделиться с коллегами своей базой IP-адресов, участвующих в хакерском нападении. Ее эксперты загрузили на CDN-сеть сигнатуру атаки и блокируют все вредоносные запросы. Разработчик WordPress выложил в своем блоге предупреждение, отметив, что при таких масштабах атаки ограничение по IP-адресу или искусственное замедление процедуры авторизации не имеют большого смысла. По его мнению – и в этом с ним согласны все хостеры, все пользователи атакуемой платформы должны незамедлительно усилить пароли, включить опцию двухфакторной аутентификации, недавно введенную в обиход, а также удостовериться в актуальности установленной версии WordPress и плагинов.

Для справки: в декабре прошлого года в интернете насчитывалось 634 млн. веб-сайтов, в том числе 59,4 миллиона, построенных на WordPress. В настоящее время эту CMS используют более 64,2 млн. сайтов с совокупным числом просмотров 371 млн. в месяц.