Израильская security-компания Check Point Software Technologies и независимый вендор антифрод-решений Versafe опубликовали совместный отчет о недавней атаке на клиентуру европейских банков, проведенной злоумышленниками с помощью десктопной и мобильной модификаций ZeuS. По предварительным оценкам, операторы зловредного тандема украли у жителей Западной Европы свыше 36 млн. евро, опустошив более 30 тыс. корпоративных и частных счетов.

По данным Check Point, первыми под удар попали итальянцы, затем череда автоматизированных грабежей прокатилась по Германии, Голландии и Испании. Опустошительные набеги Eurograbber («захватчика евро»), как окрестили его эксперты, осуществлялись по хорошо известной схеме. Вначале происходит заражение компьютера, через вредоносную ссылку в спаме или drive-by загрузку. Обосновавшись в системе, зловред крадет регистрационные данные к системе онлайн-банкинга и от имени банка запрашивает у жертвы номер мобильного телефона, привязанный к ее счету. На этот номер злоумышленники высылают поддельное SMS-сообщение со ссылкой, по которой на смартфон загружается ZitMo ― облегченная версия ZeuS, работающая на мобильных платформах (в данном случае Android и Blackberry). ZitMo перехватывает и отсылает хозяевам входящие SMS с одноразовыми кодами транзакций (mTAN), используемые многими банками как дополнительный уровень защиты от мошенничества. Эти коды дают злоумышленникам возможность проводить транзакции, инициированные ZeuS от имени жертвы, и выкачивать чужие деньги на подставные счета.

20-летний француз, заразивший 17 тыс. Android-смартфонов, приговорен к 1 году лишения свободы с обязательным отбыванием наказания в течение половины этого срока. Вторые полгода он будет носить на ноге электронный браслет.

Дилан Карон (Dylan Caron), по его собственному признанию, знаком с компьютерной техникой с 3 лет, а к 9-10 годам начал проявлять интерес к программированию. В 12 лет его выдающиеся способности стали заметны всем, его IQ составлял 145, однако подросток бросил колледж, так и не окончив курс профориентации. Тем не менее, Карон продолжал мечтать о карьере программиста и, придумав, как оплачивать свои интеллектуальные упражнения в Сети, он решил испытать себя и написал неординарного SMS-троянца всего за час.

Зловред, которого специалисты нарекли Fakemart, был выложен в интернет-магазинах под видом бесплатных копий популярных приложений для Android. После запуска на зараженном устройстве троянец скрытно отсылал SMS на короткие номера, перехватывал ответные сообщения с кодом доступа к игровому сервису и передавал их Карону. При этом со счета жертвы снималось 4,5 евро за каждую платную SMS. Коды доступа, полученные с помощью Fakemart, давали французу возможность удовлетворять свою маленькую страсть ― участвовать в онлайн-викторинах и выигрывать грошовые призы. За несколько месяцев троянскому подручному Карона удалось ограбить 17 тыс. владельцев Android-смартфонов, совокупно потерявших около 500 тыс. евро.

Как оказалось, вирусописатель-самоучка даже не предполагал, что его детище получит такое широкое распространение. Для него это была всего лишь проба пера, попытка удостовериться, что диплом программиста ― не самое главное в этой профессии. При этом материальная выгода, которую мог бы обеспечить троянец, Карона мало интересовала: мошенническая схема принесла молодому французу 4 тыс. евро (видимо, это сумма всех выигрышей), и тот их потратил на новую аппаратуру и видеоигры.

По обвинениям в мошенничестве и причинении вреда чужой технике Карону грозило до 5 лет лишения свободы. С учетом смягчающих обстоятельств прокурор просила назначить правонарушителю 1 год условно с испытательным сроком 2 года. Итоговый вердикт оказался более суровым: суд принял во внимание большой размер ущерба, а также тот факт, что зловред пока не изъят из обращения и продолжает представлять опасность. По выходе на свободу молодому человеку не грозит учет по судимости, однако он должен будет в обязательном порядке найти работу.

В Токио задержаны пятеро молодых людей, подозреваемых в создании и распространении вредоносной программы для Android-устройств. С помощью этого приложения сообщники украли контактную информацию свыше 10 млн. человек.

Зловред распространялся через сайт Google (очевидно, имеется в виду Google Play) под видом бесплатных версий популярных игр для Android-смартфонов. За 9 месяцев злоумышленники выложили в общий доступ около 50 таких подделок, единственным назначением которых является кража содержимого адресной книги. По оценкам полиции, число жертв заражения составляет около 90 тысяч.

Согласно поправкам к японскому законодательству, вступившим в силу в прошлом году, вирусописательство и распространение вредоносных программ на территории этой страны является уголовно наказуемым преступлением. Поставщикам зловредов грозят тюремные сроки до 2-х лет, создателям ― до 3-х.

В Амьене задержан любитель онлайн-викторин, плативший за свое участие в них из чужого кармана. 20-летний француз пустил в оборот SMS-троянца, который разорял счета своих жертв и воровал коды доступа, высылаемые в ответ на его текстовые сообщения. За несколько месяцев троянскому подручному удалось ограбить 17 тыс. владельцев Android-смартфонов, совокупно потерявших около 500 тыс. евро.

Зловред, получивший название Fakemart, был обнаружен на территории Франции экспертами Webroot. Молодой человек предлагал его для скачивания под видом десятков легитимных приложений, чаще всего как Winamp Pro или Black Market (альтернатива Google Play). Fakemart способен скрытно отсылать SMS на премиум-номера, перехватывать входящие сообщения и связываться с удаленным сервером.

Компания Lookout, специалист по облачной защите мобильных устройств, опубликовала отчет о текущих угрозах и тенденциях их развития по состоянию на июнь 2012 года. Эксперты также определили страны с наиболее высокой вероятностью локального заражения: это Россия, Украина, Китай и Иран.

Данные, взятые за основу исследования, были собраны в течение года по многомиллионной клиентской базе Mobile Threat Network. Исследователи изучили отчеты свыше 1 млн. приложений, которые были приобретены пользователями в специализированных интернет-магазинах и установлены на мобильные устройства.

За минувшее полугодие Lookout зафиксировала значительный рост числа вредоносных программ, ориентированных на мобильные платформы. Среди них в настоящее время преобладают SMS-троянцы, на долю которых во II квартале пришлось 62% детектов. При этом за год, по данным компании, этот показатель вырос более чем в 2 раза. В минувшем июне 82% детектов в рамках Mobile Threat Network пришлось на OpFake ― лишь одного из многочисленных семейств зловредов, скрытно отправляющих платные SMS на премиум-номера. Больше прочих страдали от его разорительных набегов жители России, Ближнего Востока, Ирана и некоторых стран Западной Европы, не уделяющих должного внимания регулированию сферы премиум-услуг.

Как и следовало ожидать, в разных странах вероятность обнаружить зловреда на пользовательском устройстве различна. Lookout не впервые оценивает эти риски в географической привязке, однако на сей раз производила вычисления не по итогам года, а ежемесячно, и собирала данные лишь с тех устройств, которые сохраняли активный статус на протяжении 7 дней. Степень зараженности определялась по количеству детектов, зафиксированных за месяц в конкретной стране, в пересчете на число местных подписчиков Mobile Threat Network (активных не менее недели). Эксперты также учли показания File System Monitoring и Install Monitoring, инструментов, запущенных в апреле текущего года, которые позволяют обнаружить зловреда до его установки и запуска.

Разброс годовых показателей по странам составил от 0,04% (Япония) до 41,6% (Россия). Странами повышенного риска (свыше 1%), по состоянию на июнь 2012 г., являются Россия, Украина, Китай и Иран, где пользователи, видимо, более других склонны считывать программы из сомнительных источников. В Индии, Австралии, Индонезии, Вьетнаме, Малайзии, Южной Африке, Саудовской Аравии, Норвегии, Польше, Австрии и Франции вероятность заражения составляет 0,4-1%. США, Великобритания, Германия и Испания, Южная Корея и Филиппины показали 0,2-0,4%, прочие страны ― менее 0,2%. При этом в США основным способом доставки зловреда на мобильное устройство является вредоносная ссылка, присланная в спаме; такую ссылку активируют в среднем 4 из 10 американцев.

В Сети эксперты обнаружили большое количество агрессивных приложений, обслуживающих рекламные сети и открыто предлагаемых для скачивания. Эта категория включает adware, программы, подменяющие настройки браузера и рабочего стола, и программы для сбора информации, идентифицирующей пользователя. По данным Lookout, на долю этих потенциально опасных продуктов в настоящее время приходится 5% рынка Android-приложений, причем за год они были скачаны свыше 80 млн. раз. Наибольший процент программ такого рода обнаружен на Google Play ― 17% ассортимента. На российских альтернативных сервисах их немногим более 6%, в США ― 5,4%, в Китае 4,4%.

Появление нового семейства вредоносных программ под Android уже никого не удивляет. Особенно когда речь идет об SMS-троянцах, являющихся наиболее популярным и самым старым типом угроз, созданным для отъема денег у пользователей. Новое семейство таких троянцев, получившее название Vidro, появилось несколько дней назад, но нам уже удалось получить немалое количество APK-файлов с похожим функционалом. На данный момент все образцы, найденные нами, нацелены на пользователей из Польши.

Распространение

Trojan-SMS.AndroidOS.Vidro распространяется через порносайты. Механизм очень похож на тот, который мы наблюдали при распространении самой первой вредоносной программы под Android (Trojan-SMS.AndroidOS.FakePlayer). Если пользователь попадает на порносайт с помощью десктопного браузера, то он увидит нечто подобное:

Но если потенциальная жертва каким-либо образом попадет на этот же самый сайт, используя Android-устройство, то порносайт будет "оптимизирован" для экрана смартфона:

Четвертого июля с нами связался наш партнер «МегаФон», являющийся одним из крупнейших сотовых операторов в России. Нас уведомили о подозрительном приложении, версии которого были обнаружены и в App Store, и в Google Play. На первый взгляд могло показаться, что мы имеем дело с SMS-червем, который распространяется посредством отправки коротких сообщений, содержащих ссылку на тело червя, всем контактам из телефонной книги.

Однако наш анализ версий приложения под iOS и Android показал, что это не SMS-червь, а троянец, который загружает телефонную книгу пользователя на удаленный сервер. А «размножение» осуществляется самим сервером, т.е. SMS спам сообщения, содержащие ссылку на приложение, отправляются сервером всем контактам из украденной телефонной книги.

Приложение называется «Find and Call» и до вечера 5 июля было доступно для скачивания и в App Store, и в Google Play. Apple и Google были уведомлены о данном инциденте.

Find and Call в App Store

Find and Call в Google Play

Фактически все комментарии пользователей (и в App Store, и в Google Play) достаточно агрессивны и содержат одну и ту же жалобу на то, что приложение рассылает SMS спам.

Примеры комментариев

Согласно результатам опроса, проведенного по заказу Fortinet, будущие начальники и вершители судеб сделали ставку на BYOD (Bring Your Own Device – использование личных портативных устройств в корпоративной среде). Почти две трети респондентов регулярно практикуют такой стиль работы, причем 55% расценивают BYOD как право, а не привилегию. И каждый третий молодой служащий готов отстаивать это право, сознательно идя на нарушение внутренних политик безопасности.

Опрос проводился в мае-июне, в нем приняли участие около 3,9 тыс. штатных служащих 20-29 лет, проживающих в США, Западной Европе, Юго-Восточной Азии и на Ближнем Востоке. Все участники опроса ― владельцы смартфонов, планшетов, лэптопов, которые помогают им реализовывать потребность в активном общении. 35% опрошенных заявили, что и дня не смогли бы прожить без социальной сети, а 47% ― без возможности обмениваться SMS.

Ежедневные длительные поездки в метро многие пытаются скоротать в компании своего Андроида – незамысловатые аркадные игры, которые можно легко загрузить в мобильный телефон, неплохо убивают время в ожидании своей остановки.

Вчера по дороге домой и я решил придаться этому нехитрому увеселению и поиграть во что-нибудь новенькое. Мой выбор пал на новую версию супер популярной серии про птиц «Angry Birds:Space». Устанавливать платную версию игрушки я не планировал, посчитав, что на ближайшие 50 минут, которые я собирался провести в ее компании, я вполне обойдусь и бесплатным вариантом. Бесплатную версию «космических птиц», так же как и версию платную, предоставляет «Rovio» и скачать ее можно в официальном магазине Google Play. Основное отличие платных «птиц» от бесплатных заключается в наличии в последних рекламных блоков. Эти-то рекламные блоки и привлекли мое внимание.

Пройдя пару-тройку уровней, я увидел первое окошко с рекламой. Оно не показалось мне слишком интересным и я его успешно проигнорировал. Еще через пару уровней появилось окошко предлагавшее скачать новую версию браузера Opera. Мне стало несколько интереснее - мой глаз зацепился за номер версии – «6.2». Это показалось мне странным, ведь сейчас уже вышла 7-я версия – кто же станет рекламировать предыдущую? Красная лампочка «Alarm! Alarm!» у меня в сознании загорелась после появления в рекламном блоке предложения обновить Flash Player для Android – это ведь излюбленная уловка кибермошенников.

Британского контент-провайдера обязали вернуть на счета абонентов все деньги, списанные в его пользу с помощью SMS-троянца. A1 Agregator Limited уплатит также 50 тыс. фунтов стерлингов штрафа (около 78,4 тыс. долл.) за мошенничество и нарушение кодекса профессиональной этики.

Эта санкции были утверждены после должного расследования PhonepayPlus, регулятором сферы премиум-услуг Соединенного Королевства. В декабре прошлого года в эту организацию поступили 34 жалобы на необъяснимую утечку денежных средств с абонентских счетов, которые стали регулярно таять после установки новых программ. Данные приложения представляли собой репаки популярных игр, таких как Angry Birds, Assassins Creed, Cut the Rope, и позиционировались в разных Android-магазинах как бесплатные.

Как и следовало ожидать, вместе с пиратской копией игры на смартфоны заявителей попала вредоносная программа, способная отсылать без ведома пользователя текстовые сообщения на короткий номер. Соответствующий премиум-сервис бомбардировал жертву ответными SMS, каждое из которых обходилось абоненту в 5 фунтов (свыше 7,8 долл.). При этом зловред прятал от пользователя входящие уведомления о списании средств в пользу номера, которому он приносил барыши. Обмен разорительными SMS продолжался до тех пор, пока жертва не догадывалась удалить новую «игрушку».

По свидетельству экспертов, данный SMS-троянец умеет использовать короткие номера в 18 странах и был скачан с Android Market 14 тыс. раз, прежде чем Google изгнала его из своего магазина и заблокировала аккаунты соответствующего разработчика. По оценке PhonepayPlus, в Великобритании от мошеннической схемы пострадали около 1,4 тыс. абонентов, совокупно потерявших свыше 27,8 тыс. фунтов (43,5 тыс. долл.). К счастью, благодаря оперативным действиям регулятора и участников рынка мошеннический номер был быстро заблокирован, и краденые деньги не успели уйти к хозяевам зловреда.

Провинившийся премиум-провайдер A1 Agregator был опознан одним из держателей сервиса коротких номеров как субподрядчик, который еще не успел завершить регистрацию в PhonepayPlus. Новобранцу предписано в 3-месячный срок вернуть всем пострадавшим деньги, украденные с помощью троянца, в том числе тем, кто не заявил о потере, и представить регулятору соответствующую документацию. В течение года ему также придется обращаться в PhonepayPlus за разрешением каждый раз, когда он вздумает предложить британцам какие-либо премиум-услуги. Что касается кодекса профессиональной этики, A1 Agregator нарушил сразу несколько правил, в том числе оказывал услуги, не имея регистрации; скрывал от абонентов стоимость сервиса; взимал плату, не заручившись согласием пользователей на оказание услуг. Согласно последним поправкам к британскому кодексу премиум-провайдеров, активность абонентского номера, сымитированная зловредом, не может считаться основанием для выставления счета.