Специалист по безопасности мобильного сервиса Lookout обнаружил представителей нового семейства Android-троянцев в 32 приложениях, выложенных четырьмя разными разработчиками на Google Play. Согласно статистике онлайн-магазина, зараженные продукты были скачаны от 2 до 9 млн. раз.

BadNews (дословно «плохие новости») маскируется под безобидный, хотя и несколько агрессивный SDK-пакет для рекламной сети. Чтобы обойти защиту Google Play, авторы зловреда создали подставную рекламную сеть, через которую осуществляется загрузка вредоносного кода на зараженные устройства. При запуске BadNews отсылает на командный сервер информацию о зараженном устройстве (номер телефона, IMEI), а затем обращается к нему раз в четыре часа для получения дальнейших инструкций. Функционал нового троянца позволяет ему отображать на экране поддельные сообщения от имени легальных веб-сервисов (Skype, ВКонтакте), провоцируя пользователя на установку других вредоносных программ. Так, при анализе одного из образцов BadNews исследователи обнаружили, что он продвигает хорошо известного троянца, отсылающего текстовые сообщения на российские премиум-номера. Анализ также показал, что новый зловред по коду схож со многими SMS троянцами восточноевропейского происхождения.

Российская компания Mail.ru Group объявила о расширении партнерства с международной системой оценки репутации сайтов WOT (Web of Trust). Отныне пользователи мобильной версии почты Mail.ru наравне с остальными клиентами этой почтовой службы будут получать предупреждение о возможной угрозе в момент перехода по присланной в письме подозрительной ссылке.

Рейтинг WOT составляется по принципу краудсорсинга, при активном участии интернет-добровольцев. Ссылки, которые пытаются активировать подписчики WOT, автоматически проверяются по общей базе. Если ссылка ведет на мошеннический/фишинговый сайт или содержит опасный контент, пользователю выводится соответствующее предупреждение. В настоящее время база WOT насчитывает свыше 41 млн. сайтов, в ее пополнении принимают участие 73 млн. пользователей интернета.

По данным Mail.ru, за последний год число пользователей ее мобильной почты выросло в несколько раз. Провайдер надеется, что запуск репутационных оценок для этой быстро растущей аудитории позволит снизить риски и защитить ее от угроз, неподвластных почтовому антивирусу. Mail.ru сотрудничает с WOT уже несколько лет; базу WOT используют также некоторые крупные социальные сети и веб-порталы.

Согласно итогам опроса, проведенного компанией Symantec в 2012-ом году, 90% европейцев, включая россиян, пользуются мобильными устройствами. При этом около 30% опрошенных получали текстовые сообщения от незнакомцев с предложением пройти по указанной ссылке или позвонить по незнакомому номеру. В результате каждый десятый европеец стал жертвой киберпреступления; среди россиян таких случаев значительно больше – 26%.

Опрос, посвященный вопросам мобильной безопасности, был проведен экспертами в рамках ежегодного исследования Norton Cybercrime Report. В нем приняли участие 4,5 тыс. взрослых (от 18 лет) жителей Великобритании, Франции, Германии, Дании, Швеции, Нидерландов, Италии, Польши и России – по 500 человек из каждой страны. В ходе опроса 34% владельцев смартфонов и планшетов указали, что никогда не расстаются со своим устройством, а 24% считают его первоочередной вещью, которую надо спасать при пожаре. В России эти показатели составили 47% и 14% соответственно.

В прошлом мы видели целевые атаки против тибетских и уйгурских активистов на платформах Windows и Mac OS X. Мы задокументировали несколько интересных атак (Подарок на день рождения Далай-ламы и Волна кибератак на уйгуров — пользователей MacOSX), в которых использовались ZIP-файлы, а также документы в форматах DOC, XLS и PDF, начиненные эксплойтами.

Несколько дней назад был взломан электронный ящик известного тибетского активиста; с него впоследствии совершались целевые атаки против других активистов и правозащитников. Самое интересное заключается в том, что письма, через которые выполнялись целевые атаки, содержали вложение формата APK — зловред под Android.

Атака

24 марта 2013 года был взломан электронный ящик известного тибетского активиста и использован для целевого фишинга (spear phishing). Фишинговые письма рассылались по списку контактов и выглядели так:

Вирусописатели всегда старались сбивать детектирование антивирусов. В последнее время в случае с Trojan-SMS под платформу Android для этих целей активно используются Trojan-Downloader: создается маленькое незаметное приложение, весь функционал которого заключен в выкачивании и установке Trojan-SMS, который, в свою очередь, уже будет опустошать счет пользователя. Один из таких троянцев и привлек наше внимание.

При установке он требует минимум разрешений и показывает иконку от легального приложения «WiFi Mouse HD».

Чем же он интересен? Большая часть подобных троянцев обладает минимальным функционалом. В этом же файле достаточно много кода. Соответственно, его поведение не так уж и просто.

За минувший год эксперты Trend Micro обнаружили 4 тыс. фишинговых URL, привязанных к версиям сайтов, ориентированных на мобильные устройства. Хотя они составили менее 1% всех фишинговых ссылок, обнаруженных компанией за год, данная статистика свидетельствует о том, что мобильные платформы становятся привлекательной мишенью для фишеров.

По данным Trend Micro, 75% фишинговых URL, распространявшихся с расчетом на мобильные устройства, вели на поддельные сайты банковских служб и платежных веб-сервисов. 4% пришлось на мобильные версии онлайн-магазинов, 3% – на сайты телеоператоров, 2% на социальные сети и столько же – на почтовые сервисы. Тор 10 брэндов, использованных фишерами в прошлом году в атаках на мобильные платформы, возглавил PayPal. В этот список также попали 5 банков, интернет-аукцион eBay, голландский платежный сервис, французский телеоператор и популярный сайт знакомств Match.сom.

С тех пор как я писал о Backdoor.AndroidOS.Ssucl.a прошло совсем немного времени, но нам снова удалось обнаружить вредоносное приложение в Google Play.

8 февраля 2013 года ЛК обнаружила Trojan-Downloader.AndroidOS.Kaneot.a:

Пользователи недорогих смартфонов на базе ОС Android ищут способы ускорить свой девайс, например, высвободить на нём память. Исходя из спроса на софт, который позволит работать смартфону чуть быстрее, рождается и предложение, куда входит и вредоносное ПО. Наряду с чистыми приложениями, в магазине Google Play появились приложения, которые лишь делают вид, что чистят систему.

Случаи, когда вредоносное ПО, работающее на PC, инфицирует мобильное устройство, нам были известны и ранее. Совсем другое дело – когда приложение, работающее на мобильном устройстве - смартфоне, умеет инфицировать PC.

22 января 2013 г. Лаборатории Касперского удалось обнаружить в Google Play следующее приложение:

Как видно, приложение имеет неплохую популярность. И ему ставят хорошие оценки:

Это приложение имеет брата-близнеца с точно такими же функциями, но c другим названием:

Сегодня мы публикуем первую часть отчета о нашем исследовании "Red October". В ближайшие дни будет опубликована и вторая часть, содержащая детальное техническое описание всех известных модулей Sputnik. Следите за новостями!

На протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа, во время которой собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций.

Несколько месяцев эксперты 'Лаборатории Касперского' анализировали вредоносные файлы, использованные в атаке, которая была нацелена на конкретные организации в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки.

Эта операция, которую мы назвали 'Red October' (в сокращении 'Rocra') продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.

Мы уже не раз и не два писали об атаках вида Man-in-the-Mobile, целью которых является кража кодов авторизации банковских операций, передаваемых в SMS-сообщениях. До недавнего времени было известно о мобильных версиях двух печально известных банковских троянцев ZeuS (ZeuS-in-the-Mobile, ZitMo) и SpyEye (SpyEye-in-the-Mobile, SpitMo), которые занимались непосредственно кражей SMS-сообщений с кодами от банка. Троянцы ZitMo и SpitMo работают в связке со своими десктопными 'братьями', так как без них они превращаются в обычных SMS-шпионов. Также стоит отметить, что за 2 с лишним года существования подобные атаки были зафиксированы только в некоторых европейских странах: Испания, Италия, Германия, Польша и другие.

Но с появлением мобильной версии троянца Carberp (мы детектируем его как Trojan-Spy.AndroidOS.Citmo, то есть Carberp-in-the-Mobile) подобные атаки стали реальностью и в России. Ни для кого не секрет, что сегодня онлайн-банкинг в России быстро набирает популярность среди пользователей банковских услуг. Банки, в свою очередь, активно развивают данный сервис, в частности внедряя различные способы авторизации операций (в том числе, и mTAN'ы).

Версия троянца Carberp для Windows работает по такому же, как и ZeuS, принципу. Если пользователь, используя зараженный Carberp'ом компьютер, пытается зайти на страничку своего онлайн-банка для авторизации, то зловред модифицирует ее таким образом, что логин и пароль будут отправлены на удаленный сервер злоумышленника вместо сервера банка.

Но помимо логина и пароля злоумышленникам по-прежнему необходимы коды подтверждения для осуществления любого перевода со счета жертвы. Именно поэтому одна из модификаций Carberp (Trojan-Spy.Win32.Carberp.ugu, детектируется нами с 11 декабря) модифицирует страницу онлайн-банкинга, предлагая пользователю скачать и установить программу, якобы необходимую для входа в систему. Причем пользователь может получить ссылку в SMS-сообщении, указав свой номер телефона, либо самостоятельно отсканировать QR-код и получить ссылку:

На скриншоте видно, что под угрозой находились пользователи одного из самых популярных банков в России. 'Сбербанк' 12 декабря вывесил уведомление об этой атаке на своем веб-сайте. Ссылка, зашифрованная в QR-коде, ведет на приложение SberSafe (Trojan-Spy.AndroidOS.Citmo), которое как минимум с 30 ноября находилось в магазине приложений Google Play.