Trojan androidos agent eb: HEUR: Trojan.AndroidOS — 4 типа вирусов, способы удаления — Магазин Apple iPhone в Перми

Содержание

HEUR: Trojan.AndroidOS — 4 типа вирусов, способы удаления

Бывают ситуации, когда при обычном использовании приложений человек сталкивается с неожиданными проблемами. Это могут быть появляющиеся окна о вероятной опасности со стороны чужеродных файлов. В этой статье мы расскажем о коварной категории вирусов HEUR: Trojan.AndroidOS (Agent, Boogr gsh, hiddad, Dropper, Downloader, hiddapp ch, Prizmes, Lezok, Piom и др.), о которых обычно сообщает сервис Сбербанк Онлайн, и наглядно объясним, как удалить эти вредоносные программы из системы.

Что это за вирусы?

Группа HEUR: Trojan считается самой опасной из существующих вирусов на iOS, Андроид и Windows, обладающей расширенными функциональными возможностями и глубоким проникновением, следовательно — повышенной степенью опасности для пользователей.

Вредоносные приложения проникают в системные файлы телефона или компьютера, размножаясь с огромной скоростью. Зачастую вирусы маскируются под стандартные файлы и безопасные программы.

Поэтому распознать их бывает очень сложно.

Из-за активного развития зловредов антивирусы не всегда имеют возможность предупредить пользователя об угрозе загружаемого файла или посещаемого сайта, что и объясняет стремительное распространение вируса. Нынешние системы имеют усиленную защиту, но и ее зловреды научились преодолевать.

Рассмотрим основные возможности heur trojan androidos:

Рассылка уведомлений на различные номера (платные), подтверждение всевозможных подписок для выманивания денег со счета телефона.
Кража персональной информации, включая пароли от финансовых порталов, реквизиты банковских карточек.
Проникновение в программы онлайн-банкинга, онлай-кошельков для свободного перевода средств на чужие счета.

Звучит достаточно ужасно! Единственная радость — данный тип вируса сегодня выявляет большая часть антивирусных сервисов.

Защитная система Сбербанка Онлайн, например, уже при входе в нее распознает попытку проникновения и предлагает устранить вирус.
Но не следует радоваться раньше времени — удаление не поможет полностью уничтожить зловреды.

Типы вирусов

Основная причина распространения вируса — неосторожные действия в интернете:

Загрузка пиратских игр, других файлов формата APK с посторонних сайтов.
Посещение подозрительных ресурсов с большим количеством изображений, gif-картинок и гиперссылок. В этой ситуации скачивание зловреда может быть спровоцировано нечаянным нажатием.
Обмен файлами с уже инфицированными пользователями – при помощи Bluetooth, Облака и аналогичных сервисов.
Переход по разным ссылкам, которые указаны в сообщениях, полученных на имейл или через смс.

Выделим самые распространенные модификации HEUR: Trojan:

AndroidOS.Agent.EB — внедряет в систему особое приложение, вставляющее рекламу во все остальные программы. Применяется для получения прибыли посредством аналогичных показов.
Downloader.AndroidOS.Agent — используется для тарифицируемых подписок и отправки уведомлений на платные номера.
Script.Generic.Miner.Gen — реализация трафика, загрузка и пересылка файлов (способствует ухудшению работы интернета).
Win32.Generic — файл, находящийся под подозрением вирусной системы. К этой категории даже относятся официальные программы, в чьих кодах выявлены скрипты, занимающиеся отслеживанием либо перехватом данных.

Как удалить вирус?

Для решения данного вопроса используются базовые приложения от Kaspersky, Dr.Web, Google Penguin и AVG. Существуют версии таких приложений как для компьютера, так и для мобильного телефона.

Для удаления вируса выполните следующие действия:

Загрузите один из вышеуказанных сканеров. Мы в качестве примера скачаем Kaspersky. Хорошие отзывы и о сканере Dr.Web для телефонов. Его информационные базы регулярно обновляются, что позволяет ему с легкостью находить новые вирусы.
С их помощью активируйте сканирование файлов вместе с системными процессами.
Удалите ненужные программы, которыми не пользуетесь, а также приложения, скачанные не из Play Market.
Активируйте функцию «Защита Плей Маркет».

После этого выберите пункт «Удалить» для каждого подозрительного файла. Это лучше, чем «лечить» файлы, поскольку зловред может распространиться в остальные отделы системы. Если вам отказали в доступе:

Откройте «Настройки», выберите графу «Конфиденциальность», затем пункт «Администраторы устройства». Удалите галочки со всех ненужных пунктов и вновь включите проверку.

При выявлении угроз — указывается путь к «зараженному» файлу. Можно открыть его вручную и убрать из системы. Этот вопрос решается при помощи Total Commander.

Существует специальное приложение. Оно называется Titanium BackUp и позволяет заморозить процесс распространения вируса.

Вывод

Советуем со скептицизмом относиться к «бесплатным» вариациям оригинальных программ. Лучше немного потратиться и приобрести «лицензию», чем в дальнейшем тратить большие суммы из-за распространения вирусов и отправки платных сообщений. После удаления вредоносных приложений обязательно обновите пароли, активируйте двойную аутентификацию.

Если у вас возникли проблемы с вирусами вида AndroidOS.Agent.EB и попытки удаления не дали результатов — оставляйте отзывы в комментариях, мы поможем разобраться с вашей проблемой.

Heur trojan androidos agent pac

Если у вас появилось всплывающее окошко HEUR: Trojan.Andro >

Что это за вирусы такие?

Но давайте начнем сначала. Зачастую, при использовании различных программ пользователь сталкивается с рядом проблем. В большинстве случаев это всплывающие окна, которые предупреждают об угрозах сторонних программ. Вот тут и возникают пресловутые вирусы от HEUR:Trojan. Это такие вирусы, о которых часто предупреждает Сбербанк Онлайн. Вы могли видеть и другое название, например, Win32.Banker или AndroidOS.Agent.EB – это все те же вирусы.

Какие это вирусы и какие угрозы они несут в себе? HEUR: Trojan объединяет в себе особо опасные вирусы на Андроид, iOS и Windows. Главной особенностью является достаточно широкий функционал, из-за которого вирус может достаточно глубоко проникнуть в систему. А значит, уровень угрозы достаточно высокий.

Такие вирусы способны проникать в системные файлы очень быстро, а еще они могут маскироваться под обычный файл или приложение. При этом не всегда антивирусы предупреждают о возможных угрозах. Даже обычное посещение самого безобидного сайта может привести к заражению троянами.

Что делает HEUR: Trojan?

Как и у любого вируса, у этого семейства троянов есть свои функции. Итак, с какой целью ваше устройство хотят заразить:

Массовое распространение сообщений на номера, в особенности на платные, включая и подтверждение всякого рода подписок, чтобы перехватить средства со счетов.
Кража личных данных: паролей (преимущественно с банковских карт и электронных кошельков).

Звучит довольно опасно? К счастью, сегодня это семейство вирусов уже способны распознать множество антивирусных программ. Из самых популярных это Kaspersky, Dr.WEB, AVAST и пр.

Откуда можно заразиться вирусом?

Самой распространенной причиной появления вирусов является типичная неосторожность:

Скачивание игр, не имеющих лицензии, загрузка медиа-, аудиофайлов с сомнительных ресурсов.
Посещение сайтов, где присутствуют много картинок, gif-анимаций, разных ссылок, которые распространяются как спам в почтовые электронные ящики. В данном случае подхватить вирус проще простого, поскольку одно нажатие не туда, и вирус активируется сразу же.
Передача файлов между пользователями, один из которых уже заражен вирусом.
Переход на подозрительные ссылки в смс-сообщениях или в письме на почте.

Какие трояны встречаются чаще всего:

Agent.EB или Androidos.Boogr.Gsh позволяют установить специальную программу, которая способна ввести рекламу во все сторонние приложения.
AndroidOS.Agent — вид вируса, который распространяется по смс, а используется он для того, чтобы оформились платные подписки на те же самые номера.
Generic.Miner.Gen способен продавать трафик, скачивать разного рода файлы и перенаправлять на нужный адрес.
Generic — этот файл находится под вопросом у вирусной системы, к данному типу относятся и официальные приложения, в которых обнаруживаются отслеживающие информацию программы.

Как удалять такие вирусы

Базовое приложение от Сбербанка может предложить вам удалить вирус. Однако, если система и видит вирус, предлагая его удалить, полного удаления не произойдет. Решить проблему поможет обычное сканирование таких антивирусов как Dr.Web, AVG или Kaspersky. Эти программы подходят и для телефона, и для компьютера.

Итак, что нужно сделать:

Удалите приложения, которые вы загружали не из Play Market, и те, какими вы больше не собираетесь пользоваться.
Загрузите любой антивирусный сканер, например, Касперский или Dr.Web.

Устанавливаем антивирус и запускаем, чтобы система просканировала файлы.
Все предложенные для удаления или лечения файла обрабатываем.
Запустите опцию «Защита Play Market».

Для пункта 4, если вдруг при удалении файлов появился отказ в доступе, то вам нужно зайти в «Настройки» — «Конфиденциальность» — «Администраторы устройства». Убираем все галочки и перезапускаем сканер, чтобы сканировать повторно.

Если угрозы были обнаружены, появится опасный файл. Можно открыть его и вручную самому удалить. В этом случае Total Commander послужит вам помощником и быстро справится с данной проблемой. Есть еще специальная программа, которая может заморозить любой вирус, — Titanium BackUp.

Если успешно справились, поздравляем. Также стоит изменить все пароли и активировать двойную аутентификацию для лучшей защиты гаджета.

Если на вашем смартфоне обнаружился вредоносный код, то нужно срочно от него избавиться. Ведь трояны получили свое название за принцип действия – они внедряются в систему, а затем выступают в роли передатчика, переправляя владельцу вируса информацию о ваших действиях в смартфоне и конфиденциальные сведения. Поэтому расскажем, как удалить троян с телефона Андроид.

Удаляем троян с помощью специальных антивирусных программ

Для телефона выпущено много приложений, которые используются для борьбы с вирусными атаками. Производители рекомендуют обязательно установить антивирус, чтобы у вас была защита от внедрения вредоносного кода. Если вы ищете ответ на вопрос, как удалить вирус трояна с телефона, то вероятнее всего у вас ранее не стояла защитная утилита либо вы выбрали некачественное ПО. Приведем примеры проверенных временем и пользователями антивирусных программ и расскажем о работе с ними.

Anti-Malware

Эта утилита хорошо известна пользователям компьютеров, для смартфонов аналог появился сравнительно недавно. Загрузить его можно из магазина приложений или официального сайта разработчика. После первого запуска сделайте следующее:

согласитесь с условиями использования утилиты;
войдите в меню сканирования;
запустите проверку;
дождитесь результатов.

Утилита находит все вредоносные коды на вашем телефоне, а также следы их деятельности (поврежденные файлы и прочие). Автоматически вам будет предложено очистить смартфон. После решения проблемы, как удалить троян с Андроида без рут, программа останется полезной для вас. Она в режиме реального времени защитит телефон от угроз из вне, в том числе от неосторожных действий пользователя (блокируется переход по сомнительным ссылкам).

Trojan Killer

Простой программой не решить вопрос, как удалить троян с Андроида. Geoluxis (вирус, внедряемый в систему геолокации), например, практически невозможно удалить антивирусами, кроме тех, которые узко направлены. В этом случае попробуйте применить Trojan Killer . Использовать его нужно по инструкции:

найдите в Play Market эту утилиту и установите ее на свой смартфон;
в меню приложений найдите иконку программы и нажмите на нее;
запустите сканирование с главного экрана;
удалите каждый обнаруженный троян при помощи зеленой кнопки справа от его называния.

Это программа не защитит вас в режиме реального времени, но зато она не займет много места на смартфоне и мастерски справляется с самыми опасными вилами вредоносных кодов.

Ручное удаление троянского ПО

Если при повторном сканировании после очистки телефона вы снова обнаружили троян, то необходимо запомнить его местоположение для удаления вручную. В этом случае операцию, как удалить троян с телефона, можно выполнить двумя способами.

Используем файловый менеджер

В этом случае вам потребуется скачать ES Проводник, который отображает скрытые файлы. После его установки необходимо выбрать инструкцию в соответствии с местом расположения трояна:

Вирус находится среди хранимой информации в памяти смартфона. В этом случае достаточно найти и удалить вредоносный код. Пользователю даже не потребуются Root -права.
Троян располагается в папках, связанных с работой системы. Удаляется только при наличии прав суперпользователя.
Заражено обычное приложение. Удалите его через меню настроек.
Вредоносный код повредил системную утилиту – остановите ее в диспетчере задач, а затем сотрите, используя Root -доступ.

После ручного удаления, проверьте состояние телефона антивирусной утилитой. Это позволит избавиться от дополнительных уязвимостей.

Как удалить троян с телефона с помощью компьютера

Удалить троян с телефона через компьютер можно двумя способами. Перед каждым вам необходимо будет подключить смартфон к устройству в режиме USB -накопителя. Затем действуйте одним из способов:

Проверьте устройство при помощи антивируса компьютера. Как правило, это программное обеспечение более совершенно и имеет обширные базы, в которых есть записи о самых новых и сложных вариантах вредоносного кода.
Вручную найдите папку с вирусом и удалите его файл. Часто трояны хранятся скрыто и защищены от удаления. Чтобы найти вредоносный код используйте программу для компьютера Total Commander , а защиту от удаления проведите при помощи Unlocker .

После завершения работы, перезагрузите смартфон и снова проверьте его антивирусной утилитой. В большинстве случаев вы избавитесь от вируса.

Что делать, если троян не удаляется?

Если все ваши усилия не привели к успеху, то решить проблему, как удалить троян с телефона Андроида, можно при помощи крайних мер. Важные фото и видео сохраните на облачном диске (если среди них не скрыт вирус), а затем используйте последовательно – сброс настроек и перепрошивку, если первый метод не помог.

Сброс настроек

Жесткий сброс можно сделать через обычное или системное меню.

В первом случае вам потребуется найти в настройках пункт «Восстановление и сброс». Нажмите на него и согласитесь с условиями. Телефон после перезагрузки вернется в свое исходное состояние, удаляться даже обновления устройства и операционной системы. После загрузки телефона необходимо будет выждать время, чтобы устройство автоматически скачало нужные файлы и настроилось. Не торопитесь устанавливать свои приложения, в первую очередь скачайте антивирус и проверьте состояние устройства.
Второй вариант сброса проводится во время перезагрузки смартфона. Как только появится стартовый экран, нажмите одновременно клавиши питания и уменьшения громкости. Если все сделано правильно, вы попадете в режим Recovery . При помощи клавиш питания и громкости найдите в этом меню пункт Hard Reset , подтвердите свой выбор.

После сброса настроек вам придется заново зайти в свой аккаунт Google , зато все необходимые вам приложения будут восстановлены в автоматическом режиме.

Перепрошивка

Если все описанные выше способы не помогли, то помочь вам может только перепрошивка устройства. Людям, которые не знакомы с этой процедурой, лучше всего обращаться для проведения смены прошивки в сервисные центры или к более опытным пользователям. Если в процессе смены ПО что-то пойдет не так, ваш смартфон превратиться в бесполезный кусок пластика.

Это все способы, как удалить трояна с Андроида. Если вы знаете другие методы решения этой проблемы, поделитесь с нами в комментариях. Эта статья может быть полезна вашим друзьям, поделитесь ею с ними.

Иногда, при обычном использовании программ пользователь сталкивается с непредвиденными трудностями. В некоторых случаях это всплывающие окна о возможной угрозе со стороны сторонних файлов. Данный материал расскажет об опасном семействе вирусов «HEUR: Trojan», о которых часто сигнализирует Сбербанк Онлайн. Мы покажем как удалить зловреды Andro >

Что это за вирусы?

Семейство HEUR: Trojan – наиболее опасное из современных вирусов на Андроид, iOS и Windows, которое отличается расширенным функционалом, глубоким проникновением, а значит — увеличенным уровнем угрозы для пользователя.

Данные зловреды пробираются в системные файлы смартфона или PC, клонируясь с небывалой скоростью, также может маскироваться под обычные файлы, процессы и безобидные приложения.

К сожалению, ввиду эволюции вредоносного ПО не всегда антивирусы могут предупредить владельца об угрозе скачиваемого файла или посещаемой страницы, что и обуславливает распространение подобной «инфекции». Современные системы защищены правами Администратора, однако и этот момент вирусы способны обходить.

Из популярных «возможностей» HEUR:Trojan выделяют:

Рассылка сообщений на платные номера, подтверждение платных подписок для вытягивания средств с баланса счёта.
Воровство личных данных, в том числе паролей от финансовых ресурсов, номеров банковских карт со всеми вытекающими.
Проникновение непосредственно в программы интернет-банкинга, электронных кошельков для беспрепятственного перевода средств на сторонние счета.

Звучит довольно ужасающе, не правда ли? Радует одно – эту вариацию вируса уже распознаёт большинство антивирусных программ Kaspersky, ESET, Dr.WEB, NOD, AVAST и другие.

Защита Сбербанк Онлайн, к примеру, уже при входе в систему идентифицирует попытку проникновения, предлагая удалить вирус. Однако, радоваться раньше времени не стоит – такое удаление не приведёт к полному уничтожению вируса.

Если говорить, про возможные причины появления зловредов, то здесь всё просто – банальная неосторожность в сети:

Скачивание пиратских версий игр, иных apk-файлов на смартфон со сторонних ресурсов.
Посещение сомнительных web-сайтов с множеством картинок, gif-изображений и гиперссылок. В таком случае, скачивание вируса может быть активировано случайным нажатием, в фоновом режиме.
Обмен файлами с уже заражёнными пользователями – посредством Bluetooth, Облака и подобных сервисов.
Переход по ссылкам в присылаемом спаме на почту или в SMS.

Из популярных вариаций HEUR:Trojan выделяют:

AndroidOS.Agent.EB или Androidos.Boogr.Gsh – устанавливает в систему специальную утилиту, внедряющую рекламу во все иные приложения. Используется для монетизации за счёт подобных показов.
Downloader.AndroidOS.Agent – СМС-вирус, используемый для платных подписок и отправки сообщений на тарифицируемые номера.
Script.Generic.Miner.Gen – продажа трафика пользователя, скачивание и перенаправление файлов (значительно замедляет и интернет-соединение).

Также существует тип Win32.Generic – это файл, находящийся под подозрением вирусной системы. К такому типу могут относится даже официальные приложения, в коде которых обнаружены отслеживающие или перехватывающие информацию скрипты.

Как удалить HEUR:Trojan.AndroidOS и подобные ему?

Базового предложения «Удалить» от того же Сбербанка, как уже упоминалось, недостаточно — но не стоит переживать о сложности проводимых манипуляций. Для решения проблемы подойдёт стандартные сканеры от Dr.Web, AVG или Kaspersky. Версии этих программ есть как для ПК, так и для мобильных OS.

Следуем простейшим инструкциям:

Скачиваем любой из предложенных сканеров. Я, к примеру, для своего Xiaomi использую Касперский.
Также хорошо зарекомендовал себя Dr.Web для смартфонов, так как его базы данных постоянно обновляются и он находит новейшие угрозы.
С их помощью запускайте сканирование всех файлов, включая системные процессы.
Обязательно снесите левые приложения, которые вы не используете, либо они загружены не из Маркета.
Включите опцию «Защита Play Market».

Активируйте опцию защиты в Маркете

Далее – просто выбираем «Удалить» для всех подозрительных пунктов. Это более эффективно, нежели «Лечить» файлы, так как вирус может успеть распространиться в другие отсеки системы. Если в доступе вам отказано, тогда:

Открывайте «Настройки» -> «Конфиденциальность» -> «Администраторы устройства». Снимите галочки со всего лишнего и снова запускайте проверку.
При обнаружении угроз — показывается путь к опасному файлу. Можете вручную его открыть и стереть из системы. Total Commander позволяет с таким справится очень быстро.

Рекомендуем вам более скептически относится к «бесплатным» версиям оригинальных приложений. Лучше потратить несколько долларов и купить «лицензию», нежели потом потратить десятки из-за действия вредоносных утилит, отправки платных SMS. Также после удаления рекомендую обновить пароли, включите двойную аутентификацию.

Если у вас возникли сложности, с угрозами типа Andro >

Вирус вымогатель на android прикрывается фбр и требует $500

Удаление Android угрозы и подчинка вашего девайса

Когда ваш девайс заражен Android вирусом, вы можете столкнуться с этими проблемами:

Потеря чувствительной информации. Вредоносные приложения, используемые для заражения Android OS, могут собирать различные данные, такие как контакты, логины, почту и другие важные сведения для атакующих
Потеря денег. Большинство Android угроз способны отсылать сообщения, на премиум номера или подписывать пользователей на премиум сервисы. Это может привести до потери денег и других проблем.
Проникновение вредоносного программного обеспечения. Android вирус может, угнать ваш девайс и заразить его другой угрозой. Он также может вызвать раздражительную рекламу, появляющиеся сообщения, и поддельные предупреждающие сообщения.
Проблемы, связанные с производительностью. При заражении такой угрозой, вы можете заметить проблемы с нестабильностью системы, замедления и подобные проблемы.

Если вы думаете, что Android вирус уже прячется в вашем устройстве, мы настоятельно рекомендуем вам просканировать его с Reimage Reimage Cleaner Intego для планшетов и смартфонов. Это мощные антивирусы, которые способны обнаружить вредоносные файлы и другие опасные компоненты. Иногда вирусы блокируют программное обеспечение, чтобы избежать своего удаления. В этом случае, вам нужно перезапустить ваш Android девайс в безопасном режиме, перед запуском Android antivirus:

Найдите кнопку питания и зажмите ее на несколько секунд, пока не увидите меню. Выберите выключить.
Если вы увидите, окно, предлагающее вам перезагрузить ваш Android в Безопасном режиме, выберите OK.

Если это не сработает, просто выключите ваш девайс и включите его. Когда он включится, попытайтесь нажать и задержать кнопку меню, уменьшение громкости или увеличение громкостиe вместе, чтобы зайти в безопасный режим.

Вы также можете попробовать выполнить удаление Android вируса вручную, удалив вредоносное приложение. Однако, вы должны быть очень осторожны, пытаясь сделать это, потому что вы можете удалить полезные файлы и приложения. Для ручного удаления Android вируса, пожалуйста, следуйте этим шагам:

Перезапустите ваше устройство в безопасном режиме с помощью шагов, приведенных выше.
В безопасном режиме, зайдите в Настройки. Там, нажмите на приложения или менеджер приложений (в зависимости от вашего девайса, это может отличаться).
Тут, найдите вредоносные приложения и удалите их всех.

Мы также рекомендуем выключить опцию, которая позволяет установку приложений, что принадлежат к неизвестным ресурсам. Для этого, зайдите в Настройки -> Безопасность. Там выключите эту опцию.

Что это за вирусы?

AndroidOS обнаруженный Касперским

Из популярных «возможностей» HEUR:Trojan выделяют:

Рассылка сообщений на платные номера, подтверждение платных подписок для вытягивания средств с баланса счёта.
Воровство личных данных, в том числе паролей от финансовых ресурсов, номеров банковских карт со всеми вытекающими.
Проникновение непосредственно в программы интернет-банкинга, электронных кошельков для беспрепятственного перевода средств на сторонние счета.

Trojan.AndroidOS выявленный Сбербанком Онлайн

Какие вирусы бывают

Скачивание пиратских версий игр, иных apk-файлов на смартфон со сторонних ресурсов.
Посещение сомнительных web-сайтов с множеством картинок, gif-изображений и гиперссылок. В таком случае, скачивание вируса может быть активировано случайным нажатием, в фоновом режиме.
Обмен файлами с уже заражёнными пользователями – посредством Bluetooth, Облака и подобных сервисов.
Переход по ссылкам в присылаемом спаме на почту или в SMS.

Из популярных вариаций HEUR:Trojan выделяют:

AndroidOS.Agent.EB или Androidos.Boogr.Gsh – устанавливает в систему специальную утилиту, внедряющую рекламу во все иные приложения. Используется для монетизации за счёт подобных показов.
Downloader.AndroidOS.Agent – СМС-вирус, используемый для платных подписок и отправки сообщений на тарифицируемые номера.
Script.Generic.Miner.Gen – продажа трафика пользователя, скачивание и перенаправление файлов (значительно замедляет и интернет-соединение).

Классы решений для защиты мобильных устройств

EMM=MDM+MAM+MCM+EFS

На рынке представлены следующие классы решений для защиты мобильных:

Антивирусные решения. Наиболее популярные среди них: Kaspersky Internet Security, Trend Micro Mobile Security, BitDefender, ESET NOD32 Mobile Security, Avast Mobile Security & Antivirus, Dr.Web Anti-virus, AVG Antivirus, Avira Antivirus Security, Norton Security & Antivirus, McAfee Security & Antivirus.
Mobile Threat Management, MTM (источник термина – IDC) – агент, выполняющий, помимо антивирусной защиты, фильтрацию корпоративного почтового трафика и трафика мессенджеров от вредоносных URL и документов, интеграцию с корпоративным облаком для фильтрации трафика и мониторинга событий. Возможно дополнительное шифрование контейнера данных приложения. На рис. 1 представлен квадрат решений MTM от IDC за 2019 год.

Рис. 1. Квадрат решений MTM 2019, IDC

Mobile Device Management, MDM – средства управления корпоративными мобильными устройствами или пользовательскими устройствами в концепции BYOD. Включает следующие функции: управление конфигурациями прошивок и приложений, инициализация и деинициализация приложений, удаленная очистка данных, настройка проксирования трафика через корпоративный шлюз или облачное решение фильтрации трафика, удаленный мониторинг и поддержка.
UEM-консоли – общие консоли управления мобильными устройствами и ОС пользователей. В сущности, современные производители средств защиты мобильных устройств предлагают решения, совмещающие набор технологий: MDM, MAM, UEM, MCM/MEM, управление конфигурацией и политиками.

Квадрат Gartner по UEM-решениям за 2019 год представлен на Рис. 2.

Рис. 2. Квадрат Gartner по UEM решениям за 2019 год

Как удалить HEUR:Trojan.

AndroidOS и подобные ему?

Следуем простейшим инструкциям:

1. Скачиваем любой из предложенных сканеров. Я, к примеру, для своего Xiaomi использую Касперский.
2. Также хорошо зарекомендовал себя Dr.Web для смартфонов, так как его базы данных постоянно обновляются и он находит новейшие угрозы.
3. С их помощью запускайте сканирование всех файлов, включая системные процессы.
4. Обязательно снесите левые приложения, которые вы не используете, либо они загружены не из Маркета.
5. Включите опцию «Защита Play Market».

Открывайте «Настройки» -> «Конфиденциальность» -> «Администраторы устройства». Снимите галочки со всего лишнего и снова запускайте проверку.
При обнаружении угроз — показывается путь к опасному файлу. Можете вручную его открыть и стереть из системы. Total Commander позволяет с таким справится очень быстро.
Есть спец. утилита Titanium BackUp. С её помощью можно банально заморозить вирусный процесс.

Заключение

Android вирус продолжает атаковать в 2020 году

Список вредоносных приложений, который принадлежит к группе Android вирусов, все еще расширяется. Эксперты по безопасности утверждают, что одно из 10 приложений заражено Android паразитом. К сожалению, многие из этих приложений можно загрузить из Google Play. Однако, Google прикладывает много усилий для защиты пользователей и предотвращения вредоносных приложений. Самым большим источником зараженных программ являются сторонние веб-страницы. Хотя это не единственный способ, как Android вирус может заразить девайс.

В феврале 2016 года, была замечена версия Android вируса, которая распространяется через текстовые сообщения и нелегальное подключение. Наиболее опасные версии угрозы заинтересованы в получении личной информации о жертве, и часто эта информация включает кредитные карты, реквизиты, логины и пароли. Другие варианты приводят к меньшему ущербу, такому как распространению контактного списка жертв, записи разговоров, доставки рекламных объявлений, инициирования перенаправления на различные сайты или заражению девайсов другими угрозами.

В 2017, был обнаружен новый вариант вируса, используемый утонченную социальную технику для проникновения в устройства через троянное приложение. Поэтому, вы должны быть осторожны при установке новых программ. Тем не менее, если вы заметили, что ваш планшет или телефон начали странно себя вести, вы не должны игнорировать эти симптомы.

Если ваша система замедляется, подозрительными оповещениями, перенаправлением и удивительным ростом телефонных счетов, вам нужно проверить устройство на угрозы, потому что эти признаки являются главными признаками вашего заражения. Для удаления Android вируса, вы можете использовать Reimage Reimage Cleaner Intego.

Как удалить вирус из Android

Теперь мы подошли к самому важному вопросу — как удалить вирус, который не удаляется. Если ваш смартфон продолжает работать, тогда проще всего запустить антивирус и очистить устройство от вредоносного содержимого

Однако, такой способ эффективнее не более чем в 30-40% случаев, ведь многие вирусы «сопротивляются» процедуре удаления.

В зависимости от ситуации, характерной для вашего гаджета, применяется своя схема действий борьбы с вирусом. Ситуации следующие:

антивирусная программа не выявляет вирус, не удаляет его или вообще не запускается;
после удаления вирус снова восстанавливается;
смартфон заблокирован частично или полностью.

В первом и во втором случае необходимо запустить безопасный режим, поскольку именно в нем вирусы становятся неактивными и их можно легко удалить. Как это сделать для вашего смартфона вы можете найти в интернете, но обычно это делается следующим образом:

зажмите кнопку включения/выключения смартфона и выберите «Отключить питание»;
держите зажатой кнопку до тех пор, пока не появится сообщение о переходе в безопасный режим;
подтвердите операцию;
просканируйте устройство с помощью антивируса;
при наличии прав суперпользователя можно запустить файловый менеджер и очистить системные папки от зловредного ПО;
когда все готово, перезагрузите смартфон и он будет работать уже в нормальном режиме и без вирусов.

В третьем случае вам придётся удалить вирус через компьютер. Для этого нужно подключить смартфон к компьютеру через USB-кабель и выбрать режим накопителя. После этого запустить проверку на вирусы через контекстное меню для обоих дисков: внутренней памяти телефона и SD-карты.

Источники угроз

На основе анализа описанных примеров мобильного ВПО, а также каналов проникновения других образцов ВПО можно выделить следующие основные пути компрометации устройства:

Установка пакета приложений APK из неофициальных маркетов.
Установка зараженного приложения из официального магазина. В данном случае, после обнаружения зараженного приложения службой безопасности магазина, оно будет оперативно удалено, а установленное пользователями приложение будет обновлено на безопасную версию.
Фишинг и социальная инженерия – SMS, MMS с привлекательными для жертвы вредоносным контентом или ссылкой. Или звонок от ложного «оператора связи» или «служащего банка» с требованием передать учетные данные. Известны несколько нашумевших случаев добровольной установки пользователями программы удаленного управления TeamViewer, якобы, по просьбе службы безопасности банка. После установки программы пользователи передавали злоумышленникам учетные данные для удаленного управления, что равнозначно передаче разблокированного телефона в чужие руки.

Концепция Bring Your Own Device, BYOD (использование для работы с корпоративными документами личного устройства) привносит в корпоративный сегмент целый класс угроз – мобильное устройство сотрудника становится точкой входа во внутреннюю сеть предприятия и источником утечек информации.

Мобильная угроза месяца

В начале апреля компания «Доктор Веб» рассказала об опасном троянце Android.InfectionAds.1, которого злоумышленники встраивают в изначально безобидные программы и распространяют через сторонние каталоги Android-приложений. Этот троянец эксплуатирует критические уязвимостей ОС Android, с использованием которых заражает apk-файлы (уязвимость CVE-2017-13156), а также самостоятельно устанавливает и удаляет программы (уязвимость CVE-2017-13315). Кроме того, Android.InfectionAds.1 показывает надоедливые рекламные баннеры, мешающие нормальной работе с зараженными устройствами. Подробная информация об этом троянце доступна в нашей вирусной библиотеке.

Аннотация

За последние десятилетия функциональные возможности мобильных устройств значительно выросли: в работе с корпоративными и личными документами мобильные устройства уже не отстают от возможностей персонального компьютера (ПК). Компактность и удобство гаджетов привела к тому, что современный человек, практически, не расстается со своими мобильными устройствами, которые превратились в незаменимого помощника и в источник уникальной личной информации. Эти факторы закономерно привели к росту количества мобильного вредоносного ПО (далее – «ВПО»), усложнению векторов атак и каналов утечки информации.

В статье приводятся описание и примеры распространенных мобильных угроз, имеющиеся на рынке средства защиты, а также эффективные личные тактики для снижения рисков компрометации мобильных устройств.

Обзор мобильных угроз

Рынок вирусов для мобильных устройств вырос и усложнился. Мобильным устройствам угрожают уже не только относительно безобидные трояны-кликеры, но и полноценные вирусы и шпионское ПО. Большинство вирусных исследовательских компаний выделяют следующие виды угроз:

Adware и кликеры. Иногда для данного вида угроз используется термин «Madware» (Mobile Adware). Основная цель этого класса ВПО – показ пользователю нерелевантной рекламы и генерирование искусственных переходов на сайты рекламодателей. С помощью «Madware» злоумышленники зарабатывают «клики» и демонстрируют оплачивающим их компаниям иллюзию интереса пользователей.
Spyware – ПО, осуществляющее кражу персональных данных или слежку за своим носителем. Фактически, мобильное устройство может превратиться в полноценный «жучок», передавая злоумышленникам данные о сетевой активности, геолокации, истории перемещений, а также фото и видеоинформацию, данные о покупках, кредитных картах и др.
Дроппер – ВПО, целью которого является скачивание другого вредоносного ПО.
Вирус – ПО, которое наносит явный вред, например, выводит из строя конкретное приложение или одну из функций устройства.
Бот – агент бот-сетей, ВПО, которое по команде C&C-сервера осуществляет требуемую злоумышленнику сетевую активность.

Вирусные эпидемии на мобильных устройствах затрагивают от нескольких сотен до миллионов устройств. Статистика исследователей компании Positive Technologies уравнивает риски ОС Android и ОС iOS, несмотря на строгую политику Apple в части обеспечения информационной безопасности (https://www.ptsecurity.com/ww-en/analytics/mobile-application-security-threats-and-vulnerabilities-2019/).

Рассмотрим примеры наиболее известного мобильного ВПО: «Агент Смит», Culprit, SockPuppet или Unc0ver, Ztorg, Monokle.

Заподозрить заражение «Агентом Смитом» можно по заметному увеличению показа нерелевантной рекламы. Пока это единственное зафиксированное вредоносное действие этого ВПО, хотя, технически, оно имеет огромный вредоносный потенциал. Масштаб заражения Агентом Смитом – 25 млн. устройств, преимущественно, в Азии. Поведение ВПО частично напоминает работу таких вирусов, как Gooligan, Hummingbad, CopyCat. «Агент Смит» действует следующим образом:

Пользователь скачивает дроппер в составе зараженного приложения (бесплатной игры или приложения с возрастным цензом).
Дроппер проверяет наличие на мобильном устройстве популярных приложений, таких как WhatsApp, MXplayer, ShareIt.
Дроппер скачивает и распаковывает архив, который превращается в APK-файл, при необходимости, обновляет и заменяет легитимное популярное приложение на зараженный вариант.

Culprit – ВПО под ОС Android, представляющее собой встроенный в видеофайл код, эксплуатирующий уязвимость CVE-2019-2107 в ОС Android 7.0 до 9.0 (Nougat, Oreo, Pie). Достаточно открыть видеофайл, полученный в фишинговом MMS или сообщении из мессенджера, и ВПО получает полные права в системе.

SockPuppet или Unc0ver – ВПО, позволяющее получить злоумышленнику права суперпользователя для систем iOS и MacOS (Jailbreak). ВПО скачивается в составе зараженного приложения, которое определенный промежуток времени было доступно даже в официальном магазине Apple. ВПО регулярно обновляется и эксплуатирует уязвимость CVE-2019-8605, которая наследуется новыми версиями iOS. В версиях iOS 12.2 и 12.3 уязвимость была закрыта, после чего вновь появилась в версии 12.4 и была пропатчена в версии 12.4.1.

Старый троян Ztorg под ОС Android после установки собирает сведения о системе и устройстве, отправляет их на командный сервер, откуда приходят файлы, позволяющие получить на устройстве права суперпользователя (Jailbreak). ВПО распространяется через зараженные приложения и рекламные баннеры.

Monokle под ОС Android и iOS – троян, позволяющий вести полноценный шпионаж за жертвой: записывать нажатия клавиатуры, фотографии и видео, получать историю интернет-перемещений, приложений социальных сетей и мессенджеров, вплоть до записи экрана в момент ввода пароля. Троян снабжен рядом эксплойтов для реализации необходимых прав в системе, распространяется, предположительно, с помощью фишинга и зараженных приложений. Первые версии ВПО появились под ОС Android, но уже появились версии для устройств Apple.

Методы распространения Android угроз

Android вирус все еще распространяется через сторонние приложения, которые должны быть установлены на телефон вручную. Однако, новые методы, используемые для распространения этой угрозы начали распространяться вокруг и сегодня, вы можете заразиться вирусом, нажав на вредоносную ссылку. В большинстве случаев, люди загружают эту угрозу на их устройства в связке с нелицензированными или экспериментальными приложениями, которые активно продвигаются на Google Play и других подобных местах.

Чтобы избежать этого, мы настоятельно рекомендуем вам загружать приложения только с легальных страниц, которые проверяют каждую продвигающуюся программу. В данном случае, вы можете положиться на Google Play Store, Amazon и Samsung.

Кроме того, даже если вы выберите одно из этих домен, вы все равно должны проверить приложение перед загрузкой на ваше устройство, потому что вы никогда не можете знать, какая угроза там скрывается. Если вы заинтересованы в кибер безопасности, вы наверняка уже слышали о хакерах, которые добавляют свои вредоносные приложения на Google Play и собирают более 10.000 загрузок перед раскрытием.

Также, сообщалось о сомнительных веб-сайтах, которые автоматически могут загрузить инфекционные приложения на ваш телефон. Чтобы поддерживать ваше устройство чистым и полностью защищенным от Android вирусов, вы должны остановиться посещать подозрительные/нелегальные сайты и никогда не нажимать на ссылки, которые могут показаться вам во время вашего поиска.

Наконец, мы считаем, что настало время подумать о мобильном антивирусе, который может помочь людям предотвратить установление вредоносных приложений, включая Android паразитом.

Heur trojan win32 generic описание

Если у вас появилось всплывающее окошко HEUR: Trojan. Andro >

Что это за вирусы такие?

Что делает HEUR: Trojan?

Массовое распространение сообщений на номера, в особенности на платные, включая и подтверждение всякого рода подписок, чтобы перехватить средства со счетов.
Кража личных данных: паролей (преимущественно с банковских карт и электронных кошельков).

Откуда можно заразиться вирусом?

Самой распространенной причиной появления вирусов является типичная неосторожность:

Скачивание игр, не имеющих лицензии, загрузка медиа-, аудиофайлов с сомнительных ресурсов.
Посещение сайтов, где присутствуют много картинок, gif-анимаций, разных ссылок, которые распространяются как спам в почтовые электронные ящики. В данном случае подхватить вирус проще простого, поскольку одно нажатие не туда, и вирус активируется сразу же.
Передача файлов между пользователями, один из которых уже заражен вирусом.
Переход на подозрительные ссылки в смс-сообщениях или в письме на почте.

Какие трояны встречаются чаще всего:

Agent.EB или Androidos.Boogr.Gsh позволяют установить специальную программу, которая способна ввести рекламу во все сторонние приложения.
AndroidOS.Agent — вид вируса, который распространяется по смс, а используется он для того, чтобы оформились платные подписки на те же самые номера.
Generic.Miner.Gen способен продавать трафик, скачивать разного рода файлы и перенаправлять на нужный адрес.
Generic — этот файл находится под вопросом у вирусной системы, к данному типу относятся и официальные приложения, в которых обнаруживаются отслеживающие информацию программы.

Как удалять такие вирусы

Итак, что нужно сделать:

Удалите приложения, которые вы загружали не из Play Market, и те, какими вы больше не собираетесь пользоваться.
Загрузите любой антивирусный сканер, например, Касперский или Dr.Web.
Устанавливаем антивирус и запускаем, чтобы система просканировала файлы.
Все предложенные для удаления или лечения файла обрабатываем.
Запустите опцию «Защита Play Market».

Trojan.Win32.Generic!BT Описание:

Trojan.Win32.Generic!BT определяется как неприятную Троян, который представляет высокий риск для всех скомпрометировано компьютера как он может ввести другие вредоносные вредоносных программ и вирусов в вашей компьютерной системы делать дальнейших убытков. Это довольно агрессивным и вредных. Обычно этот вирус может заразить компьютеры различными способами. Он может быть загружен через вредоносные скрипты драйв скачать из поврежденных порно и shareware / freeware веб-сайты, установил через спам электронной почты вложения, неделю СМИ и социальных сетях или осуществляемые другими угрозами на системе.

Как я получил

Trojan. Win32.Generic!BT ?

Trojan.Win32.Generic!BT вирус является один из членов семьи троянца. Не важно, windows 7, XP или Vista пользователей, оно может вторгнуться без вашего разрешения. Большинство пользователей могут попробовать антивирус удалить его. Обычно Антивирус будет отчитываться в результате обнаружения этой вредоносной программы, но не может удалить его. Или может быть он говорит вам, что вирус был удален. Однако дней после или в следующий раз вы включите компьютер, вредоносный вирус является обратно. В то время ваша система становится все более опасной. Может сказать вам, что этот вид вымогателей является весьма рискованным. Потому что он может скрывать путем изменения различных расширений, которые трудно определить особенно для пользователя с немного компьютерных технологий. Что еще хуже, он может открыть бэкдоры нападавших, что они могут удаленно управлять вашей системы и наблюдать, что вы делаете на компьютере.

Как

Trojan.Win32.Generic!BT произведения?

Во-первых измените ваш системный реестр windows. Во-вторых привести в более вредоносного вымогателей. В-третьих украдите вашу личную информацию, особенно число учетную запись и пароль. Хотя это недавно выпустила вирус, тысячи пользователей стали жертвами этого вредителя по данным исследований. Если вы случайно загружен плохой такие программы, как «Adobe мигалкой игрока» и установить его, или нажмите на порно ссылки, отправленные кем-либо преднамеренного или опасается, это был ад до сих пор. Я думаю, вы испытываете тонн спамером или вредоносных cookies в моем реестре, перенаправление происходит в поиск Google.

После его установки, этот вирус может испортить всю систему. Он прежде всего звучанием вверх ваш browsing и открывает несколько вкладок нежелательной в то время как вы занимаетесь серфингом Интернет. И учетная запись Facebook может быть взломана. Хакер будет отправлять несколько порно ссылки всем своим друзьям / семья без вашего сознания. Будучи как попало Троян, он имеет возможность сделать ваш компьютер уязвимым для удаленных атак, которые могут привести к потере денег и, возможно, кражи личных данных. Вы найдете ваш компьютер действует медленнее, чем раньше, во время запуска, выключения, игр и серфинга в Интернете. Следовательно это должно избавиться от Trojan.Win32.Generic!BT в времени.

Скачать утилиту чтобы удалить Trojan.Win32.Generic!BT

Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл).

Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 94208 байт. Написан на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в файл:

Также создается файл: содержащий строки: Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:

Распространение

Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:

Вместе со своим исполняемым файлом червь помещает файлы: что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник». Созданным файлам присваиваются атрибуты «скрытый» (hidden) и «системный» (system). Кроме того, червь способен распространяться при помощи программ обмена мгновенными сообщениями:
name=»doc3″>

Деструктивная активность

Весь деструктивный функционал вредоноса осуществляется исполняемым кодом, внедряемым в адресное пространство процесса «EXPLORER.EXE». Внедренный код выполняет следующие действия:

в бесконечном цикле создает ключ системного реестра:
Загружает из сети Интернет файлы по следующим ссылкам: (На момент создания описания загружался файл размером 135681 байт; детектируется Антивирусом Касперского как «Backdoor.Win32.Ruskill.p») (На момент создания описания загружался файл размером 169985 байт; детектируется эвристиком Антивируса Касперского как «HEUR:Trojan.Win32.Generic») Загруженные файлы сохраняются в системе как где – случайное имя (например: «H8F4D9

1.EXE»). После успешной загрузки файлы запускаются на выполнение.

Блокирует доступ к веб-ресурсам, содержащим в своих именах следующие подстроки:

Отслеживает исходящий сетевой трафик с целью похищения данных аутентификации пользователей следующих веб-ресурсов: Полученные данные могут быть отправлены на сервер злоумышленника.

Для выполнения своего основного вредоносного функционала обращается к одному из командных центров, которые располагаются по следующим ссылкам: На момент создания описания указанные IRC-сервера не работали. По получаемым с сервера злоумышленника командам червь может выполнять следующие действия:

загружать файлы по полученным ссылкам и запускать их;

распространяться, используя программы обмена мгновенными сообщениями;

проводить DoS-атаки на указанные злоумышленником сервера;

обновлять свой оригинальный файл.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Статистика мобильных угроз — OfficeLife

В III квартале 2017 года продукты «Лаборатории Касперского» обнаружили 1 598 196 вредоносных установочных пакетов, что в 1,2 раза больше, чем в предыдущем квартале. Среди всех детектируемых мобильных программ сильнее всего в III квартале выросла доля RiskTool (53,44%) — на 12,93 процентного пункта. Основная часть обнаруженных установочных пакетов относилась к семейству RiskTool.AndroidOS.Skymobi.

На втором месте по темпам роста расположились зловреды Trojan-Dropper (10,97%), доля которых выросла на 6,29 процентного пункта. Большая часть файлов детектируется как Trojan-Dropper.AndroidOS.Agent.hb.

Доля Trojan-Ransom, показавших наибольший рост еще в I квартале, продолжила уменьшаться и составила 6,69%, что на 8,4 процентного пункта ниже показателя предыдущего квартала. Кроме того, значительно упала доля Trojan-SMS — более чем на 4 процентных пункта, до 2,62%. Напомним, что в прошлом квартале зловреды Trojan-SMS показали одни из самых высоких темпов роста.

В III квартале в рейтинге «ЛК» появились мобильные зловреды типа Trojan-Clicker — их доля за три месяца увеличилась с 0,29% до 1,41%. В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и Adware.

	Вердикт	% атакованных пользователей*
1	DangerousObject.Multi.Generic	67,14
2	Trojan.AndroidOS.Boogr.gsh	7,52
3	Trojan.AndroidOS.Hiddad.ax	4,56
4	Trojan-Dropper.AndroidOS.Agent.hb	2,96
5	Trojan.AndroidOS.Loapi.b	2,91
6	Trojan-Dropper.AndroidOS.Hqwar.i	2,59
7	Trojan-Clicker.AndroidOS.Ubsod.b	2,20
8	Backdoor. AndroidOS.Ztorg.c	2,09
9	Trojan.AndroidOS.Agent.gp	2,05
10	Trojan.AndroidOS.Sivu.c	1,98
11	Trojan.AndroidOS.Hiddapp.u	1,87
12	Backdoor.AndroidOS.Ztorg.a	1,68
13	Trojan.AndroidOS.Agent.ou	1,63
14	Trojan.AndroidOS.Triada.dl	1,57
15	Trojan-Ransom.AndroidOS.Zebt.a	1,57
16	Trojan-Dropper.AndroidOS.Hqwar.gen	1,53
17	Trojan. AndroidOS.Hiddad.an	1,48
18	Trojan.AndroidOS.Hiddad.ci	1,47
19	Trojan-Banker.AndroidOS.Asacub.ar	1,41
20	Trojan.AndroidOS.Agent.eb	1,29

* Процент уникальных пользователей, атакованных данным зловредом, от всех атакованных пользователей мобильного антивируса «Лаборатории Касперского».

HEUR: Trojan.AndroidOS — що це за вірус, як видалити

Іноді, при звичайному використанні програм користувач стикається з непередбаченими труднощами. У деяких випадках це спливаючі вікна про можливу загрозу з боку сторонніх файлів. Даний матеріал розповість про небезпечне сімействі вірусів «HEUR: Trojan», про яких часто сигналізує Сбербанк Онлайн. Ми покажемо як видалити зловредів AndroidOS. Agent.EB, AndroidOS.Dropper, Downloader.Script.Generic, Win32.Generic, Win32.Banker і інші подібні.

Що це за віруси?

Сімейство HEUR: Trojan — найбільш небезпечне з сучасних вірусів на Андроїд, iOS і Windows, яке відрізняється розширеним функціоналом, глибоким проникненням, а значить — збільшеним рівнем загрози для користувача.

AndroidOS виявлений Касперського

Дані зловредів пробираються в системні файли смартфона або PC, клонуємо з небувалою швидкістю, також може маскуватися під звичайні файли, процеси і нешкідливі програми.

На жаль, з огляду на еволюцію шкідливого ПЗ не завжди антивіруси можуть попередити власника про загрозу викачуваного файлу або відвідуваною сторінки, що й обумовлює поширення подібної «інфекції». Сучасні системи захищені правами адміністратора однак і цей момент віруси здатні обходити.

З популярних «можливостей» HEUR: Trojan виділяють:

Розсилка повідомлень на платні номери, підтвердження платних підписок для витягування коштів з балансу рахунку.
Крадіжка особистих даних, в тому числі паролів від фінансових ресурсів, номерів банківських карт з усіма наслідками, що випливають.
Проникнення безпосередньо в програми інтернет-банкінгу, електронних гаманців для безперешкодного переказу коштів на сторонні рахунки.

Звучить досить жахливо, чи не так? Радує одне — цю варіацію вірусу вже розпізнає більшість антивірусних програм Kaspersky, ESET, Dr.WEB, NOD, AVAST і інші.

Захист Сбербанк Онлайн, наприклад, вже при вході в систему ідентифікує спробу проникнення, пропонуючи видалити вірус. Однак, радіти завчасно не варто — таке видалення не призведе до повного знищення вірусу.

Trojan.AndroidOS виявлений Ощадбанком Онлайн
Які віруси бувають

Якщо говорити, про можливі причини появи зловредів, то тут все просто — банальна необережність в мережі:

Завантаження піратських версій ігор, інших apk-файлів на смартфон зі сторонніх ресурсів.
Відвідування сумнівних web-сайтів з великою кількістю картинок, gif-зображень і гіперпосилань. В такому випадку, скачування вірусу може бути активована натискає, у фоновому режимі.
Обмін файлами з уже зараженими користувачами — за допомогою Bluetooth, Хмари та подібних сервісів.
Перехід за посиланнями в надсилайте спам на пошту або в SMS.

З популярних варіацій HEUR: Trojan виділяють:

AndroidOS.Agent.EB або Androidos.Boogr.Gsh — встановлює в систему спеціальну утиліту, впроваджувати рекламу в усі інші програми. Використовується для монетизації за рахунок подібних показів.
Downloader.AndroidOS.Agent — СМС-вірус, який використовується для платних підписок і відправки повідомлень на тарифікуються номера.
Script.Generic.Miner.Gen — продаж трафіку користувача, скачування і перенаправлення файлів (значно уповільнює і інтернет-з’єднання).

Також існує тип Win32.Generic — це файл, що знаходиться під підозрою вірусної системи. До такого типу можуть відноситься навіть офіційні додатки, в коді яких виявлені які відстежують або перехоплюють інформацію скрипти.

Як видалити HEUR: Trojan.AndroidOS і подібні до нього?

Базового пропозиції «Видалити» від того ж Ощадбанку, як уже згадувалося, недостатньо — але не варто переживати про складність проведених маніпуляцій. Для вирішення проблеми підійде стандартні сканери від Dr.Web, AVG або Kaspersky. Версії цих програм є як для ПК, так і для мобільних OS.

Прямуємо найпростішим інструкцій:

1. Викачуємо будь-який із запропонованих сканерів. Я, наприклад, для свого Xiaomi використовую Касперський.
2. Також добре зарекомендував себе Dr.Web для смартфонів, так як його бази даних постійно оновлюються і він знаходить новітні загрози.
3. З їх допомогою запускайте сканування всіх файлів, включаючи системні процеси.
4. Обов’язково знесіть ліві додатки, які ви не використовуєте, або вони завантажені не з Маркета.
5. Увімкніть опцію «Захист Play Market».
  Активуйте опцію захисту в Маркеті

Далі — просто вибираємо «Видалити» для всіх підозрілих пунктів. Це більш ефективно, ніж «Лікувати» файли, так як вірус може встигнути поширитися в інші відсіки системи. Якщо в доступі вам відмовлено, тоді:

Відкривайте «Налаштування» -> «Конфіденційність» -> «Адміністратори пристрою». Зніміть галочки з усього зайвого і знову запускайте перевірку.
При виявленні загроз — показується шлях до небезпечного файлу. Можете вручну його відкрити і стерти з системи. Total Commander дозволяє з таким впорається дуже швидко.
Касперський показує шлях
Є спец. утиліта Titanium BackUp. З її допомогою можна банально заморозити вірусний процес.

висновок

Рекомендуємо вам більш скептично ставиться до «безкоштовним» версіями оригінальних додатків. Краще витратити кілька доларів і купити «ліцензію», ніж потім витратити десятки через дії шкідливих утиліт, відправки платних SMS. Також після видалення рекомендую оновити паролі, включите подвійну аутентифікацію.

Якщо у вас виникли складності, з погрозами типу AndroidOS. Agent.EB і в видаленні нічого не вийшло — пишіть нижче в коментарях, постараємося вам допомогти.

Развитие информационных угроз в третьем квартале 2017 года. Статистика

Цифры квартала По данным KSN, решения “Лаборатории Касперского” отразили 277 646 376 атак, которые проводились с интернет-ресурсов, размещенных в 185 странах мира. Зафиксировано 72 012 219 уникальных URL, на которых происходило срабатывание веб-антивируса. Попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам отражены на компьютерах 204 388 пользователей.

Атаки шифровальщиков отражены на компьютерах 186283 уникальных пользователей.

Нашим файловым антивирусом зафиксировано 198 228 428 уникальных вредоносных и потенциально нежелательных объектов.

Продуктами “Лаборатории Касперского” для защиты мобильных устройств было обнаружено:

1 598 196 вредоносных установочных пакетов;
19 748 установочных пакетов мобильных банковских троянцев;
108 073 установочных пакетов мобильных троянцев-вымогателей.

Мобильные угрозы

Особенности квартала

Распространение банкера Asacub

В третьем квартале мы продолжили наблюдать за деятельностью мобильного банковского троянца Trojan-Banker.AndroidOS.Asacub, который активно распространялся через SMS спам. В предыдущем квартале злоумышленники провели масштабную кампанию по распространению троянца, в результате чего количество атакованных пользователей выросло в три раза. В июле активность Asacub достигла пика, после чего количество атак пошло на спад – в сентябре мы зафиксировали почти в три раза меньше атакованных пользователей, чем в июле.

Количество уникальных пользователей, атакованных Trojan-Banker.AndroidOS.Asacub, второй и третий квартал 2017

Новые возможности мобильных банковский троянцев

В третьем квартале произошло два значимых события в мире мобильных банковских троянцев.

Во-первых, семейство мобильных банковских троянцев Svpeng обзавелось новой модификацией Trojan-Banker.AndroidOS. Svpeng.ae, которая может сама себе выдавать все необходимые права и воровать данные из других приложений. Для этого ей всего лишь нужно уговорить пользователя разрешить троянцу использовать специальные функции, предназначенные для людей с ограниченными возможностями. В результате троянец может воровать текст, которые вводит пользователь, незаметно красть SMS и даже препятствовать своему удалению.

Интересно, что в августе мы обнаружили еще одну модификацию Svpeng, использующую специальные возможности. Только в этот раз троянец оказался не банковский – вместо кражи данных зловред шифрует все файлы на устройстве и требует выкуп в биткойнах.

Окно с требованием выкупа шифровальщика Trojan-Banker.AndroidOS.Svpeng.ag.

Во-вторых, семейство мобильных банковских троянцев FakeToken расширило список атакуемых приложений. Если раньше представители семейства перекрывали фишинговым окном, в основном, банковские приложения и некоторые приложения Google, такие как Google Play Store, то теперь они перекрывают еще и приложения для вызова такси, заказа авиабилетов бронирования номеров в гостиницах. Цель троянца – сбор данных банковской карты пользователя.

Рост WAP-подписок

В этом квартале мы продолжили наблюдать рост активности троянцев, крадущих деньги пользователей посредством подписок. Напомним, что это троянцы, которые могут посещать сайты, позволяющие оплачивать услуги средствами со счета мобильного телефона пользователя. Обычно подобные троянцы могут нажимать кнопки на этих сайтах, используя специальные JS-файлы, таким образом осуществляю оплату неких услуг скрытно от пользователя.

Отметим, что в TOP-20 самых популярных троянцев этого квартала попало три троянца, которые атакуют WAP-подписки. Это Trojan-Dropper.AndroidOS.Agent.hb и Trojan.AndroidOS.Loapi.b на четвертом и пятом местах, а также Trojan-Clicker.AndroidOS.Ubsod.b на седьмом.

Статистика мобильных угроз

В третьем квартале 2017 года продукты “Лаборатории Касперского” обнаружили 1 598 196 вредоносных установочных пакетов, что в 1,2 раза больше, чем в предыдущем квартале.

Количество обнаруженных вредоносных установочных пакетов, Q4 2016 — Q3 2017

Распределение детектируемых мобильных программ по типам

Распределение новых детектируемых мобильных программ по типам, второй и третий кварталы 2017 года

Среди всех детектируемых мобильных программ сильнее всего в третьем квартале выросла доля RiskTool (53,44%) — на 12,93 п.п. Основная часть обнаруженных установочных пакетов относилась к семейству RiskTool.AndroidOS.Skymobi.

На втором месте по темпам роста расположились зловреды Trojan-Dropper (10,97%), доля которых выросла на 6,29 п.п. Большая часть файлов детектируется нами как Trojan-Dropper.AndroidOS.Agent.hb.

Доля Trojan-Ransom, показавших наибольший рост еще в первом квартале, продолжила уменьшаться и составила 6,69%, что на 8,4 п.п. ниже показателя предыдущего квартала. Кроме того, значительно упала доля Trojan-SMS – более чем на 4 п.п., до 2,62%. Напомним, что в прошлом квартале зловреды Trojan-SMS показали одни из самых высоких темпов роста.

В третьем квартале в нашем рейтинге появились мобильные зловреды типа Trojan-Clicker – их доля за три месяца увеличилась с 0,29% до 1,41%.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и Adware.

Вердикт	% атакованных пользователей*
1	DangerousObject.Multi.Generic	67,14
2	Trojan.AndroidOS.Boogr.gsh	7,52
3	Trojan.AndroidOS.Hiddad.ax	4,56
4	Trojan-Dropper.AndroidOS.Agent.hb	2,96
5	Trojan.AndroidOS.Loapi.b	2,91
6	Trojan-Dropper.AndroidOS.Hqwar.i	2,59
7	Trojan-Clicker.AndroidOS.Ubsod.b	2,20
8	Backdoor.AndroidOS.Ztorg.c	2,09
9	Trojan. AndroidOS.Agent.gp	2,05
10	Trojan.AndroidOS.Sivu.c	1,98
11	Trojan.AndroidOS.Hiddapp.u	1,87
12	Backdoor.AndroidOS.Ztorg.a	1,68
13	Trojan.AndroidOS.Agent.ou	1,63
14	Trojan.AndroidOS.Triada.dl	1,57
15	Trojan-Ransom.AndroidOS.Zebt.a	1,57
16	Trojan-Dropper.AndroidOS.Hqwar.gen	1,53
17	Trojan.AndroidOS.Hiddad.an	1,48
18	Trojan.AndroidOS.Hiddad.ci	1,47
19	Trojan-Banker.AndroidOS.Asacub.ar	1,41
20	Trojan.AndroidOS.Agent.eb	1,29

* Процент уникальных пользователей, атакованных данным зловредом, от всех атакованных пользователей мобильного антивируса “Лаборатории Касперского”

Первое место в нашем ТОР 20 традиционно занял вердикт DangerousObject. Multi.Generic (67,14%), который мы используем для вредоносных программ, обнаруженных с помощью облачных технологий. По сути, так детектируются самые новые вредоносные программы.

Второе место, как и предыдущем квартале, занял вердикт Trojan.AndroidOS.Boogr.gsh (7,52%). Такой вердикт получают файлы, которые признаются вредоносными нашей системой, основанной на машинном обучении.

На третьем месте расположился зловред Trojan.AndroidOS.Hiddad.ax (4,56%). Задача этого троянца – открыть и прокликать рекламные ссылки, полученные с управляющего сервера. Чтобы препятствовать своему удалению, этот троянец просит пользователя добавить его в администраторы устройства.

На четвертое место поднялся троянец Trojan-Dropper.AndroidOS.Agent.hb (2,96%), который в аналогичном рейтинге прошлого квартала был на шестом месте. Этот троянец расшифровывает и запускает другого троянца – представителя семейства Loaipi. Один из таких зловредов – Trojan.AndroidOS.Loapi.b – занял пятую позицию в нашем ТОР 20. Это сложный модульный троянец, основная зловредная часть которого должна быть скачана с сервера злоумышленников. Можно предположить, что Trojan.AndroidOS.Loapi.b нацелен на кражу денег посредством платных подписок.

С четвертого на шестое место опустился Trojan-Dropper.AndroidOS.Hqwar.i (3,59%). Этот вердикт получают троянцы, защищенные определенным упаковщиком/обфускатором. В большинстве случаев под этим именем скрывается представитель семейств мобильных банковских троянцев FakeToken или Svpeng.

Седьмое место досталось троянцу Trojan-Clicker.AndroidOS.Ubsod.b – это небольшой простой троянец, который получает ссылки с управляющего сервера и открывает их. Мы подробно писали об этом семействе в обзоре троянцев, крадущих деньги пользователей посредством WAP-подписок.

На восьмом месте расположился троянец Backdoor.AndroidOS.Ztorg.c. Всего в третьем квартале 2017 года в наш ТОР 20 попали восемь троянцев, которые пытаются получить или использовать права root, а в качестве основного средства монетизации используют рекламу. Их цель — доставить пользователю как можно больше рекламы, в том числе за счет скрытой установки новых рекламных программ. При этом, используя права суперпользователя, они могут “прятаться” в системной папке, откуда их очень сложно удалить. Стоит отметить, что в последнее время мы наблюдаем снижение количества подобных зловредов в TOP 20 – во втором квартале в аналогичном рейтинге было одиннадцать подобных троянцев, а в первом квартале – четырнадцать.

С пятнадцатого на девятое место поднялся троянец Trojan.AndroidOS.Agent.gp (2.05%), ворующий деньги пользователей посредством звонков на платные номера. Благодаря использованию прав администратора, противодействует попыткам удалить его с зараженного устройства.

Пятнадцатое место занял зловред Trojan-Ransom.AndroidOS.Zebt.a – это первый троянец-вымогатель, попавший в TOP 20 в 2017 году. Это достаточно простой троянец, чья основная задача – заблокировать устройство своим окном и потребовать выкуп. В основном, Zebt.a атакует пользователей в Европе и Мексике.

На шестнадцатое место опустился мобильный троянец Trojan.AndroidOS.Hiddad.an (1,48%). Напомним, что в предыдущих двух кварталах этот троянец занимал второе и третье места нашего рейтинга. Этот зловред выдает себя за популярные игры или программы. После запуска он скачивает приложение, за которое себя выдавал, и при установке запрашивает права администратора устройства, чтобы противодействовать своему удалению. Основная цель Trojan.AndroidOS.Hiddad.an — агрессивный показ рекламы, его основная “аудитория” находится в России.

География мобильных угроз

Карта попыток заражений мобильными зловредами в третьем квартале 2017 года
(процент атакованных пользователей в стране)

TOP 10 стран по доле пользователей, атакованных мобильными зловредами:

Страна*	% атакованных пользователей**
1	Иран	35,12
2	Бангалдеш	28,30
3	Китай	27,38
4	Кот-д’Ивуар	26,22
5	Алжир	24,78
6	Нигерия	23,76
7	Индонезия	22,29
8	Индия	21,91
9	Непал	20,78
10	Кения	20,43

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса “Лаборатории Касперского” относительно мало (менее 10000).
** Процент уникальных пользователей, атакованных в стране, по отношению ко всем пользователям мобильного антивируса “Лаборатории Касперского” в стране.

Страной с самым большим процентом атакованных мобильных пользователей в третьем квартале остался Иран (35,12%) – эту позицию он занимает с начала года. Второе и третье места остались за Бангладеш (28,3%) и Китаем (27,38%), только они поменялись местами по сравнению с предыдущим кварталом.

Россия (8,68%) в этот раз заняла 35-е место; в предыдущем квартале она была на 26-ом месте. Франция (4,9%) заняла 59-ое, США (3,8%) оказались на 67-ой строчке, Италия (5,3%) — на 56-ой, Германия (2,9%) — на 79-й, Великобритания (3,4%) — на 72-й.

Самые безопасные страны по доле атакованных пользователей: Грузия (2,2%), Дания (1,9%) и Япония (0,8%).

Мобильные банковские троянцы

За отчетный период мы обнаружили 19748 установочных пакетов мобильных банковских троянцев, что в 1,4 раза меньше, чем во втором квартале 2017 года.

Количество установочных пакетов мобильных банковских троянцев, Q4 2016 — Q3 2017

Самым популярным мобильным банковским троянцем в третьем квартале стал Trojan-Banker.AndroidOS.Asacub.ar, он обошел лидера предыдущих кварталов Trojan-Banker.AndroidOS.Svpeng.q. Эти троянцы используют фишинговые окна для кражи сведений о банковской карте и аутентификационных данных онлайн-банкинга. Кроме того, они воруют деньги посредством SMS-сервисов, в том числе мобильного банкинга.

География мобильных банковских угроз в третьем квартале 2017 года (процент атакованных пользователей)

TOP 10 стран по доле пользователей, атакованных мобильными банковскими троянцами:

Страна*	% атакованных пользователей**
1	Россия	1,20
2	Узбекистан	0,40
3	Казахстан	0,36
4	Таджикистан	0,35
5	Турция	0,34
6	Молдова	0,31
7	Украина	0,29
8	Киргизстан	0,27
9	Беларусь	0,26
10	Латвия	0,23

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса “Лаборатории Касперского” относительно мало (менее 10 000).
** Процент в стране уникальных пользователей, атакованных мобильными банковскими троянцами, по отношению ко всем пользователям мобильного антивируса “Лаборатории Касперского” в этой стране.

В третьем квартале 2017 года рейтинг не сильно поменялся по сравнению с предыдущим кварталом. Лидером осталась Россия (1,2%), на втором и третьем местах расположились Узбекистан (0.4%) и Казахстан (0.36%), ранее занимавшие пятое и десятое места, соответственно. В этих странах самыми популярными мобильными банковскими троянцами стали Faketoken.z, Tiny.b и Svpeng.y.

Стоит отметить, что Австралия, долгое время занимавшая первые строки ТОР 10, в этом квартале не попала в наш рейтинг. Произошло это благодаря снизившейся активности семейств мобильных банковских троянцев Trojan-Banker.AndroidOS.Acecard и Trojan-Banker.AndroidOS.Marcher.

Мобильные троянцы-вымогатели

В третьем квартале 2017 года мы обнаружили 108 073 установочных пакетов мобильных троянцев-вымогателей, что почти в два раза меньше, чем в предыдущем квартале.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных “Лабораторией Касперского” (Q4 2016 — Q3 2017)

В предыдущем отчете мы писали, что за первое полугодие 2017 года обнаружили значительно больше новых установочных пакетов мобильных троянцев-вымогателей, чем за любой другой период. Причиной роста было семейство Trojan-Ransom.AndroidOS.Congur; и вот в третьем квартале 2017 мы наблюдали спад активности этого семейства.

Самым популярным мобильным вымогателем в третьем стал Trojan-Ransom.AndroidOS.Zebt.a – с ним столкнулись более трети пользователей, атакованных мобильными вымогателями. На втором месте по популярности оказался троянец Trojan-Ransom.AndroidOS.Svpeng.ab. В то же время Trojan-Ransom.AndroidOS.Fusob.h, остававшийся самым популярным мобильным троянцем вымогателем на протяжении долго времени, в третьем квартале 2017 года занял лишь третью позицию.

География мобильных троянцев-вымогателей в третьем квартале 2017 года
(процент атакованных пользователей)

TOP 10 стран по доле пользователей, атакованных мобильными троянцами-вымогателями:

1	США	1,03%
2	Мексика	0,91%
3	Бельгия	0,85%
4	Казахстан	0,79%
5	Румыния	0,70%
6	Италия	0,50%
7	Китай	0,49%
8	Польша	0,49%
9	Австрия	0,45%
10	Испания	0,33%

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса “Лаборатории Касперского” относительно мало (менее 10 000)
** Процент в стране уникальных пользователей, атакованных мобильными троянцами-вымогателями, по отношению ко всем пользователям мобильного антивируса “Лаборатории Касперского” в стране.

Первое место в ТОР 10 опять заняли США (1,03%), самым активным семейством в этой стране стало Trojan-Ransom.AndroidOS.Svpeng. Эти вымогатели появились в 2014 году как модификация семейства мобильных банкеров Trojan-Banker.AndroidOS.Svpeng. За разблокировку устройства они обычно требуют порядка $500.

Второе место заняла Мексика (0,91%), где большая часть атак приходится на Trojan-Ransom.AndroidOS.Zebt.a. Третье место заняла Бельгия (0,85%), самым популярным мобильным вымогателем в этой стране также стал Zebt.a.

Уязвимые приложения, используемые злоумышленниками

В третьем квартале 2017 года продолжился рост количества атак на пользователей с использованием вредоносных офисных документов. Мы отметили появление большого числа комбинированных документов – в которых содержится и эксплойт, и фишинговое сообщение – на тот случай, если встроенный в документ эксплойт не сработал.

Несмотря на появление двух новых уязвимостей для пакета Microsoft Office, CVE-2017-8570 и CVE-2017-8759, злоумышленники продолжают эксплуатировать CVE-2017-0199 – найденную в марте 2017 года логическую уязвимость в обработке NTA-объектов. Наша статистика показывает, что в течении квартала 65% пользователей были атакованы именно с ее помощью, тогда как суммарно на CVE-2017-8570 и CVE-2017-8759 пришлось менее одного процента. Суммарно доля эксплойтов для Microsoft Office составила в третьем квартале 27,80%.

В третьем квартале не было крупных сетевых атак (таких как WannaCry или ExPetr) с использованием уязвимостей, исправленных в обновлении MS17-010. Однако по данным нашей сети KSN в течении квартала многократный рост количества попыток эксплуатации этих уязвимостей, заблокированных компонентом Intrusion Detection System. Ожидаемо, самым популярным эксплойтом стал EternalBlue и его модификации, использующие уязвимость в протоколе SMB, однако наша статистика показывает, что EternalRomance, EternalChampion и эксплоит для уязвимости CVE-2017-7269 в веб-сервере IIS также активно использовались злоумышленниками. Но если в случае с EternalBlue речь идет о миллионах заблокированных попыток атак в месяц, то с остальными эксплойтами цифры на несколько порядков меньше.

Распределение эксплойтов, использованных в атаках злоумышленников, по типам атакуемых приложений, третий квартал 2017 года

По сравнению с прошлым кварталом распределение эксплойтов по типам атакуемых приложений в третьем квартале практически не изменилось. На первой позиции по-прежнему располагаются эксплойты для браузеров и их компонентов (35,0%), чья доля уменьшилась на 4 п.п. Доля эксплойтов для уязвимостей в ОС Android (22,71%) за квартал практически не изменилась – в результате все то же третье место.

Вредоносные программы в интернете (атаки через веб-ресурсы)

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а также взломанные легитимные ресурсы.

Онлайн-угрозы в финансовом секторе

Настоящая статистика основана на детектирующих вердиктах продуктов “Лаборатории Касперского”, которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных. Начиная с первого квартала 2017 года, в статистику входят вредоносные программы для ATM и POS-терминалов, но не входят мобильные угрозы.

В третьем квартале 2017 года решения “Лаборатории Касперского” отразили попытки запуска одной или нескольких вредоносных программ для кражи денежных средств с банковских счетов на компьютерах 204 388 пользователей.

Число пользователей, атакованных финансовым вредоносным ПО, третий квартал 2017

География атак

Чтобы оценить и сравнить степень риска заражения банковскими троянцами и ATM/PoS-зловредами, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей продуктов “Лаборатории Касперского”, которые столкнулись с этой угрозой в отчетный период, от всех пользователей наших продуктов в стране.

География атак банковского вредоносного ПО в третьем квартале 2017 года
(процент атакованных пользователей)

TOP-10 стран по проценту атакованных пользователей

Страна*	% атакованных пользователей**
1	Того	2,30
2	Китай	1,91
3	Тайвань	1,65
4	Индонезия	1,58
5	Республика Корея	1,56
6	Германия	1,53
7	ОАЭ	1,52
8	Ливан	1,48
9	Ливия	1,43
10	Иордания	1,33

Настоящая статистика основана на детектирующих вердиктах антивируса, которые были предоставлены пользователями продуктов “Лаборатории Касперского”, подтвердившими свое согласие на передачу статистических данных.
* При расчетах мы исключили страны, в которых число пользователей “Лаборатории Касперского” относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей “Лаборатории Касперского”, подвергшихся атакам банковских троянцев, от всех уникальных пользователей продуктов “Лаборатории Касперского” в стране.

TOP 10 семейств банковского вредоносного ПО

TOP 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-банкинга в третьем квартале 2017 года (по доле атакованных пользователей):

Название*	% атакованных пользователей**
1	Trojan-Spy.Win32.Zbot	27,9
2	Trojan.Win32.Nymaim	20,4
3	Trojan.Win32.Neurevt	10,0
4	Trickster	9,5
5	SpyEye	7,5
6	Caphaw	6,3
7	Trojan-Banker. Win32.Gozi	2,0
8	Shiz	1,8
9	ZAccess	1,6
10	NeutrinoPOS	1,6

* Детектирующие вердикты продуктов “Лаборатории Касперского”. Информация предоставлена пользователями продуктов “Лаборатории Касперского”, подтвердившими свое согласие на передачу статистических данных.
** Процент уникальных пользователей, атакованных данным зловредом, от всех пользователей, атакованных финансовым вредоносным ПО.

В третьем квартале 2017 года рейтинг покинули семейства Dridex и Tinba. Одно из освободившихся мест занял наследник умершего банкера Dyre – бот Trickster (9,5%), также известный как TrickBot. Небольшие изменения произошли в первой тройке зловредных семейств. На первом и втором местах по-прежнему Trojan-Spy.Win32.Zbot (27,9%) и Trojan.Win32.Nymaim (20,4%), а вот на третью позицию поднялся Trojan.Win32.Neurevt (10%), чья доля выросла почти на 4 п. п.

Вредоносные программы-шифровальщики

Главные события квартала

Crysis восстает из мертвых

В отчете за второй квартал мы писали, что злоумышленники, стоящие за шифровальщиком Crysis, прекратили распространение этого троянца, а приватные мастер-ключи, необходимые для расшифровки файлов пострадавших, опубликовали в открытом доступе. Это произошло в мае 2017 года, и всякое распространение этого шифровальщика в тот момент полностью остановилось.

Однако спустя почти 3 месяца, в середине августа, мы обнаружили новую волну активного распространения этого, казалось бы, уже “мертвого” троянца. Адреса почты вымогателей оказались новыми, ранее не замеченными в образцах Crysis. В результате детального анализа выяснилось, что появившиеся образцы троянца полностью идентичны старым за исключением новых адресов почты, расширений зашифрованных файлов и публичных мастер-ключей. Всё остальное осталось неизменным, в том числе дата компиляции в PE-заголовке, и, что более интересно, метки, оставляемые троянцем в служебной структуре в конце каждого зашифрованного файла. При пристальном рассмотрении образцов складывается впечатление, что новые распространители не имели исходников зловреда, потому просто взяли старое тело троянца и с помощью hex-редактора подменили в нём ключ и адрес почты для связи.

Вышеописанное наталкивает на мысль, что распространением этого “зомби” занимаются уже другая группа злоумышленников, а не изначальный разработчик троянца, выложивший все приватные ключи в мае.

Волна атак Cryrar

Шифровальщик Cryrar (aka ACCDFISA) – один из “долгожителей” среди активно распространяемых сегодня троянцев-вымогателей. Он появился еще в 2012 году, и с тех пор не прекращал свою активность. Зловред написан на PureBasic и использует легальный исполняемый файл архиватора RAR, чтобы помещать файлы жертвы в запароленные RAR-sfx архивы.

В первую неделю сентября 2017 мы зафиксировали резкий рост числа попыток заражения данным шифровальщиком. Ни до, ни после распространяющие Cryrar злоумышленники не отличались такими массовыми “кампаниями”. Схема заражения: злоумышленники методом перебора (brute force) подбирают пароль к RDP, авторизуются в системе жертвы по протоколу удаленного доступа и вручную запускают установочный файл троянца. Тот, в свою очередь, устанавливает непосредственно тело шифровальщика и необходимые ему компоненты (в том числе и переименованный файл rar.exe), после чего автоматически запускает шифровальщика.

По данным KSN, эта волна была нацелена в первую очередь на Вьетнам, Китай, Филиппины и Бразилию.

Опубликован мастер-ключ оригинальных версий Petya/Mischa/GoldenEye

В июле 2017 авторы троянца Petya опубликовали свой мастер-ключ, с помощью которого возможна расшифровка ключей Salsa, необходимых для расшифровки MFT и разблокировки доступа к системам, пострадавшим от Petya/Mischa и GoldenEye.

Произошло это вскоре после прогремевшей на весь мир эпидемии зловреда ExPetr, который использовал часть кода от GoldenEye. Такой ход наталкивает на мысль, что авторы Petya/Mischa/GoldenEye попытались таким образом дистанцироваться от ExPetr и поднявшейся в результате его атак шумихи.

Пострадавшим от ExPetr этот мастер-ключ, к сожалению, не поможет, т.к. авторы ExPetr не заложили в свой код возможности восстановить ключ Salsa для расшифровки MFT.

Количество новых модификаций

В третьем квартале 2017 мы выделили в классификации пять новых семейств шифровальщиков. Здесь стоит сделать ремарку: в это число мы не включаем все те троянцы, которые не получили “персонального” вердикта. Таких зловредов каждый квартал появляются десятки, но у них либо настолько мало отличительных характеристик, либо настолько малая распространенность, что они остаются “безымянными” среди сотен подобных себе и детектируются с обобщенными (generic) вердиктами.

Количество новых модификаций шифровальщиков, Q3 2016 – Q3 2017

Количество модификаций продолжает снижаться по сравнению с предыдущими кварталам. Это может оказаться как временным явлением, так и отражением постепенной потери интереса злоумышленниками к шифровальщикам как средству заработка и переориентации на другие виды вредоносного ПО.

Количество пользователей, атакованных троянцами-шифровальщиками

Июль оказался месяцем с наименьшей активностью шифровальщиков. Хотя количество атак росло на протяжении квартала, оно остается ниже показателей мая и июня, когда прогремели две массовые эпидемии (WannaCry и ExPetr).

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, третий квартал 2017

География атак

TОР 10 стран, подвергшихся атакам троянцев-шифровальщиков

Страна*	% пользователей, атакованных шифровальщиками**
1	Мьянма	0,95%
2	Вьетнам	0,92%
3	Индонезия	0,69%
4	Германия	0,62%
5	Китай	0,58%
6	Россия	0,51%
7	Филлипины	0,50%
8	Венесуэла	0,50%
9	Камбоджа	0,50%
10	Австрия	0,49%

* При расчетах мы исключили страны, в которых число пользователей “Лаборатории Касперского” относительно мало (менее 50 000).
** Процент уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов “Лаборатории Касперского” в стране.

Большинство позиций рейтинга занимают азиатские страны, в том числе и ранее не появлявшаяся в топе Мьянма (0,95%), занявшая в третьем квартале сразу первое место. Вьетнам (0,92%) поднялся по сравнению с предыдущим кварталом с четвертой на вторую позицию, а Китай (0,58%) – с шестой на пятую.

Находившиеся в прошлом квартале на первых местах Бразилия, Италия и Япония в текущем квартале не попали в ТОР 10. Из европейских стран в рейтинг попали Германия (0,62%) и Австрия (0,49%).

Россия, занимавшая 10-е место во втором квартале, теперь находится на 6-й позиции.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

Название	Вердикты*	Процент атакованных пользователей**
1	WannaCry	Trojan-Ransom. Win32.Wanna	16,78%
2	Crypton	Trojan-Ransom.Win32.Cryptoff	14,41%
3	Purgen/GlobeImposter	Trojan-Ransom.Win32.Purgen	6,90%
4	Locky	Trojan-Ransom.Win32.Locky	6,78%
5	Cerber	Trojan-Ransom.Win32.Zerber	4,30%
6	Cryrar/ACCDFISA	Trojan-Ransom.Win32.Cryrar	3,99%
7	Shade	Trojan-Ransom.Win32.Shade	2,69%
8	Spora	Trojan-Ransom.Win32.Spora	1,87%
9	(generic verdict)	Trojan-Ransom.Win32.Gen	1,77%
10	(generic verdict)	Trojan-Ransom.Win32.CryFile	1,27%

* Статистика основана на детектирующих вердиктах продуктов “Лаборатории Касперского”. Информация предоставлена пользователями продуктов “Лаборатории Касперского”, подтвердившими свое согласие на передачу статистических данных.
** Процент уникальных пользователей “Лаборатории Касперского”, подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

В третьем квартале на вершине нашего ТОР 10 остается WannaCry (16,78%), и, судя по наблюдаемой нами динамике, это надолго: червь распространяется бесконтрольно, а в мире остается огромное число необновленных машин с незакрытой уязвимостью, которую он эксплуатирует.

На второе место вышел Crypton (14,41%) – этот шифровальщик появился еще прошлой весной, с тех пор он много раз видоизменялся и “засветился” под множеством названий: CryptON, JuicyLemon, PizzaCrypts, Nemesis, x3m, Cry9, Cry128, Cry36.

Замыкает первую тройку шифровальщик Purgen (6,90%), поднявшийся с 9-го на 3-е место. Остальные позиции занимают “старые знакомые” – троянцы Locky, Cerber, Cryrar, Shade, Spora.

Шифровальщик Jaff, возникший весной 2017 года и занявший сразу 4-е место в рейтинге за второй квартал, прекратил распространение так же внезапно, как и появился.

Страны – источники веб-атак: TOP 10

Данная статистика показывает распределение по странам источников заблокированных продуктами “Лаборатории Касперского” интернет-атак на компьютеры пользователей (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т.д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак. Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GEOIP).

В третьем квартале 2017 года решения “Лаборатории Касперского” отразили 277 646 376 атак, которые проводились с интернет-ресурсов, размещенных в 185 странах мира. Зафиксировано 72 012 219 уникальных URL, на которых происходило срабатывание веб-антивируса.

Распределение по странам источников веб-атак, третий квартал 2017

В этом квартале больше всего срабатываний веб-антивируса пришлось на ресурсы, расположенные в США (33,86%). На втором месте по-прежнему Нидерланды (25,22%), а вот на третьем – Германия (16,03%), занимавшая в прошлом квартале 5-е место. Вредоносные веб-ресурсы из Финляндии и Сингапура выбыли из ТОР 10, вместо них появились ресурсы Ирландии (1,36%) и Украины (1,36).

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения вредоносными программами через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей продуктов “Лаборатории Касперского”, которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах.

Напомним, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware, при подсчетах мы не учитывали срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламные программы.

Страна*	% атакованных пользователей**
1	Белоруссия	27,35
2	Алжир	24,23
3	Россия	23,91
4	Армения	23,74
5	Молдавия	23,61
6	Греция	21,48
7	Азербайджан	21,14
8	Киргизия	20,83
9	Узбекистан	20,24
10	Албания	20,10
11	Украина	19,82
12	Казахстан	19,55
13	Франция	18,94
14	Венесуэла	18,68
15	Бразилия	18,01
16	Португалия	17,93
17	Вьетнам	17,81
18	Таджикистан	17,63
19	Грузия	17,50
20	Индия	17,43

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов “Лаборатории Касперского”, подтвердившими свое согласие на передачу статистических данных.
* При расчетах мы исключили страны, в которых число пользователей “Лаборатории Касперского”, относительно мало (меньше 10 000).

** Процент уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов “Лаборатории Касперского” в стране.

В среднем в течение квартала 16,61% компьютеров пользователей интернета в мире хотя бы один раз подвергались веб-атаке класса Malware.

География веб-атак вредоносного ПО в третьем квартале 2017 года (процент атакованных пользователей)

В числе самых безопасных для серфинга в интернете стран оказались Иран (9,06%), Сингапур (8,94%), Пуэрто-Рико (6,67%), Нигер (5,14%), Куба (4,44%).

Локальные угрозы

Важным показателем является статистика локальных заражений пользовательских компьютеров. Сюда попадают объекты, которые проникли на компьютер путем заражения файлов или съемных носителей либо изначально попали на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т. д.).

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

В третьем квартале 2017 года нашим файловым антивирусом было зафиксировано 198 228 428 вредоносных и потенциально нежелательных объектов.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран мы подсчитали, какой процент пользователей продуктов “Лаборатории Касперского” столкнулся со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware, при подсчетах мы не учитывали срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламные программы.

Страна*	% атакованных пользователей**
1	Йемен	56,89
2	Вьетнам	54,32
3	Афганистан	53,25
4	Узбекистан	53,02
5	Лаос	52,72
6	Таджикистан	49,72
7	Эфиопия	48,90
8	Сирия	47,71
9	Мьянма	46,82
10	Камбоджа	46,69
11	Ирак	45,79
12	Туркмения	45,47
13	Ливия	45,00
14	Бангладеш	44,54
15	Китай	44,40
16	Судан	44,27
17	Монголия	44,18
18	Мозамбик	43,84
19	Руанда	43,22
20	Белоруссия	42,53

Настоящая статистика основана на детектирующих вердиктах модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов “Лаборатории Касперского”, подтвердившими свое согласие на передачу статистических данных. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.
* При расчетах мы исключили страны, в которых число пользователей “Лаборатории Касперского” относительно мало (менее 10 000).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов “Лаборатории Касперского” в стране.

ТОР 20 стран существенно не изменился по сравнению с предыдущим кварталом, но в третьем квартале в него попали Китай (44,40%), Сирия (47,71%) и Ливия (45,00%). Показатель России в этом рейтинге составил 29,09%.

В среднем в мире хотя бы один раз в течение третьего квартала локальные угрозы класса Malware были зафиксированы на 23,39% компьютеров пользователей.

География локальных атак вредоносного ПО в третьем квартале 2017 года
(процент атакованных пользователей)

Некоторые страны с наименьшим уровнем заражения: Эстония (15,86%), Сингапур (11,97%), Новая Зеландия (9,24%), Чехия (7,89%), Ирландия (6,86%), Япония (5,79%).

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов “Лаборатории Касперского” из 213 стран и территорий мира.

Android / Trojan.Agent — Лаборатория Malwarebytes | Лаборатория Malwarebytes

Краткая биография

Android / Trojan.Agent — вредоносное приложение, которое запускается в фоновом режиме мобильного устройства без ведома пользователя. Он молча ожидает команд от сервера Command & Control (C&C). Эти команды могут быть любыми: от кражи и отправки личной информации на удаленные серверы до действий в качестве DDoS-ботов против целевых жертв. В ОС Android он часто скрывает свое присутствие, не создавая себе значок, а перечисляя себе общее имя в списке приложений для мобильных устройств. Часто он имитирует системное приложение на мобильном устройстве, что особенно затрудняет идентификацию.

Симптомы

В некоторых случаях пользователи могут заметить снижение производительности из-за работы агента в фоновом режиме.

Тип и источник заражения

В ОС Android APK, зараженному Android / Trojan.Agent, обычно присваивается имя законного приложения, но имя пакета, цифровой сертификат и код совершенно другие, чем у заявленного приложения. Затем он распространяется через сторонние магазины приложений.

Последствия

На зараженных устройствах будет запущен Android / Trojan. Агент и загруженные вредоносные приложения, пока оба / все не будут удалены.

Защита

Malwarebytes для Android защищает от Android / Trojan.Agent.

Восстановление

Эти приложения можно удалить с помощью функции удаления с мобильных устройств. Сложная часть — это идентификация нарушающего поведения и приложения.Особенно это касается Android / Trojan.Agent. Вот где Malwarebytes для Android может помочь, определив эти приложения и удалив их.

«Лаборатория Касперского»: Статистический отчет о тенденциях в области ИТ-угроз за I квартал 2019 г.

Данные за первый квартал

Согласно статистике Kaspersky Security Network, в I квартале 2019 года мы заблокировали 843 096 461 атаку, которая произошла в сети в 203 странах мира.

Компонент Веб-Антивирус определяет 113 640 221 уникальный URL-адрес как вредоносный.

Вредоносная программа, похищающая средства с банковских счетов через онлайн-доступ, пытается атаковать компьютеры 243 604 пользователей.

Успешно защищен от атак программ-вымогателей на компьютерах 284 489 отдельных пользователей.

Файловый антивирус обнаружил 247 907 593 уникальных вредоносных объекта и потенциально нежелательных объектов.

продуктов «Лаборатории Касперского» для мобильных устройств обнаружило 905 174 установочных пакета вредоносных программ, 29 481 установочный пакет мобильного банковского троянца и 27 928 установочных пакетов мобильных программ-вымогателей.

Во-вторых, мобильная угроза

2,1 Ежеквартальный фокус

В первом квартале 2019 года нам нужно сосредоточить внимание на угрозах в сфере мобильных финансов. Китайский кухонный нож

Во-первых, злоумышленники троянца Asacub, нацеленного на Россию, предприняли несколько масштабных попыток распространения, поражая до 13 000 независимых пользователей в день. В этих атаках злоумышленник использует автоматизированные инструменты для отправки вредоносных ссылок контактам на зараженном смартфоне.Почта обычно содержит следующее сообщение:

{имя жертвы}, вы получили новое ммс: ____________________________ от {имя в адресной книге жертвы}

{имя жертвы}, mms: smsfn.pro/3ftjR было получено от {имя в адресной книге жертвы}

{имя жертвы}, фото: smslv.pro/c0Oj0 получено от {имя в адресной книге жертвы}

{имя жертвы}, у вас есть MMS-уведомление ____________________________ от {имя в адресной книге жертвы}

Во-вторых, в начале этого года количество вредоносных приложений в магазине Google Play увеличилось, и некоторые из вредоносных программ были разработаны для кражи учетных данных пользователей бразильских приложений онлайн-банкинга.

Хотя такие вредоносные программы выпускаются на самых популярных платформах приложений, их количество скачиваний чрезвычайно низкое. Мы полагаем, что киберпреступники могли столкнуться с некоторыми проблемами, когда заманивали жертв на веб-страницы, содержащие вредоносные приложения.

2.2 Статистика мобильных угроз

В первом квартале 2019 года Лаборатория Касперского обнаружила 905 174 вредоносных установочных пакета, что на 95 845 меньше, чем в предыдущем квартале.

Сравнение количества вредоносных установочных пакетов, обнаруженных между вторым кварталом 2018 года и первым кварталом 2019 года:

Распространение вновь обнаруженных типов мобильных приложений в первом квартале 2018 года и первом квартале 2019 года:

Из общего числа угроз, выявленных в первом квартале 2019 года, наибольший процент использовался для потенциально незапрошенных приложений RiskTool со скоростью загрузки 29.80%, что на 19 процентных пунктов меньше, чем в предыдущем квартале. Наиболее распространены объекты из семейства RiskTool.AndroidOS.Dnotua (28% от всех обнаруженных подобных угроз), RiskTool.AndroidOS.Agent (27%) и семейства RiskTool.AndroidOS.SMSreg (16%).

На втором месте находится угроза типа Trojan-Dropper (24,93%), которая увеличилась на 13 процентных пунктов по сравнению с предыдущим кварталом. Среди них большая часть обнаруженных файлов принадлежит семейству Trojan-Dropper.AndroidOS.Wapnor (что составляет 93% от всех обнаруженных подобных угроз).Кроме того, в него входят семейства Trojan-Dropper.AndroidOS.Agent (3%) и семейства Trojan-Dropper.AndroidOS.Hqwar (2%), а также небольшое количество других типов троянов.

По сравнению с четвертым кварталом 2018 года удвоилась доля рекламных приложений (Adware). AdWare.AndroidOS.Agent (44,44% таких угроз), AdWare.AndroidOS.Ewind (35,93%) и семейство AdWare.AndroidOS.Dnotua (4,73%) составляют основную долю этой категории.

Статистика показывает, что количество мобильных финансовых угроз в первом квартале 2019 года значительно увеличилось. В четвертом квартале 2018 года мобильные банковские трояны составляли всего 1,85%, а в первом квартале 2019 года это число выросло до 3,24% от всех обнаруженных угроз.

Злоумышленники чаще всего используют троянские программы Trojan-Banker.AndroidOS.Svpeng (20% всех обнаруженных мобильных банковских троянцев), Trojan-Banker.AndroidOS.Asacub (18%) и семейство Trojan-Banker.AndroidOS.Agent (15%). ).

2.3 Мобильная вредоносная программа TOP 20

Следует отметить, что этот рейтинг вредоносных программ не включает потенциально опасные или нереалистичные приложения, такие как RiskTool и Adware.Цвет неба

1.DangerousObject.Multi.Generic （54,26%）

2.Trojan.AndroidOS.Boogr.gsh （12,72%）

3.Trojan-Banker.AndroidOS.Asacub.snt （4.98%）

4.DangerousObject.AndroidOS.GenericML (4,35%)

5.Trojan-Banker.AndroidOS.Asacub.a （3,49%）

6.Trojan-Dropper.AndroidOS.Hqwar.bb (3,36%)

7.Trojan-Dropper.AndroidOS. Lezok.p (2,60%)

8.Trojan-Banker.AndroidOS.Agent.ep （2,53%）

9.Trojan.AndroidOS.Dvmap.a （1.84%）

10.Trojan-Banker.AndroidOS.Svpeng.q （1.83%）

11.Trojan-Banker.AndroidOS.Asacub.cp (1,78%)

12.Trojan.AndroidOS.Agent.eb (1,74%)

13.Trojan.AndroidOS.Agent.rt (1,72%)

14.Trojan-Banker.AndroidOS.Asacub.ce (1,70%)

15.Trojan-SMS.AndroidOS.Prizmes.a （1.66%）

16.Exploit.AndroidOS.Lotoor.be （1,59%）

17.Trojan-Dropper.AndroidOS.Hqwar.gen （1.57%）

18.Trojan-Dropper.AndroidOS.Tiny.d （1,51%）

19. Троян-Банкир.AndroidOS.Svpeng.ak (1,49%)

20.Trojan.AndroidOS.Triada.dl (1,47%)

Среди них мы посчитали всех пользователей решения для мобильной безопасности «Лаборатории Касперского», подвергшихся атакам в течение квартала, и подсчитали процент пользователей, атакованных вредоносным ПО для определенного типа конкретной атаки.

По условию, в первом квартале 2019 года первым из 20 лучших был DangerousObject. Multi.Generic (54,26%) — вредоносное ПО, которое мы обнаружили с помощью облачных технологий. Когда в антивирусной базе отсутствуют данные для обнаружения вредоносных программ, мы развертываем облачные технологии, но в облаке компании уже есть информация об объекте.В результате мы смогли обнаружить новейшие вредоносные программы: два, четыре, шесть,

На втором месте Trojan.AndroidOS.Boogr.gsh (12,72%), мы идентифицировали этот вредоносный файл с помощью системы машинного обучения.

На третьем месте — банковский троян Trojan-Banker.AndroidOS.Asacub.snt (4,98%). В первом квартале семья занимала 4 из 20 лучших мест: 3, 5, 11 и 14 места.

DangerousObject.AndroidOS.GenericML (4,35%) занял четвертое место в первом квартале, но это вредоносное ПО, пожалуй, самое примечательное, вредоносное ПО было обнаружено системой машинного обучения.Но, в отличие от Trojan.AndroidOS.Boogr.gsh, вредоносное ПО обрабатывается и обнаруживается инфраструктурой «Лаборатории Касперского», а DangerousObject. AndroidOS.GenericML ранее предоставлялся в виде файла, отправленного пользователем для решений безопасности. Таким образом теперь можно обнаруживать новейшие шаблоны угроз.

членов семейства Hqwar Dropper Trojan-Dropper.AndroidOS.Hqwar.bb (3,36%) и Trojan-Dropper.AndroidOS.Hqwar.gen (1,57%) заняли шестое и семнадцатое места соответственно. Эти дропперы обычно включают в себя банковских троянских коней, в том числе Asacub.

На седьмом месте находится Trojan-Dropper.AndroidOS.Lezok.p (2,60%). Семейство Lezok известно разнообразием вариантов распространения, включая атаки на цепочки поставок, которые встроены в прошивку мобильных устройств перед загрузкой вредоносного ПО в магазин приложений. Этот тип раздачи очень опасен по двум причинам:

1. Обычным пользователям сложно определить, заражено ли их устройство;

2. Удалить эту вредоносную программу очень сложно.

Серия троянцев Lezok предназначена для демонстрации постоянной рекламы, подписки на платные SMS-услуги для пользователей и увеличения загрузок приложений на различных платформах.

Среди ТОП-20 мобильных угроз последним троянским конем следует выделить Trojan-Banker.AndroidOS.Agent.ep. Троянец может существовать как автономно, так и внутри Hqwar Dropper. Вредоносная программа обладает обширными возможностями антидинамического анализа, чтобы определить, находится ли она в эмуляторе Android или в среде Genymotion.Вредоносная программа может открыть любую веб-страницу для фишинга, чтобы получить учетные данные. Он использует службы доступности для получения различных разрешений и взаимодействия с другими приложениями.

2.4 География мобильных угроз

Географическая карта заражения мобильных вредоносных программ (первый квартал 2019 г.):

В первую десятку стран, пораженных вредоносным ПО для мобильных устройств, входят:

1. Пакистан 37,54%

2. Иран 31,55%

3. Бангладеш 28,38%

4.Алжир 24,03%

5. Нигерия 22,59%

6. Индия 21,53%

7. Танзания 20,71%

8. Индонезия 17,16%

9. Кения 16,27%

10. Мексика 12,01%

В приведенный рейтинг не включены страны, где количество пользователей мобильного антивирусного ПО «Лаборатории Касперского» невелико (менее 10 000).

Среди них мы посчитали всех пользователей, атакованных мобильным антивирусом «Лаборатории Касперского» в течение квартала, и рассчитали процент пользователей в конкретной стране как процент от всех атакованных пользователей.

По статистике, Пакистан (37,54%) занял первое место, а самыми зараженными пользователями в стране были рекламные вредоносные программы AdWare.AndroidOS.Agent.f, AdWare.AndroidOS.Ewind.h и AdWare.AndroidOS.HiddenAd.et.

На втором месте Иран (31,55%), входящий в первую десятку в каждом квартале. Наиболее распространенные вредоносные программы — это Trojan.AndroidOS.Hiddapp.bn, а приложения, которые на самом деле не нужны, — RiskTool.AndroidOS.Dnotua.yfe и RiskTool.AndroidOS.FakGram.a. Из трех вредоносных программ последняя заслуживает наибольшего внимания, поскольку основная цель приложения — перехватить информацию Telegram. Следует отметить, что приложение Telegram запрещено в Иране, поэтому зловред действительно соответствует целям правительства.

На третьем месте Бангладеш (28,38%), в первом квартале страна и Пакистан были заражены одним и тем же рекламным приложением, а вредоносная программа стала оружием.

2.5 Троянский конь мобильного банка

В течение отчетного периода мы отслеживали в общей сложности 29 481 установочный пакет мобильного банковского троянца, что почти на 11 000 больше, чем в четвертом квартале 2018 года.Среди них наиболее важным является Trojan-Banker.AndroidOS.Svpeng (20% от всех обнаруженных банковских троянцев), на втором месте — Trojan-Banker.AndroidOS.Asacub (18%) и на третьем — Trojan-Banker. .AndroidOS.Agent (15%).

Количество установок мобильных банковских троянцев (второй квартал 2018 — первый квартал 2019 года):

1. троян-банкир.AndroidOS.Asacub.snt 23.32%

2. троян-банкир.AndroidOS.Asacub.a 16. 35%

3. Троян-Банкир.AndroidOS.Agent.ep 11,82%

4. Trojan-Banker.AndroidOS.Svpeng.q 8.57%

5. троян-банкир.AndroidOS.Asacub.cp 8,33%

6. Trojan-Banker.AndroidOS.Asacub.ce 7.96%

7.Trojan-Banker.AndroidOS.Svpeng.ak 7.00%

8.Trojan-Banker.AndroidOS.Agent.eq 4.96%

9.Trojan-Banker.AndroidOS.Asacub.ar 2.47%

10.Trojan-Banker.AndroidOS.Hqwar.t 2.10%

Половина из десяти основных банковских угроз — члены Trojan-Banker.Семейство AndroidOS.Asacub. Создатель троянца активно распространял образцы в первом квартале. Среди них, особенно троянского коня Asacub.cp, количество атакованных пользователей достигло 8 200 в день. Но даже при таких высоких результатах его все же превосходит Asacub.snt, который ежедневно поражает 13 000 пользователей в период пика вредоносной активности.

Как и Trojan-Banker.AndroidOS.Agent.ep, мы зафиксировали около 3000 атакованных пользователей в часы пик. Однако к концу квартала среднее количество уникальных пользователей в день сократилось до менее 1000. Наиболее вероятная причина заключается не в снижении спроса на троянских коней, а в двухэтапном заражении, при котором киберпреступники, вероятно, начали использовать Hqwar Dropper.

Мобильный банкинг угрожает географическому распространению (первый квартал 2019 года):

Страны, входящие в ТОП-10 по атакам мобильных банков:

1. Австралия 0,81%

2. Турция 0,73%

3. Россия 0,64%

4. ЮАР 0,35%

5. Украина 0.31%

6. Таджикистан 0,25%

7. Армения 0,23%

8. Кыргызстан 0,17%

9. США 0,16%

10. Молдова 0,16%

В первом квартале 2019 года Австралия (0,81%) заняла первое место по количеству заражений. Наиболее распространенными заражениями в стране являются Trojan-Banker.AndroidOS.Agent.eq и Trojan-Banker.AndroidOS.Agent.ep. Эти два типа вредоносных программ не уникальны для Австралии, но распространяются по всему миру.

На втором месте Турция (0,73%). В Турции наиболее распространенным вредоносным ПО является Trojan-Banker.AndroidOS.Agent.ep.

Россия (0,64%) занимает третье место, а наиболее распространенными вредоносными программами являются семейства Asacub и Svpeng.

2.6 Мобильный вымогатель

В первом квартале 2019 года мы обнаружили в общей сложности 27 928 установочных пакетов мобильных программ-вымогателей, что на 3900 больше, чем в предыдущем квартале.

Количество установочных пакетов мобильных программ-вымогателей, обнаруженных «Лабораторией Касперского» (второй квартал 2018 — первый квартал 2019 года):

1. Trojan-Ransom.AndroidOS.Svpeng.ah 28.91%

2.Trojan-Ransom.AndroidOS.Rkor.h 19,42%

3. Троян-Выкуп.AndroidOS.Svpeng.aj 9.46%

4.Trojan-Ransom.AndroidOS.Small.as 8.81%

5.Trojan-Ransom.AndroidOS.Rkor.snt 5.36%

6.Trojan-Ransom.AndroidOS.Svpeng.ai 5.21%

7.Trojan-Ransom.AndroidOS.Small.o 3.24%

8.Trojan-Ransom.AndroidOS.Fusob.h 2.74%

9.Trojan-Ransom.AndroidOS.Small.ce 2.49%

10.Trojan-Ransom.AndroidOS.Svpeng.snt 2.33%

Среди них — уникальные пользователи, подвергшиеся атакам связанных вредоносных программ, а также процент всех мобильных решений безопасности, обнаруженных «Лабораторией Касперского» для атак программ-вымогателей.

В первом квартале 2019 года самой распространенной серией мобильных программ-вымогателей был Svpeng, входивший в ТОП14 из 0.

География распространения мобильных программ-вымогателей (первый квартал 2019 г.):

10 стран, наиболее пострадавших от атак мобильных программ-вымогателей:

1. США 1,54%

2. Казахстан 0,36%

3. Иран 0,28%

4. Пакистан 0,14%

5. Мексика 0,10%

6. Саудовская Аравия 0,10%

7.Канада 0,07%

8. Италия 0,07%

9. Индонезия 0,05%

10. Бельгия 0,05%

Среди них мы посчитали процент пользователей, установивших мобильное решение «Лаборатории Касперского», атакованных мобильными программами-вымогателями.

В последнем квартале в тройку лидеров по атакам мобильных программ-вымогателей входили: США (1.54%), Казахстан (0,36%) и Иран (0,28%).

В-третьих, атака на Apple macOS

По мере того, как злоумышленники продолжают увеличивать свои возможности по угрозам, они постепенно разрабатывают вредоносное ПО для различных платформ, поэтому нельзя игнорировать популярные системы, такие как macOS. Хотя новое семейство вредоносных программ платформы относительно невелико, существуют некоторые угрозы, в основном рекламное ПО.

Этот тип приложений хорошо работает: заражает жертв, сохраняется в системе и показывает рекламные баннеры.Фактически, злоумышленник получает плату за каждую рекламу, отображаемую вредоносным ПО, и за каждый щелчок пользователя. Следовательно, такому злоумышленнику необходимо:

1. Как можно чаще показывать код рекламного баннера на зараженном компьютере;

2. Пусть жертва как можно чаще нажимает на баннер;

3. Добейтесь как можно большего числа жертв.

Следует отметить, что технология заражения рекламным ПО на зараженном хосте и поведение самого рекламного ПО иногда мало отличаются от вредоносного ПО.При этом сам баннер может отображаться в любом месте экрана, либо в открытом окне браузера, либо в отдельном окне в центре экрана.

3.1 macOS TOP 20 угроз

1. троян-загрузчик.OSX.Shlayer. a 24.62%

2.AdWare.OSX.Spc.a 20,07%

3.AdWare.OSX.Pirrit.j 10.31%

4.AdWare.OSX.Pirrit.p 8.44%

5.AdWare.OSX.Agent.b 8,03%

6.AdWare.OSX.Pirrit.o 7,45%

7.AdWare.OSX.Pirrit.s 6.88%

8.AdWare.OSX.Agent.c 6,03%

9.AdWare.OSX.MacSearch.a 5.95%

10.AdWare.OSX.Cimpli.d 5.72%

11.AdWare.OSX.Mcp.a 5.71%

12.AdWare.OSX.Pirrit.q 5.55%

13.AdWare.OSX.MacSearch.d 4.48%

14.AdWare.OSX.Agent.a 4.39%

15. Загрузчик.OSX.InstallCore.ab 3.88%

16.AdWare.OSX.Geonei.ap 3.75%

17.AdWare.OSX.MacSearch.b 3.48%

18.AdWare.OSX.Geonei.l 3.42%

19.AdWare.OSX.Bnodlero.q 3.33%

20.RiskTool.OSX.Spigot.a 3,12%

Среди них мы посчитали процент пользователей, зараженных защитным решением «Лаборатории Касперского» для macOS.

Trojan-Downloader.OSX.Shlayer.a (24,62%) занял первое место в рейтинге угроз для macOS. Вредоносные программы из серии Shlayer обычно выпускаются в виде Flash Player или его обновлений. Основная задача этого типа вредоносных программ — загрузка и установка различных рекламных приложений, в том числе Bnodlero.

AdWare.OSX.Spc.a (20,07%) и AdWare.OSX.Mcp.a (5,71%) являются типичными рекламными приложениями, которые распространяются вместе с различными законными приложениями macOS. После установки они записываются в автозагрузчик (Autuloader) и продолжают работать в фоновом режиме.

Члены семейства AdWare.OSX.Pirrit добавляют расширения в браузер жертвы, некоторые из которых также устанавливают прокси-сервер на компьютер жертвы для блокировки трафика из браузера. Все эти операции преследуют только одну цель — размещение рекламы на страницах, просматриваемых пользователями.

Семейство вредоносных программ, состоящее из AdWare.OSX.Agent.a, AdWare.OSX.Agent.b и AdWare.OSX.Agent.c, тесно связано с семейством Pirrit, поскольку оно часто загружает его члены. Эта серия вредоносных программ может загружать, распаковывать и запускать различные файлы, а также встраивать JS-код с рекламой на страницы, посещаемые жертвой.

AdWare.OSX.MacSearch — еще одна серия рекламных приложений с множеством инструментов для взаимодействия с браузером жертвы. Вредоносная программа может манипулировать историей браузера (читать / писать), изменять поисковую систему браузера на свою собственную, добавлять расширения и встраивать рекламные баннеры на страницы, просматриваемые пользователями.Кроме того, вредоносная программа может загружать и устанавливать другие приложения без ведома пользователя.

AdWare.OSX.Cimpli.d (5,72%) может загружать и устанавливать другие рекламные приложения, но его основная цель — изменить домашнюю страницу браузера и установить расширения для рекламы. Как и в случае с другими рекламными программами, все эти действия относятся к показу рекламы в браузере жертвы.

Семейство Downloader.OSX.InstallCore не является вирусом. Эта серия вредоносных программ позволила улучшить навыки, используемые в среде Windows при ее долгосрочном развитии, и передала ту же технологию в macOS. Типичный член InstallCore на самом деле является установщиком или, скорее, платформой для создания широкофункционального установщика, который не является частью основного пакета InstallCore, а загружается отдельно. Помимо легального программного обеспечения, он также может распространять некоторые интересные приложения, в том числе с рекламой. Кроме того, InstallCore также используется для распространения DivX Player.

Семейство AdWare.OSX.Geonei — одна из старейших серий рекламного ПО для macOS. Он использует запутанные методы, созданные авторами вредоносных программ, для обхода решений безопасности.Как и в случае с рекламным ПО, его основная задача — отображать рекламу в браузере путем встраивания объявления в HTML-код веб-страницы.

Как и другие аналогичные приложения, AdWare.OSX.Bnodlero.q (3,33%) устанавливает расширения объявлений в браузере пользователя и изменяет поисковую систему и домашнюю страницу по умолчанию. Что еще более важно, он может загружать и устанавливать другие рекламные приложения.

3.2 Географическое распределение угрозы

1. Франция 11,54%

2. Испания 9.75%

3. Индия 8,83%

4. Италия 8,20%

5. США 8,03%

6. Канада 7,94%

7. Соединенное Королевство 7,52%

8. Россия 7,51%

9. Бразилия 7,45%

10. Мексика 6,99%

В приведенный выше рейтинг не вошли страны с небольшим количеством пользователей (менее 10 000) защитных решений «Лаборатории Касперского» для macOS.

Среди них мы посчитали процент уникально атакованных пользователей среди пользователей, установивших защитное решение «Лаборатории Касперского» для macOS.

В первом квартале 2019 года Франция (11,54%) заняла первое место в первой десятке угрожающих географическому распределению. В стране наиболее распространенными заражениями были Trojan-Downloader.OSX.Shlayer.a, AdWare.OSX.Spc.a и AdWare.OSX.Bnodlero.q.

Испания (9,75%), Индия (8,83%) и Италия (8,20%) занимают второе, третье и четвертое места соответственно. Наиболее частыми из них являются Trojan-Downloader.OSX.Shlayer.a, AdWare.OSX.Spc.a, AdWare.OSX.Bnodlero.q, AdWare.OSX.Pirrit.j и AdWare.OSX.Agent.b.

Занял пятое место в США (8,03%), что соответствует европейской угрозе для macOS. Важно отметить, что пользователи в Соединенных Штатах должны обрабатывать рекламные приложения из семейства Climpi.

Четвертый, IoT-атака

4.1 События, заслуживающие внимания

В первом квартале 2019 года мы заметили, что поведение вредоносных программ Интернета вещей имеет некоторые особенности, заслуживающие внимания. Во-первых, некоторые образцы Mirai оснащены инструментами для обнаружения искусственной среды, и как только они обнаруживают, что вредоносная программа работает в песочнице, она перестает работать.Принцип реализации очень примитивен, то есть существует ли сканирование procfs.

Но мы ожидаем, что в ближайшем будущем он станет более сложным.

Во-вторых, было обнаружено, что одна из версий Mirai содержит механизмы для очистки других сред от зомби. Он работает с шаблоном и завершает процесс, если его имя совпадает с именем шаблона. Интересно, что сама Mirai фигурирует в списке имен (сама вредоносная программа не содержит «Mirai» в имени процесса):

· dvrhelper

· dvrsupport

· мираи

· лезвие

· демон

· хохо

· хакай

· сатори

· мессия

· миль

Наконец, мы хотели бы упомянуть трояна для майнинга, который использует старые уязвимости Oracle Weblogic Server, хотя на самом деле это не вредоносное ПО для Интернета вещей, а троянец в среде Linux.

Используя кроссплатформенные преимущества Weblogic Server, киберпреступники могут создавать угрозы как для хостов Windows, так и для хостов Linux, а также использовать встроенные угрозы для осуществления атак.

Фрагмент кода, атакующий хосты Windows и Linux:

4.2 Статистика угроз Интернета вещей

В первом квартале 2019 года мы обнаружили, что в мире по-прежнему много устройств, которые атакуют друг друга через Telnet. Однако следует отметить, что эта тенденция не связана с безопасностью самого соглашения.Администраторы и хостинговые компании часто внимательно следят за устройствами или серверами, управляемыми через SSH, и прекращают любую вредоносную деятельность. Вот почему уникальный адрес, атакованный SSH, значительно меньше IP-адреса атаки Telnet.

Статистические данные о распространенности сервисов атак в первом квартале 2019 года, на SSH приходилось 17%, а на Telnet — 83%.

Однако при анализе киберпреступности активно используются мощные серверы для управления своими огромными ботнетами. Это видно по количеству сеансов, в течение которых сервер киберпреступлений взаимодействует с хостом-ловушкой «Лаборатории Касперского».

В первом квартале 2019 года распределение сеансов взаимодействия с киберпреступниками, захваченных узлом ловушки «Лаборатории Касперского», показало, что на SSH приходилось 64%, а на Telnet — 36%.

Как только злоумышленник получает SSH-доступ к зараженному устройству, у него появляется больше возможностей для получения дохода за счет заражения пользователя. В подавляющем большинстве случаев, связанных с перехваченными сеансами, мы регистрировали спам и пытались использовать узлы-ловушки в качестве прокси-серверов и (наиболее редко) для майнинга криптовалюты.

4.3 атаки через Telnet

Географическое распределение IP-адресов устройств, пытающихся атаковать хост-ловушку Telnet «Лаборатории Касперского» (первый квартал 2019 г.):

Местоположение устройства, которое пытается атаковать хост-ловушку Telnet «Лаборатории Касперского» TOP 10:

1. Египет 13,46%

2. Китай 13,19%

3. Бразилия 11.09%

4. Россия 7,17%

5. Греция 4,45%

6. Иордания 4.14%

7. США 4,12%

8.Иран 3,24%

9. Индия 3,14%

10. Турция 2,49%

Среди них подсчитывался процент зараженных устройств в стране, приходящийся на общее количество зараженных IoT-устройств, атакованных Telnet.

В первом квартале 2019 года первое место занял Египет (13,46%), за ним следуют Китай (13,19%) и Бразилия (11,09%).

Киберпреступники чаще всего используют атаки Telnet для заражения устройств с использованием членов семейства Mirai.

После успешных атак через Telnet 10 вредоносных программ, наиболее часто загружаемых на зараженные устройства Интернета вещей, выглядят следующим образом:

1.Бэкдор.Linux.Mirai.b 71.39%

2. Backdoor.Linux.Mirai.ba 20.15%

3. Backdoor.Linux.Mirai.au 4.85%

4. Backdoor.Linux.Mirai.c 1.35%

5.Задание.Linux.Mirai.h 1.23%

6. Backdoor.Linux.Mirai.bj 0,72%

7. троян-загрузчик. Shell.Agent.p 0,06%

8. Backdoor.Linux.Hajime.b 0,06%

9.Задняя дверь.Linux.Mirai.s 0,06%

10.Backdoor.Linux.Gafgyt.bj 0,04%

Среди них статистика показывает общее количество вредоносных программ, загруженных на устройство IoT после успешных атак Telnet.

Стоит отметить, что боты на базе кода Mirai составляют большую часть первой десятки. Это неудивительно, и из-за универсальности Mirai такая ситуация может длиться дольше.

4.4 SSH-атаки

География IP-адресов устройств, пытающихся атаковать SSH-ловушку «Лаборатории Касперского» (первый квартал 2019 года):

ТОП-10 страны, в которой находится устройство, инициировавшее SSH-атаку на ловушку «Лаборатории Касперского»:

1.Китай 23,24%

2. США 9.60%

3. Россия 6,07%

4. Бразилия 5,31%

5. Германия 4,20%

6. Вьетнам 4,11%

7. Франция 3.88%

8. Индия 3,55%

9. Египет 2,53%

10. Южная Корея 2,10%

Среди них подсчитывается процент зараженных устройств IoT, зараженных SSH, в странах.

В большинстве случаев после того, как злоумышленник успешно выполняет атаку по SSH, вредоносная программа Backdoor.Perl.Shellbot.cd, Backdoor.Perl.Tsunami.gen и Trojan-Downloader.Shell.Agent.p загружаются на хост жертвы. на.

V. Угрозы финансового характера

5.1 квартальный фокус

Во втором квартале количество заражений банковским троянцем DanaBot продолжало расти. Новая модифицированная версия вредоносного ПО не только изменяет протокол связи с C&C Center, но и расширяет список организаций, на которые распространяется вредоносное ПО.В последнем квартале вредоносное ПО было нацелено в первую очередь на Австралию и Польшу, а в третьем квартале это были организации в Австрии, Германии и Италии.

Оглядываясь на предыдущий анализ, мы знаем, что DanaBot имеет модульную структуру, которая может загружать дополнительные плагины для блокировки трафика, кражи паролей и перехвата криптовалютных кошельков. Вредоносное ПО распространяется через спам, содержащий вредоносные документы Office, которые являются основным телом для загрузки троянов.

5.2 Статистика финансовых угроз

В первом квартале решение «Лаборатории Касперского» заблокировало одно или несколько вредоносных программ на компьютерах 243 604 пользователей с целью хищения средств с банковских счетов пользователей.

Количество пользователей, пострадавших от атак финансового вредоносного ПО (первый квартал 2019 года):

5.3 География атак

Для оценки и сравнения рисков заражения банковских троянов и вредоносным ПО для банкоматов и кассовых терминалов во всем мире мы рассчитали долю пользователей продуктов «Лаборатории Касперского», столкнувшихся с этой угрозой за отчетный период, среди всех пользователей во всех странах.

Страны с топ-10 атакованных пользователей:

Южная Корея 2,2%

Китай 2,1%

Беларусь 1,6%

Венесуэла 1,6%

Сербия 1,6%

Греция 1,5%

Египет 1,4%

Пакистан 1,3%

Камерун 1,3%

Зимбабве 1,3%

В приведенный выше рейтинг не вошли страны с небольшим количеством пользователей (менее 10 000) продуктов «Лаборатории Касперского».

Среди них мы посчитали всех пользователей, установивших продукты «Лаборатории Касперского», подвергшихся атаке банковских троянов в течение квартала, и рассчитали процент пользователей в конкретных странах как процент от всех атакованных пользователей.

ТОП 10 вредоносных программ для банков:

1.RTM Trojan-Banker.Win32.RTM 27.42%

2.Zbot Trojan.Win32.Zbot 22.86%

3.Emotet Backdoor.Win32.Emotet 9.36%

4.Трикстер Trojan.Win32.Trickster 6.57%

5.Nymaim Trojan.Win32.Nymaim 5.85%

6.Нимнул Virus.Win32.Nimnul 4.59%

7.SpyEye Backdoor.Win32.SpyEye 4.29%

8.Неурэвт Trojan.Win32.Neurevt 3.56%

9.NeutrinoPOS Trojan-Banker.Win32.NeutrinoPOS 2.64%

10.Tinba Trojan-Banker.Win32.Tinba 1.39%

Среди них мы посчитали процент пользователей, атакованных вредоносным ПО, как процент от всех пользователей, атакованных финансовым вредоносным ПО.

По итогам первого квартала 2019 года уже знакомые нам Trojan-Banker. Win32.RTM (27,4%), Trojan.Win32.Zbot (22,9%) и Backdoor.Win32.Emotet (9,4%) заняли четвертое место. Это Trojan.Win32.Trickster (6,6%) и пятый — троян.Win32.Nymaim (5,9%).

Шесть, программа-вымогатель

6,1 Ежеквартальный фокус

В этом квартале, возможно, самым интересным моментом станет атака программы-вымогателя LockerGoga на несколько крупных компаний. Сама программа-вымогатель может быть не новой, но массовое заражение в этом инциденте привлекло внимание средств массовой информации и общественности. Такие инциденты еще раз подчеркивают проблему корпоративной и корпоративной кибербезопасности, потому что после проникновения злоумышленника киберпреступники могут незаметно установить шпионское ПО и украсть конфиденциальные данные, после чего злоумышленник больше не будет использовать программы-вымогатели.

В течение квартала в популярной программе сжатия WinRAR была обнаружена уязвимость, которая позволяла размещать произвольные файлы в любом каталоге при распаковке сжатых файлов типа ACE. Злоумышленники не упустили возможность распаковать пакет сжатия типа ACE, который использовал zip-файл для извлечения исполняемого файла программы-вымогателя JNEC в каталог, где автоматически запускается система.

В феврале последовала атака на сетевое хранилище (NAS).Вредоносная программа Trojan-Ransom.Linux.Cryptor была установлена на устройстве жертвы и использовала шифрование эллиптической кривой для шифрования данных на всех подключенных дисках. Этот тип атаки очень опасен, поскольку устройства NAS часто используются для хранения резервных копий данных. Что еще более важно, жертвы часто не знают, что одно устройство под управлением Linux может быть целью злоумышленника.

Nomoreransom.org работал с Cyber Police над созданием утилиты для расшифровки файлов, затронутых GandCrab (Trojan-Ransom.Win32.GandCrypt) 5.1 и предыдущие версии. Этот инструмент помогает жертвам программ-вымогателей восстановить доступ к своим данным без выплаты выкупа. К сожалению, вскоре после выпуска инструмента киберпреступники обновили вредоносное ПО до версии 5. 2, которую инструмент не смог расшифровать.

6.2 Статистика

Количество новых модификаций программ-вымогателей (первый квартал 2018 — первый квартал 2019 года):

По сравнению с четвертым кварталом 2018 года количество новых версий программ-вымогателей в этом квартале значительно снизилось и снизилось до третьего квартала.В этой серии вредоносных программ было выявлено семь новых семейств.

Количество уникальных пользователей, атакованных троянцами-вымогателями в первом квартале 2019 г .:

В первом квартале 2019 года продукты Лаборатории Касперского помогли 284 489 уникальным пользователям защититься от атак программ-вымогателей.

В феврале количество атакованных пользователей снизилось по сравнению с январем, но к марту мы обнаружили рост киберпреступности.

6.3 География атаки

География распространения мобильных троянцев-вымогателей в первом квартале 2019 г . :

Топ-10 стран, атакованных троянами-вымогателями:

1.Бангладеш 8,11%

2. Узбекистан 6,36%

3. Эфиопия 2,61%

4. Мозамбик 2,28%

5. Непал 2,09%

6. Вьетнам 1,37%

7. Пакистан 1,14%

8. Афганистан 1,13%

9. Индия 1.11%

10. Индонезия 1,07%

Среди них мы посчитали процент пользователей, установивших продукты «Лаборатории Касперского», которые были атакованы программами-вымогателями в течение квартала.

Самые распространенные троянцы-вымогатели TOP 10:

1.WannaCry Trojan-Ransom.Win32.Wanna 26,25%

2. (название отсутствует) Trojan-Ransom.Win32.Phny 18.98%

3.GandCrab Trojan-Ransom.Win32.GandCrypt 12.33%

4. (без названия) Trojan-Ransom.Win32.Crypmod 5.76%

5.Shade Trojan-Ransom.Win32. Shade 3.54%

6. (название отсутствует) Trojan-Ransom.Win32.Encoder 3.50%

7.PolyRansom / VirLock Вирус.Win32.PolyRansom 2.82%

8. (название отсутствует) Trojan-Ransom.Win32.Gen 2.02%

9.Crysis / Dharma Trojan-Ransom.Win32.Crusis 1.51%

10. (название отсутствует) Trojan-Ransom.Win32.Cryptor 1.20%

Эта статистика основана на тестировании продуктов «Лаборатории Касперского», которые предоставляются пользователями продуктов «Лаборатории Касперского», которые авторизовали предоставление статистических данных.

Среди них было подсчитано количество атак на пользователей «Лаборатории Касперского», пострадавших от определенной серии программ-вымогателей, что составляет процент от всех атак программ-вымогателей.

Семь, горнодобывающая деятельность

7.1 Статистика

Всего за первый квартал 2019 года решение «Лаборатории Касперского» обнаружило 11971 новую версию программного обеспечения для майнинга.

Количество недавно модифицированных программ для майнинга в первом квартале 2019 года:

В первом квартале 2019 года мы обнаружили атаки программного обеспечения для майнинга на компьютеры, которые использовали 1197066 независимых пользователей «Лаборатории Касперского» по всему миру.

Количество пользователей программных атак для майнинга в первом квартале 2019 года:

7.2 География атаки

География распространения вредоносного ПО для майнинга в первом квартале 2019 г .:

Топ-10 пользователей, пострадавших от атак вредоносного ПО:

1. Афганистан 12,18%

2. Эфиопия 10,02%

3. Узбекистан 7,97%

4. Казахстан 5,84%

5. Танзания 4,73%

6. Украина 4,28%

7. Мозамбик 4,17%

8. Беларусь 3,84%

9. Боливия 3,35%

10.Пакистан 3,33% стран:

Исключая страны с относительно небольшим количеством пользователей «Лаборатории Касперского» (менее 50 000).

Среди них количество уникальных пользователей, подсчитывающих компьютеры в определенной стране, атакованные вредоносным ПО для майнинга, составило процент от всех продуктов «Лаборатории Касперского».

Восемь уязвимых приложений, используемых злоумышленниками

Статистика

за первый квартал 2019 года показывает, что уязвимости в Microsoft Office по-прежнему встречаются чаще, чем эксплойты в других приложениях, поскольку они просты в использовании и стабильны.По сравнению с предыдущим кварталом уровень использования уязвимостей Microsoft Office не сильно изменился, достигнув 69%.

Типов эксплойтов, использованных киберпреступниками в первом квартале 2019 г .:

Самыми популярными уязвимостями в продуктах Microsoft Office в этом квартале были CVE-2017-11882 и CVE-2018-0802, обе из которых связаны с редактором формул, что привело к переполнению буфера и последующему удаленному выполнению кода. Следующая уязвимость — CVE-2017-8570 — логическая лазейка, не менее уступающая CVE-2017-0199. Следующая уязвимость — CVE-2017-8759, при которой ошибка в парсере SOAP WSDL приводит к внедрению вредоносного кода, заражающего компьютер. Мы обнаружили, что уязвимость Microsoft Office слишком высока в статистике, отчасти потому, что злонамеренные эксплойты для этих уязвимостей опубликованы.

В первом квартале процент обнаруженных уязвимостей в браузерах достиг 14%, что почти в пять раз больше, чем в Microsoft Office. Использование уязвимостей браузера часто является проблемой для злоумышленников, потому что разработчики браузеров постоянно предлагают новые решения для предотвращения определенных типов уязвимостей, а технология, которая обходит эти схемы ограждения, обычно требует для достижения цели всей цепочки использования.Это значительно увеличит стоимость таких атак.

Однако это не означает, что нет сложной атаки на браузер. Ярким примером является уязвимость Google Chrome CVE-2019-5786 0-Day, которая используется злоумышленниками. Чтобы обойти песочницу, злоумышленник использовал уязвимости в драйвере win32k. sys (CVE-2019-0808), нацеленный на 32-разрядную версию пользователей Windows 7.

Справедливо сказать, что в первом квартале 2019 года, как и прежде, было зафиксировано большое количество атак нулевого дня.Исследователи «Лаборатории Касперского» обнаружили в ядре Windows активно эксплуатируемую 0-Day уязвимость, которой присвоен номер CVE-2019-0797. Эксплойт использует состояние гонки, которое возникло из-за отсутствия синхронизации потоков во время недокументированного системного вызова, что приводит к Use-After-Free. Стоит отметить, что CVE-2019-0797 — четвертая уязвимость нулевого дня, обнаруженная «Лабораторией Касперского» за последние месяцы.

В начале этого года примечателен инцидент: исследователи обнаружили уязвимость CVE-2018-20250, которая хранилась в распакованном архиве ACE утилиты WinRAR в течение 19 лет.В этом компоненте отсутствует усиленная проверка пути к файлу, позволяющая злоумышленнику извлечь исполняемый файл в каталог, в котором автоматически запускается система. Уязвимость сразу же использовалась для распространения вредоносных сжатых пакетов.

Хотя уязвимости в эксплойт-ките FuzzBunch (EternalBlue, EternalRomance и др.) Исправляются в течение двух лет, они по-прежнему занимают первую десятку нашей статистики. Продолжающийся рост количества вредоносных программ также способствовал увеличению количества эксплойтов, которые злоумышленники используют для запуска атак внутри корпоративных сетей.

Девять, атака через сетевые ресурсы

Статистика в этом разделе основана на веб-антивирусе и защищает пользователей при загрузке вредоносных объектов с вредоносных / зараженных веб-страниц. Вредоносный веб-сайт — это сайт, специально созданный киберпреступниками. Веб-ресурсы (например, форумы), с помощью которых пользователи могут создавать контент, и законные ресурсы, атакованные злоумышленником, могут быть заражены.

9.1 Источники кибератак

Приведенная ниже статистика показывает распределение стран, в которых источники интернет-атак блокируются продуктами «Лаборатории Касперского» на компьютерах пользователей. Любой уникальный хост может быть источником одной или нескольких сетевых атак.

Чтобы определить географическое происхождение веб-атаки, мы сопоставляем доменное имя с фактическим IP-адресом, а затем определяем географическое положение конкретного IP-адреса.

В первом квартале 2019 года решение «Лаборатории Касперского» предотвратило 843 096 461 атаку, инициированную онлайн-ресурсами в 203 странах мира. Компонент Веб-Антивирус определяет 113 640 221 уникальный URL-адрес как вредоносный.

Распределение стран-источников кибератак в первом квартале 2019 г .:

В этом квартале США были наиболее активными по источникам атак.

9.2 Страны с наибольшим риском

Для оценки риска интернет-заражений, с которыми сталкиваются пользователи в разных странах, мы рассчитали процент пользователей «Лаборатории Касперского» в каждой стране, которые задействовали механизмы веб-антивируса в течение квартала. Полученные данные могут указывать на степень риска в разных странах.

Этот рейтинг включает только атаки, основанные на вредоносных программах, и не включает статистику по триггерам Веб-Антивируса, которые реагируют на потенциально опасные или ненужные программы, такие как RiskTool или рекламное ПО.

1. Венесуэла 29,76%

2. Алжир 25,10%

3. Греция 24,16%

4. Албания 23,57%

5. Эстония 20,27%

6. Молдова 20,09%

7. Украина 19,97%

8. Сербия 19,61%

9. Польша 18,89%

10.Кыргызстан 18,36%

11. Азербайджан 18,28%

12. Беларусь 18,22%

13. Тунис 18.09%

14. Латвия 17,62%

15. Венгрия 17,61%

16. Бангладеш 17,17%

17. Литва 16,71%

18. Джибути 16.66%

19. Воссоединение 16.65%

20. Таджикистан 16.61%

Приведенная выше статистика не включает страны, в которых количество пользователей «Лаборатории Касперского» относительно невелико (менее 10 000).

Среди них количество атак вредоносного ПО на пользователей в определенных странах составляет процент от всех пользователей.

Эта статистика собирается по результатам обнаружения модуля Веб-Антивирус и авторизуется пользователем.

В среднем 13,18% пользователей Интернета во всем мире подверглись атаке как минимум одним вредоносным ПО.

География вредоносных кибератак в первом квартале 2019 г .:

Десять, локальные угрозы

Важным показателем является статистика заражения локального компьютера пользователя. Локальная угроза — это объект, который проникает на целевой компьютер через зараженный файл или съемный носитель, или объект, который попадает на компьютер в закрытом виде (например, вредоносная программа в сложном установщике, зашифрованный файл и т. Д.)).

Данные в этом разделе основаны на анализе статистики, генерируемой антивирусной проверкой файлов при создании или доступе к жесткому диску, а также на результатах проверки съемных носителей. Эти данные включают обнаружение вредоносных программ, расположенных на компьютере пользователя или съемном носителе, подключенном к компьютеру, включая USB-накопитель, карту памяти камеры или мобильного телефона, а также внешний жесткий диск.

В первом квартале 2019 года наш файловый антивирус обнаружил 247 907 593 вредоносных объекта или объектов, которые фактически не были нужны.

Для каждой страны мы посчитали процент пользователей продуктов «Лаборатории Касперского», сработавших компьютерный файловый антивирус за отчетный период. Эта статистика отражает степень зараженности персональных компьютеров в разных странах.

1. Узбекистан 57,73%

2. Йемен 57,66%

3. Таджикистан 56,35%

4. Афганистан 56,13%

5. Туркменистан 55,42%

6. Кыргызстан 51,52%

7. Эфиопия 49,21%

8.Сирия 47,64%

9. Ирак 46,16%

10. Бангладеш 45,86%

11. Судан 45,72%

12. Алжир 45,35%

13. Лаос 44,99%

14. Венесуэла 44,14%

15. Монголия 43,90%

16. Мьянма 43,72%

17. Ливия 43,30%

18. Боливия 43,17%

19. Беларусь 43,04%

20. Азербайджан 42,93%

Среди них статистика предотвращает количество локальных вредоносных программ в конкретной стране в процентах от общего числа пользователей продуктов «Лаборатории Касперского».

vx-метро — 404


  _ .. ..
  u dF dF
 88Nu."* 8888N
  8888 8888 Y888L 8888 888R 8888 888R beWE "888L: 888'8888. 4888> '88" d88E` "888E` 4888> '88" 888R I888> 8888 888R 8888 888R beWE "888L
  8888 8888 8888 8888 888R 8888 888R 888E 888E d888 '88% "4888> '888E 888E 4888>' 888R I888> 8888 888R 8888 888R 888E 888E
  8888 8888 `888N 8888 888R 8888 888R 888E 888E 8888. +" 4888> 888E 888E 4888> 888R I888> 8888 888R 8888 888R 888E 888E
 .«8888 *» «* 888 * P» «8888Y 8888» «* 88 *« 8888 ».888N..888
    `Y" `" YY "` Y "'YP" "' Y" `" 888 * "" "88888%" Y "* 888" 888 & "Y" 'Y "Y"' YP "" 'Y "` «888 *» »
                                                              "" "YP '` "" 888E ""
                                                                                              .dWi `88E
                                                                                              4888 ~ J8%
                                                                                               ^ "=== *" `

vx-метро — 404


  _. . ..
  u dF dF
 88Nu. u. uL .. x. . u. u. '88бу. .u. .u. u. Икс. . u. u. '88бу.
'88888.o888c. @ 88b @ 88R. @ 88k z88u x @ 88k u @ 88c. '* 88888bu."* 8888N
  8888 8888 Y888L 8888 888R 8888 888R beWE "888L: 888'8888. 4888> '88" d88E` "888E` 4888> '88" 888R I888> 8888 888R 8888 888R beWE "888L
  8888 8888 8888 8888 888R 8888 888R 888E 888E d888 '88% "4888> '888E 888E 4888>' 888R I888> 8888 888R 8888 888R 888E 888E
  8888 8888 `888N 8888 888R 8888 888R 888E 888E 8888. +" 4888> 888E 888E 4888> 888R I888> 8888 888R 8888 888R 888E 888E
 .«8888 *» «* 888 * P» «8888Y 8888» «* 88 *« 8888 ».888N..888
    `Y" `" YY "` Y "'YP" "' Y" `" 888 * "" "88888%" Y "* 888" 888 & "Y" 'Y "Y"' YP "" 'Y "` «888 *» »
                                                              "" "YP '` "" 888E ""
                                                                                              .dWi `88E
                                                                                              4888 ~ J8%
                                                                                               ^ "=== *" `

seguridad — CADE SOLUCIONES

Las estrategias más comunes entre los cibercriminales para robar dinero a través de spam, phishing y varios tipos de fraude en la plataforma PayPal.

Ya sabes cómo utilizar PayPal de forma segura, pero todos los días, los estafadores Create Nuevos Trucos for Acceder a las cuentas de los usuarios y vaciar sus bolsillos digitalmente. Слушайте сравнения algunas de las estrategias más populares de los estafadores.

Fraude de pago por adelantado

Нет обычных пользователей online utilicen el llamado fraude de pago por adelantado , una estafa clásica en Internet, para defraudar a los usuarios de PayPal.Las víctimas reciben una notificación de que se les debe una cierta cantidad de dinero, que podría ser debido a una herencia, la lotería o alguna otrapensación.

Las opciones son ilimitadas, pero sea cual sea la historyia, la víctima siempre tiene que hacer antes un pequeño exco (en este caso, a través de PayPal) y, tal vez, rellenar un formulario con datos personales para recibir el dinero. Por supuesto, el remitente del mensaje desaparece con el pago y cualquier dato personal revelado termina en una base de data que quizás se venda en la dark web .

Cómo evitar esta estafa: No transfieras dinero ni раскрывает информацию личного и постороннего. La mayoría de este tipo de mensajes presentan muchas señales dealerta: ganancias opensaciones demasiado generosas, faltas ortográficas, la dirección de un remitente que parece más apropiada de un robot que de una persona, и т. Д. фолианты решения а-ля лигера.

Проблемы с PayPal

Segunda estafa: Houston, tenemos un проблема.Esta estafa comienza con un correo electrónico que afirma proofir de PayPal y que algo va mal con la cuenta del destinatario. Pero no te preocupes, el проблема se puede solucionar, simplemente tienes que hacer clic en este enlace e iniciar sesión.

Espera un momento. ¿No te recuerda mucho al phishing ?

En el 99% de los casos, el enlace обеспечивает una página que se parece más o menos al sitio real de PayPal, aunque el dominio es un poco Diferente. Si inicias sesión en dicho sitio, tanto el nombre de usuario como la contraseña irán a parar directamente a manos de los estafadores.

En casos especialmente graves, решение проблемы, связанной с поиском пищи, требует установки программы по «ayude a Restaurar el acceptso». Este programa en realidad será un troyano.

Cómo evitar la estafa: De nuevo, busca los errores del mensaje y las diferencias entre la dirección que aparece y la del sitio oficial del servicio. Y recuerda siempre que PayPal no te informaría de este tipo de проблема con una redacción semejante en un correo electrónico.

Por cierto, puedes comprobar si un site web es real или phishing using nuestro servicio OpenTip. O, lo que es más sencillo, instala una solución de seguridad que te proteja contra el phishing y el fraude online y esta reconocerá las páginas web peligrosas de forma automática y las bloqueará, incluso cuando tengas prisa o estés distraído.

Ahora los estafadores difunden enlaces de phishing no solo por correo electrónico, sino también en las redes sociales. В этом случае вы можете настроить Twitter с помощью номера PayPalGifts и использовать его для управления и использования. No durará mucho, por supuesto, pero mientras la cuenta esté activa, recopilará una gran cantidad de credenciales de usuario.

Estafas de reembolso por sobrepago

Veamos ahora algunas formas que utilizan los estafadores for incitar a las personas a que les den dinero por su propia voluntad. Entre las estafas más comunes en esta category se encuentran las estafas por sobrepago o pago en exceso, en las que un comprador envía un pago al vendedor, pero por alguna razón envía una cantidad superior al Precio de venta.El comprador alega que se trata de error y solicita un reembolso de la diferencia, pero inmediatamente después de recibirlo, cancel la transacción original.

Cómo evitar la estafa: Los accidentes ocurren, por supuesto, pero en la mayoría de los casos la cantidad que el comprador paga de más es muy exagerada y esto debería ser una señal dealerta. En el caso de un error real, es más seguro para ambas partes cancelar la transacción errónea y permissionir que el pagador comience de nuevo, reenviando la cantidad correa y revisando minuciosamente la cifra.Теперь вы можете связаться с ним через контактную информацию PayPal.

Fraude relacionado con la entrega y cancelación de pago

Otra estafa común está relacionada con la entrega. A veces, los estafadores que se hacen pasar por compradores le piden a un vendedor que envíe los productos mediante el servicio de entrega Favorito del comprador, que supuestamente les ofrece un descuento. Los criminales cambian la dirección de entrega y luego presentan una queja, diciendo que la mercancía nunca llegó.

Otra posible forma de estafa podría ser que la empresa de paquetería fuera una fachada, lo que enableiría que un comprador deshonesto recuperara su dinero utilizando los mecanismos legítimos existentes para unos productos enviados de buena fe.

Finalmente, este tipo de estafa puede perpetrarse mediante la sustitución de la dirección: el comprador proporciona una dirección falsa y, después de varios intentos de entrega fallidos, la empresa le pregunta dónregarse debera debe. De esa forma, reciben el paquete, pero, no obstante, presentan una queja contra el vendedor alegando que no recibieron nada. Dados los numerosos informes de entrega fallida, PayPal puede creer al estafador.

Cómo evitar la estafa: Utiliza solo los servicios de entrega que tú o personas de tu confianza haya probado previamente. Nunca envíes nada antes de recibir el pago y asegúrate de guardar todos los recibos.

Estrategias de pago «creativas»

Pero los usuarios también pueden ser engañados con técnicas de pago turbias.Для этого PayPal использует опцию перевода денежных средств с сокращенными тарифами для семей и друзей. A veces, los estafadores solicitan una transferencia de dinero de esa forma para ahorrar en comisiones y prometen un descuento a cambio.

Sin embargo, de acuerdo con las reglas de la plataforma, este método no debería utilizarse para pagar bienes, por lo que no se aplica ningún programa de protección al cliente en dichas transferencias. Cualquiera que envíe un pago de «amigos y familiares» un estafador puede despedirse del dinero y de los bienes.

Las estafas de este tipo también include las ofertas para transferir dinero utilizando medios alternativos que son supuestamente más prácticos, más baratos o por cualquier otra razón que el vendedor considere mejor. Como norma general, si la otra parte insiste en algo parecido o comienza a contarte historyias o intenta generar urgencia (última oportunidad para hacer el trato, en una hora volaré a Alaska y estará desconectado durante los próximos 20 añtepecosable),.

Cómo evitar la estafa: Ignora todas las solicities para utilizar métodos de pago alternativos. PayPal использует много программ защиты, предназначенных для поставщиков услуг для компрадоров, для самостоятельной работы с трансференциями, реализуемыми на платформе.

Estafas de inversión y donaciones benéficas

Hay un círculo especial del infierno para las personas que envían falsas de donaciones benéficas. Нет es raro que estas personas acepten «donaciones» или «contribuciones» в Través de PayPal.Отмените паго но айуда си лос эстафадорес reclaman лос fondos recibidos rápidamente (algo que probablemente harán), por lo que deberás verificar que todo sea legítimo por adelantado .

Presta especial atención a las solictions de donaciones benéficas durante desastres naturales y otros eventos de fuerza mayor; te garantizamos que los criminales siempre aprovechan las desgracias de los demás.

Las “oportunidades rentables”, también conocidas como oportunidades de inversión, puedenurgir en cualquier momento.Las estafas son similares a las que invucran organaciones benéficas falsas, pero a menudo se caracterizan por promesas de ganancias fabulosas sin riesgos especiales. Por supuesto, todo lo contrario a la vida real.

Cómo evitar la estafa: Investiga y comprueba las ofertas que resulten demasiado interesantes. Verifica la reputación de todas las fundaciones benéficas (o empresas de inversión) a las que pienses enviar dinero. Lo mejor es contar conocidos o amigos que hayan trabajado con la organación en cuestión y puedan dar fe de su legalimidad, pero independientemente de ello, puedes buscar las organaciones benéficas в Интернете, использующем сервисы como Charity Navigator, Better Business Watch Bureau.

Решите проблемы в PayPal

A continación, te resumimos algunos conjos generales que te ayudarán a protegerte contra la mayoría de los intentos de engaño, secuestro de cuentas y otras molestias similares:

Busca señales dealerta en los mensajes: faltas de ortografía, intentos de incitar urgencia o peligro, direcciones de correo electrónico y enlaces que difieran de los oficiales (aunque solo sea por una letra).
No confíes incondicionalmente en los mensajes, comprueba cualquier posible problem a través de tu cuenta personal en el sitio web o en la aplicación de PayPal (esto es importante sobre todo cuando se trata de mensajes que confirmóman la acreditaci.
Nunca использует un servicio de entrega desconocido y envía solo a la dirección indicada en la página de transacciones, nunca a otra.
Evita los métodos alternativos para la transferencia de dinero que proponen los estafadores; si los utilizas, los programas de protección de PayPal no te cubrirán en caso de проблема.
No confíes en una oferta que parece demasiado buena para ser verdad, ya que, probablemente no lo sea.
Нет proporciones información personal a la otra parte más allá de lo necesario para la transacción.Sobre todo, nuncapartmentas tu contraseña.
Нет загрузки программное обеспечение adicional ni ningún otro archivo sospechoso que te envíen por correo electrónico. PayPal не действует.

предупреждений о вредоносных программах | РИТ Информационная безопасность

Вступление

Интернет теперь вплетен в ткань нашей жизни. Многие люди регулярно совершают банковские операции, совершают покупки и общаются в Интернете, и Интернет является источником жизненной силы коммерческих организаций. Зависимость правительств, предприятий и потребителей от технологий обеспечивает широкую поверхность атаки для злоумышленников с самыми разными мотивами — финансовая кража, кража данных, нарушение работы, ущерб, репутационный ущерб или просто «для лулзов».В результате создается картина угроз, которая варьируется от очень сложных целевых атак до оппортунистических киберпреступлений. Слишком часто оба полагаются на манипулирование психологией человека как на способ компрометации целых систем или отдельных компьютеров. Все чаще в число целевых устройств входят и те, которые мы не считаем компьютерами — от детских игрушек до камер видеонаблюдения. Вот наш ежегодный обзор основных инцидентов и ключевых тенденций за

2018 г. Целевые атакующие кампании

В этом году на Саммите аналитиков безопасности мы рассказали о Slingshot — сложной платформе кибершпионажа, которая с 2012 года используется для нацеливания на жертв на Ближнем Востоке и в Африке.Мы обнаружили эту угрозу — которая по сложности соперничает с Regin и ProjectSauron — во время расследования инцидента. Slingshot использует необычный (и, насколько нам известно, уникальный) вектор атаки: многие жертвы были атакованы с помощью взломанных роутеров MikroTik. Точный метод взлома маршрутизаторов не ясен, но злоумышленники нашли способ добавить вредоносную DLL на устройство: эта DLL является загрузчиком других вредоносных файлов, которые затем сохраняются на маршрутизаторе. Когда системный администратор входит в систему для настройки маршрутизатора, программное обеспечение для управления маршрутизатором загружает и запускает вредоносный модуль на компьютере администратора.Slingshot загружает несколько модулей на взломанный компьютер, но двумя наиболее известными из них являются Cahnadr и GollumApp, которые являются модулями режима ядра и пользовательского режима соответственно. Вместе они обеспечивают функциональность для поддержания постоянства, управления файловой системой, эксфильтрации данных и связи с сервером C2 (командно-административный). Образцы, которые мы рассмотрели, были помечены как «версия 6. x», что говорит о том, что угроза существует в течение значительного времени. Время, навыки и затраты, затраченные на создание Slingshot, указывают на то, что стоящая за ним группа, вероятно, будет высокоорганизованной и профессиональной и, вероятно, спонсируется государством.

Вскоре после начала зимних Олимпийских игр в Пхенчхане мы начали получать сообщения об атаках вредоносных программ на инфраструктуру, связанную с играми. Olympic Destroyer отключил мониторы, отключил Wi-Fi и отключил веб-сайт Олимпийских игр, не давая посетителям возможности распечатать билеты. Атака затронула и другие организации в регионе — например, на нескольких южнокорейских горнолыжных курортах были отключены лыжные ворота и подъемники. Olympic Destroyer — сетевой червь, основная цель которого — стереть файлы с удаленных сетевых ресурсов своих жертв.В дни, последовавшие за атакой, исследовательские группы и медиа-компании по всему миру по-разному приписывали атаку России, Китаю и Северной Корее — на основании ряда особенностей, ранее приписываемых кибершпионажу и саботажным группам, предположительно базирующимся в этих странах или действующим для правительств этих стран. Наши собственные исследователи также пытались понять, какая группа стояла за атакой. На одном из этапов нашего исследования мы обнаружили кое-что, что, казалось, указывало на то, что за атакой стояла группа Лазаря.Мы обнаружили уникальный след, оставленный злоумышленниками, который точно соответствовал ранее известному вредоносному компоненту Lazarus. Однако отсутствие очевидных мотивов и несоответствий с известными ТТП Lazarus (тактика, приемы и процедуры), которые мы обнаружили во время нашего расследования на месте взлома объекта в Южной Корее, заставили нас снова взглянуть на этот артефакт. Когда мы это сделали, мы обнаружили, что набор функций не соответствует коду — он был подделан так, чтобы полностью соответствовать отпечатку пальца, используемому Lazarus.Таким образом, мы пришли к выводу, что «отпечаток пальца» был очень изощренным фальшивым флагом, намеренно помещенным внутри вредоносной программы, чтобы у охотников за угрозами создалось впечатление, что они обнаружили «дымящееся ружье», и увести их от более точной атрибуции.

Взаимосвязи компонентов OlympicDestroyer

Мы продолжили отслеживать деятельность этой APT-группы и в июне заметили, что они начали новую кампанию с другим географическим распределением и с использованием новых тем.Наша телеметрия и характеристики проанализированных нами целевых фишинговых документов показали, что злоумышленник, стоящий за Olympic Destroyer, нацелился на финансовые и биотехнологические организации, расположенные в Европе, в частности, в России, Нидерландах, Германии, Швейцарии и Украине. Предыдущим атакам Olympic Destroyer, призванным разрушить и парализовать инфраструктуру Зимних Олимпийских игр и связанных цепочек поставок, партнеров и объектов, предшествовала разведывательная операция.Это наводило нас на мысль, что новые действия были частью другого этапа разведки, за которым последует волна разрушительных атак с новыми мотивами. Разнообразие финансовых и нефинансовых целей может указывать на то, что одно и то же вредоносное ПО используется несколькими группами с разными интересами. Это также может быть результатом аутсорсинга кибератак, что не редкость среди субъектов угроз со стороны национальных государств. Однако также возможно, что финансовые цели являются еще одной ложной операцией злоумышленника, который уже показал, что они преуспевают в этом.

В апреле мы сообщили о работе операции «Парламент», кампании кибершпионажа, нацеленной на видные законодательные, исполнительные и судебные организации по всему миру, с основным акцентом на регионе Ближнего Востока и Северной Африки, особенно в Палестине. Атаки, начавшиеся в начале 2017 года, были нацелены на парламенты, сенаты, высшие государственные учреждения и должностных лиц, ученых-политологов, военные и разведывательные органы, министерства, СМИ, исследовательские центры, избирательные комиссии, олимпийские организации, крупные торговые компании и другие.Нацеливание на жертв отличалось от предыдущих кампаний в этом регионе (Gaza Cybergang или Desert Falcons) и указывает на тщательно продуманный сбор информации, который проводился до атак (физических и / или цифровых). Злоумышленники особенно тщательно проверяли устройства жертвы, прежде чем продолжить заражение, защищая свои серверы C2. Атаки замедлились после начала 2018 года, вероятно, потому, что злоумышленники достигли своих целей.

Мы продолжаем отслеживать деятельность Crouching Yeti (также известную как Energetic Bear), группы APT, которая действует по крайней мере с 2010 года, в основном нацелена на энергетические и промышленные компании.Группа нацелена на организации по всему миру, но с особым упором на Европу, США и Турцию — последнее станет новым дополнением к интересам группы в 2016-17 годах. Основная тактика группы включает рассылку фишинговых писем с вредоносными документами и заражение серверов для различных целей, включая хостинг-инструменты и журналы, а также атаки wateringhole. Действия Crouching Yeti против американских целей публично обсуждались US-CERT и Национальным центром кибербезопасности Великобритании (NCSC).В апреле Kaspersky Lab ICS CERT предоставила информацию об идентифицированных серверах, зараженных и используемых Crouching Yeti, и представила результаты анализа нескольких веб-серверов, скомпрометированных группой в 2016 и начале 2017 года. Вы можете прочитать полный отчет здесь, но ниже краткое изложение наших выводов.

За редким исключением участники группы обходятся общедоступными инструментами. Использование группой общедоступных утилит для проведения атак очень затрудняет задачу атрибуции атаки без каких-либо дополнительных групповых «маркеров».
Потенциально любой уязвимый сервер в Интернете представляет интерес для злоумышленников, когда они хотят установить плацдарм для развития дальнейших атак на целевые объекты.
В большинстве случаев, которые мы наблюдали, группа выполняла задачи, связанные с поиском уязвимостей, получением персистентности на различных хостах и кражей данных аутентификации.
Разнообразие жертв может указывать на разнообразие интересов злоумышленников.
С некоторой степенью уверенности можно предположить, что группа действует в интересах внешних по отношению к ней клиентов или принимает заказы от них, выполняя первоначальный сбор данных, похищая данные аутентификации и сохраняя ресурсы, подходящие для атак Дальнейшее развитие.

В мае исследователи из Cisco Talos опубликовали результаты своего исследования VPNFilter, вредоносного ПО, которое используется для заражения маршрутизаторов различных марок — в основном в Украине, хотя в целом затрагивает маршрутизаторы в 54 странах. Вы можете прочитать их анализ здесь и здесь. Первоначально они полагали, что вредоносная программа заразила около 500 000 маршрутизаторов — сетевое оборудование Linksys, MikroTik, Netgear и TP-Link в секторе малых и домашних офисов (SOHO), а также устройства сетевого хранения данных (NAS) QNAP.Однако позже выяснилось, что список зараженных маршрутизаторов был намного больше — всего 75, включая ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. Вредоносная программа способна блокировать зараженное устройство, выполнять команды оболочки для дальнейших манипуляций, создавать конфигурацию TOR для анонимного доступа к устройству или настраивать прокси-порт и URL-адрес маршрутизатора для управления сеансами просмотра. Однако он также распространяется на сети, поддерживаемые устройством, тем самым расширяя масштаб атаки. Исследователи из нашей Глобальной группы исследований и анализа (GReAT) подробно рассмотрели механизм C2, используемый VPNFilter. Один из интересных вопросов — кто стоит за этой вредоносной программой. Cisco Talos указала, что ответственность несет спонсируемый государством или аффилированный государством субъект угрозы. В своих письменных показаниях о потоплении C2 ФБР предполагает, что виновником является Sofacy (также известная как APT28, Pawn Storm, Sednit, STRONTIUM и Tsar Team). Есть некоторое совпадение кода с вредоносным ПО BlackEnergy, которое использовалось в предыдущих атаках на Украине (показания под присягой ФБР ясно показывают, что они рассматривают BlackEnergy (также известную как Sandworm) как подгруппу Sofacy).

Sofacy — это очень активная и плодовитая группа кибершпионажа, которую «Лаборатория Касперского» отслеживает на протяжении многих лет. В феврале мы опубликовали обзор деятельности Sofacy в 2017 году, показывающий постепенный переход от целей, связанных с НАТО, в начале 2017 года к целям на Ближнем Востоке, в Центральной Азии и за ее пределами. Sofacy использует целевой фишинг и водяные атаки для кражи информации, включая учетные данные, конфиденциальные сообщения и документы. Этот злоумышленник также использует уязвимости нулевого дня для развертывания своего вредоносного ПО.

Sofacy использует разные инструменты для разных целевых профилей. В начале 2017 года кампания Dealer’s Choice группы использовалась для нацеливания на военные и дипломатические организации (в основном в странах НАТО и Украине). Позднее в том же году группа использовала другие инструменты из своего арсенала, Zebrocy и SPLM, для нацеливания на более широкий круг организаций, включая научные и инженерные центры и пресс-службы, уделяя больше внимания Центральной Азии и Дальнему Востоку. Как и другие изощренные злоумышленники, Sofacy постоянно разрабатывает новые инструменты, поддерживает высокий уровень операционной безопасности и уделяет особое внимание тому, чтобы вредоносное ПО было трудно обнаружить.После обнаружения в сети каких-либо признаков активности продвинутого злоумышленника, такого как Sofacy, важно проверить логины и необычный доступ администратора в системах, тщательно просканировать входящие вложения и изолировать их, а также поддерживать двухфакторную аутентификацию для таких сервисов, как электронная почта. и доступ к VPN. Использование отчетов APT-аналитики, инструментов поиска угроз, таких как YARA, и передовых решений для обнаружения, таких как KATA (Kaspersky Anti Targeted Attack Platform), поможет вам понять их нацеливание и предоставит мощные способы обнаружения их действий.

Наше исследование показывает, что Sofacy — не единственный субъект угроз, действующий на Дальнем Востоке, и это иногда приводит к перекрытию целей между очень разными субъектами угроз. Мы видели случаи, когда вредоносная программа Sofacy Zebrocy конкурировала за доступ к компьютерам жертв с русскоязычными кластерами Mosquito Turla; и где его бэкдор SPLM конкурировал с традиционными атаками Turla и китайскоязычными атаками Danti. Общие цели включали государственное управление, технологии, науку и военные организации в Центральной Азии или из Центральной Азии.Наиболее интригующим совпадением, вероятно, является то, что между Софати и англоязычным актером угрозы, стоящим за семьей Ламбертс. Соединение было обнаружено после того, как исследователи обнаружили присутствие Sofacy на сервере, который аналитики угроз ранее идентифицировали как взломанный вредоносным ПО Gray Lambert. Сервер принадлежит китайскому конгломерату, который разрабатывает и производит технологии аэрокосмической и противовоздушной обороны. Однако в этом случае исходный вектор доставки SPLM остается неизвестным. Это вызывает ряд гипотетических возможностей, в том числе тот факт, что Sofacy может использовать новый, еще не обнаруженный, эксплойт или новую разновидность своего бэкдора, или что Sofacy каким-то образом удалось использовать каналы связи Грея Ламберта для загрузки своего вредоносного ПО.Это может быть даже ложный флаг, установленный во время предыдущей инфекции Ламберта. Мы думаем, что наиболее вероятный ответ заключается в том, что неизвестный новый сценарий PowerShell или законное, но уязвимое веб-приложение было использовано для загрузки и выполнения кода SPLM.

В июне мы сообщили о продолжающейся кампании, нацеленной на национальный центр обработки данных в Центральной Азии. Выбор цели был особенно значительным — это означает, что злоумышленники могли одним махом получить доступ к широкому спектру государственных ресурсов.Мы думаем, что они сделали это, разместив вредоносные скрипты на официальных сайтах страны, чтобы проводить атаки типа wateringhole. Мы приписываем эту кампанию китайскоязычному злоумышленнику LuckyMouse (также известному как EmissaryPanda и APT27) из-за инструментов и тактики, используемых в кампании, поскольку домен C2 — ‘update.iaacstudio [.] Com’ — ранее использовался этим группы и потому, что они ранее были нацелены на государственные организации, в том числе центральноазиатские. Первоначальный вектор заражения, использованный при атаке на центр обработки данных, неясен.Даже там, где мы наблюдали, как LuckyMouse использовала вооруженные документы с CVE-2017-118822 (редактор Microsoft Office Equation Editor, широко используемый китайскоязычными участниками с декабря 2017 года), мы не смогли доказать, что они были связаны с этой конкретной атакой. Не исключено, что злоумышленники использовали водопой, чтобы заразить сотрудников ЦОД.

Мы сообщили об очередной кампании LuckyMouse в сентябре. С марта мы обнаружили несколько случаев заражения, когда в lsass был внедрен ранее неизвестный троян.память системного процесса exe. Эти имплантаты были внедрены 32- и 64-разрядным драйвером сетевой фильтрации NDISProxy с цифровой подписью. Интересно, что этот драйвер подписан цифровым сертификатом, который принадлежит китайской компании LeagSoft, разработчику программного обеспечения для защиты информации, базирующейся в Шэньчжэне, провинция Гуандун. Мы проинформировали компанию о проблеме через CN-CERT. Эта кампания была нацелена на правительственные организации Центральной Азии, и мы полагаем, что атака была связана со встречей на высоком уровне в регионе.Выбор туннеля Earthworm, использованного при атаке, типичен для китайскоязычных актеров. Кроме того, одна из команд, используемых злоумышленниками («-s rssocks -d 103.75.190 [.] 28 -e 443»), создает туннель к ранее известному серверу LuckyMouse C2. Выбор жертв в этой кампании также согласуется с предыдущими интересами, проявленными этим злоумышленником. Мы не увидели никаких признаков целевого фишинга или активности «водопоя»: и мы полагаем, что злоумышленники распространяют своих вирусов через сети, которые уже были скомпрометированы.

Lazarus — хорошо зарекомендовавший себя злоумышленник, который проводит кампании по кибершпионажу и кибер-саботажу по крайней мере с 2009 года. В последние годы группа начала кампании против финансовых организаций по всему миру. В августе мы сообщали, что группа успешно взломала несколько банков и проникла в ряд глобальных криптовалютных бирж и финтех-компаний. Оказывая помощь в реагировании на инциденты, мы узнали, что жертва была заражена с помощью троянизированного приложения для торговли криптовалютой, которое было рекомендовано компании по электронной почте.Ничего не подозревающий сотрудник загрузил стороннее приложение с законно выглядящего веб-сайта, заразив свой компьютер вредоносным ПО, известным как Fallchill, старым инструментом, который недавно снова начал использовать Lazarus. Похоже, что Lazarus нашел сложный способ создания законно выглядящего сайта и внедрения вредоносной полезной нагрузки в «законно выглядящий» механизм обновления программного обеспечения — в данном случае создавая поддельную цепочку поставок, а не ставя под угрозу реальную. В любом случае успех группы Lazarus в компрометации цепочек поставок предполагает, что она будет продолжать использовать этот метод атаки.Злоумышленники приложили дополнительные усилия и разработали вредоносное ПО для платформ, отличных от Windows — они включили версию для Mac OS, а веб-сайт предполагает, что версия для Linux скоро появится. Вероятно, мы впервые видим, что эта группа APT использует вредоносное ПО для Mac OS. Похоже, что в погоне за передовыми целями, разработчиками программного обеспечения из цепочек поставок и некоторыми громкими целями злоумышленники вынуждены разрабатывать вредоносные инструменты для Mac OS. Тот факт, что группа Lazarus расширила свой список целевых операционных систем, должен стать тревожным сигналом для пользователей платформ, отличных от Windows.Вы можете прочитать наш отчет об операции AppleJeus здесь.

Turla (также известная как Venomous Bear, Waterbug и Uroboros) наиболее известна тем, что в то время представляла собой сверхсложный руткит Snake, ориентированный на цели, связанные с НАТО. Однако деятельность этого злоумышленника гораздо шире. В октябре мы сообщили о последних действиях группы Turla, выявив интересное сочетание старого кода, нового кода и новых предположений относительно того, где они нанесут удар в следующий раз и что они сбросят. Большая часть нашего исследования 2018 года была посвящена бэкдору группы KopiLuwak JavaScript, новым вариантам фреймворка Carbon и методам доставки Meterpreter.Другими интересными аспектами были изменение методов доставки Mosquito, индивидуальное использование PowerShell с открытым исходным кодом PoshSec-Mod и заимствованный код инжектора. Мы связали часть этой активности с инфраструктурой и точками данных из инфраструктуры и активности WhiteBear и Mosquito в 2017 и 2018 годах. Одним из интересных аспектов нашего исследования было отсутствие постоянного совпадения таргетинга с другими APT-активностями. Turla отсутствовала на знаменательном событии взлома DNC, где присутствовали и Sofacy, и CozyDuke, но группа вела активную работу по всему миру в других проектах.Это дает некоторое представление о текущих мотивах и амбициях группы. Интересно, что данные, относящиеся к этим организациям, не были превращены в оружие и не были найдены в Интернете, в то время как эта деятельность Turla незаметно продолжается. И проекты Mosquito, и Carbon сосредоточены в основном на дипломатических и международных делах, в то время как деятельность WhiteAtlas и WhiteBear охватила весь мир, включая организации, связанные с иностранными делами, но не все цели последовательно следовали этому профилю: группа также нацелена на научные и технические центры, наряду с организациями вне политической арены.Деятельность группы KopiLuwak не обязательно сосредоточена на дипломатических и международных делах. Вместо этого деятельность 2018 года была нацелена на государственные научные и исследовательские организации в области энергетики, а также на правительственную коммуникационную организацию в Афганистане. Этот весьма избирательный, но более широкий набор таргетинга, вероятно, сохранится и в 2019 г.

В октябре мы сообщили о недавней активности APT-группы MuddyWater. Наши прошлые телеметрические данные показывают, что этот относительно новый субъект угрозы, обнаружившийся в 2017 году, сосредоточен в основном на государственных целях в Ираке и Саудовской Аравии.Однако известно, что группа, стоящая за MuddyWater, нацелена на другие страны Ближнего Востока, Европы и США. Недавно мы заметили большое количество целевых фишинговых документов, которые, как представляется, нацелены на государственные органы, военные структуры, телекоммуникационные компании и образовательные учреждения в Иордании, Турции, Азербайджане и Пакистане, в дополнение к постоянным целям в Ираке и Саудовской Аравии. Другие жертвы были обнаружены в Мали, Австрии, России, Иране и Бахрейне. Эти новые документы появлялись в течение 2018 года, а с мая активность возросла.Новые документы по целевому фишингу опираются на социальную инженерию, чтобы убедить жертв включить макросы. Для проведения атак злоумышленники полагаются на ряд взломанных хостов. На продвинутых этапах нашего исследования мы смогли увидеть не только дополнительные файлы и инструменты из арсенала группы, но и некоторые ошибки OPSEC, допущенные злоумышленниками. Для защиты от атак вредоносных программ мы рекомендуем следующие меры:

Обучите общий персонал, чтобы они могли определять вредоносное поведение, такое как фишинговые ссылки.
Обучите сотрудников службы информационной безопасности, чтобы они имели все возможности настройки, расследования и охоты.
Используйте проверенное решение безопасности корпоративного уровня в сочетании с решениями по борьбе с целевыми атаками, способными обнаруживать атаки путем анализа сетевых аномалий.
Предоставьте сотрудникам службы безопасности доступ к последним данным аналитики угроз, которые вооружат их полезными инструментами для целенаправленного предотвращения и обнаружения атак, такими как IoC (индикаторы взлома) и правила YARA.
Установите процессы управления исправлениями корпоративного уровня.

Крупные организации должны принять повышенные уровни кибербезопасности, поскольку атаки на них неизбежны и вряд ли когда-либо прекратятся.

DustSquad — еще один злоумышленник, нацеленный на организации в Центральной Азии. «Лаборатория Касперского» отслеживает эту русскоязычную кибершпионажную группу в течение последних двух лет, предоставляя нашим клиентам отчеты частной разведки по четырем кампаниям, в которых используются специальные вредоносные программы для Android и Windows.Недавно мы описали вредоносную программу под названием Octopus, используемую DustSquad для нацеливания на дипломатические учреждения в регионе — название было первоначально придумано ESET в 2017 году после сценария 0ct0pus3.php, использованного актером на своих старых серверах C2. Используя Kaspersky Attribution Engine, основанный на алгоритмах подобия, мы обнаружили, что Octopus связан с DustSquad. В нашей телеметрии мы отследили эту кампанию до 2014 года в бывших советских республиках Средней Азии (все еще в основном русскоязычных) и в Афганистане.В апреле мы обнаружили новый образец Octopus, маскирующийся под Telegram Messenger с русским интерфейсом. Нам не удалось найти легитимное программное обеспечение, за которое эта вредоносная программа выдает себя — на самом деле, мы не верим в его существование. Однако злоумышленники использовали потенциальный запрет Telegram в Казахстане, чтобы выдвинуть его дроппер в качестве альтернативного коммуникационного программного обеспечения для политической оппозиции. Подписавшись на наши отчеты APT-разведки, вы можете получать доступ к нашим расследованиям и открытиям по мере их появления, включая исчерпывающие технические данные.

В октябре мы опубликовали анализ Dark Pulsar. Наше расследование началось в марте 2017 года, когда Shadow Brokers опубликовали украденные данные, которые включали два фреймворка — DanderSpritz и FuzzBunch. DanderSpritz содержит различные типы плагинов, предназначенные для анализа жертв, использования уязвимостей, планирования задач и т. Д. Фреймворк DanderSpritz предназначен для исследования уже управляемых машин и сбора информации. Вместе они обеспечивают очень мощную платформу для кибершпионажа.Утечка не касалась самого бэкдора Dark Pulsar: скорее, она содержала административный модуль для управления бэкдором. Однако, создав специальные сигнатуры на основе некоторых магических констант в административном модуле, мы смогли поймать сам имплант. Этот имплант дает злоумышленникам удаленный контроль над взломанными устройствами. Мы нашли 50 жертв, все из России, Ирана и Египта, но мы полагаем, что их было, вероятно, намного больше. Во-первых, интерфейс DanderSpritz может управлять большим количеством жертв одновременно.Кроме того, злоумышленники часто удаляют свое вредоносное ПО после завершения кампании. Мы считаем, что кампания прекратилась после утечки «Трудностей перевода» от Shadow Brokers в апреле 2017 года. Вы можете найти наши предлагаемые стратегии смягчения для сложных угроз, таких как Dark Pulsar, здесь.

Мобильные APT-кампании

В сегменте мобильных APT-угроз произошло три важных события: обнаружение кампаний кибершпионажа Zoopark, BusyGasper и Skygofree.

Технически все три хорошо продуманы и похожи по своему основному назначению — слежка за избранными жертвами.Их основная цель — украсть все доступные личные данные с мобильного устройства: перехват звонков, сообщений, геолокации и т. Д. Есть даже функция подслушивания через микрофон — смартфон используется как «жучок», который даже не нужно быть скрытым от ничего не подозревающей цели.

Особое внимание киберпреступники обратили на кражу сообщений из популярных сервисов обмена мгновенными сообщениями, которые сейчас во многом заменили стандартные средства связи. В нескольких случаях злоумышленники использовали эксплойты, которые были способны повышать локальные привилегии троянцев на устройстве, открывая практически неограниченный доступ к удаленному мониторингу и часто к управлению устройством.

Функциональность

Keylogger также была реализована в двух из трех вредоносных программ, при этом киберпреступники записывали каждое нажатие клавиши на клавиатуре устройства. Примечательно, что для перехвата кликов злоумышленникам не требовались даже повышенные привилегии.

Географически жертвы были зарегистрированы в разных странах: Skygofree нацелился на пользователей в Италии, BusyGasper атаковал отдельных российских пользователей, а Zoopark действовал на Ближнем Востоке.

Также стоит отметить, что становится все более заметной тенденция к тому, что преступники, участвующие в шпионаже, отдают предпочтение мобильным платформам, поскольку они предлагают гораздо больше личных данных.

Эксплойты

Использование уязвимостей в программном и аппаратном обеспечении остается важным средством взлома устройств любого типа.

В начале этого года было сообщено о двух серьезных уязвимостях, затрагивающих процессоры Intel. Названные Meltdown и Spectre соответственно, они позволяют злоумышленнику читать память из любого процесса и из своего собственного процесса соответственно. Уязвимости существуют как минимум с 2011 года. Meltdown (CVE-2017-5754) затрагивает процессоры Intel и позволяет злоумышленнику читать данные из любого процесса в хост-системе.Хотя выполнение кода требуется, его можно получить различными способами — например, с помощью ошибки в программном обеспечении или путем посещения вредоносного веб-сайта, который загружает код JavaScript, который выполняет атаку Meltdown. Это означает, что все данные, хранящиеся в памяти (пароли, ключи шифрования, ПИН-коды и т. Д.), Могут быть прочитаны, если уязвимость используется должным образом. Производители поспешили опубликовать исправления для самых популярных операционных систем. Обновление Microsoft, выпущенное 3 января, было совместимо не со всеми антивирусными программами, что могло приводить к BSoD (синий экран смерти) на несовместимых системах.Таким образом, обновления можно было установить только в том случае, если антивирусный продукт сначала установил определенный ключ реестра, чтобы указать на отсутствие проблем с совместимостью. Spectre (CVE-2017-5753 и CVE-2017-5715) немного отличается. В отличие от Meltdown, эта атака работает и на других архитектурах (например, AMD и ARM). Кроме того, Spectre может читать только пространство памяти эксплуатируемого процесса, но не любого процесса. Что еще более важно, помимо некоторых контрмер в некоторых браузерах, для Spectre нет универсального решения.Через несколько недель после появления сообщений об уязвимостях стало ясно, что их нелегко исправить. Большинство выпущенных патчей уменьшили поверхность атаки, уменьшив известные способы использования уязвимостей, но они не исключают полностью опасность. Поскольку проблема является фундаментальной для работы уязвимых процессоров, было ясно, что поставщикам, вероятно, придется бороться с новыми эксплойтами в ближайшие годы. На самом деле, на это не потребовались годы. В июле Intel выплатила вознаграждение в размере 100 000 долларов за новые уязвимости процессора, связанные с первым вариантом Spectre (CVE-2017-5753).Spectre 1.1 (CVE-2018-3693) можно использовать для создания предположительных переполнений буфера. Spectre 1.2 позволяет злоумышленнику перезаписывать данные, доступные только для чтения, и указатели кода, чтобы взломать песочницы на процессорах, которые не обеспечивают защиту от чтения и записи. Эти новые уязвимости были обнаружены исследователем Массачусетского технологического института Владимиром Кирианским и независимым исследователем Карлом Вальдспургером.

18 апреля кто-то загрузил на VirusTotal интересный эксплойт. Это было обнаружено несколькими поставщиками средств защиты, в том числе «Лабораторией Касперского», с использованием нашей универсальной эвристической логики для некоторых старых документов Microsoft Word.Оказалось, что это новая уязвимость нулевого дня для Internet Explorer (CVE-2018-8174), исправленная Microsoft 8 мая 2018 г. После обработки образца в нашей системе песочницы мы заметили, что она успешно использовала полностью исправленный версия Microsoft Word. Это побудило нас провести более глубокий анализ уязвимости. Цепочка заражения состоит из следующих этапов. Жертва получает вредоносный документ Microsoft Word. После его открытия загружается второй этап эксплойта — HTML-страница, содержащая код VBScript.Это вызывает уязвимость UAF (Use After Free) и запускает шелл-код. Несмотря на то, что исходным вектором атаки был документ Word, на самом деле уязвимость находится в VBScript. Это первый раз, когда мы видим URL-псевдоним, используемый для загрузки эксплойта IE в Word, но мы полагаем, что этот метод будет серьезно использоваться злоумышленниками в будущем, поскольку он позволяет им заставлять жертв загружать IE, игнорируя значение по умолчанию. настройки браузера. Вполне вероятно, что авторы набора эксплойтов начнут злоупотреблять им как в атаках «проездом» (через браузер), так и в кампаниях целевого фишинга (через документ).Чтобы защитить себя от этого метода, мы рекомендуем применять последние обновления безопасности и использовать решение безопасности с возможностями обнаружения поведения.

В августе наша технология AEP (Automatic Exploit Prevention) обнаружила новый вид кибератаки, в которой пытались использовать уязвимость нулевого дня в файле драйвера Windows, win32k.sys. Мы проинформировали Microsoft о проблеме, и 9 октября Microsoft раскрыла уязвимость (CVE-2018-8453) и опубликовала обновление. Это очень опасная уязвимость, позволяющая злоумышленникам контролировать взломанный компьютер.Уязвимость использовалась в целенаправленной атаке на организации на Ближнем Востоке — мы обнаружили менее десятка жертв. Мы полагаем, что эти атаки были совершены злоумышленником FruityArmor.

В конце октября мы сообщили Microsoft об очередной уязвимости, на этот раз уязвимости нулевого дня для повышения привилегий в win32k.sys, которая может быть использована злоумышленником для получения привилегий, необходимых для постоянной работы в системе жертвы. Эта уязвимость также использовалась в очень ограниченном количестве атак на организации на Ближнем Востоке.13 ноября корпорация Майкрософт опубликовала обновление для этой уязвимости (CVE-2018-8589). Эта угроза также была обнаружена с помощью наших проактивных технологий — расширенного механизма песочницы и защиты от вредоносных программ для платформы Kaspersky Anti Targeted Attack Platform и нашей технологии AEP.

Расширения браузера — расширение досягаемости киберпреступников

Расширения для браузера могут облегчить нам жизнь, скрывая навязчивую рекламу, переводя текст, помогая нам выбирать нужные товары в интернет-магазинах и многое другое.К сожалению, есть и менее желательные расширения, которые используются для бомбардировки нас рекламой или сбора информации о нашей деятельности. Также существуют расширения, предназначенные для кражи денег. Ранее в этом году одно из них привлекло наше внимание, потому что оно взаимодействовало с подозрительным доменом. Вредоносное расширение, названное Desbloquear Conteúdo («Разблокировать контент» на португальском языке), нацелено на клиентов бразильских онлайн-банковских услуг, собирая логины и пароли для получения доступа к банковским счетам жертв.

В сентябре хакеры опубликовали личные сообщения, по крайней мере, из 81 000 учетных записей Facebook, утверждая, что это лишь небольшая часть гораздо более крупного захвата, включающего 120 миллионов учетных записей. В рекламе Dark Web злоумышленники предлагали сообщения по 10 центов за аккаунт. Атаку расследовали Русская служба BBC и компания по кибербезопасности Digital Shadows. Они обнаружили, что из 81 000 аккаунтов большинство было из Украины и России, хотя среди них были и аккаунты из других стран, включая Великобританию, США и Бразилию.Facebook предположил, что сообщения были украдены с помощью вредоносного расширения браузера.

Вредоносные расширения встречаются довольно редко, но мы должны относиться к ним серьезно, поскольку они могут нанести потенциальный ущерб. Вам следует устанавливать только проверенные расширения с большим количеством установок и отзывов в Интернет-магазине Chrome или другом официальном сервисе. Тем не менее, несмотря на меры защиты, предпринимаемые владельцами таких сервисов, вредоносные расширения все равно могут там публиковаться.Поэтому рекомендуется использовать продукт для обеспечения безопасности в Интернете, который предупреждает о подозрительных действиях расширения.

Чемпионат мира по мошенничеству

Социальная инженерия остается важным инструментом в арсенале кибератак всех видов. Мошенники всегда ищут возможности заработать на крупных спортивных мероприятиях; и чемпионат мира по футболу не исключение. Задолго до начала мероприятия киберпреступники начали создавать фишинговые веб-сайты и рассылать сообщения, используя темы чемпионата мира по футболу.Эти фишинговые сообщения включали в себя уведомления о фальшивом выигрыше в лотерею или сообщение с предложением билетов на один из матчей. Мошенники часто идут на все, имитируя законные партнерские сайты, создавая хорошо продуманные страницы и даже включая сертификаты SSL для повышения надежности. Преступники также извлекают данные, имитируя официальные уведомления FIFA: жертва получает сообщение о том, что система безопасности была обновлена, и все личные данные должны быть введены повторно, чтобы избежать блокировки.Эти сообщения содержат ссылку на поддельную страницу, где мошенники собирают личную информацию жертвы.

Вы можете найти наш отчет о том, как киберпреступники использовали чемпионат мира по футболу для заработка здесь. Мы также предоставили советы о том, как избежать фишинговых атак — советы, которые справедливы для любых фишинговых атак, а не только для тех, которые связаны с чемпионатом мира по футболу.

В преддверии турнира мы также проанализировали точки беспроводного доступа в 11 городах, принимающих матчи Чемпионата мира по футболу FIFA — всего около 32 000 точек доступа Wi-Fi.При проверке алгоритмов шифрования и аутентификации мы подсчитали количество WPA2 и открытых сетей, а также их долю среди всех точек доступа. Более одной пятой точек доступа Wi-Fi использовали ненадежные сети. Это означало, что преступникам просто необходимо было находиться рядом с точкой доступа, чтобы перехватить трафик и получить доступ к данным людей. Около трех четвертей всех точек доступа использовали шифрование WPA / WPA2, которое считается одним из самых безопасных. Уровень защиты в основном зависит от настроек, таких как надежность пароля, установленного владельцем точки доступа.Для успешного взлома сложного ключа шифрования могут потребоваться годы. Однако даже надежные сети, такие как WPA2, нельзя автоматически считать полностью безопасными. Они по-прежнему подвержены атакам методом перебора, переустановки словаря и ключей, для которых в Интернете доступно большое количество учебных пособий и инструментов с открытым исходным кодом. Любая попытка перехвата трафика WPA Wi-Fi в общедоступных точках доступа также может быть предпринята путем преодоления промежутка между точкой доступа и устройством в начале сеанса.

Здесь вы можете прочитать наш отчет вместе с нашими рекомендациями по безопасному использованию точек доступа Wi-Fi, которые действительны, где бы вы ни находились, а не только на чемпионате мира по футболу.

Финансовое мошенничество в промышленных масштабах

В августе Kaspersky Lab ICS CERT сообщила о фишинговой кампании, направленной на кражу денег у предприятий, в первую очередь производственных. Злоумышленники использовали стандартные методы фишинга, чтобы обманом заставить своих жертв нажимать на зараженные вложения, используя электронные письма, замаскированные под коммерческие предложения и другие финансовые документы.Преступники использовали легитимные приложения для удаленного администрирования — TeamViewer или RMS (Remote Manipulator System). Эти программы использовались для получения доступа к устройству, сканирования информации о текущих покупках и сведений о финансовом и бухгалтерском программном обеспечении, используемом жертвами. Затем злоумышленники использовали различные уловки для кражи денег компании — например, путем замены банковских реквизитов в транзакциях. К тому времени, когда мы опубликовали наш отчет, 1 августа, мы наблюдали заражения примерно на 800 компьютерах, которые распространились как минимум на 400 организаций в самых разных отраслях, включая производство, нефть и газ, металлургию, машиностроение, энергетику, строительство, горнодобывающую промышленность. и логистика.Кампания проводится с октября 2017 года.

Наше исследование подчеркивает, что даже когда злоумышленники используют простые методы и известные вредоносные программы, они могут успешно атаковать промышленные компании, используя уловки социальной инженерии и скрывая свой код в целевых системах, используя законное программное обеспечение для удаленного администрирования, чтобы избежать обнаружения антивирусными решениями.

Подробнее о том, как злоумышленники используют инструменты удаленного администрирования для компрометации своих целей, можно узнать здесь, а обзор атак на системы АСУ ТП в первой половине 2018 года можно найти здесь.

Программы-вымогатели — все еще угроза

Падение числа атак программ-вымогателей за последний год или около того хорошо задокументировано. Тем не менее, этот тип вредоносного ПО остается серьезной проблемой, и мы продолжаем наблюдать за развитием новых семейств программ-вымогателей. В начале августа наш модуль защиты от программ-вымогателей начал обнаруживать троян KeyPass. Всего за два дня мы обнаружили это вредоносное ПО более чем в 20 странах — больше всего пострадали Бразилия и Вьетнам, но мы также нашли жертвы в Европе, Африке и на Дальнем Востоке.KeyPass шифрует все файлы, независимо от расширения, на локальных дисках и в общих сетевых ресурсах, которые доступны с зараженного компьютера. Он игнорирует некоторые файлы, расположенные в каталогах, жестко закодированных во вредоносной программе. Зашифрованным файлам присваивается дополнительное расширение «KEYPASS», а примечания о выкупе, называемые «!!! KEYPASS_DECRYPTION_INFO !!!. Txt», сохраняются в каждом каталоге, содержащем зашифрованные файлы. Создатели этого троянца реализовали очень упрощенную схему. Вредоносная программа использует симметричный алгоритм AES-256 в режиме CFB с нулевым IV и одинаковым 32-байтовым ключом для всех файлов.Троянец шифрует до 0x500000 байт (~ 5 МБ) данных в начале каждого файла. Вскоре после запуска вредоносная программа подключается к своему серверу C2 и получает ключ шифрования и идентификатор заражения для текущей жертвы. Данные передаются по обычному протоколу HTTP в форме JSON. Если C2 недоступен — например, если зараженный компьютер не подключен к Интернету или сервер не работает, — вредоносная программа использует жестко запрограммированный ключ и идентификатор. В результате в случае автономного шифрования дешифрование файлов жертвы является тривиальным.

Вероятно, самая интересная особенность троянца KeyPass — это возможность брать «ручное управление». Троянец содержит форму, которая по умолчанию скрыта, но может быть отображена после нажатия специальной кнопки на клавиатуре. Эта форма позволяет злоумышленникам настраивать процесс шифрования, изменяя такие параметры, как ключ шифрования, название записки о выкупе, текст выкупа, идентификатор жертвы, расширение зашифрованных файлов и список каталогов, которые нужно исключить из шифрование.Эта возможность предполагает, что злоумышленники, стоящие за троянцем, могут намереваться использовать его в ручных атаках.

Однако проблемы возникают не только из-за новых семейств программ-вымогателей. Спустя полтора года после эпидемии WannaCry он продолжает возглавлять список самых распространенных семейств шифровальщиков — на сегодняшний день мы видели 74 621 уникальную атаку по всему миру. На эти атаки пришлось 28,72% от всех атак, нацеленных на шифровальщиков, в третьем квартале 2018 года. За последний год этот процент вырос на две трети.Это особенно тревожно, учитывая, что исправление для эксплойта EternalBlue, используемого WannaCry, существовало еще до начальной эпидемии в мае 2017 года.

Asacub и банковские троянцы

2018 показал самые впечатляющие показатели по количеству атак с использованием мобильных банковских троянцев. В начале года этот тип угроз, казалось, выровнялся как по количеству обнаруженных уникальных образцов, так и по количеству атакованных пользователей.

Однако во втором квартале произошло резкое изменение в худшую сторону: рекордное количество обнаруженных мобильных банковских троянцев и атакованных пользователей.Коренная причина этого значительного подъема неясна, хотя главными виновниками были создатели Asacub и Hqwar. Интересной особенностью Asacub является его долговечность: по нашим данным, стоящая за ним группа работает более трех лет.

Asacub произошел от SMS-трояна, который с самого начала обладал технологиями предотвращения удаления и перехвата входящих вызовов и SMS. Впоследствии создатели усложнили логику программы и начали массовое распространение вредоносного ПО.Выбранный вектор был тот же, что и в самом начале — социальная инженерия через SMS. Однако на этот раз действительные номера телефонов были получены с популярных досок объявлений, и владельцы часто ожидали сообщений от незнакомых подписчиков.

Технология распространения затем резко возросла, когда устройства, зараженные троянцем, начали распространять инфекцию — Asacub самораспространялся по всему списку контактов жертвы.

Умный не значит безопасный

В наши дни нас окружают умные устройства.Сюда входят предметы повседневного обихода, такие как телевизоры, интеллектуальные счетчики, термостаты, радионяни и детские игрушки. Но это также включает автомобили, медицинские приборы, камеры видеонаблюдения и паркоматы. Мы даже наблюдаем появление умных городов. Тем не менее, это обеспечивает большую поверхность атаки для всех, кто хочет воспользоваться недостатками безопасности — для любых целей. Обеспечить безопасность традиционных компьютеров сложно. Но еще более проблематичны дела с Интернетом вещей (IoT), где отсутствие стандартизации заставляет разработчиков игнорировать безопасность или рассматривать ее как второстепенное.Есть много примеров, иллюстрирующих это.

В феврале мы исследовали возможность уязвимости интеллектуального концентратора для атак. Интеллектуальный концентратор позволяет вам контролировать работу других интеллектуальных устройств в доме, получая информацию и отдавая команды. Умными концентраторами можно управлять с помощью сенсорного экрана, мобильного приложения или веб-интерфейса. Если он уязвим, то потенциально может стать единственной точкой отказа. В то время как интеллектуальный центр, который исследовали наши исследователи, не содержал серьезных уязвимостей, имелись логические ошибки, которых было достаточно, чтобы позволить нашим исследователям получить удаленный доступ.

Исследователи Kaspersky Lab ICS CERT проверили популярную интеллектуальную камеру, чтобы убедиться, насколько хорошо она защищена от хакеров. Умные камеры теперь стали частью повседневной жизни. Многие теперь подключаются к облаку, что позволяет кому-то отслеживать, что происходит в удаленном месте — для проверки домашних животных, для наблюдения за безопасностью и т. Д. Модель, которую исследовали наши исследователи, продается как универсальный инструмент, подходящий для использования в качестве радионяни. , или как часть системы безопасности. Камера способна видеть в темноте, следовать за движущимся объектом, транслировать отснятый материал на смартфон или планшет и воспроизводить звук через встроенный динамик.К сожалению, в камере оказалось 13 уязвимостей — почти столько же, сколько и функций, — которые могли позволить злоумышленнику изменить пароль администратора, выполнить произвольный код на устройстве, создать ботнет из скомпрометированных камер или полностью остановить его работу.

Возможные проблемы не ограничиваются потребительскими устройствами. В начале этого года Идо Наор, исследователь из нашей группы глобальных исследований и анализа, и Амихай Нейдерман из Azimuth Security обнаружили уязвимость в устройстве автоматизации для заправочной станции.Это устройство было напрямую подключено к Интернету и отвечало за управление всеми компонентами станции, включая ТРК и платежные терминалы. Еще более тревожно то, что веб-интерфейс устройства был доступен с учетными данными по умолчанию. Дальнейшее расследование показало, что можно было отключить все заправочные системы, вызвать утечку топлива, изменить цену, обойти платежный терминал (чтобы украсть деньги), захватить номерные знаки транспортных средств и идентификационные данные водителя, выполнить код на блоке контроллера и даже свободно перемещаться по сети АЗС.

Технологии способствуют развитию здравоохранения. Он способен изменить качество и снизить стоимость медицинских и медицинских услуг. Это также может дать пациентам и гражданам больше контроля над их лечением, расширить возможности лиц, осуществляющих уход, и поддержать разработку новых лекарств и методов лечения. Однако новые медицинские технологии и мобильные методы работы производят больше данных, чем когда-либо прежде, в то же время предоставляя больше возможностей для потери или кражи данных. Мы несколько раз выдвигали на первый план проблемы за последние несколько лет (вы можете прочитать об этом здесь, здесь и здесь).Мы продолжаем отслеживать деятельность киберпреступников, изучая, как они проникают в медицинские сети, как они находят данные на общедоступных медицинских ресурсах и как их извлекают. В сентябре мы исследовали безопасность здравоохранения. Более 60% медицинских организаций имели на своих компьютерах вредоносное ПО. Кроме того, продолжает расти количество атак в фармацевтической отрасли. Жизненно важно, чтобы медицинские учреждения удалили все узлы, которые обрабатывают личные медицинские данные, обновляют программное обеспечение и удаляют приложения, которые больше не нужны, и не подключают дорогостоящее медицинское оборудование к основной локальной сети.Здесь вы можете найти наши подробные советы.

В этом году мы также исследовали интеллектуальные устройства для животных — в частности, трекеры для отслеживания местоположения домашних животных. Эти гаджеты могут получить доступ к домашней сети и телефону владельца животного, а также к местоположению его питомца. Мы хотели узнать, насколько они безопасны. Наши исследователи изучили несколько популярных трекеров на предмет потенциальных уязвимостей. Четыре трекера, которые мы рассмотрели, используют технологию Bluetooth LE для связи со смартфоном владельца. Но только один делает это правильно.Остальные могут получать и выполнять команды от кого угодно. Их также можно отключить или скрыть от владельца — все, что нужно, — это находиться рядом с трекером. Только одно из протестированных приложений Android проверяет сертификат своего сервера, не полагаясь исключительно на систему. В результате они уязвимы для атак «злоумышленник посередине» (MitM) — злоумышленники могут перехватить передаваемые данные, «убедив» жертв установить свой сертификат.

Некоторые из наших исследователей также изучали носимые устройства людей, в частности умные часы и фитнес-трекеры.Нас интересовал сценарий, в котором шпионское приложение, установленное на смартфоне, могло бы отправлять данные со встроенных датчиков движения (акселерометр и гироскоп) на удаленный сервер и использовать эти данные для объединения действий пользователя — ходьбы, сидения, набора текста, Мы начали со смартфона на базе Android, создали простое приложение для обработки и передачи данных, а затем посмотрели, что можно получить из этих данных. Удалось не только определить, сидит ли человек или идет, но и выяснить, идет ли он на прогулку или меняет поезд в метро, потому что схемы акселерометра немного отличаются — именно так фитнес-трекеры различают ходьбу и езду на велосипеде.Также легко увидеть, когда кто-то печатает. Однако выяснить , какой они набирают, будет сложно и потребует повторного ввода текста. Наши исследователи смогли восстановить пароль компьютера с точностью 96%, а PIN-код, введенный в банкомат, — с точностью 87%. Однако получить другую информацию — например, номер кредитной карты или код CVC — будет намного сложнее из-за отсутствия предсказуемости того, когда жертва напечатает такую информацию. На самом деле сложность получения такой информации означает, что у злоумышленника должен быть сильный мотив для нацеливания на кого-то конкретного.Конечно, бывают ситуации, когда злоумышленникам это может быть выгодно.

В последние годы наблюдается рост услуг каршеринга. Такие услуги явно обеспечивают гибкость для людей, желающих перемещаться по крупным городам. Однако возникает вопрос безопасности — насколько безопасна личная информация людей, пользующихся услугами? В июле мы протестировали 13 приложений, чтобы узнать, учли ли их разработчики безопасность. Результаты наших тестов не обнадеживают. Понятно, что разработчики приложений не до конца понимают текущие угрозы для мобильных платформ — это верно как для стадии проектирования, так и для создания инфраструктуры.Хорошим первым шагом было бы расширение функциональности для уведомления клиентов о подозрительных действиях — только одна служба в настоящее время отправляет уведомления клиентам о попытках входа в их учетную запись с другого устройства. Большинство проанализированных нами приложений плохо спроектированы с точки зрения безопасности и нуждаются в улучшении. Более того, многие программы не только очень похожи друг на друга, но и основаны на одном и том же коде. Вы можете прочитать наш отчет здесь, в том числе советы для клиентов служб каршеринга и рекомендации для разработчиков приложений каршеринга.

Использование интеллектуальных устройств растет. По некоторым прогнозам, к 2020 году количество умных устройств в несколько раз превысит мировое население. Однако производители по-прежнему не уделяют первоочередного внимания безопасности: нет напоминаний об изменении пароля по умолчанию во время начальной настройки или уведомлений о выпуске новых версий прошивки. Да и сам процесс обновления может быть сложным для рядового потребителя. Это делает устройства Интернета вещей главной целью для киберпреступников. Их легче заразить, чем ПК, они часто играют важную роль в домашней инфраструктуре: одни управляют интернет-трафиком, другие снимают видео, а третьи управляют бытовыми устройствами, например кондиционерами.Вредоносное ПО для умных устройств растет не только в количестве, но и в качестве. Киберпреступники используют все больше и больше эксплойтов, а зараженные устройства используют для запуска DDoS-атак, кражи личных данных и добычи криптовалюты. В сентябре мы опубликовали отчет об угрозах Интернета вещей, а в этом году начали включать данные об атаках Интернета вещей в наши квартальные статистические отчеты и отчеты на конец года.

Жизненно важно, чтобы поставщики улучшили свой подход к безопасности, гарантируя, что безопасность учитывается при разработке продуктов.Правительства некоторых стран, стремясь обеспечить безопасность за счет конструкции производителей интеллектуальных устройств, вводят руководящие принципы. В октябре правительство Великобритании выпустило свой свод правил безопасности потребительского Интернета вещей. Правительство Германии недавно опубликовало свои предложения по минимальным стандартам для широкополосных маршрутизаторов.

Также важно, чтобы потребители позаботились о безопасности перед покупкой любого подключенного устройства.

Подумайте, действительно ли вам нужно устройство. Если да, проверьте доступные функции и отключите те, которые вам не нужны, чтобы уменьшить поверхность атаки.
Поищите в Интернете информацию обо всех обнаруженных уязвимостях.
Проверьте, можно ли обновить прошивку устройства.
Всегда меняйте пароль по умолчанию и заменяйте его уникальным сложным паролем.
Не сообщайте серийные номера, IP-адреса и другие конфиденциальные данные, относящиеся к устройству, в Интернете.

Наши данные в их руках

Личная информация — это ценный товар. Об этом свидетельствует постоянный поток утечек данных, о которых сообщается в новостях, в том числе Under Armour, FIFA, Adidas, Ticketmaster, T-Mobile, Reddit, British Airways и Cathay Pacific.

Скандал, связанный с использованием компанией Cambridge Analytica данных Facebook, является напоминанием о том, что личная информация представляет ценность не только для киберпреступников. Во многих случаях личные данные — это цена, которую люди платят за приобретение продукта или услуги: «бесплатные» браузеры, «бесплатные» учетные записи электронной почты, «бесплатные» учетные записи в социальных сетях и т. Д. Но не всегда. Все чаще нас окружают умные устройства, способные собирать подробные сведения о мельчайших деталях нашей жизни. Ранее в этом году одна журналистка превратила свою квартиру в умный дом, чтобы измерить, сколько данных собирают фирмы, производящие устройства.Поскольку мы обычно платим за такие устройства, сбор данных вряд ли можно рассматривать как цену, которую мы платим за те преимущества, которые они приносят в этих случаях.

Некоторые утечки данных привели к штрафам для затронутых компаний (например, Управление комиссара по информации Великобритании оштрафовало Equifax и Facebook). Однако до сих пор штрафы взимались за нарушения, произошедшие до вступления в силу Общего регламента ЕС по защите данных (GDPR) в мае. Штрафы за любые серьезные нарушения, которые произойдут в будущем, вероятно, будут намного выше.

Конечно, стопроцентной безопасности не бывает. Но любая организация, которая хранит личные данные, обязана позаботиться об их эффективной защите. А если нарушение приводит к краже личной информации, компании должны своевременно предупреждать своих клиентов, позволяя им принимать меры для ограничения возможного ущерба.

Хотя мы, как частные лица, ничего не можем сделать для предотвращения кражи нашей личной информации у онлайн-провайдера, важно, чтобы мы предприняли шаги для защиты наших онлайн-учетных записей и сведения к минимуму воздействия любого нарушения, в частности, путем использования уникальные пароли для каждого сайта и с использованием двухфакторной аутентификации.

Développement des Menaces informatiques au 2e trimestre 2017 Statistiques

Chiffres du trimestre

D’après les données du KSN, les solutions de Kaspersky Lab ont déjoué 342 566 061 атташе организаторов, заместителей диверсантов, ресурсов Интернет-представительств, входящих в 191 платит.

Уникальные адреса Интернет-адресов для обеспечения защиты от антивирусов в Интернете по адресу 33 006 783.

Возможные варианты выполнения вредоносных программ для пользователя с помощью электронных электронных систем, предназначенных для 224 675 пользователей.

Деактивированных атак вымогателей на 246 675 уникальных пользователей.

Notre Antivirus обновляет 185 801 835 объектов вредоносных или потенциально нежелательных уникальных объектов.

Решения «Лаборатории Касперского» для защиты мобильных устройств от обнаруженных элементов suivants:

style = «margin-bottom: 0! Important»>

1 319 148 пакетов для установки злоумышленников;
28 976 пакетов установки банковских троянцев для мобильных устройств;
200 054 пакета установки троянов-вымогателей.

Menaces sur les appareils mobiles

Особенности триместра

Спам в SMS

После предварительной активации троянской программы была запущена активация банковского трояна для мобильных устройств Trojan-Banker.AndroidOS.Asacub. Les Individual Malintentionnés Lavaient Activement Advertising dans le cadre de campagnes de spam через SMS. À la fin du 2 ^e trimestre, nous avons идентифицирует одно распространение вредоносных программ bien plus ambitieuse: le nombre d’utilisateurs attaqués en juin a triplé par rapport à avril et s’il faut en croire les résultats de la 1 ^re semaine du mois de juillet, cette hausse va se maintenir.

Nombre d’utilisateurs uniques attaqués par Trojan-Banker.AndroidOS.Asacub, 2 ^e trimestre 2017

Mises à jour de Ztorg

Un autre sujet intéressant que nous avions évoqué dans le rapport du 1 ^er trimestre est toujours d’actualité: des Individuals malintentionnés ont непрерывно распространяются через новые приложения Google Play, содержащие модуль вредоносного Ztorg. Il faut toutefois noter qu’au Cours du trimestre, nous avons enregistré des Cas de Publications de Module Malveillants Complémentaires Ztorg et non pas seulement de modules Principaux.Теперь вы можете обнаружить троян, способный установить и загрузить приложения в Google Play. Кроме того, он не обнаруживает Trojan-SMS.AndroidOS.Ztorg.a наиболее способный отправитель сообщений SMS.

Усовершенствованный сигнализатор, использующий два вредоносных ПО, не пытается исследовать уязвимые места в системе для получения авторизации суперпользователей, а также различий в главном модуле Ztrog. Pour rappel, Trojan.AndroidOS.Ztorg тенте d’obtenir les autorisations root afin de pouvoir afficher des publicités et installer discrètement de new applications, parmi lesquelles nous retrouvons les modules complementaires décrits ci-dessus.

Новый троян Dvmap

Вначале, мы обнаружили, что root-права вредоносного ПО были обнаружены через магазин приложений Google Play: Trojan.AndroidOS.Dvmap.a. Этот троян для того, чтобы жить в соответствии с принципом работы, был изменен системой библиотек. Вредоносные программы используют уязвимые ресурсы системы, обеспечивающие доступ к суперпользователям, и проверяют код в системе библиотеки.

Подписаться на WAP

Au Cours du 2 ^e trimestre 2017, l’activité de trojans qui volent l’argent des utilisateurs via des abonnements payants (nous évoquions ce genre d’attaque il y a deux ans déjà) s’esttensifiée.Pour rappel, les services d’abonnements payants désignent des sites spéciaux qui permettent de payer des services à l’aide des fonds disponibles sur le compte de téléphonie mobile de l’utilisateur. Avant de bénéficier du service, le client is redirigé vers le site of l’opérateur de téléphonie mobile, или doit подтверждающий действия. Подтверждение приема сообщения можно запросить в SMS. Les trojans ont appris à contourner указывает на ограничения. Ils peuvent «approuver» желающих формулы подтверждения à l’insu de l’utilisateur grâce à des fichiers JS spéciaux.Кроме того, это троянские программы, которые могут скрывать сообщения, отправленные оператором мобильной связи.

Теперь, когда вы отметили определенные случаи заражения, троян Ztorg может установить установщик дополнительных модулей с этой функцией. Семейство троянских программ Trojan-Clicker.AndroidOS.Xafekopy предназначено для поиска аналогичных сервисов в Inde et en Russie à l’aide de fichiers JS, который может использоваться только Ztrog.

Деятельности вредоносных программ 20 лучших троянских программ, а также их распространение для трехсторонней аутентификации абонентов WAP.Сообщение от Trojan-Clicker.AndroidOS.Autosus.a и Trojan-Dropper.AndroidOS.Agent.hb. Кроме того, трояны и трояны обнаруживают триместр в системе, а также автоматизируют обмен вредоносными программами, используя мобильные телефоны.

Статистика угроз для мобильных телефонов

Au 2 ^e trimestre 2017, Лаборатория Касперского и обнаружение 1 319 148 пакетов для установки вредоносных программ. Cet indice n’a pratiquement pas changé par rapport aux deux trimestres précéients.

Quantité de paquets d’installation malveillants detectés (T3 2016-T2 2017)

Распределение вредоносных программ для мобильных устройств обнаружено по типу

Повторное разделение новых вредоносных программ на мобильных устройствах по типу (T1 et T2 2017)

Sur l’ensemble des apps mobiles détectées, c’est la part d’Adwares qui a connu la plus forte croissance, так что 5,99 баллов для достижения 13,31%. Важная часть пакетов обнаруженных установок не идентифицируется с AdWare.AndroidOS.Ewind.iz и AdWare.AndroidOS.Agent.n.

Вредоносные программы категории Trojan-SMS, занимающие 2 ^и, находятся на уровне круассанов: теперь часть увеличена на 2,15 балла за 6,83%. Большинство пакетов обнаруженных установок представляют собой троянские программы Trojan-SMS.AndroidOS.Opfake.bo и Trojan-SMS.AndroidOS.FakeInst.a: они являются тройным преимуществом по отношению к предыдущему триместру.

La baisse la plus forte est à mettre au compte de Trojan-Spy, составляющий 3,88%.Залейте раппель, этот тип может быть связан с круассанами, а также триместр, содержащий точную информацию о расширении числа вредоносных программ для семейства Trojan-Spy.AndroidOS.SmForw и Trojan-Spy.AndroidOS.SmsThief.

La part de Trojan-Ransom, который доступен с привязкой к круассансу, плюс форте с трехместной ценой, с возвратом 1,33 баллов для получения 15,09%.

Топ-20 вредоносных программ для мобильных устройств

Классификация четырех вредоносных программ, которые представляют собой приложения, потенциально опасные или нежелательные в отношении RiskTool и рекламного ПО.

1	DangerousObject.Multi.Generic	62,27%
2	Trojan.AndroidOS.Boogr.gsh	15,46%
3	Trojan.AndroidOS.Hiddad.an	4,20%
4	Trojan-Dropper.AndroidOS.Hqwar.i	3,59%
5	Backdoor.AndroidOS.Ztorg.c	3,41%
6	Trojan-Dropper.AndroidOS.Agent.hb	3,16%
7	Backdoor.AndroidOS.Ztorg.a	3,09%
8	Trojan.AndroidOS.Sivu.c	2,78%
9	Trojan-Dropper.AndroidOS.Lezok.b	2,30%
10	Trojan.AndroidOS.Ztorg.ag	2,09%
11	Trojan-Clicker.AndroidOS.Autosus.a	2,08%
12	Троян.AndroidOS.Hiddad.pac	2,08%
13	Trojan.AndroidOS.Ztorg.aa	1,74%
14	Trojan.AndroidOS.Agent.bw	1,67%
15	Trojan.AndroidOS.Agent.gp	1,54%
16	Trojan.AndroidOS.Hiddad.ao	1,51%
17	Trojan-Banker.AndroidOS.Svpeng.q	1,49%
18	Троян.AndroidOS.Agent.ou	1,39%
19	Trojan.AndroidOS.Loki.d	1,38%
20	Trojan.AndroidOS.Agent.eb	1,32%

* Количество уникальных атак, связанных с вредоносным ПО, для защиты мобильных устройств от «Лаборатории Касперского».

align = «center»>

La 1 ^re position de notre Top 20 pour le 2 ^e trimestre revient au verdict DangerousObject.Multi.Generic (62,27%) — новые атрибуты, связанные с обнаружением вредоносных программ в облаке. Целевые интервалы между базами сигнатур, не содержащими никаких данных, обеспечивают постоянное обнаружение вредоносных программ и родственников информации об объектах, которые не доступны в облачном сервисе создания антивируса. В общем, это не значит, что вы обнаружите вредоносные программы и последние.

Вредоносная программа Trojan.AndroidOS.Boogr.gsh (15,46%) занимает позицию 2 ^и.Этот вердикт является атрибутом aux fichiers que notre système qualifie de malveillants sur la base de l’apprentissage automatique. La part de ce verdict — это тройная практика в связи с предварительным триместром, которая имеет разрешение на прогресс в положении 3 ^и а ля 2 ^и. Au 2 ^и trimestre, это система с детектированием и сувениром троянов, которые могут использовать плательщики услуг, которые используют публичные троянские программы, которые используют суперпользователи.

Троян для одежды мобильного Trojan.AndroidOS.Hiddad.an (4,20%) занимает позицию 3 ^и. Эта вредоносная программа является случайным лицом для того, чтобы ваше приложение было отправлено. Un point intéressant à noter est qu’une fois exécuté, il télécharge l’application pour laquelle il s’était fait passer et lors de l’installation, il sollicite les autorisations d’administrateur de l’appareil afin de pouvoir résister à sa suppression . Главный объект Trojan.AndroidOS.Hiddad.an est d’afficher des publicités de manière agressive.La majeure partie de son «public» vit en Russie. Au trimestre précédent, этот троян занимает 2 ^и позицию de notre classement.

Trojan-Dropper.AndroidOS.Hqwar.i (3,59%) вместо 8 ^и на позиции 4 ^и. Этот вердикт отнесен к защищенным троянам как компактный / модуль обработки кода. Dans la Majorité des cas, ce nom désigne des représentants des familles de bancaires mobiles FakeToken et Svpeng.

La 5 ^и позиция трояна Backdoor.AndroidOS.Ztorg.c. Публикационные сообщения троянских программ плюс действия, необходимые для использования суперпользователей. Всего за 2 ^и trimestre 2017, 20 лучших троянских программ (en bleu dans le tableau), которые обеспечивают корневую авторизацию и поддержку публикаций, составляющих главный источник событий. Leur but consiste simplement à envoyer à l’utilisateur le plus de publicités possible grâce à l’installation masquée de nouveaux logiciels publicitaires.Et grâce aux Privilèges de superutilisateur, ils peuvent se «disimuler» в системе досье, ce qui elegance considérablement leur подавления. Эти сообщения показывают, что отслеживают темпы сокращения количества вредоносных программ в топ-20 (по сравнению с лучшими 20-ю троянами 14-го уровня в жанре и по триместру).

La 6 ^и позиция изменена на Trojan-Dropper.AndroidOS.Agent.hb (3,16%). Набор модулей троянских программ не является основной партией, выполняющей эту функцию, заместителем служащего индивидуумов.On peut supposer que ce ce trojan cherche à gagner de l’argent par le biais d’abonnements payants.

Trojan-Clicker.AndroidOS.Autosus.a (2,08%), основная функция не является активными абонентами, занимающими позицию 11 ^и. Pour ce faire, il a appris à «cliquer» sur les boutons dans les catalogs en lign d’abonnements et à masquer les messages SMS-участники qui contiennent les информация о родственниках и абонентах.

Trojan.AndroidOS.Agent.bw занимает 14 ^и позицию в классе (1,67%). Звезда Trojan.AndroidOS.Hiddad.an, этот троян, который является основным принципом для жителей субконтинента, индийский тенте-де-фавр, проходящий для приложений или льготных условий. Mais en réalité, il télécharge и installe les applications les, and diverses depuis le serveur des Individual Malintentionnés.

La 15 ^и позиция возобновлена Trojan.AndroidOS.Agent.gp (1,54%), qui vole l’argent des utilisateurs en réalisant des Appeals payants.Grâce aux autorisations d’administrateur qu’il obtient, il peut résister aux tentatives de suppression sur l’appareil infecté.

La 17 ^и позиция по классификации мобильного Trojan-Banker.AndroidOS.Svpeng.q (1,49%). Эта семья является активным участником программы и троянским мобильным мобильным троянцем плюс популярный в 2 ^и триместре 2017 года.

Географическое повторение угроз для мобильных телефонов

Список возможных заражений вредоносными программами для мобильных устройств 2 ^и триместр 2017 г. (количество атакующих пользователей в платных услугах)

10 самых распространенных вредоносных программ для мобильных устройств:

	Платит *	% пользователей attaqués **
1	Иран	44,78%
2	Китай	31,49%
3	Бангладеш	27,10%
4	Индонесия	26,12%
5	Algérie	25,22%
6	Нигерия	24,81%
7	Индекс	24,53%
8	Кот-д’Ивуар	24,31%
9	Гана	23,20%
10	Кения	22,85%

* Нет данных об исключении классификационных плате за количество пользователей логического антивируса для мобильных устройств Лаборатории Касперского, относящееся к допустимому уровню (до 10000).
** Процент уникальных аттактов утилизаторов в плате за связь с антивирусами для мобильных устройств «Лаборатории Касперского» и платит

align = «center»>

Au 2 ^e trimestre 2017, Иран занимает новое место в мире по классу платежеспособности, а также использует мобильные устройства для мобильных устройств (44,78%) La Chine progresse jusqu’en 2 ^{e Позиция} (31,49%), suivie par le Bangladesh (27,10%).

Ла Русси (12,10%) занимают позицию по 26 ^и (занимают 40 ^и по триместру). La France Occupe la 58 ^e позиция (6,04%), les Etats-Unis (4,5%) sont en 71 ^e position, l’Italie (5,7%) en 62 ^e, l ‘Allemagne (4,8%) en 67 ^e et la Grande-Bretagne (4,3%) en 73 ^e.

Les pays les plus srs selon la part des utilisateurs attaqués sont les suivants: le Danemark (2,7%), la Finlande (2,6%) et le Japan (1,3%).

Bancaires троянцы для одежды мобильных

Nous avons détecté au Cours de la période couverte par le rapport 28 976 пакетов установки банковских троянцев для мобильной одежды, так что 1,1 fois de moins qu’au 1 ^er trimestre 2017.

Набор пакетов установки банковских троянцев для открытой мобильной одежды Лаборатории Касперского (T3 2016 — T2 2017)

Tout au long de l’année dernière, Bancaire Trojan для одежды мобильных Trojan-Banker.AndroidOS.Svpeng.q — это уже много нового. L’objectif Principal de ce вредоносных программ, qui vise Principalement les utilisateurs russophones, est le vol d’argent. Аинси, чтобы получить доступ к банковской карте или идентификаторы для предоставления электронной банковской услуги, этот троянский банк использует инструменты фишинга. De plus, il vole de l’argent через sms-сервисы, dont la banque mobile.

Svpeng является одним из банков троянских программ для мобильных устройств Trojan-Banker.AndroidOS.Hqwar.jck и Trojan-Banker.AndroidOS.Asacub.af. Il Consuient de Signaler Que la Majorité des utilisateurs qui ont été Victimes d’attaques de ce trio se Trouve en Russie.

Géographie des menaces bancaires pour appareils mobiles au 2 ^e trimestre 2017
(nombre d’utilisateurs attaqués)

10 лучших продавцов частей для мобильных устройств, использующих трояны, для мобильных устройств

	Платит *	% пользователей attaqués **
1	Россия	1,63%
2	Австралия	0,81%
3	Турки	0,81%
4	Таджикистан	0,44%
5	Ouzbékistan	0,44%
6	Украина	0,41%
7	Lettonie	0,38%
8	Киргизстан	0,34%
9	Moldavie, République de	0,34%
10	Казахстан	0,32%

* Существуют только исключения из классов, которые платят за количество пользователей логического антивируса для мобильных устройств «Лаборатории Касперского», относящееся к категории несостоятельных (до 10 000).
** Pourcentage dans le pays des utilisateurs unique attaqués par des Trojans Bancaires to appareils mobiles par rapport the l’ensemble des utilisateurs de l’antivirus for appareles mobiles de Kaspersky Lab dans ce pays

align = «center»>

Il n’y a pas eu de grands bouleversements dans le classement du 2 ^e trimestre 2017 par rapport au trimestre précédent: la Russie domine une fois de plus le le Top 10 (1,63%). Позиция L’Australie occupe la 2 ^и (0,81%); la majorité des attaques dans ce pays peut être attribuée aux représentants de la famille Trojan-Banker.AndroidOS.Acecard и Trojan-Banker.AndroidOS.Marcher. La Turquie complete le trio de tête avec 0,81%.

Троянские программы-вымогатели для мобильных устройств

Au Cours du 2 ^e trimestre 2017, nous avons détecté 200 054 пакетов установки троянских программ-вымогателей для мобильной одежды, soit un peu moins qu’au trimestre precédent, mais beaucoup plus qu’au 4 ^{e 2016.}

Набор пакетов установки троянов-вымогателей для открытых мобильных устройств Лаборатории Касперского (T3 2016 — T2 2017)

Globalement, sur l’ensemble du 1 ^er semestre 2017, nous avons identifié beaucoup plus de nouveaux paquets d’installation de trojans ransomwares для одежды мобильных телефонов qu’au cours de n’importe quelle autre période.Семейный Trojan-Ransom.AndroidOS.Congur — это оригинальный круассан. Общие, все представители этой семьи, функция проста: модифицирующий код ПИН-код устройства (ou en définissent un si l’utilisateur ne l’avait pas défini) приглашает пользователя через индивидуальный контакт клиентское сообщение QQ для получения инструкций по выполнению заданий. Сигналы, которые существуют для версий троянца, не позволяют использовать существующие суперпользователи для модуля установки в системе досье.

Программа-вымогатель, созданная с новой версией Trojan-Ransom.AndroidOS.Fusob.h. Плюс 20% атак программ-вымогателей для мобильных устройств, так что вы должны получить все необходимое. Une fois exécuté, это троян, требующий прав доступа администратора, сбор информации о слухах, не координаты GPS и истории апелляций, puis charge le tout sur le serveur des people malintentionnés. Il reçoit ensuite la commande de verrouillage de l’appareil.

Géographie des Trojans ransomwares pour appareils mobiles au 2 ^e trimestre 2017
(pourcentage des utilisateurs attaqués)

10 самых популярных частей атакующих троянов, вымогателей для одежды мобильных телефонов

	Платит *	% пользователей attaqués **
1	États-Unis	1,24%
2	Китай	0,88%
3	Италия	0,57%
4	Бельгия	0,54%
5	Канада	0,41%
6	Казахстан	0,41%
7	Ирланде	0,37%
8	Allemagne	0,34%
9	Norvège	0,31%
10	замша	0,29%

* Nous avons exclude classement les pays o le nombre d’utilisateurs du logiciel antivirus for appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage dans le pays des utilisateurs un attaqu троянские программы-вымогатели для мобильных устройств, взаимодействующих с ядром пользователей антивирусов, для мобильных устройств «Лаборатории Касперского», которые платят.

align = «center»>

В ТОП-10, обновленном для Etats-Unis (1,24%), по семейному и активному Trojan-Ransom.AndroidOS.Svpeng. Эти программы-вымогатели в 2014 году включают модификацию семейства вредоносных программ для мобильных устройств Trojan-Banker.AndroidOS.Svpeng. Требуется обязательная нормализация окружающей среды в размере 500 долларов США за одежду для одежды.

La Chine Occupe la 2 ^e position pour ce trimestre (0,88%). Большинство атак программ-вымогателей для одежды мобильных устройств для борьбы с жителями, которые платит де-факто, вменяются в известность как троян-выкуп.AndroidOS.Congur.

La 3 ^и позиция обновленного троянца (0,57%) плюс активная аура Trojan-Ransom.AndroidOS.Egat.d. Этот троян является главным представителем Европы. Il exige une rançon allant от 100 до 200 долларов за новую одежду.

Уязвимые приложения, используемые по частям

Le 2 ^и trimestre 2017 — это особый стиль для мужчин и женщин в природе. L’apparition simultanée de plusieurs vulnérabilités 0jour для Microsoft Office, чтобы заплатить за использование кодов эксплуатации.

La vulnérabilité logique CVE-2017-0199 qui se manifest lors du traitement des objets HTA et qui permet à un Individual Malintentionné doté d’un fichier spécialement configuré d’exécuter un Code Arbitre Sur un ordinateur distant de début du découverte de découverte Аврил. Et bien que le correctif qui permet d’éliminer cette vulnérabilité a été publié le 11 avril, le nombre d’utilisateurs de la suite Microsoft добавляет тройку преждевременных для аттестованных 1,5 миллионов. Эта уязвимая сторона особенно уязвима в 71% случаев использования пользователями Microsoft Office и кампаний спама в рассылке документов, содержащих коды использования CVE-2017-0199.

Répartition, par type d’application ciblée, desdes d’exploitation utilisés par les Individual Malintentionnés dans les Attaques, T1 2017

Plusieurs raisons permettent d’expliquer этой ситуации: простая и эффективная эксплуатация на всех версиях MS Office и Windows связана с быстрым приложением создателей документов, содержащих код эксплуатации CVE-2017-0199 ru Libre Accès ont considérablement abaissé le seuil d’accès pour l’exploitation de cette vulnérabilité.Неправильное сопоставление двух открытых уязвимостей типа 0jour для MS Office с повреждением памяти в формате EPS (CVE-2017-0261 et CVE-2017-0262) n’ont été impliquées que dans 5% des attaques.

Это группа пиратов Shadow Brokers, созданная для сенсации 2 ^и trimestre en publiant une archive, contenait des utilitaires et des codes d’exploitation pretendument développés par les services секреты Америки.Архив Lost In Translation содержит несколько важных кодов эксплуатации для различных версий Windows. Et bien que la majorité des vulnérabilités indiquées n’était pas des vulnérabilités de type 0jour et qu’elles avaient été éliminées par la mise à jour MS17-010 diffusée un mois avant la fuite, эта публикация eu des conséquences effroyables. Le montant des dommages provoqués par les vers, les трояны и вымогатели, распространяемые в Интернете в l’aide d’EternalBlue et d’EternalRomance, ainsi que le nombre d’utilisateurs infectés, reste inconnu.Rien qu’au Cours du 2 ^e trimestre 2017, Лаборатория Касперского — это блок плюс несколько миллионов предварительных организаций в архиве кодов эксплуатации réseau tirés de cette. Qui plus est, le nombre moyen d’attaques par jour jurement augmenté: 82% de l’ensemble des attaques onté détectés au Cours des 30 derniers jours.

Статистика модуля IDS с использованием кодов эксплуатации ShadowBrokers для Mois dernier. Изображение, видимое как Fin du Mois, соответствует получению программы-вымогателя ExPetr qui se propageait notamment через коды модификаций эксплуатации EternalBlue et EternalRomance:

Вредоносные программы в Интернете (атаки через ресурсы Интернета)

Menaces en ligne dans le secteur financier

Les statistiques actuelles reposes sur les verdicts detectés par les produits de Kaspersky Lab qui ont été transmis par les utilisateurs qui avaient accept de transmettre des statistiques.После 1 ^или за триместр 2017 г., статистика, совместимая с вредоносными программами для автоматических распределителей биллетов (DAB) и конечных точек, основных угроз для мобильных устройств.

Au 2 ^и trimestre 2017, решения «Лаборатории Касперского» по устранению экспериментальных или дополнительных вредоносных программ, которые были получены через систему электронных банковских операций для 224 000 пользователей.

Nombre d’utilisateurs attaqués par un malware bancaire entre avril et juin 2017

Répartition géographique des attaques

Pour évaluer et comparer le risque d’infection par des Trojans Bancaires or des вредоносные программы для DAB / для оконечных устройств по обнаружению разоблачений служащих, занимающихся различными платными услугами, но уже вычислен для того, чтобы заплатить за пользование процентами. Продукты «Лаборатории Касперского», которые сейчас открыты, противостоят этой угрозе на пути к успешному периоду на основе взаимопонимания с ансамблем утилизаторов продуктов, которые платят.

Géographie des attaques de bancaires au 2 ^e trimestre 2017
(pourcentage des utilisateurs attaqués)

Десять лучших платежеспособных специалистов по работе с клиентами

Платит *	% Атак. Утилизаторов **
Allemagne	2,61
Того	2,14
Либие	1,77
Палестина	1,53
Ливан	1,44
Венесуэла	1,39
Тунис	1,35
Сербия	1,28
Бахрейн	1,26
Тайвань, провинция Китая	1,23

Эти статистические данные представлены по вердиктам, обнаруженным в отношении антивируса и передаваемых через пользователей продуктов Лаборатории Касперского, которые не принимают никаких статистических данных.
* Выполняйте расчеты, но не учитывайте оплату за номера пользователей продукции «Лаборатории Касперского» по расчетам (до 10 000).
** Доля уникальных пользователей Лаборатории Касперского, жертвы банковских троянов и вредоносных программ для конечной точки подключения / DAB, а также набор уникальных пользователей продуктов «Лаборатории Касперского», которые платят.

align = «center»>

Au 1 ^er trimestre, l’Allemagne a pris la tête de notre classement (2,61%).В 2 ^и положение, без определенного автомобиля, было изменено на Республику Того (2,14%) tandis que la Libye referme le trio de tête (1,77%).

10 самых известных вредоносных программ Bancaires

Топ-10 семейств вредоносных программ, использующихся в кадрах, управляющих электронными банками, ^и триместр 2017 г. (en part du nombre des utilisateurs attaqués):

Ном. *	% Атак. Утилизаторов **
Троян-шпион.Win32.Zbot	32,58
Trojan.Win32.Nymaim	26,02
Trojan-Banker.Win32.Emotet	7,05
Trojan.Win32.Neurevt	6,08
Trojan-Spy.Win32.SpyEyes	6,01
Червь.Win32.Cridex	4,09
Trojan-Banker.Win32.Gozi	2,66
Backdoor.Win32.Shiz	2,19
Троян.Multi.Capper	1,9
Trojan.Win32.Tinba	1,9

* Обнаружены вердикты по продуктам Лаборатории Касперского. Эта информация, которую используют разработчики продукции «Лаборатории Касперского», принимает на себя передачу статистики.
** Процент уникальных атак на вредоносное ПО для пользователей, атаковавших лиц, финансирующих вредоносное ПО.

align = «center»>

Au 2 ^e trimestre, le Leader de Notre class demeure Trojan-Spy.Win32.Zbot (32,58%). После раскрытия информации, исходный код кода вредоносного ПО не доступен полностью индивидуально. Это разум для киберпреступников, способствующих эффективному регулированию новых членов в этой семье, собранных на основе базового исходного кода и официальных миниатюрных различий по отношению к исходным.

Троян Trojan.Win32.Nymaim (26,02%) занимает позицию 2 ^и. Премьер-версии вредоносных программ с семейством троянских программ, заряжаемых для зарядки уникальных программных приложений для оплаты и не выполняющих роль блока функций для обычных пользователей.Одновременно с открытием новых версий троянских программ семейства Trojan.Win32.Nymaim содержит составной троян Gozi, который используется как индивидуальные вредоносные программы для получения информации о родственниках-пользователях, которые используются в банках. Троян Gozi (2,66%) лучше всех отредактировал квант на 7 ^и позицию в классификаторе.

Программы-вымогатели

L’épidémie d’infections sans précédent du ransomware Wannacry 2.0, распространяется через уязвимость уязвимых версий системы Windows, выпущенных в 2017 году.

Успешно завершено, когда троянец ExPetr s’etdéclenchée en juin 2017. Alors que Wannacry 2.0 n’affichait pas de preférences géograph les précays, ExPetr. se Concentrait Principalement sur l’Ukraine. Эксперты «Лаборатории Касперского» могут определить, что такое ExPetr chiffre la table de fichiers Principale (secteur système du système de fichiers NTFS), de manière irréversible, ce qui empêche de rétablir Complètement l’ordinateur, même en cas de paienément de la malçin de la rançin .

Outre les épidémies de grande envergure qui ont fait trembler le monde au 2 ^e trimestre, il ya eu une autre tenance remarquable: plusieurs groupes criminels, à l’origine de plusieurs trojans ransomwares, et al. divulgué les clés privées незаменимые au déchiffrement des fichiers des Victimes. Голосование к списку семей, не имеющих отношения к уже имеющимся, в курсах обучения в период обучения:

style = «margin-bottom: 0! Important»>

Crysis (Trojan-Ransom.Win32.Crusis);
AES-NI (Trojan-Ransom.Win32.AecHu);
xdata (Trojan-Ransom.Win32.AecHu);
Петя / Миша / GoldenEye (Trojan-Ransom.Win32.Petr).

Nombre de nouvelles Модификации

Nous avons découvert au 2 ^e trimestre 15 nouvelles familles de ransomwares. Новые номера модификаций были сделаны на 15 663, что является наиболее разумным после дополнительных модификаций, которые выглядят как триместр ^или.Более того, больше, чем большинство новых модификаций 1 ^или trimestre était des instances du ransomware Cerber, этот приговор прошел по плану прибытия в 2 ^и trimestre и уступил место новому вымогателю Wannacry, origine d’une épidémie mondiale.

Nombre de nouvelles модификаций программ-вымогателей, T2 2016-T2 2017

Nous Observons un recul marqué du nombre de nouvelles экземпляры троянца Cerber. Вы можете сообщить об окончании разработки и распространения вредоносных программ.L’avenir nous le dira. Глобальное число модификаций программ-вымогателей également au 2 ^и trimestre.

Nombre d’utilisateurs attaqués par des ransomwares

Sur l’ensemble du 2 ^e trimestre 2017, les ransomwares ont attaqué les ordinateurs of 246 675 unique utilisateurs uniques de KSN, soit un chiffre Assez proche des résultats du trimestre précédent. Malgré la chute du nombre de nouvelles модификаций, le nombre d’utilisateurs protégéurs augmenté.

Nombre d’utilisateurs uniques attaqués par des Trojans ransomware, 2 ^e trimestre 2017

Географическое повторение аттак

10 самых распространенных троянских программ-вымогателей

	Платит *	% пользователей attaqués **
1	Brésil	1,07%
2	Италия	1,06%
3	Япония	0,96%
4	Вьетнам	0,92%
5	Corée du Sud	0,78%
6	Китай	0,75%
7	Камбодж	0,75%
8	Тайвань, провинция Китая	0,73%
9	Гонконг	0,66%
10	Россия	0,65%

* Выполняйте расчеты по расчетам, исключая выплаты за номера пользователей продукции Лаборатории Касперского, относящиеся к категории надежных (до 50 000 евро).
** Удельный вес уникальных утилизаторов не дает ординаторам атак троянов-вымогателей, в том числе объединение уникальных утилизаторов продуктов «Лаборатории Касперского» и «платит».

align = «center»>

10 самых популярных семейств программ-вымогателей и других вирусов

	ном.	Вердикты *	% Атак. Утилизаторов **
1	Ваннакри	Trojan-Ransom.Win32.Wanna	16,90%
2	Локки	Trojan-Ransom.Win32.Locky	14,91%
3	Цербер	Trojan-Ransom.Win32.Zerber	13,54%
4	Яфф	Trojan-Ransom.Win32.Jaff	11,00%
5	Cryrar / ACCDFISA	Trojan-Ransom.Win32.Cryrar	3,54%
6	Спора	Trojan-Ransom.Win32.Spora	3,08%
7	ЭксПетр	Trojan-Ransom.Win32.ExPetr	2,90%
8	Оттенок	Trojan-Ransom.Win32.Shade	2,44%
9	Purgen / GlobeImposter	Trojan-Ransom.Win32.Purgen	1,85%
10	(общий приговор)	Trojan-Ransom.Win32.CryFile	1,67%

* Статистические данные представлены по результатам обнаружения продуктов «Лаборатории Касперского».Эта информация, которую используют разработчики продукции «Лаборатории Касперского», принимает на себя передачу статистики.
** Количество уникальных пользователей, обнаруженных «Лабораторией Касперского» при обнаружении атак троянских программ-вымогателей, на базе ансамбля пользователей, обнаруживающих атаки троянских программ-вымогателей.

align = «center»>

Outre Wannacry et ExPetr que nous avons déjà cités, 10 самых популярных программ-вымогателей и их повторные попытки: Jaff et Purgen.Программа-вымогатель Jaff занимает позицию 4 ^и, задняя часть Cryrar. Пакет для анализа и анализа трояна, эксперты «Лаборатории Касперского» обнаруживают ошибки в алгоритмах шифрования, так как это позволяет создать утилиту для детектирования фишеров.

Les autres position du classement sont réparties Entre Cerber, Locky, Spora et Shade que nous connaissons déjà.

Pays, источник запросов в Интернете: Top 10

Les données statistiques, иллюстрирующие перераспределение по принципу оплаты исходных кодов Интернет-блоков с решениями Лаборатории Касперского для пользователей (страницы Интернета с перенаправлениями по сравнению с кодами эксплуатации, сайтами с кодами эксплуатации и т. Д.) вредоносные программы, центры командования зомби и т. д.) Signalons que chaque hôte unique peut être la source d’une ou de plusieurs attaques.

Для определения географического источника атрибутов Интернета, мы используем методику сравнения имен доменов и адресов аутентичных IP-адресов на основе данных домена и определения географической географической базы IP-адресов (GEOIP).

Au 2 ^и триместр 2017 г., решения «Лаборатории Касперского» возвращены 342 566 061 организаций-заместителей по ресурсам Интернет-участников по 191 плате.Уникальные адреса Интернет-адресов являются подтверждением устранения антивирусных Интернет-обновлений на 33 006 783 .

Répartition par pays des sources d’attaques Internet, 1er trimestre 2017

Au Cours de ce trimestre, большинство дескрипторов антивирусного Интернета, провокация по таблицам ресурсов для Etats-Unis. Les ressources malveillantes françaises ont été плюс plébiscitées que les russes et les allemandes.

Pays dont les internautes onté le plus разоблачает рискованное заражение через Интернет

Проверяйте риск заражения вредоносными программами через Интернет, чтобы узнать, как защитить себя от вредоносных программ. -Virus Internet au Cours de la période couverte par le rapport.Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

Классификация уникальных вредоносных программ для атак Категория Malware . Он рассчитывает необходимое количество компонентов антивируса в Интернете для приложений, потенциально опасных или нежелательных, в соответствии с категорией RiskTool и логическими элементами рекламы.

	Платит *	% пользователей attaqués **
1	Algérie	29,15
2	Албани	26,57
3	Biélorussie	25,62
4	Катар	24,54
5	Украина	24,28
6	Индекс	23,71
7	Румыния	22,86
8	Азербайджан	22,81
9	Тунис	22,75
10	Grèce	22,38
11	Brésil	22,05
12	Moldavie, République de	21,90
13	Россия	21,86
14	Вьетнам	21,67
15	Армени	21,58
16	Тайвань, провинция Китая	20,67
17	Марок	20,34
18	Казахстан	20,33
19	Киргизия	19,99
20	Géorgie	19,92

Эти статистические данные представлены по вердиктам, обнаруженным в отношении антивирусного Интернета, и переданы для пользователей продуктов «Лаборатории Касперского», которые не принимали участие в статистических данных.
* Pour les calcs, nous avons excludes les pays o le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
** Pour les excéers uniques exés à des attaques sur Internet d ‘ objets malveillants de la catégorie Malware , для уникальных пользователей уникальных продуктов «Лаборатории Касперского» на платной основе.

align = «center»>

Au Cours du trimestre, 17,26% руководителей международных сетей в настоящее время, обнаруженных в результате обнаружения вредоносных программ Интернета в категории Malware .

География атак Интернет-вредоносных программ в 2 ^e trimestre 2017 (pourcentage des utilisateurs attaqués)

Куба (5%), Финляндия (11; 32%), Сингапур (11,49%), Израиль (13,81%) и Япония (7,56%), условно платит за навигацию в Интернете. la plus sûre.

Местонахождение угроз

Les statistiques Родственники aux инфекций locales des utilisateurs не являются важным индикатором. Elles reprennent les objets qui sont parvenus sur un ordinateur через l’infection de fichiers ou de disques amovibles, ou les objets qui sont arrivés sur l’ordinateur de manière disimulée (например, программы au sein de programs d’installation complex, des fichiers chiffrés и др.)

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analysis les fichiers sur le disque dur lors de leur création or lorsqu’ils sont sollicités ainsi que les de l’analyse de divers disques amovibles.

Au Cours du 1 ^er trimestre 2017, notre Antivirus fichiers arensé 185 801 835 objets malveillants or потенциально нежелательные.

Платит ординаторам утилизаторов уже сейчас, а также раскрывает информацию о региональном риске заражения

Pour chacun des pays, nous avons Calculé le pourcentage d’utilisateurs des produits de Kaspersky Lab, qui onté été противодействуют антивирусным средствам на основе période couverte par le rapport.Ces statistiques indiquent le degré d’infection des ordinateurs dans différents pays.

Signalons qu’à partir de ce trimestre, ce classment tient uniquement compte des attaques d’objets malveillants de la catégorie Malware . Он рассчитывает необходимое время для развертывания антивирусных программ для приложений, потенциально опасных или нежелательных, в соответствии с категорией RiskTool и логическими объектами рекламы.

Le classement des pays n’a pratiquement pas changé par rapport au trimestre précédent.Сигнальные знаки всех стран Казахстана и Биелоруссии на этой площади в Мозамбике и Мавритании:

	Платит *	% пользователей attaqués **
1	Афганистан	52,08
2	Ouzbékistan	51,15
3	Йемен	50,86
4	Таджикистан	50,66
5	Algérie	47,19
6	Эфиопия	47,12
7	Лаос	46,39
8	Вьетнам	45,98
9	Туркменистан	45,23
10	Монголия	44,88
11	Syrie	44,69
12	Джибути	44,26
13	Ирак	43,83
14	Руанда	43,59
15	Судан	43,44
16	Непал	43,39
17	Сомали	42,90
18	Мозамбик	42,88
19	Бангладеш	42,38
20	Мавритания	42,05

Эти статистические данные представлены по вердиктам, обнаруженным в отношении модулей OAS и ODS антивируса и передачи данных для пользователей продуктов Лаборатории Касперского, которые не принимают участие в статистических данных.Nous avons également comptabilisé les malwares découverts directement sur les ordinateurs des utilisateurs or sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) подключает других пользователей.
* Выполняйте расчеты, но не учитывайте оплату за номера пользователей продукции «Лаборатории Касперского» по расчетам (до 10 000).
** Процент уникальных утилизаторов по категории Вредоносное ПО включает блоки, связанные с ансамблем уникальных утилизаторов продуктов «Лаборатории Касперского».

align = «center»>

En moyenne à travers le monde, des угроз locales de la catégorie Вредоносное ПО зарегистрировано в моем аккаунте 2 ^и триместр на 20,97% пользователей. L’indice de la Russie dans ce classement составляет 25,82%.

Pays affichant le taux d’infection le plus faible: le Chili (15,06%), la Lettonie (14,03%), le Portugal (12,27%), l’Australie (9,46%) , Гранд-Бретань (8,59%), Ирландия (6,30%) и Порто-Рико (6,15%).