Материалы с тегом троян

Специалисты компании ESET предупредили о новом банковском трояне – Spy.Agent.SI.

Он распространяется под видом мобильного приложения Flash Player и способен обходить двухфакторную аутентификацию, похищая учетные данные пользователей мобильных банковских приложений. При этом вредоносная программа перехватывает SMS с одноразовыми паролями, отправляемыми банками для подтверждения трансакций.

Целевыми для разработчиков вируса являются банки Австралии, Новой Зеландии и Турции. По оценкам специалистов компании Zecurion, потери банковских клиентов этих стран от нового трояна составят 40 млн долларов.

Если банковский троян дойдет до России, убытки граждан достигнут 5 млн долларов, пишет газета «Известия».

Антивирусная компания ESET предупреждает на своем сайте о распространении мобильного SMS-трояна под видом популярного мессенджера WhatsApp.

Вредоносная программа TrojanSMS.Agent.ZS ориентирована на смартфоны и планшеты на базе Android. Активность трояна растет с начала 2015 года. Злоумышленники маскируют его под WhatsApp и распространяют через неофициальные магазины мобильных приложений. После загрузки первого apk-файла с поддельным WhatsApp вредоносная программа предлагает пользователю внести плату за использование приложения.

После завершения платежа начинается загрузка второго apk, который содержит дополнительные пакеты. Затем троян переходит к установке в операционную систему и запрашивает права администратора, включая разрешение на отправку SMS. TrojanSMS.Agent.ZS опустошает мобильный счет пользователя, осуществляя несанкционированную рассылку SMS на платные номера. Помимо этого, вредоносная программа может самостоятельно совершать звонки и отправлять на удаленный сервер данные об устройстве и системе.

Специалисты «Доктор Веб» обнаружили троянца, который демонстрирует различные рекламные уведомления, ведущие к загрузке нежелательного и вредоносного ПО, говорится на сайте компании.

Отображаемые сообщения имитируют поступление СМС и email-корреспонденции, в результате чего потенциальные жертвы с большей вероятностью обратят на них внимание и принесут прибыль мошенникам, установив то или иное опасное приложение.

Исследованная программа, получившая имя Android.DownLoader.157.origin, распространяется на посвященных мобильным приложениям сайтах, и по заявлению ее создателей представляет собой своего рода телефонного помощника, демонстрирующего во время звонка на экране страну, регион собеседника, а также название предоставляющего ему услуги связи оператора.

Приложение действительно обладает заявленным функционалом, однако установивших его пользователей ждет неприятный сюрприз: через некоторое время после его запуска в информационной панели мобильного устройства неожиданно начинают появляться уведомления, внешне напоминающие системные нотификации о входящем СМС или электронном письме. В результате потенциальные жертвы данного обмана могут по ошибке принять эти сообщения за подлинные, что и нужно злоумышленникам.

Специалисты антивирусной компании ESET обнаружили на Google Play троян Android/Clicker. Вредоносная программа маскировалась под легитимное приложение Dubsmash 2 и была скачана в общей сложности более 10 тысяч раз.

Android/Clicker — это троян для смартфонов и планшетов на Android. Он не наносит пользователю прямого ущерба. Вместо этого он генерирует трафик на порноресурсы. Если владелец зараженного устройства использует мобильный Интернет с лимитированным трафиком, такая операция может обойтись ему в значительную сумму. Одна из подделок под Dubsmash 2 была загружена в Google Play 20 мая и удалена 22 мая. За это время приложение установили более 5 тысяч раз. Новые модификации Dubsmash 2 с тем же вредоносным функционалом появлялись в магазине приложений в последующие дни и были удалены после уведомлений экспертов.

Как отметили специалисты Google, это редкий случай для Google Play, когда вредоносное ПО с одними и теми же возможностями загружалось туда несколько раз подряд, говорится в сообщении ESET.

Специалисты компании «Доктор Веб» обнаружили нового троянца, предназначенного для кражи денег с банковских счетов пользователей мобильных Android-устройств. Основная особенность этой вредоносной программы, получившей имя Android.BankBot.65.origin, заключается в том, что злоумышленники встроили ее в одно из официальных приложений-клиентов для доступа к онлайн-банкингу и распространяют в Интернете под видом оригинального ПО.

Внедрение троянского функционала в легитимные приложения с последующим размещением их на различных сайтах — сборниках ПО и файлообменных сервисах — весьма популярный среди вирусописателей и давно известный специалистам по информационной безопасности способ доставки вредоносных программ на мобильные Android-устройства. Подобный механизм распространения троянцев значительно увеличивает шансы на то, что потенциальные жертвы успешно установят и будут использовать скомпрометированное приложение на своих смартфонах или планшетах — ведь они скачивают внешне безобидное ПО, которое обладает всеми функциональными возможностями оригинала. В действительности же вместе с искомой программой пользователи получают троянца, который работает незаметно для них и выполняет выгодные для вирусописателей действия.

Специалисты рекомендуют владельцам Android-устройств загружать приложения для онлайн-банкинга только из надежных источников, таких как каталог Google play или веб-сайты соответствующих кредитных организаций, говорится в сообщении «Доктор Веб».

Исследователи из FireEye сообщили об обнаружении нового трояна NitlovePOS, предназначенного для хищения платежной информации с терминалов оплаты, работающих под управлением Windows.

Программа пытается связаться с командно-контрольным сервером, расположенным по IP-адресу в Санкт-Петербурге. В сообщении аналитиков нет утверждения, что за этими действиями стоят российские хакеры. Чтобы проникнуть в терминал и получить платежную информацию, злоумышленники используют спам.

Они рассылают электронные сообщения со вложенным файлом формата Microsoft Word. Заголовки сообщений заставляют продавцов, работающих за кассовыми терминалами, предполагать, что они несут любопытную для них информацию (например, «Новая вакансия», «Мое резюме», «Вопросы о работе» и т.д). В действительности же вложенный файл содержит вредоносный макрос, который загружает с командно-контрольного сервера троян NitlovePOS, пишет CNews.

Троян начинает каждые пять минут проверять оперативную память терминала на наличие платежных данных. В случае их обнаружения, троян отправляет эти данные на C&C-сервер по SSL-соединению.

Антивирусная компания ESET предупредила о росте активности Android/Spy.Banker.F — мобильного трояна российского происхождения.

Android/Spy.Banker.F ориентирован на русскоговорящих пользователей. Заражение происходит, когда Android-пользователь посещает один из инфицированных сайтов. На его смартфон или планшет загружается АРК-файл под названием «Anketa», после чего в главном меню устройства появляется значок «Установка». Когда пользователь запускает приложение, оно запрашивает разрешения администратора под предлогом необходимости шифрования данных.

Благодаря правам администратора установленный Android/Spy.Banker.F препятствует своему удалению из системы. После установки троян передает на удаленный сервер номер телефона, IMEI зараженного устройства, страну, версию Android и другие данные. Функционал Android/Spy.Banker.F позволяет злоумышленникам получить логины и пароли онлайн-банкинга, удаленно управлять зараженным устройством и устанавливать другие вредоносные программы.

Когда пользователь открывает Google Play, троян выводит на экран форму для ввода данных банковской карты. Невнимательный пользователь вполне может перепутать окно с легитимным запросом или ввести аутентификационные данные, чтобы избавиться от всплывающих окон.

Эксперты ESET рекомендуют соблюдать осторожность при установке мобильных приложений, найденных за пределами Google Play, говорится в сообщении антивирусной компании.

Специалисты «Лаборатории Касперского» обнаружили новую финансовую угрозу для операционной системы Android. Об этом говорится на сайте антивирусной компании.

Найденный троянец маскируется одновременно и под официальный магазин приложений Google Play, и под приложение платежной системы Google Wallet, вымогая у пользователя реквизиты его банковской карты. Подавляющее большинство попыток заражения зарегистрировано в России, следом с большим отрывом идут США, а затем страны Европы и Азии.

Маскировка вредоносных программ под системные сервисы — распространенный прием злоумышленников. В случае с Android нередки случаи выдать вредоносное ПО за предустановленные системные приложения, такие как «Настройки» и «Фонарик», однако авторы нового зловреда пошли дальше, имитируя не только внешний вид платежного клиента системы Google Wallet, но и используемый многими легитимным онлайн-сервисами механизм привязки банковской карты.

Троянец распространяется посредством SMS-спама с предложением установить обновление Google Play и сразу после запуска запрашивает права администратора, блокируя возможность работы с устройством до их получения. Добившись своего, вредоносная программа отображает окно с требованием ввода реквизитов банковской карты якобы для ее авторизации в системе Google Wallet.

Специалисты компании «Доктор Веб» обнаружили новые версии Android-троянцев семейства Android.BankBot, атакующих клиентов банков множества стран, говорится на сайте антивирусной компании.

Некоторые модификации этих троянцев, известные также под именем Svpeng, опасны тем, что похищают деньги с банковских счетов пользователей мобильных Android-устройств и способны завершать работу целого ряда антивирусных программ. Android.BankBot знакомы специалистам по информационной безопасности уже несколько лет. Однако широкую известность они получили лишь в начале апреля 2015 года, когда [rubricator=155]МВД[/rubricator] России сообщило о задержании киберпреступников, использовавших несколько модификаций этих вредоносных приложений при реализации атак на клиентов ряда российских и иностранных кредитных организаций.

Несмотря на то, что деятельность этих злоумышленников была пресечена, распространение данных троянцев другими вирусописателями продолжилось, о чем свидетельствует появление очередных модификаций банкеров, предупреждает «Доктор Веб».

Специалисты компании «Доктор Веб» обнаружили новые версии Android-троянцев семейства Android.BankBot, атакующих клиентов банков множества стран, говорится на сайте антивирусной компании.

Некоторые модификации этих троянцев, известные также под именем Svpeng, опасны тем, что похищают деньги с банковских счетов пользователей мобильных Android-устройств и способны завершать работу целого ряда антивирусных программ. Android.BankBot знакомы специалистам по информационной безопасности уже несколько лет. Однако широкую известность они получили лишь в начале апреля 2015 года, когда [rubricator=155]МВД[/rubricator] России сообщило о задержании киберпреступников, использовавших несколько модификаций этих вредоносных приложений при реализации атак на клиентов ряда российских и иностранных кредитных организаций.

Несмотря на то, что деятельность этих злоумышленников была пресечена, распространение данных троянцев другими вирусописателями продолжилось, о чем свидетельствует появление очередных модификаций банкеров, предупреждает «Доктор Веб».

ESET на своем сайте предупредила о росте активности трояна Win32/TrojanDownloader.Waski, нацеленного на пользователей из Европы.

Троян-загрузчик Win32/TrojanDownloader.Waski известен с 2013 года. В настоящее время он все более активно используется киберпреступниками. Среди пострадавших преобладают пользователи из Великобритании, Ирландии, Литвы, Испании, Украины, а также Турции и Канады.

Waski распространяется в спам-рассылке, имитирующей официальные сообщения с корпоративных адресов электронной почты. По мнению экспертов ESET, некоторые отправители реально существуют, и их ПК, рассылающие спам, входят в состав ботнета. Обнаруженные сообщения написаны на английском и немецком языках, но встречаются и другие варианты. Файл Waski, замаскированный под документ pdf, содержится в приложенном к письму архиве.

После установки троян обращается к удаленному серверу, направляет данные о зараженном ПК и загружает другие вредоносные программы. Выполнив эти действия, Waski передает на командный сервер информацию об успешном заражении.

Специалисты компании «Доктор Веб» исследовали образец новой вредоносной программы, способной выполнять поступающие от злоумышленников команды и похищать различную информацию на инфицированных устройствах. Об этом говорится в сообщении «Доктор Веб».

Троянец распространялся киберпреступниками в ходе таргетированной атаки, направленной на один из крупных российских концернов, в состав которого входят многочисленные предприятия преимущественно оборонного профиля.

Троянец BackDoor.Hser.1 распространялся с помощью целевой почтовой рассылки. Среди прочего, вредоносная программа способна по команде передавать на удаленный сервер список активных процессов на зараженном ПК, загрузить и запустить другое вредоносное приложение, а также открыть командную консоль и выполнить перенаправление ввода-вывода на принадлежащий киберпреступникам сервер, благодаря чему злоумышленники получают возможность дистанционного управления инфицированным компьютером.

Сигнатура троянца BackDoor.Hser.1 добавлена в вирусную базу Dr.Web, и потому эта вредоносная программа более не представляет опасности для пользователей.

В Symantec сообщили о новом трояне-шпионе, получившем название Trojan.Laziok. Вредонос действует в качестве разведывательного инструмента, позволяющего злоумышленникам собрать необходимую информацию для адаптации методов атаки на каждый скомпрометированный компьютер.

В период с января по февраль текущего года эксперты зафиксировали многоступенчатую кампанию, нацеленную на размещенные по всему миру энергетические предприятия. Под особо пристальное внимание злоумышленников попали

Средневосточные компании. Самым таргетируемым регионом оказались Объединенные Арабские Эмираты (25%), чуть меньше случаев инфицирования зарегистрировано в Саудовской Аравии, Пакистане и Кувейте (по 10% в каждой стране), на последнем месте оказались Камерун, Колумбия, Уганда, Катар, Оман, Индия, Индонезия, США и Великобритания (по 5%), пишет securitylab.ru.

Компания «Доктор Веб» предупреждает пользователей о распространении троянца-шифровальщика Trojan.Encoder.514, которого злоумышленники массово рассылают по каналам электронной почты. В настоящий момент расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.514, не представляется возможной, сообщает пресс-служба «Доктор Веб».

На протяжении последних нескольких месяцев злоумышленники организовали множество спам-кампаний по распространению различных версий троянцев-шифровальщиков. Так, на текущей неделе участились случаи массовых рассылок по электронной почте посланий якобы от имени службы по передаче факсов через Интернет, имеющих заголовок «Incoming Fax Report».

В приложении к письму под видом факсимильного сообщения содержится ZIP-архив, внутри которого располагается вредоносный SCR-файл, являющийся исполняемым в операционных системах семейства Microsoft Windows. Данные SCR-файлы детектируются антивирусным ПО Dr.Web как Trojan.DownLoader11.32458.

Специалисты «Доктор Веб» провели исследование троянца-бэкдора, способного заражать компьютеры под управлением Windows. Вредоносная программа, получившая наименование BackDoor.Yebot, может выполнять на инфицированной машине широчайший диапазон деструктивных действий, в частности, запускать собственный FTP и прокси-сервер, искать различную информацию по команде злоумышленников, фиксировать нажатие пользователем клавиш, передавать на удаленный сервер снимки экрана и многое другое.

BackDoor.Yebot распространяется с использованием другой вредоносной программы, добавленной в вирусные базы Dr.Web под именем Trojan.Siggen6.31836.

Запустившись на атакуемом компьютере, это опасное приложение встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe, после чего, отправив на удаленный сервер соответствующий запрос, загружает и расшифровывает BackDoor.Yebot, настраивает его в памяти компьютера и передает ему управление, сообщает сайт компании «Доктор Веб».

«Доктор Веб» исследовал нового троянца, предназначенного для заражения Android-устройств. По команде злоумышленников это вредоносное приложение способно красть различные конфиденциальные данные, отправлять СМС, совершать телефонные звонки, а также выполнять множество других опасных действий, говорится в сообщении антивирусной компании.

Программа, получившая имя Android.Titan.1, предназначена для атаки на южнокорейских пользователей и распространяется киберпреступниками с применением рассылки нежелательных СМС-сообщений. В отправляемых злоумышленниками СМС говорится о якобы задерживающейся доставке некоего почтового отправления, а также указывается ссылка, переход по которой предполагает получение подробных сведений о возникшей «проблеме».

В действительности же эта ссылка ведет на одну из страниц популярного облачного сервиса хранения данных, где вирусописатели разместили троянца Android.Titan.1. Если потенциальные жертвы попытаются посетить указанный веб-адрес, вместо ознакомления с ожидаемой информацией на их мобильные устройства будет автоматически загружен apk-файл вредоносного приложения. Однако для того, чтобы данный троянец заразил операционную систему, неосторожные пользователи должны самостоятельно выполнить его установку.

«Лаборатория Касперского» обнародовала материалы расследования деятельности хакерской группы Carbanak, сумевшей провернуть крупнейшую кибераферу в истории, украв у банков около миллиарда долларов. Портал Банки.ру разбирался в механике дерзкой атаки.

Специалисты компании «Доктор Веб» провели исследование новой версии троянца для Mac OS X, получившего наименование Mac.BackDoor.OpinionSpy.3. Семейство троянцев Mac.BackDoor.OpinionSpy известно еще с 2010 года, однако недавно в лабораторию «Доктор Веб» попал новый экземпляр данной программы, говорится на сайте антивирусной компании.

Для своего распространения Mac.BackDoor.OpinionSpy.3 использует трехступенчатую схему. На различных сайтах, предлагающих всевозможное ПО для Mac OS X, появляются с виду безобидные программы, в составе дистрибутивов которых, тем не менее, присутствует файл poinstall, запускаемый инсталлятором в процессе установки.

Если во время инсталляции загруженного с такого сайта приложения пользователь соглашается предоставить ему права администратора, poinstall отправляет на сервер злоумышленников серию POST-запросов, а в ответ получает ссылку для скачивания пакета с расширением .osa, внутри которого располагается ZIP-архив.

Рoinstall распаковывает этот архив, извлекая исполняемый файл с именем PremierOpinion и XML-файл с необходимыми для его работы конфигурационными данными, после чего запускает эту программу.

Компания «Доктор Веб» предупредила пользователей о начавшейся на этой неделе массовой почтовой рассылке, с использованием которой злоумышленники распространяют опасную вредоносную программу-загрузчик.

Основное предназначение этого приложения — скачивание и запуск на инфицированном компьютере троянца-шифровальщика Trojan.Encoder.686, представляющего для пользователей серьезную угрозу, поскольку пострадавшие от его действия файлы в настоящее время не поддаются расшифровке. Троянец-загрузчик, добавленный в вирусную базу Dr.Web под наименованием Trojan.DownLoad3.35539, распространяется злоумышленниками при помощи массовой спам-рассылки в виде вложенного в сообщения электронной почты ZIP-архива. Специалисты «Доктор Веб» зафиксировали случаи распространения сообщений, содержащих опасное вложение, на разных языках, в том числе английском, немецком и даже грузинском.

Компания «Доктор Веб» сообщает о появлении нового банковского троянца, атакующего южнокорейских пользователей Android.

Данная вредоносная программа, внесенная в вирусную базу Dr.Web под именем Android.BankBot.35.origin, представляет весьма серьезную угрозу: она пытается заменить настоящие приложения типа «банк-клиент» их поддельными копиями, способна по команде злоумышленников отправлять и блокировать СМС-сообщения, красть конфиденциальную информацию, а также загружать дополнительные модули, расширяющие ее функционал.

Android.BankBot.35.origin распространяется злоумышленниками в составе другой вредоносной программы, внесенной в вирусную базу как Android.MulDrop.46.origin. Данный троянец представляет собой дроппера и может быть загружен пользователями под видом различных приложений. В настоящий момент специалистам компании «Доктор Веб» известны случаи, когда Android.MulDrop.46.origin выдается киберпреступниками за популярный веб-браузер, однако выбор образа для маскировки этой вредоносной программы ограничивается лишь фантазией вирусописателей.