«Доктор Веб» об итогах вирусной активности в августе

Август в плане информационной безопасности выдался без сенсаций, но назвать его ненасыщенным тоже нельзя. В течение месяца проявили себя троянцы, шифровальщики и Trojan.Mayachok, разработанные даже под Linux. Эксперты «Доктора Веб» подготовили отчет об итогах месяца, в котором отражается несколько инцидентов с различными вредоносными приложениями.

Главной мишенью злоумышленников в августе стала конфиденциальная информация пользователей на мобильных Android-устройствах. Также процветали методики получения нелегальной прибыли. Программы шифровальщики использовались для шифровки данных на корпоративных серверах, в том числе бухгалтерских баз, документации и другой важной информации, со всеми вытекающими последствиями. С помощью банковских троянцев фиксировались кражи средств с корпоративных счетов, при этом в подобных атаках нередко использовались мобильные троянцы – например, с их помощью обходилась двухфакторная аутентификация.

Согласно собранной Dr.Web CureIt! статистике, больше всего угроз в августе исходило со стороны плагинов для браузеров, используемых злоумышленниками для демонстрации навязчивой рекламы. Также не произошло в течение августа существенного изменения в поведении и численности ботнетов. В среднесуточной активности ботнетов Win32.Sector, Win.Rmnet.12 и BackDoor.Flashback.39 не наблюдалось существенных колебаний.

Что до мобильных угроз, то большая их часть в августе была направлена на взлом Android-устройств. Например, прошла атака на китайских пользователей Android-устройств, в результате чего они потеряли конфиденциальную информацию,а их смартфоны и были использованы для рассылки СМС-спама. Наиболее заметным блокировщиком августа стал троянец Android.Locker.27.origin. Киберпреступники распространяли данную вредоносную программу под видом антивирусного приложения. Далее, вымогатели работали по уже отработанной схеме: предлагали разблокировку Android-устройства за определенную плату.

Многим жителям США пришлось несладко от деятельности вредоносной программы Android.Locker.29.origin, блокировавшей смартфоны и требовавшей выкуп за разблокировку. Согласно открытой статистике, за месяц этой программой заразилось порядка 900 000 гаджетов на Android. Стремительному распространению блокировщика способствует маскировка под легитимные приложения и антивирусное ПО.

Хоть мобильные Android-троянцы и дальше распространяются с помощью СМС-спама, в августе появились и новые вариации доставки вредоносных программ на устройства пользователей. Так, в конце месяца началась рассылка спама, завлекавшего пользователей информацией о конфликте на востоке Украины. В спам-сообщениях содержалась ссылка на программу, с помощью которой якобы можно совершить атаку на интернет-сайты правительства Украины. В действительности пользователи устанавливали на свой компьютер приложение BackDoor.Slym.3781, которое подключало зараженное устройство к бот-сети Kelihos с последующей кражей конфиденциальной информации. В «Доктор Веб» установили место расположение командных серверов: Украина, Польша и Республика Молдова.

Например, в августе специалисты по информационной безопасности зафиксировали массовую спам-рассылку сообщений на электронную почту с ссылкой на загрузку троянца Android.Backdoor.96.origin. Он способен выполнять на устройствах жертв различные сценарии по удаленным командам злоумышленников. В частности, он крал различные конфиденциальные сведения, СМС-сообщения, списки контактов, историю веб-серфинга и отслеживал координаты зараженного устройства по GPS. Вредоносная программа автоматически активировала микрофон устройства для прослушивания, выполняла USSD-запросы, выводила на экран различные сообщения, а также записывала все звонки в аудиофайлы, которые благополучно отправлялись с прочими данными на удаленные сервера злоумышленников.