Доктор Веб: Вирусные угрозы в апреле 2011 года

image

Теги: Доктор Веб, вирус, вредоносное ПО

Самые интересные вирусные события апреля оказались связаны с мобильной платформой Android — именно на ней сосредоточили своё внимание вирусописатели.

Самые интересные вирусные события апреля оказались связаны с мобильной платформой Android — именно на ней сосредоточили своё внимание вирусописатели. Помимо этого, прошедший месяц ознаменовался традиционным уже обнаружением уязвимостей в продукции Adobe. Как и в прошлые месяцы, топовые мировые новости нашли своё отражение в тематике спам-рассылок и мошеннических действиях в социальных сетях. На этот раз спаммеры воспользовались королевской свадьбой в Великобритании.

Новые вредоносные программы для мобильных платформ

В апреле был зафиксирован первый полноценный бэкдор для Android, уже насчитывающий две известные модификации. Android.Crusewind использует ряд новых приёмов распространения и не встречавшуюся ранее нагрузку. Жертва получает сообщение, похожее на следующее: «Получены обновления настройки MMS/GPRS/EDGE. Для активации пройдите по ссылке: http://.../flash/MM329.apk». При переходе по указанной ссылке пользователь получает троянский APK — дистрибутивный пакет ОС Android (в этом формате хранятся дистрибутивы в магазине Android Market).

После установки троянец скачивает со своего командного центра конфигурационный файл в формате XML. При этом вредоносная программа обладает достаточно серьёзным набором функций. Например, она способна рассылать SMS-сообщения по команде с сервера.

В ходе усложнения мобильных ОС и увеличения производительности смартфонов вредоносные программы под эти платформы также усложняются, приближаясь по своим характеристикам к вирусам для персональных компьютеров. Появления подобной Android.Crusewind программы следовало ожидать уже давно. Можно предположить, что по мере распространения антивирусного ПО для мобильных платформ вирусописатели перенесут на них свойства и других классов троянцев под платформу x86. Таких, например, как руткиты.

Также было обнаружено несколько новых троянских программ под мобильную ОС Android. Появились новые модификации троянцев Android.Spy и Android.SmsSend.

Android.Spy.54 был обнаружен на китайском ресурсе www.nduoa.com, который представляет собой сборник различных приложений для платформы Android. Троянец был встроен в программу Paojiao — виджет, позволяющий совершать звонки или отсылать SMS на выбранные номера. Распространение в составе легитимных программ является стандартной моделью для вредоносных программ семейства Android.Spy.

Новая модификация Android.Spy регистрирует фоновый сервис, который соединяется с сервером злоумышленников, отсылая им идентификационные данные жертвы (в частности, международный идентификатор мобильного оборудования IMEI и индивидуальный номер абонента IMSI). Кроме того, троянец загружает конфигурационный xml-файл, содержащий команды для спам-рассылки SMS с телефона жертвы и добавления определенных сайтов в закладки браузера.

Adobe продолжает «радовать» пользователей

В марте мы уже сообщалось  о критической уязвимости в продукции Adobe. Причём тогда традиционный для таких уязвимостей термин 0-day в буквальном смысле превратился в 0-week: уязвимость закрывали в течение недели, в то время как в публичном доступе находилось несколько образцов ее эксплуатации.

8 апреля 2011 года стало известно о новой уязвимости CVE-2011-0611, а вскоре появились подробные технические описания и реализации уязвимости. Как и в случае с прошлым инцидентом, речь идёт о внедрении троянского SWF-объекта в документ MS Office (DOC-файл) и в файлы PDF. Вскоре появились и образцы спам-рассылок, содержащих эксплойты уязвимости Exploit.Rtf.based и Exploit.PDF.2177.

Массовые рассылки и поддельное антивирусное ПО

Также в прошедшем месяце были зафиксированы массовые рассылки, содержащие многочисленные модификации примитивного троянца Trojan.Download.64325. В течение двух недель было обнаружено несколько разновидностей этого загрузчика. Троянец загружал на компьютер жертвы Trojan.FakeAlert.20509. Рассылка велась через ботнет BlackEnergy. Анализ активности этого ботнета выявил в списке рассылки значительные группы корпоративных адресов, принадлежащих, в частности, фармакологическим компаниям, таким как SecureMedical Inc., что подразумевает возможность утечки баз данных почтовых адресов и передачи их в руки спамеров.

Мошеннические ссылки и активность в социальных сетях

Мошенники в социальных сетях продолжают эксплуатировать интерес пользователей к популярным новостям, при этом не считаясь ни с какими этическими нормами. Несколько несчастных случаев в парках аттракционов попали на видео и получили широкую огласку. Впоследствии новости о несчастных случаях были использованы злоумышленниками в качестве темы для рассылки в Facebook, чтобы спровоцировать переход пользователя по троянской ссылке.

В других случаях в качестве наживки использовались новости о королевской свадьбе в Великобритании. При этом пользователь, переходящий по этим ссылкам, попадал на сайт, распространяющий поддельное антивирусное ПО.

Заключение

Можно с уверенностью говорить о том, что наметился и окончательно оформился новый вектор вирусных атак. Злоумышленники проявляют растущий интерес к мобильным платформам. В настоящее время происходит перенос наработок и накопленного опыта вирусописателей для PC на платформу Android, очевидное усложнение и большее разнообразие троянского ПО под нее. Скорее всего, конкурирующей платформе iOS в ближайшем будущем злоумышленники также уделят внимание.


или введите имя

CAPTCHA
Андройд
04-05-2011 22:23:26
Ой-ой-ой, испугали! Как и во всех подобных случаях, угроза исходит в первую очередь от самого пользователя, его кривых ручонок и неработающего /dev/head. Переходить по ссылкам из спама, устанавливать софт из сомнительных источников, не вчитываться в предупреждающие сообщения... всё это ТАК знакомо и так наивно. Вот этой наивностью и пользуются, как вирмэйкеры так и создатели АВ. Кстати, дядя Женя уже замахнулся на Android?
0 |
Все правильно
05-05-2011 12:22:23
во первых в виндовсе нет /dev/head , во вторых - там где имя директории пишется через / а не через - вирусов не-бы-ва-ет )))))))) только благодаря микрософтам стало возможно такое массовое явление как спам и дос-атаки
0 |
Gribodemon
05-05-2011 12:45:07
Если вы о Жене Касперском, то уже давно: http://www.kaspersky.ru/protect-smartphone
0 |
serj
16-09-2011 13:52:29
Нужно проверять сотик каждый раз когда соединяю с компом, хотя время не очень все просиживаю на http://www.paystudy.ru/ и кроме этого использую только винду.
0 |