Мошенники распространяют Android-троянца, от имени Avito.ru

Для достижения своих целей предприимчивые киберпреступники уже не раз эксплуатировали образ той или иной известной компании или торговой марки, при помощи которого можно вызвать интерес и доверие определенного круга пользователей. Чаще всего интернет-мошенники применяют такую тактику с целью похищения конфиденциальной информации, фишинга, продвижения сомнительных сервисов, а также для распространения вредоносных приложений. 

Именно последний сценарий использовался в недавно зафиксированной специалистами компании «Доктор Веб» атаке: злоумышленники, используя имя и популярность сервиса бесплатных объявлений Avito.ru, организовали рассыку СМС-спама, при помощи которого распространялся Android-троянец.

В полученном пользователями СМС, якобы отправленном популярной службой бесплатных объявлений Avito.ru, сообщалось о появившемся отклике на размещенное ранее объявление, а также находилась ссылка, по которой требовалось перейти для ознакомления с ним. Таким образом, целевой аудиторией данной атаки в большей степени являлись настоящие клиенты сервиса, в действительности ожидавшие ответа на свое объявление. Однако после перехода по указанному адресу вместо предполагаемой веб-страницы пользователи попадали на мошеннический сайт, с которого происходила загрузка троянца Android.SmsSpy.88.origin, представляющего собой СМС-бота, сообщает news.drweb.com.

 

После установки и запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства (весьма популярный в настоящее время метод самозащиты вредоносных Android-программ), после чего удаляет значок с главного экрана операционной системы. Далее при помощи СМС-сообщения троянец передает злоумышленникам ряд общих данных о зараженном мобильном устройстве: его название и производителя, IMEI-идентификатор, сведения об операторе, а также об используемой версии операционной системы. Затем вредоносная программа соединяется с удаленным сервером и ждет от него поступления команд, среди которых могут быть указания на запуск или остановку сервиса по перехвату входящих СМС, отправку коротких сообщений с заданным текстом на указанный номер, осуществление вызовов, а также рассылку СМС по всем имеющимся в телефонной книге контактам.

Кроме того, злоумышленники могут управлять троянцем и при помощи СМС-сообщений. В таком видеAndroid.SmsSpy.88.origin способен принимать команды на отправку СМС с заданными параметрами, а также на включение или отключение безусловной переадресации для всех входящих телефонных звонков.

Помимо указанной версии троянца, специалистами компании «Доктор Веб» также были выявлены и другие его модификации (например, Android.SmsSpy.15 и Android.SmsSpy.17 и Android.SmsSpy.21), в которых была использована обфускация кода, призванная осложнить анализ вредоносных программ, а также снизить вероятность их обнаружения антивирусными средствами. С момента внесения данных угроз в вирусную базу компании антивирусные продукты Dr.Web для Android обнаружили их более чем у 2 300 пользователей. Таким образом, почти за месяц эти троянцы успели получить весьма широкое распространение.Таким образом, обладая весьма типичным функционалом по рассылке СМС-сообщений, данный троянец выделяется способностью выполнить переадресацию вызовов на заданный злоумышленниками номер, что фактически позволяет им установить контроль над всеми поступающими звонками. На практике это дает киберпреступникам возможность не только получить доступ к различной конфиденциальной информации, но также в некоторых случаях осуществить целый ряд мошеннических действий.

Стоит отметить, что в случае предоставления некоторым из этих модификаций привилегий администратора устройства неопытные пользователи могут столкнуться с затруднениями при попытке их удаления, т. к. соответствующая опция в системном меню в дальнейшем становится недоступной. Чтобы успешно деинсталлировать этих троянцев, потребуется либо ручной отзыв соответствующих прав, либо использование антивирусного приложения, способного бороться с подобными угрозами.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Нейробраузер Яндекса ежедневно пресекает 1,5 млн визитов к фишерам

С начала тестирования обновленный Яндекс Браузер выявил более 400 тыс. мошеннических сайтов. Встроенная нейросеть позволяет ежедневно фиксировать 1,5 млн попыток перехода на фишинговые ресурсы, в 90% случаев юзер при этом использует телефон.

Проверка сайтов теперь осуществляется в реальном времени. При подозрении на фишинг Браузер запускает глубокий анализ с привлечением серверов «Яндекса». Ресурс проверяется по сотням параметров: когда создан, на кого зарегистрирован, как часто посещается и каким способом (по ссылкам или напрямую), появляется ли в поисковой выдаче и т. п.

Данные пользователей и текстовое содержимое страниц при этом на серверы не передаются. Комплексная проверка длится менее 0,01 секунды; если сайт опасен, пользователю выводится предупреждение.

Ранее такая защита работала иначе. Фишинговые сайты отыскивал в Сети поисковый робот «Яндекса», заходя на сомнительные страницы по несколько раз в сутки. Оценка производилась с помощью ML-моделей на сервере; опасные ресурсы заносились в базу, и Браузер с ней сверялся каждый раз, когда пользователь заходил на новый ресурс.

Весь процесс занимал много времени, от нескольких часов до суток. Столько в среднем и живут фишинговые сайты, и солидное количество по этой причине не попадало в базу «Яндекса».

Теперь клиентская нейросеть помогает выявлять не только ловушки-однодневки, но также новые приманки фишеров — такие как фейки приложений подсанкционных банков и платформ для работы с криптобиржами.

Каждый месяц через Яндекс Браузер в Сеть выходят свыше 85 млн человек. Запуск версии со встроенными нейросетями состоялся в прошлом месяце. Новые функции доступны на десктопах Windows, macOS, Linux, а также на мобильных устройствах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru