Литва показывает рост вредоносной активности в собственных автономных системах

Литва показывает рост вредоносной активности

Group-IB совместно с сообществом HostExploit представляет очередной отчет Топ 50 «Самые плохие сети и хосты» по итогам третьего квартала 2011 года (The Q3 Top 50 Bad Hosts & Networks Report). Исследование показало резкий рост вредоносной активности в автономных системах Литвы.



Нынешний отчет по итогам третьего квартала 2011 года был подготовлен на основании исследования 39 056 зарегистрированных автономных систем, что на 1 056 больше, чем было в конце второго квартала.

В третьем квартале 2011 года позицию № 1 в списке самых опасных хостов занимает американский хостинг-провайдер AS33626 Oversee.net. Его Индекс HE составил 292,7. Он также занял первые строчки в категориях «Вредоносное ПО» и «Зараженные сайты».

Стоит отметить, что Oversee.net не единственная американская система, занявшая самые высокие места. Так, AS10297 eNET сохранила как третью строчку в общем рейтинге, так и первую позицию в категории «Фишинговые серверы». С другой стороны, США за последнее время сделали серьезный шаг к снижению зловредной деятельности в собственных автономных системах. В третьем квартале только 16 хостов из списка Топ 50 располагаются в этой стране, тогда как в прошлом отчете данная цифра составляла почти половину (23) от общей суммы.

Самый «выдающийся» хост данного квартала — система из Литвы AS47583 Hosting Media, показавшая максимальный рост вредоносного содержания (22610,1 %). Ранее занимавший место в нижней части рейтинга, провайдер Hosting Media перепрыгнул на позицию № 2 по общему уровню активности киберпреступников, а также занял 1 место в категориях «Ботнеты» и «Эксплойт-серверы». К сожалению, печальные начинания Hosting Media поддержал другой литовский хост AS16125 Duomenu Centras. Эта система уверено возглавила список в категории «Zeus-ботнет».

Анализ вредоносной активности в сетях, расположенных в Российской Федерации, оставил двоякое впечатление. В этот раз в Топ 50 попали уже 5 российских систем, тогда как в прошлом квартале их было только три. Наиболее высокий средний рейтинг отечественные провайдеры получили в категории «Спам». В то же время AS41847 Webalta, которая в начале года являлась самым опасным хостом, продолжает снижать уровень вредоносной активности и наконец-то покинула Топ 10.

Тем не менее, нельзя не выделить системы, которые показали значительное улучшение в плане снижения уровня активности киберпреступников. Более всего отличилась AS50693 Konsing Group из Сербии, Индекс НЕ которой снизился на 99,1 %. Наименьший уровень вредоносной активности в этом квартале показала AS38333 Symbio-AS-AU-AP, расположенная в Австралии. Ее Индекс НЕ составил всего 0,37.

Android-троян Glitch SPY превращает смартфоны в шпионский пульт

Исследователи обнаружили новую Android-платформу для удалённого доступа под названием Glitch SPY, которая распространяется через фейковый сайт аренды квартир и домов. Пользователю предлагают скачать приложение для бронирования и связи с владельцами жилья, а на деле подсовывают вредоносный APK.

Схема начинается с загрузчика Brokewell Android Loader. Он показывает вполне правдоподобный интерфейс сервиса аренды, просит разрешить установку из неизвестных источников, а затем незаметно разворачивает на устройстве Glitch SPY.

Главный рычаг управления — злоупотребление специальными возможностями Android (Accessibility Service). После выдачи этих прав троян получает почти полный контроль над смартфоном: может читать содержимое экрана, нажимать кнопки, выполнять жесты, подтверждать разрешения, взаимодействовать с экраном блокировки и помогать операторам проводить мошеннические операции прямо с устройства жертвы.

По данным Cyble, Glitch SPY поддерживает более 70 команд. Среди них есть, например, трансляция экрана, скриншоты, кейлоггинг, кража СМС и контактов, отслеживание геолокации, запись с камеры и микрофона, управление файлами, выполнение шелл-команд и изменение настроек администрирования устройства.

 

Отдельная неприятность — встроенный клиппер. Если пользователь копирует адрес криптокошелька, вредонос распознает популярные форматы Bitcoin, Ethereum, TRON и других сетей, после чего подменяет адрес на кошелек злоумышленников. Перевод вроде бы отправлен куда надо, но деньги уезжают совсем не туда.

Еще одна опасная функция — скрытый браузер на базе WebView. Атакующие могут открывать сайты, заполнять формы, нажимать элементы и выполнять JavaScript с IP-адреса жертвы и с ее активными сессиями. Для антифрода это выглядит куда убедительнее, чем вход с чужого устройства.

Исследователи также нашли админ-панели с брендингом Glitch SPY, что указывает на инфраструктуру билдера. Операторы могут менять название приложения, пакет, иконку, страницу, набор функций и уведомления в Telegram.

RSS: Новости на портале Anti-Malware.ru