Хакеры замаскировали вирус под обновление мобильного браузера Opera

Александр Панасенко 29 Октября 2011 - 14:47

...

Специалисты антивирусной компании F-Secure обнаружили троянскую программу, ориентированную, по их мнению, на российских пользователей, маскирующуюся под обновления браузера для мобильных устройств Opera Mini и незаметно отсылающую SMS на платные номера, сообщила в пятницу компания на своем сайте.

К выводу о том, что атака ориентирована преимущественно на пользователей из РФ, эксперты пришли, проанализировав ее детали.

Во-первых, троянец, получивший название OpFake, маскируется под обновление Opera Mini - одного из самых популярных в России мобильных браузеров. Во-вторых, большинство обнаруженных специалистами образцов вредоносного ПО предназначены для установки на ОС Symbian, на которой работают популярные в России телефоны Nokia, сообщает сайт digit.ru.

В-третьих, для монетизации своей преступной деятельности мошенники используют платные короткие номера, что является отличительной чертой именно российского рынка киберпреступности. Специалисты также утверждают, что сервер, с которого осуществляется загрузка вредоносных программ, находится в Санкт-Петербурге.

В техническом плане в том, как действует троянец, нового немного: попав в телефон, троянская программа предлагает установить важное обновление. Если пользователь выражает согласие нажатием соответствующей кнопки, ему демонстрируется изображение, отображающее ход установки, но никакой установки не происходит - вместо этого система тайно отсылает SMS на платные номера.

Помимо отсылки SMS, программа управляет папкой SMS-сообщений телефона: удаляет входящие сообщения и сообщения из папки "отправленные", - то есть делает все, чтобы владелец телефона максимально долго не знал о том, что с его счета исчезают деньги.

Необычным, по мнению специалистов, является тот факт, что обнаруженные им троянцы используют код мобильного банковского троянца Spitmo. Обычно Spitmo используется хакерами в паре с известным банковским троянцем SpyEye. В этих случаях Spitmo отвечает за обход системы двухфакторной аутентификации, которые используют многие системы дистанционного банковского обслуживания для того, чтобы обезопасить банковские операции своих клиентов, осуществляемые в интернете.

Однако в случае с OpFake, функционал Spitmo, связанный с управлением папками SMS в зараженном смартфоне, используется как основное орудие нечестного заработка хакеров.

Всего специалисты F-Secure обнаружили 54 модификации OpFake, использующие код Spitmo. Вероятно, в будущем их количество возрастет: хакеры создают разные версии своих вредоносных программ, в том числе для того, чтобы затруднить их обнаружение антивирусами.

Чтобы не стать жертвой хакеров, специалисты советуют устанавливать обновления программ только из доверенных источников: например, официальных сайтов производителей ПО.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Апреля 2026 - 19:59

Ideco NGFW Novum Корпорации Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) Айдеко

В Ideco NGFW Novum появились новые функции ZTNA, DNS-Security и SD-WAN

Компания Ideco представила обновление межсетевого экрана Ideco NGFW Novum. Новый релиз заметно расширяет функциональность продукта: в него вошли централизованное управление, доработки модуля защиты DNS, новые сценарии ZTNA и встроенные механизмы SD-WAN.

Одним из главных изменений стала платформа Ideco Center для централизованного управления.

В ней появилась поддержка высокопроизводительных контекстов и геораспределённого кластера из двух узлов в разных дата-центрах. При этом отказ одного из узлов, как заявляется, не должен прерывать управление инфраструктурой. Также добавлен централизованный сбор журналов IPS и WAF с возможностью выгрузки в SIEM.

Отдельно доработан модуль DNS-Security. В системе появился журнал DNS-запросов, где можно отслеживать обмен DNS-сообщениями при включённом логировании и активированном модуле защиты. Сам модуль предназначен для выявления угроз, которые не всегда видны обычным механизмам межсетевого экрана, включая DGA-домены, DNS-туннелирование, обращения к управляющей инфраструктуре, фишинговые и недавно зарегистрированные домены.

Изменения затронули и ZTNA-клиент. Теперь пользователя можно привязывать к конкретному устройству, а сертификат использовать как дополнительный фактор авторизации в VPN. Сертификаты можно выпускать через NGFW или использовать собственные. В сочетании с логином, паролем и одноразовым кодом это позволяет собрать многофакторную схему доступа.

В блоке SD-WAN появились SLA-профили. Это означает, что маршрутизация теперь может учитывать параметры вроде задержки, джиттера и потери пакетов. Если канал перестаёт соответствовать заданному профилю, узел NGFW может переключить маршрут. Все такие переключения фиксируются в журнале с указанием причины.

Кроме того, в релиз добавили интеграцию с базой ФинЦЕРТ. Благодаря этому в правилах межсетевого экрана, контент-фильтра и IPS можно использовать соответствующие индикаторы компрометации.

Изменения затронули и кластеризацию. В обновлении заявлены синхронизация FIB-таблицы и состояния LACP-интерфейсов между узлами, поддержка Graceful Restart для BGP и OSPF, синхронизация базы отчётов между нодами, а также ускорение переключения внутри кластера.

В части ИБ-функций добавлены защита от ICMP-туннелирования, авторизация администраторов по SSH-ключу и двухфакторная аутентификация для административного доступа.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!