Лаборатория Касперского фиксирует снижение доли спама в августе

Лаборатория Касперского фиксирует снижение доли спама в августе

В августе доля нежелательной корреспонденции в глобальном почтовом трафике, по подсчетам «Лаборатории Касперского», составила 67,6%, что на 3,6% ниже июльского показателя. Если это и связано с сезоном отпусков, то отдыхать уехали самые безобидные спамеры: доля фишинговых писем по сравнению с предыдущим месяцем увеличилась более чем в 10 раз, а доля писем с вредоносными вложениями – в два с половиной, составив в итоге 5,6% от всех электронных сообщений. Таковы результаты исследования спам-активности за август 2013 года.

Тематика рекламных писем в очередной раз была продиктована сезоном. Специалисты «Лаборатории Касперского» зарегистрировали множество разнообразных рекламных рассылок, эксплуатировавших тему Дня знаний. Как обычно распространители этих писем использовали зашумление заголовков и номеров телефона, чтобы затруднить обнаружение спам-фильтрам. Также спамеры использовали введение изменений системы штрафов с 1 сентября для рекламы пленок, скрывающих номер машины от видеокамер, и других услуг и аксессуаров для автомобилей.

История с мошенническими сайтами по «оплате» штрафов ГИБДД получила продолжение. Эксперты «Лаборатории Касперского» зафиксировали рассылки, в которых злоумышленники предлагали пользователю узнать обо всех задолженностях, включая штрафы, кредиты и налоги. Набор требующихся для этого данных более или менее «стандартный»: паспортные данные, ИНН, номера свидетельств и других документов. Так мошенники собирали информацию о гражданах РФ, которая в дальнейшем могла быть использована для различных махинаций. При этом некоторые сайты требовали подтверждения мобильного номера отправкой SMS, за которое с пользователя без предупреждения списывалась значительная сумма.

 

Серия писем, распространяющих зараженные вложения и ссылки на троянские программы


Вредоносные вложения в письмах стали встречаться в два с половиной раза чаще по сравнению с июлем. Несмотря на то, что сезон отпусков подходит к концу, мошенники продолжают активно рассылать письма-подделки, сообщающие о несуществующем бронировании авиабилетов и отелей – имена наиболее известных компаний этой сферы постоянно находятся в арсенале спамеров. Адрес отправителей фишинговых писем на первый взгляд кажется вполне легитимными, что может усыпить бдительность пользователя. В письме жертву под разными предлогами просят открыть вредоносное вложение или пройти по ссылке, инициирующей загрузку файла на жесткий диск. В обоих случаях компьютер пользователя заражается троянцем Tepfer, занимающимся кражей логинов и паролей.

Доля фишинговых писем увеличилась в десять раз. В августе «Лаборатория Касперского» зафиксировала рассылку писем, якобы пришедших с официального адреса Apple и просивших пользователя подтвердить реквизиты аккаунта iTunes, пройдя по прилагаемой ссылке. Вместе с тем, наиболее часто используемыми для фишинга организациями по-прежнему остались социальные сети.

Тройка стран-лидеров, рассылающих в совокупности более половины спама в мире, не изменилась – это по-прежнему Китай, США и Южная Корея. Однако изменения произошли в Рунете: на вторую строчку с седьмого места переместилась Россия, с территории которой в августе было разослано более 10% нежелательной корреспонденции.

«В летний период спам становится значительно опаснее, возрастает не только количество мошеннических сообщений, но и писем, содержащих вредоносные файлы. Помните, что известные организации очень редко просят передавать личные данные, внезапно подтверждать реквизиты аккаунта или открывать вложения. В подобных случаях лучше связаться со службой поддержки организации, от имени которой пришло письмо, и выяснить, была ли такая рассылка на самом деле», – делится рекомендациями Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru