Троянец-дозвонщик для Android не позволяет себя удалить

Троянец-дозвонщик для Android не позволяет себя удалить

Специалисты компании «Доктор Веб» обнаружили троянца-дозвонщика, который заражает мобильные устройства под управлением ОС Android и обладает серьезным механизмом самозащиты. Вредоносные программы, совершающие дорогостоящие звонки без согласия пользователя, известны давно.

Подобные угрозы были широко распространены в эпоху медленного интернет-соединения по технологии dial-up, когда связь осуществлялась с использованием модемов, а позднее нередко атаковали и мобильные устройства. Основная задача таких вредоносных программ – установить соединение с определенным телефонным номером (в большинстве случаев принадлежащим развлекательному сервису категории «для взрослых»), за что с абонентского счета жертвы списывается внушительная сумма, поступающая в карман злоумышленников. В настоящее время подобные программы встречаются не так часто, однако все еще используются мошенниками для получения незаконного заработка.

Новый Android-троянец, добавленный специалистами компании «Доктор Веб» в вирусную базу под именем Android.Dialer.7.origin, представляет собой классическую вредоносную программу-дозвонщик, совершающую звонки на премиум-номера. Троянец распространяется злоумышленниками под видом эротического приложения и после установки помещает на главный экран мобильного устройства свой ярлык, который не имеет подписи и значка, в результате чего у некоторых пользователей может сложиться ложное впечатление о том, что установка программы не удалась. В ряде случаев после запуска Android.Dialer.7.origin может продемонстрировать сообщение об ошибке доступа к запрошенной услуге, после чего окончательно скрывает следы своего пребывания в зараженной системе, удаляя созданный ранее ярлык и функционируя в дальнейшем в качестве системного сервиса. Помимо ручного запуска через ярлык, троянец активирует данный сервис автоматически, например, после очередного включения зараженного устройства, поэтому фактически для начала вредоносной деятельности не требуется никакого вмешательство пользователя.

Чтобы уменьшить вероятность обнаружения пользователем нежелательной активности, троянец отключает разговорный динамик мобильного устройства на время «телефонного разговора», а для окончательного сокрытия вредоносной деятельности удаляет из системного журнала, а также из списка совершенных звонков всю компрометирующую его информацию.Запускаемый Android.Dialer.7.origin сервис с определенной периодичностью осуществляет звонки на номер 803402470, информация о котором хранится в настройках троянца. Однако при необходимости киберпреступники могут изменить целевой номер дозвона, отдав вредоносному приложению соответствующую команду с управляющего сервера, – это увеличивает функциональную гибкость Android.Dialer.7.origin и позволяет его авторам заработать сразу на нескольких платных сервисах.

Однако главной особенностью этого дозвонщика является его способность противостоять попыткам пострадавшего пользователя удалить угрозу с зараженного мобильного устройства: как только жертва откроет раздел системных настроек, отвечающий за управление приложениями, Android.Dialer.7.origin заблокирует это действие, переведя пользователя на главный экран операционной системы. Таким образом, ручное удаление троянца становится практически невозможным.

Антивирусные продукты компании «Доктор Веб» детектируют и успешно удаляют данного троянца с защищаемых ими мобильных устройств, поэтому пользователи Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Lightнадежно защищены от этой угрозы. Если вы испытываете затруднения при удалении Android.Dialer.7.origin, воспользуйтесь встроенной в антивирус функцией аварийной разблокировки устройства, после чего повторите процедуру сканирования и лечения.

Infrascope 26.1 получил RDP Proxy с записью сессий и поиском по OCR

Компания NGR Softlab выпустила новую версию платформы управления привилегированным доступом Infrascope 26.1. В релизе разработчики расширили возможности работы с веб-приложениями, Kubernetes, RDP-сессиями и механизмами поведенческой аналитики.

Одним из главных изменений стала доработка безопасного доступа к корпоративным веб-приложениям.

Теперь платформа позволяет предоставлять пользователям и подрядчикам доступ без передачи им учетных данных. Infrascope автоматически подставляет необходимые логины и пароли, включая динамические, а также поддерживает URL-фильтрацию, которая ограничивает переход только по разрешенным адресам.

Еще одно заметное нововведение касается Kubernetes. В HTTP-прокси появилась расширенная поддержка команд kubectl, что позволяет централизованно контролировать обращения к кластерам, применять политики доступа и вести журнал всех выполняемых запросов. Эти данные могут использоваться при последующем аудите и расследовании инцидентов.

Разработчики также представили новый RDP Proxy. Он умеет записывать и воспроизводить RDP-сессии через веб-интерфейс, а поиск по архиву работает с использованием технологии OCR, позволяя искать нужные действия по тексту, отображавшемуся на экране во время удаленной сессии.

В версии 26.1 появилась поддержка Kerberos. Благодаря этому пользователи Active Directory могут автоматически входить в Infrascope под своей учетной записью Windows без повторного ввода логина и пароля.

Изменения затронули и систему поведенческой аналитики UEBA. В новой версии обновлены профили анализа поведения пользователей, а также добавлены модели на базе технологии DivergentGPT. По словам разработчика, это позволило повысить точность выявления аномальной активности и сократить количество ложных срабатываний при мониторинге действий привилегированных пользователей.

Обновление ориентировано на компании, использующие гибридную инфраструктуру, веб-приложения и Kubernetes, где требуется централизованный контроль доступа и аудит действий пользователей.

RSS: Новости на портале Anti-Malware.ru