PandaLabs обнаружила новую бот-сеть Kneber

Александр Панасенко 25 Февраля 2010 - 13:15

...

Лаборатория PandaLabs обнаружила цепь компьютеров-зомби, которая контролировалась с помощью бот-сети под названием «Kneber». PandaLabs сообщает, что на прошлой неделе бот-сетью «Kneber» было заражено порядка 75 000 компьютеров в 2 500 организациях по всему миру, а также пользовательские аккаунты в популярных социальных сетях. Kneber использует печально известный троян Zeus, который впервые появился в 2007 году и до сих пор продолжает заражать компьютеры.

Несмотря на то, что данный Троян появился давно и всем известен, компьютеры не были защищены от проникновения вредоносного кода. Почему это произошло? По мнению Луиса Корронса, технического директора PandaLabs, здесь можно сделать два вывода:

1)То, что не опубликовано – не существует. Журналисты начинают говорить об IT- угрозах только тогда, когда антивирусные компании отмечают уже «тысячи» инфекций. Нужно постоянно напоминать пользователям о необходимости защиты от Интернет-угроз, о том, что они могут коснуться любого.

2) Главной целью производителей решений безопасности является обнаружение новых угроз и изобретение способов защиты от них, однако этого недостаточно. Сегодня кибер-преступники действуют организованно и уже достигли такого уровня развития, что как только находится решение, мошенники менее чем за 24 часа адаптируют код ботов или троянов и перемещают сеть в другое место. Таким образом, они «обманывают» системы безопасности.

Криминальные организации ежемесячно зарабатывают миллионы долларов с помощью распространения бизнес-моделей по каналу, который обеспечивает максимальную анонимность. Отследить взломщиков очень сложно, так как они используют многочисленные уловки и технологии для кражи данных, рекрутинг «денежных мулов» для выполнения грязной работы и сокрытия следов настоящих преступников. Ситуацию усугубляет и недостаток адекватно обученных, опытных специалистов по безопасности.

«Чтобы эффективно бороться с кибер-преступниками, необходимо публиковать новости с яркими заголовками, сотрудничать с силами безопасности и администрациями зараженных стран. Мы должны заставить людей понять, что это реальная серьезная проблема на всех уровнях - от бизнеса и пользователей до правительств и институтов. Вопрос регулирования этой проблемы должен стать приоритетным. В свою очередь, это повлечет за собой необходимость донести до широкой публики информацию о том, что обучение и информирование о безопасности – это ежедневная работа, а не просто просмотр заголовков с анекдотическими историями, которые абсолютно не отражают реальную ситуацию. Это - единственный способ показать пользователям настоящее положение вещей и начать совместную работу над улучшением ситуации, которая стремительно ухудшается», - говорит Корронс.

Источник

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Екатерина Быстрова 19 Февраля 2026 - 14:59

Android Трояны Домашние пользователи

Новый Android-троян Massiv маскируется под IPTV и крадёт деньги

Исследователи ThreatFabric рассказали о новом Android-трояне под названием Massiv, который используется для полного удалённого захвата устройства с последующим хищением денег. Зловред маскируется под безобидные IPTV-приложения. Схема простая: пользователю через СМС-фишинг предлагают установить приложение для онлайн-ТВ.

После запуска «плеер» просит поставить «важное обновление» и разрешить установку из сторонних источников. На деле вместе с этим на устройство попадает троян.

По данным ThreatFabric, Massiv уже замечен в ряде целевых кампаний. Несмотря на ограниченный масштаб, риск для пользователей мобильного банкинга серьёзный: операторы получают возможность полностью управлять заражённым смартфоном и проводить финансовые операции от имени жертвы.

Троян умеет многое: перехватывать СМС, записывать нажатия клавиш, транслировать экран через MediaProjection API, показывать фейковые оверлеи поверх банковских приложений и красть логины, пароли и данные карт.

В одном из случаев злоумышленники атаковали пользователей португальского госприложения gov.pt, связанного с цифровой идентификацией (Chave Móvel Digital). Поддельный экран запрашивал номер телефона и ПИН-код, вероятно, для обхода процедур KYC.

ThreatFabric зафиксировала случаи, когда на основе украденных данных мошенники открывали банковские счета на имя жертв — для отмывания денег или оформления кредитов без их ведома.

Massiv также работает как полноценный инструмент удалённого управления. Он может выводить чёрный экран поверх интерфейса, отключать звук и вибрацию, выполнять клики и свайпы, менять содержимое буфера обмена, скачивать и устанавливать APK-файлы, а также открывать настройки оптимизации аккумулятора и Play Protect, чтобы обойти защиту.

Если приложение защищено от записи экрана, троян использует так называемый «UI-tree mode». Он анализирует структуру интерфейса через Accessibility Services, формирует JSON-описание элементов экрана (текст, координаты, кликабельность) и передаёт данные оператору, который затем отдаёт команды для дальнейших действий.

Интересно, что реальные IPTV-приложения не заражены. Дроппер просто открывает WebView с настоящим IPTV-сайтом, создавая видимость работы сервиса, пока зловред уже активен в системе. Среди обнаруженных артефактов есть приложения с именами IPTV24 и даже «Google Play».

По оценке ThreatFabric, Massiv пока не продаётся официально, но признаки коммерциализации уже есть. В коде обнаружены API-ключи для взаимодействия с серверной частью. Это может говорить о планах по масштабированию.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!