Создание мобильных SMS-троянцев становится международным бизнесом

Александр Панасенко 26 Января 2009 - 10:35

...

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, информирует пользователей средств сотовой связи о новом мобильном вирусе, способном без ведома абонента управлять его личным телефонным счетом.

На прошлой неделе эксперты «Лаборатории Касперского» обнаружили новую вредоносную программу для операционной системы Symbian, нацеленную на клиентов одного из индонезийских мобильных операторов. Найденное вредоносное ПО относится к классу троянских программ и написано на скриптовом языке Python. Троянец без ведома владельцев телефонных номеров отправляет SMS-сообщения на короткий сервисный номер с командой перевести часть средств абонента на другой счет, принадлежащий злоумышленникам.

Индонезийский троянец имеет пять известных вариаций: Trojan-SMS.Python.Flocker.ab-af. Программа настроена так, что средства с зараженного номера переводятся небольшими частями, от 45 до 90 центов США. Таким образом, в случае, если злоумышленникам удастся инфицировать большое количество телефонов, сумма, которую они получат на мобильный счет, может оказаться значительной.

«До недавнего времени случаи распространения вредоносного мобильного ПО, осуществляющего несанкционированную отправку SMS-сообщений, были зафиксированы лишь в России. Появление Trojan-SMS.Python.Flocker.ab-af заставляет взглянуть на эту ситуацию под иным углом, - говорит старший вирусный аналитик «Лаборатории Касперского» Денис Масленников. - С высокой степенью вероятности можно говорить о том, что в обозримом будущем проблема незаконных операций по счетам абонентов сотовой связи в мобильной вирусной индустрии будет приобретать все большую актуальность, постепенно расширяя географию своего присутствия».

Пользователи решения Kaspersky Mobile Security защищены от нового троянца: продукт «Лаборатории Касперского» блокирует все вредоносные программы, запрещая их исполнение в системе. «Лаборатория Касперского» рекомендует проявлять осторожность при работе с интернетом при помощи смартфонов и следить за актуальностью антивирусных баз защитных решений.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Марта 2026 - 10:11

Бэкдоры Домашние пользователи Корпорации

Популярную ИИ-библиотеку LiteLLM заразили бэкдором через PyPI

В экосистеме ИИ-разработки всплыла неприятная история: исследователи из Endor Labs обнаружили, что популярная Python-библиотека LiteLLM, у которой больше 95 млн загрузок в месяц, была скомпрометирована в репозитории PyPI. Через заражённые версии злоумышленники распространяли многоступенчатый бэкдор.

Речь идёт о версиях 1.82.7 и 1.82.8. Причём в официальном GitHub-репозитории проекта такого вредоносного кода не было.

Проблема возникла именно в пакетах, опубликованных в PyPI: туда попал файл с закладкой, который декодировал и запускал скрытую нагрузку сразу после импорта библиотеки.

Во второй заражённой версии, 1.82.8, схема стала ещё жёстче. Пакет устанавливал .pth-файл в директорию site-packages, из-за чего вредоносный код мог запускаться вообще при любом старте Python, даже если сам LiteLLM никто не импортировал.

После запуска зловред начинал искать самое ценное: SSH-ключи, токены AWS, GCP и Azure, секреты Kubernetes, криптокошельки и другие конфиденциальные данные. Если заражение происходило в контейнерной или кластерной среде, вредонос пытался двигаться дальше по инфраструктуре, в том числе через развёртывание привилегированных подов на узлах Kubernetes.

Для закрепления на хосте атакующие, как сообщается, ставили systemd-бэкдор sysmon.service, который регулярно связывался с командным сервером и мог получать новые команды или дополнительные вредоносные модули.

Специалисты считают, что за атакой стоит группировка TeamPCP, которая в последнее время явно разошлась: до этого её уже замечали в инцидентах, затронувших GitHub Actions, Docker Hub, npm и OpenVSX.

Украденные данные, по информации исследователей, шифровались и отправлялись на сервер атакующих. Для маскировки использовались домены, внешне похожие на легитимные, например models.litellm[.]cloud и checkmarx[.]zone.

Сейчас разработчикам и DevOps-командам советуют как можно быстрее проверить окружение. Последней известной чистой версией LiteLLM считается 1.82.6. Если в системе использовались 1.82.7 или 1.82.8, нужно проверить наличие файла litellm_init.pth, артефактов вроде ~/.config/sysmon/sysmon.py и сервиса sysmon.service.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!