Новый мобильный троянец подписывает россиян на платные сервисы

Новый мобильный троянец подписывает россиян на платные сервисы

Новый мобильный троянец подписывает россиян на платные сервисы

Эксперты «Лаборатории Касперского» нашли вредоносную программу, которая незаметно подписывает смартфоны своих жертв на различные платные сервисы. Троянец под названием Xafekopy делает это, кликая по ссылкам, или с помощью отправки SMS. В первом случае троянец способен даже обходить капчу — тест для распознавания человека или автоматической системы при вводе данных.

Зловред использует JavaScript-файлы, что роднит его с троянцем Ztorg. Более того, названия некоторых методов в этих файлах совпадают у обеих программ. Эксперты полагают, что создатели одного троянца могли купить или украсть файлы у создателей другого. Код самих троянцев при этом разный.

Исследователи «Лаборатории Касперского» выяснили, что троянец был создан группой китайскоговорящих разработчиков, а общее количество заражений на данный момент составило 3816. При этом Xafekopy нацелен главным образом на пользователей в России и Индии: за последний месяц на эти страны пришлось 61% и 25% всех атакованных, для них даже существуют отдельные модификации троянца. Российская версия зловреда умеет заходить на сайты четырех крупнейших операторов сотовой связи в стране и получать подтверждение подписки на платные сервисы.

 

Распределение атакованных троянцем Xafekopy пользователей по странам

 

Зараженные троянцем приложения активно распространяются через рекламные сети под видом полезных программ, при этом в их исполняемых файлах даже содержится какой-либо «полезный функционал». Это сделано для того, чтобы магазинам приложений и модераторам рекламных сетей было труднее идентифицировать программу как вредоносную. Кроме того, эксперты зафиксировали распространение зловреда Xafekopy через Ztorg: это объясняется тем, что последний представляет из себя в первую очередь рекламного троянца, который умеет тайно от пользователя устанавливать и запускать рекламируемые приложения.

«Мы наблюдаем развитие сотрудничества киберпреступников между собой, и государственные границы их не останавливают. Во-первых, два различных троянца используют похожие вспомогательные файлы: скорее всего, это стало следствием совместной работы двух группировок. Во-вторых, кибермошенники из одной страны воруют деньги у пользователей из других стран, вероятно, пользуясь помощью местных злоумышлеников», — отметил Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вредоносные программы применялись в 76% атак на компании в 2025 году

По данным исследования Positive Technologies, во втором квартале 2025 года вредоносные программы по-прежнему остаются главным инструментом киберпреступников: они использовались в 76% успешных атак на организации. Чаще всего последствия таких инцидентов выражались в утечке конфиденциальных данных (52%) и нарушении работы компаний (45%).

Эксперты отмечают, что за первое полугодие использование зловредов заметно выросло: по сравнению с первым кварталом — на 26%, а по сравнению с тем же периодом прошлого года — на 12%. Наиболее распространённые типы:

  • программы-вымогатели (49%),
  • средства удалённого управления (33%),
  • шпионский софт (22%).

 

Популярность зловредов объясняется их способностью быстро проникать в инфраструктуру, оставаться незамеченными и обеспечивать злоумышленникам долгосрочный контроль. При этом растёт использование загрузчиков — их доля увеличилась втрое по сравнению с предыдущим кварталом. Такие инструменты применяют для многоэтапной доставки: сначала в систему попадает загрузчик, а затем — трояны удалённого доступа, инфостилеры или шифровальщики.

В частности, специалисты зафиксировали использование нового загрузчика ModiLoader (DBatLoader), распространявшегося через фишинговые письма под видом банковских документов. На завершающем этапе он устанавливал Snake Keylogger, крадущий пароли и перехватывающий нажатия клавиш.

Отдельное направление — использование в атаках легального софта. Его доля достигла 11%. Киберпреступники всё активнее применяют малоизвестные утилиты и даже легитимные программы для маскировки своей активности.

По прогнозам, в ближайшее время будет расти число комбинированных атак, где применяются сразу несколько типов зловредов. Всё больше вымогателей будут не столько шифровать данные, сколько похищать их для последующего давления на жертву. Злоумышленники будут чаще использовать легитимные инструменты и облачные сервисы, а также тактику living off the land — когда атака маскируется под обычную активность в системе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru