Зафиксировано свыше 61 тысячи мобильных банковских троянцев

Зафиксировано свыше 61 тысячи мобильных банковских троянцев

«Лаборатория Касперского» выявила свыше 61 тысячи установочных пакетов мобильных банковских троянцев во втором квартале 2018 года. Это число более чем в три раза превосходит показатель за предыдущий квартал. Причём значительная часть из обнаруженных троянцев связана с вредоносом Hqwar (его создатели также имеют непосредственное отношение к половине новых модификаций), и около пяти тысяч – с Agent.

Троянцы обычно распространяются под видом различных легитимных приложений. Затем, при запуске банковского приложения зловред может выводить собственный фишинговый интерфейс поверх интерфейса настоящего мобильного банка — и таким образом воровать учётные данные, которые вводит пользователь.

По сведениям экспертов «Лаборатории Касперского», в первую тройку стран с наибольшей долей пользователей, атакованных мобильными банковскими троянцами за отчётный период, вошли США (0,79%), Россия (0,7%) и Польша (0,28%). Польша переместилась с девятого на третье место в основном за счёт активного распространения троянцев Agent и Marcher.

Специалисты «Лаборатории Касперского» полагают, что рекордное количество мобильных банковских троянцев, зафиксированное во втором квартале 2018 года, – это подтверждение глобальной тенденции роста числа вредоносных программ именно для мобильных устройств.

«Зафиксированное экспертами количество мобильных банковских троянцев достигло исторического максимума. Стремительный рост числа этих зловредов показывает, что киберпреступники постоянно создают новые модификации вредоносных программ, делают их более сложными и незаметными для обнаружения. Злоумышленники принимают всевозможные меры для увеличения собственной прибыли. Мобильные пользователи и индустрия в целом должны быть предельно осторожными и бдительными в ближайшие месяцы, пока эта тенденция продолжает развиваться», – подчеркнул Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

MaaS-стилер BlueFox: новая угроза, которой прочат карьеру RedLine

Эксперты Positive Technologies обнаружили образец инфостилера, похожего на RedLine. Как оказалось, это не новая версия популярного в криминальной среде Windows-зловреда, а его возможный преемник — BlueFox.

Первая реклама BlueFox появилась на русскоязычных хакерских форумах в конце прошлого года. Новый вредонос на C#, предназначенный для кражи данных, на тот момент мало кого заинтересовал: на этом рынке царил RedLine, который, к слову, до сих пор агрессивно распространяется через Telegram-каналы и на YouTube.

В минувшем сентябре создатель BlueFox анонсировал выпуск версии 2 зловреда, которая, видимо, оказалась удачнее прежней и уже получила несколько обновлений. Новобранец по-прежнему предоставляется в пользование как услуга (MaaS, Malware-as-a-Service) и позиционируется как универсальное решение для получения и обработки больших объемов информации с личным сервером и собственным протоколом связи.

 

Код BlueFox 2 сильно обфусцирован. Судя по набору функций, новобранец — классический инфостилер; из дополнительных возможностей аналитики из PT отметили получение скриншотов и загрузку файлов с удаленного сервера. Зафиксирован случай, когда зловред скачал артефакты Raccoon и Vidar. Выполнив все задачи, вредоносная программа удаляет себя, используя команду cmd.exe /C timeout 5 & del "$PATH.

 

Панель управления BlueFox доступна только из даркнета (Tor): пользователю предоставляются настраиваемый билдер и возможность использования кастомного загрузчика. 

По результатам исследования в PT пришли к выводу, что со временем новый инфостилер может приобрести не меньшую популярность, чем RedLine. В ближайшие два года эксперты ожидают широкого распространения BlueFox и, как следствие, массовых вредоносных кампаний с его использованием.

Поскольку версия 2 зловреда шифрует сообщения при обмене с командным сервером (AES в режиме ECB), для защиты от новой угрозы рекомендуется использовать продукты класса XDR, в составе которых есть модуль EDR, интеграция с песочницей и системой NTA, — такие как PT XDR.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru