Android-вредонос быстро распространяется по смартфонам и крадёт пароли

Android-вредонос быстро распространяется по смартфонам и крадёт пароли

Новая вредоносная кампания поразила пользователей мобильной операционной системы Android. Участвующий в атаках зловред крадёт пароли, данные банковских приложений и другую конфиденциальную информацию. Эксперты предупреждают, что вредонос быстро распространяется по устройствам жертв.

Злонамеренная программа получила имя FluBot, злоумышленники устанавливают её на девайсы пользователей посредством текстовых сообщений. Такие уведомления приходят якобы от курьеров, которые просят пройти по ссылке для отслеживания статуса доставки.

Пройдя по URL, пользователь видит предложение установить специальный софт, который необходим для отслеживания актуальной информации о посылке. Само собой, это приложение на деле оказывается вредоносом.

После установки в системе пользователя FluBot первым делом лезет в список контактов жертвы. Зловред пытается распространяться, рассылая себя знакомым пользователя в текстовых сообщениях. Вредоносом заинтересовал даже Национальный центр кибербезопасности Великобритании, выпустивший рекомендации по удалению и обнаружению FluBot в системе.

Обращаем ваше внимание на тот факт, что для установки FluBot у пользователя должна быть активирована возможность инсталлировать программы из сторонних источников. Тем не менее злоумышленники тоже не обошли стороной эту особенность и подготовили для жертв инструкции, помогающие отключить защиту и установить вредонос.

Пользователям рекомендуют с подозрением относиться к сомнительным текстовым сообщениям и ни в коем случае не переходить по подозрительным ссылкам.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Шифровальщик GoodWill в качестве выкупа просит помочь нищим и бездомным

Операторы шифровальщика GoodWill не используют его для собственного обогащения; чтобы получить возможность восстановить файлы, жертва должна оказать помощь нуждающимся. По словам экспертов CloudSEK, невыполнение поставленных условий может привести к безвозвратной потере данных, критичных для бизнеса.

Новый вымогатель объявился в интернете два месяца назад. Он построен на основе кода HiddenTear, добавляет к зашифрованным файлам расширение .gdwill и распространяется в основном на территории Индии, Пакистана и некоторых африканских стран, устанавливая местоположение зараженной машины с помощью легитимного сервиса ipinfo.io.

Вредонос шифрует документы Miicrosoft Office, OpenOffice, PDF, текстовые файлы, базы данных, фото, видео и аудиоматериалы, файлы образов, архивы и т. п. В обмен на декриптор GoodWill просит совершить три акта милосердия:

  • подарить новую одежду бездомным;
  • накормить пятерых голодных детей в Domino’s, Pizza Hut или KFC;
  • оплатить медицинскую помощь тем, кто в ней остро нуждается, но не может себе этого позволить.

Жертве также предлагается обнародовать свои добрые дела в Facebook, Instagram и WhatsApp и выслать отчет операторам зловреда в виде скриншотов, фото, видео или аудиозаписей. После проверки полученной информации жертве высылается комплект дешифровки — файл с паролем, сам инструмент и видеоурок по его использованию.

Примечательно, что в качестве контакта вымогатели указали email-адрес с доменом, использующим имя индийского ИБ-провайдера IOTrizin (@itorizin.in). Их творение детектируют многие антивирусы из коллекции VirusTotal (50 из 66 по состоянию на 22 мая).

Правоохранительные органы Индии уже заинтересовались деятельностью непрошеных робингудов и выдвинули предположение, что это небольшая группа хакеров из КНДР. Борцы за социальную справедливость и ранее пытались использовать шифровальщиков с этой целью — достаточно вспомнить Darkside, операторы которого тратили часть выкупа на благотворительность.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru