В сентябре анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 58.1% по сравнению с августом. Количество уникальных угроз уменьшилось на 12.2%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике чаще всего распространялось разнообразное вредоносное ПО, в том числе бэкдоры, позволяющие проводить манипуляции с файловой системой.
Число обращений пользователей за расшифровкой файлов уменьшилось на 11.8% по сравнению с августом. Самым распространенным энкодером месяца стал Trojan.Encoder.26996, на долю которого пришлось 43.79% всех инцидентов.
Главные тенденции сентября
- Существенное увеличение общего числа угроз
- Рекламные приложения по-прежнему остаются главной угрозой
- Распространение вредоносных загрузчиков в почтовом трафике
Опасные сайты
В сентябре 2021 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов с «выигрышами». Любому случайному посетителю предлагается выбрать 3 случайных подарочных коробки, в одной из которых обязательно будут деньги.
На скриншоте изображена страница, где пользователю предлагается забрать выигрыш. Однако для этого требуется ввести номер банковской карты и другие персональные данные. Далее со «счастливчиком» связываются операторы чата, главная цель которых – выманить у жертвы как можно больше средств. Отправить мошенникам деньги призывают под разными предлогами: комиссия, информационные услуги или даже «налог».
Вредоносное и нежелательное ПО для мобильных устройств
В сентябре пользователям Android-устройств чаще всего угрожали рекламные трояны, а также вредоносные программы, загружающие другие приложения и выполняющие произвольный код. При этом наши специалисты обнаружили в каталоге Google Play множество новых троянов семейства Android.FakeApp, которые использовались в различных мошеннических схемах.
Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:
- обнаружение множества новых угроз в каталоге Google Play;
- сохранение активности троянов, предназначенных для загрузки других приложений и выполнения произвольного кода.
В сентябре специалисты компании «Доктор Веб» обнаружили в Google Play несколько десятков новых приложений-подделок, которые помогали злоумышленникам реализовывать различные мошеннические схемы. В их числе был троян Android.FakeApp.344, несколько модификаций которого распространялись под видом самых разнообразных программ — графических оболочек (лончеров), сборников изображений, самоучителя игры на пианино, приложения для контроля пульса и других.
Его основная функция — загрузка веб-сайтов по команде вирусописателей. При этом троян может использоваться в самых разных вредоносных сценариях: выполнять фишинг-атаки, подписывать жертв на платные мобильные услуги, продвигать интересующие злоумышленников сайты или же загружать сайты с рекламой. Однако заявленных функций они не выполняли — трояны лишь загружали различные сайты, в том числе те, на которых у пользователей запрашивался номер мобильного телефона. После его ввода владельцы Android-устройств перенаправлялись на страницу поисковой системы, и на этом работа подделок заканчивалась.
Также выявленные троянские приложения якобы должны были помочь российским пользователям найти информацию о государственной социальной поддержке — выплатах льгот, пособий, «компенсации НДС», а также непосредственно получить «полагающиеся по закону» деньги. Однако эти программы лишь заманивали владельцев мобильных устройств на мошеннические сайты, где абсолютно любому посетителю сулились многотысячные выплаты. За «начисление» обещанных средств от пользователей требовалось оплатить «государственную пошлину» или «комиссию банка» в размере от нескольких сотен до нескольких тысяч рублей. Никаких выплат жертвы этой обманной схемы на самом деле не получали — вместо этого они переводили собственные средства мошенникам.
Другие программы-подделки мошенники выдавали за официальные инвестиционные приложения компании «Газпром». С их помощью пользователи якобы могли получать значительный пассивный доход от инвестиций, не имея ни опыта, ни специальных экономических знаний. Всю работу за них якобы должен был выполнять менеджер или некий уникальный алгоритм.
В действительности эти троянские приложения не имели никакого отношения к известным компаниям и инвестициям. Они загружали мошеннические сайты, на которых владельцам Android-устройств предлагалось зарегистрировать учетную запись, указав персональную информацию, и дождаться звонка «оператора». Предоставленные при регистрации данные — имена, фамилии, адреса электронной почты и номера телефонов — злоумышленники могли самостоятельно использовать для дальнейшего обмана пользователей или же продать на черном рынке.
При этом для привлечения внимания и увеличения числа установок таких троянов злоумышленники активно рекламируют их, например, через видеосервис YouTube. Пример подобной рекламы:
Были выявлены и очередные подделки, выдаваемые за официальные приложения популярных российских лотерей. С их помощью пользователи якобы могли получить бесплатные лотерейные билеты и принять участие в розыгрышах. Эти программы также загружали мошеннические сайты, где для получения несуществующих билетов и выигрышей требовалось оплатить «комиссию».
Кроме того, наши специалисты обнаружили несколько модификаций трояна Android.FakeApp.386, который распространялся под видом программ-справочников — с их помощью пользователи якобы могли почерпнуть знания о здоровье и ознакомиться с возможными способами лечения тех или иных недугов. На самом деле это были обычные подделки. Они не выполняли заявленных функций и только загружали веб-сайты, которые зачастую имитировали популярные информационные ресурсы. На таких сайтах от лица известных врачей и медийных персон рекламировались всевозможные препараты сомнительного качества. Потенциальные «клиенты» также завлекались предложениями получить препараты якобы бесплатно или с большой скидкой, если укажут имя и номер телефона, а затем дождутся звонка «менеджера».
