Троянцы, способные встраиваться в системные процессы Android и другие события февраля
В феврале 2016 года произошел целый ряд событий, имеющих самое непосредственное отношение к вопросам информационной безопасности. Так, в начале месяца специалисты «Доктор Веб» обнаружили опасного Android-троянца, способного встраиваться в системные процессы, а во второй половине февраля было выявлено сразу несколько опасных вредоносных программ для ОС Windows.
Наиболее интересной с технической точки зрения вредоносной «новинкой» среди прочих, обнаруженных в феврале, можно назвать набор из трех действующих совместно Android-троянцев, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3. Эти программы используют в своей работе библиотеку liblokih.so (ее Антивирус Dr.Web детектирует как Android.Loki.6) — компонент Android.Loki.3 встраивает ее в системные процессы, благодаря чему основной модуль, Android.Loki.1.origin, получает возможность действовать на зараженном устройстве с привилегиями пользователя system.
Следует отметить, что раньше Android-троянцы не могли похвастаться умением выполнять инжекты в процессы системных приложений, в связи с чем эта находка вирусных аналитиков компании «Доктор Веб» выглядит по-настоящему интересной. Android.Loki.1.origin обладает широким спектром функциональных возможностей, среди которых:
- установка и удаление приложений;
- включение и отключение приложений, а также их компонентов;
- остановка процессов;
- показ уведомлений;
- регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);
- обновление своих компонентов, а также загрузка плагинов по команде с управляющего сервера.
Входящий в комплект вредоносных программ троянец Android.Loki.2.origin предназначен для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для показа рекламы. Однако обладает он и весьма обширным набором шпионских функций, позволяющих злоумышленникам собирать большой объем информации о зараженном устройстве.
По данным статистики лечащей утилиты Dr.Web CureIt!
Trojan.DownLoad3.35967
Один из представителей семейства троянцев-загрузчиков, скачивающих из Интернета и запускающих на атакуемом компьютере другое вредоносное ПО.
Trojan.Zadved
Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
Trojan.DownLoader
Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.Installmonster
Семейство вредоносных программ, созданных с использованием партнёрской программы installmonster. Данные приложения устанавливают на компьютер жертвы различное нежелательное ПО.
Trojan.Crossrider1.50845
Представитель семейства троянцев, предназначенных для показа различной сомнительной рекламы.
По данным серверов статистики «Доктор Веб»
![](/data/2016/02/29/1237748894/Stat_Files_Feb_2016_ru.png)
Trojan.Zadved
Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
Trojan.KillProc.35262
Представитель семейства вредоносных программ, способных останавливать запущенные процессы других приложений, а также выполнять на инфицированном компьютере иные задачи злоумышленников.
Trojan.LoadMoney
Семейство программ-загрузчиков, генерируемых серверами партнёрской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
Trojan.DownLoad3.35967
Один из представителей семейства троянцев-загрузчиков, скачивающих из Интернета и запускающих на атакуемом компьютере другое вредоносное ПО.
Trojan.BPlug
Это надстройки (плагины) для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц.
Троянцы-шифровальщики
![](/data/2016/02/29/1237748892/february_support_ru.png)
Следует отметить, что почти половина зарегистрированных в феврале обращений в службу технической поддержки компании «Доктор Веб» от пользователей, файлы которых были зашифрованы троянцами-энкодерами, поступили из зарубежных стран.
Другие вредоносные программы
О банковских троянцах семейства Trojan.Dyre многочисленные средства массовой информации сообщали с завидной регулярностью: эти вредоносные программы досаждают пользователям еще с середины 2014 года. Различные модификации Trojan.Dyre распространялись злоумышленниками с использованием партнерских программ по схеме CaaS — crime-as-a-service («преступление как услуга»). Участники программы получали специальный конструктор, с помощью которого генерировали новые образцы троянца. Также злоумышленники предоставляли в распоряжение своих партнеров специальную администраторскую панель, с помощью которой те могли управлять ботами. О том, как специалисты «Доктор Веб» борются с создателями и распространителями Trojan.Dyre, можно прочитать в опубликованной на сайте компании статье.
В середине февраля был обнаружен троянец Trojan.Proxy2.102, угрожающий клиентам нескольких крупных российских банков, — он позволяет злоумышленникам похищать деньги с банковских счетов. Для этого троянец устанавливает в системе корневой цифровой сертификат и изменяет настройки соединения с Интернетом, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера.
С помощью этого прокси-сервера в страницы систем «банк-клиент» при открытии на инфицированном компьютере встраивается постороннее содержимое, позволяющее злоумышленникам похищать деньги с банковских счетов жертвы. Более подробная информация о троянце Trojan.Proxy2.102 изложена в соответствующем обзорном материале.
В конце месяца компания «Доктор Веб» сообщила о появлении троянца-загрузчика BackDoor.Andromeda.1407, примечательная особенность которого заключается в том, что он не работает на компьютерах, где установлена русская, украинская, белорусская или казахская национальная раскладка клавиатуры. В настоящее время этот бэкдор замечен в распространении нескольких опасных вредоносных приложений.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.