Аналітики “Доктор Веб” виявили в каталозі Android Market більше тридцяти шкідливих додатків, здатних без відома користувача відправляти SMS-повідомлення на короткі преміум-номери. Самі по собі SMS-троянці не є унікальними розробками, а концепція їх роботи не нова і вже давно використовується зловмисниками на просторах Всесвітньої мережі. Разом з тим вони можуть завдати істотної шкоди добробуту жертви, з рахунку якої списується певна сума за кожне відправлене повідомлення.

Каталог додатків Android Market вже не в перший раз стає джерелом поширення шкідливих програм. Так, раніше в ньому були знайдені троянці сімейства Android.DreamExploid, Android.DDLight і деякі інші. незважаючи на те, що поодинокі випадки появи в Android Market троянців сімейства Android.SmsSend відзначалися і раніше, таке масове їх поширення зафіксовано вперше.

На сьогоднішній день компанія “Доктор Веб” повідомляє про 33 виявлених на Android Market шкідливих програмах даного типу, створених двома різними розробниками. Для поширення загрози зловмисники використовують цікаву схему: більшість шкідливих програм позиціонується як додатки – каталоги зображень, дозволяють змінювати фоновий малюнок Робочого столу Android, і вони дійсно володіють таким функціоналом. Тематика запропонованих картинок найширша: від комп’ютерних ігор до фотографій природи. Серед інших шкідливих програм зустрічаються і вельми оригінальні. Наприклад, програма для складання гороскопів, дієт, програма-ліхтарик та інші. Варто відзначити, що їхній інтерфейс вельми аскетичний, і наявність хоч якогось функціоналу покликане, скоріше, прикрити дійсну мету вірусотворців – відправлення з мобільного пристрою жертви платних СМС.

Крім іншого, зловмисники використовують простий, але ефективний метод, який дозволяє максимально збільшити ймовірність того, що дані програми будуть помічені користувачами. Для цього в ключових словах, які розробники додають в опису програм, часто поміщаються популярні словосполучення, не відносяться до даного продукту, наприклад, назви популярних ігор, таких як Angry Birds. У результаті посилання на подібні програми часто демонструються в перших рядках результатів пошуку по каталогу Android Market.

Принцип дії даних зловмисних програм цілком стандартний. після запуску програми користувачеві зазвичай демонструється текст, що говорить про те, що власник мобільного пристрою погоджується з якимсь умовами, причому сама угода з переліком цих умов, як правило, відсутня. хитрість полягає в тому, що останнє слово в цьому тексті є гіперпосилання на сторінку з ліцензійною угодою і ніяк не виділяється на тлі навколишніх слів. Користувач повинен дуже постаратися, щоб виявити таку приховану посилання. Чи варто говорити, що після підтвердження згоди натисканням на відповідну кнопку додаток негайно спробує відправити платне SMS-повідомлення?

У додатках іншого розробника функціонал дещо відрізняється, хоча і незначно. Після запуску на екрані пристрою з’являється вступний текст і дві кнопки: підтвердження згоди з умовами ліцензії, і друга, при натисканні на яку має відкриватися тест угоди. Але і тут не обійшлося без хитрощів: угода розташовується на сторонньому веб-сайті, який в даний момент не функціонує, тому ознайомитися з пропонованими умовами користувач не може. Після отримання підтвердження додаток негайно намагається надіслати SMS-повідомлення.

Компанія Google вже видалила дані шкідливі програми з каталогу Android Market, а необхідні записи внесені до вірусні бази Dr.Web.

Trojan.Winlock – сімейство троянців-вимагачів, які блокують ОС Windows і вимагають від користувача оплати за розблокування. Вперше подібні погрози з’явилися в 2007 році, а пік їх поширення припав на 2009-2010 роки. На сьогоднішній день потреба в засобах протидії Trojan.Winlock носить стабільно високий характер.

Нова версія сервісу використовує велику і постійно оновлювану базу даних, відрізняється простим і зрозумілим інтерфейсом і пропонує користувачам зручну схему пошуку коду розблокування. Користувач може скористатися як пошуком за номером телефону / гаманця платіжної системи, який вказаний на банері блокувальника, так і пошуком по зображенню банера. “Вихідні” окремої модифікації Trojan.Winlock можуть одночасно використовуватися великим числом зловмисників, кожен з яких вказує на банері свій номер телефону або гаманця. При цьому коди розблокування у всіх випадках можуть бути однакові. Якщо в базі даних сервісу ще не присутній окремий номер, є велика ймовірність, що коди розблокування для цієї модифікації Trojan.Winlock вже додані.

База даних сервісу оновлюється щодня і тому містить найактуальнішу інформацію про троянця Trojan.Winlock. Кожна додана в базу модифікація супроводжується технічної довідкою та описом моделі поведінки: подібна Інформація може бути корисна в процесі розблокування системи. Крім того, сервіс містить окремий інформаційний розділ, має форму зворотного зв’язку і розташовує мобільною версією.

Кількість відомих зразків троянських програм сімейства Trojan.Winlock вже давно перевалило за одинадцять тисяч, однак Trojan.Winlock.3260 є одним з небагатьох “вінлоков”, спочатку націлених на західних користувачів. У період з квітня по серпень 2011 було виявлено близько 120 різновидів даного троянця, які розрізняються методом шифрування, і демонструють на екрані повідомлення та іншу інформацію.

Головна особливість програми-здирника Trojan.Winlock.3260 полягає в тому, що він блокує екран користувача, блокуюче  вікно містить послання, не просто написане на відповідній мові, але підписане нібито управлінням поліції країни, в якій проживає жертва: для Німеччини це Bundespolizei, для Великобританії – The Mertopolitan Police, для Іспанії – La Policìa Española. У всіх випадках користувача звинувачують у відвідуванні незаконних веб-сайтів порнографічного характеру та пропонують сплатити “штраф” з використанням однієї з поширених у даній країні платіжних систем.

Більшість зразків даних програм-вимагачів написано на мові С + + (за винятком декількох семплів, створених із застосуванням Visual Basic), вони використовують схожі імена змінних, функції API і тип шифрування, що дозволяє зробити висновок про належність цих зразків одному автору. Саме повідомлення виводиться на екран з HTML-документа, вбудованого в ресурси троянця. Після свого запуску Trojan.Winlock.3260 відстежує і блокує натискання сполучень клавіш, внаслідок чого стає неможливим використання таких комбінацій, як Ctrl + Alt + Del або Ctrl + F4.

Судячи з усього, зловмисники ретельно вибирають свої жертви серед шанувальників відомої гри “У могилі” – з числа користувачів соціальної мережі “В контакті” шахраї обчислюють найбільш досвідчених, “просунутих” гравців. Їм надсилається особисте повідомлення з пропозицією скористатися “вразливістю” цього додатка, що дозволяє безкоштовно отримати ігрові предмети, які в реальній грі можна придбати тільки за гроші. Для цього жертві пропонується завантажити і встановити спеціальний додаток. Якщо жертва погоджується скористатися настільки привабливою пропозицією, все подальше спілкування мережеві шахраї переносять в Skype. Вибір даного засобу комунікації невипадковий: трафік Skype не піддається фільтрації на відміну від інших протоколів миттєвого обміну повідомленнями, таких як ICQ або Jabber.

В ході подальшого спілкування зловмисники пропонують жертві завантажити і встановити додаток bag_vmogile.exe, під виглядом якого поширюється троянська програма Trojan.KeyLogger.9754, призначена для перехоплення натискань клавіш і відправки на віддалений FTP-сервер вкрадених таким чином паролів. При спробі відкрити даний файл відбувається миттєве зараження комп’ютера. Фахівці компанії “Доктор Веб” припускають, що поширюють троянця зловмисники з території України. На даний момент сигнатура даного троянця добавлена ​​в вірусні бази “Доктор Веб”.

Крім того, мережеві шахраї продовжують експлуатувати широко відомий метод фішингу з використанням функції “Документи” соціальної мережі “В контакті”. Нічого не підозрюючому користувачеві надсилається особисте повідомлення, що включає посилання на скачування документа Word, в якому міститься докладна інструкція з встановлення спеціальної програми, нібито дозволяє переглядати число відвідувачів його сторінки в соціальній мережі. Під виглядом цієї програми поширюється троянець BackDoor.Piranha.2, за допомогою якого зловмисники створили кілька успішно діючих в даний момент бот-мереж.

Оновлений сканер виявляє і нейтралізує буткіти, модифікуючі Volume Boot Record (VBR) – запис, якій передається управління завантаженням системи після Master Boot Record (MBR). Про активне розповсюдження шкідливих програм, що змінюють завантажувальні записи, фахівці “Доктор Веб” розповідали в огляді вірусної активності за червень 2011 року – в тому числі і про перший відомий VBR-Бутко, Trojan.Mayachok.2.

Разом з тим були істотно поліпшено алгоритми лікування активного зараження, а також додано нові методи нейтралізації шкідливих об’єктів, що встигли проникнути в систему.

Також у сканері були усунені виявлені помилки, в їх числі – можливе аварійне завершення роботи при запуску і швидкої перевірки.

В оновленому модулі самозахисту виправлені причини нестабільної роботи на потужних серверних системах.

Для користувачів оновлення пройде автоматично, однак зажадає перезавантаження комп’ютерів.

Навіть незважаючи на те, що мобільна платформа Android базується на ядрі Linux і має досить надійний механізмом забезпечення безпеки, з кожним днем для неї з’являється все більше і більше шкідливих програм. Одна з очевидних причин цього – надзвичайно широке поширення даної операційної системи.

Мобільні пристрої стали ласим шматком для розробників шкідливих програм, адже з їх допомогою можна потай від користувача розсилати СМС і здійснювати дзвінки на платні номери, організовувати рекламні розсилки за списком абонентів адресної книги і завантажувати на смартфон різний контент. Іншими словами, цей ринок відкриває зловмисникам короткий шлях до швидкого збагачення.

Ще одна можлива причина зростання кількості загроз для Android – відкритість вихідних кодів цієї операційної системи, завдяки чому будь-які виявлені в ній уразливості швидко стають надбанням широкої громадськості. додаткову небезпеку створює і та обставина, що, наприклад, користувачі пристроїв на базі Android можуть завантажувати програми з різних майданчиків, що значно підвищує ймовірність зараження.

Початок червня 2011 ознаменувався появою великої кількості нових шкідливих програм для мобільної операційної системи Android. Інтерес зловмисників які створюють віруси до цієї операційної системи Android невипадковий: програми-шкідники крадуть конфіденційну інформацію власників стільникових телефонів, відправляють потай від користувача СМС-повідомлення на платні сервісні номери, організують рекламні розсилки, що, так чи інакше, сприяє збагаченню зловмисників.

9 червня фахівцями компанії “Доктор Веб” до вірусних баз був доданий новий троянець для Android – Android.Plankton. Основна особливість даної загрози полягає в тому, що шкідливий об’єкт вбудований в додаток Angry Birds Rio Unlock, який відкриває доступ до прихованих рівнів популярною для різних мобільних платформ гри Angry Birds. Тільки з офіційного сайту Android Market інфікована програма була завантажена більше 150 тисяч разів, а на альтернативних ресурсах (зокрема, з відомої збірки програм для Android androidzoom.com) число завантажень досягало 250 тисяч.

На відміну від виявленого днем раніше шкідливого програмного забезпечення Android.Gongfu, новий троянець Android.Plankton не використовує відомі уразливості операційної системи для підвищення власних привілеїв. Алгоритм реалізації атаки виглядає наступним чином: одразу після запуску інфікованого додатка троянець завантажує у фоновому режимі власну службу, яка збирає інформацію у зараженому пристрої (ID пристрою, версія SDK, відомості про привілеї файлу) і передає її на віддалений сервер.

Потім шкідлива програма отримує з сайту зловмисників дані для подальшого завантаження і встановлення на смартфон жертви іншої програми, функціонал якого, за припущеннями аналітиків, може варіюватися. В даний час фахівцям компанії “Доктор Веб” відомо про декілька видах такого шкідливого програмного забезпечення. Зокрема, це пакети plankton_v0.0.3.jar і plankton_v0.0.4.jar, призначені для виконання на інфікованому пристрої одержуваних від керуючого центру команд. На сьогоднішній день всі відомі модифікації даного троянця додані у вірусні бази Dr.Web, у зв’язку з чим Android.Plankton не страшний користувачам Dr.Web для Android Антивірус + Антиспам і Dr.Web для Android Light.

Так як Android.Plankton отримав надзвичайно широке поширення завдяки значній кількості завантажень інфікованих додатків, фахівці “Доктор Веб” продовжують уважно стежити за розвитком подій. У випадку появи нових модифікацій Android.Plankton вони будуть оперативно додані у вірусні бази Dr.Web.

Тепер Dr.Web LinkChecker можна використовувати не тільки в браузерах Internet Explorer, Mozilla Firefox і Opera, але також в Google Chrome і Safari.

Зміни торкнулися перевірки посилань в соціальних мережах – Dr.Web тепер перевіряє всі зовнішні посилання з сайтів FaceBook і «Вконтакте», видаючи повідомлення про спробу переходу на сторонній сайт і перевірці посилання (це нововведення поки не стосується роботи в Internet Explorer, а в для опери зв’язку з цим було розроблено спеціальне розширення). Також забезпечено можливість включити або виключити цю опцію в налаштуваннях Dr.Web LinkChecker.

Ще одним нововведенням стала перевірка перекручених посилань виду _http: / / virus.com, що не дають можливості здійснити перехід безпосередньо клацанням миші. Такі посилання, часом провідні на шкідливі сайти, періодично отримують користувачі соціальних мереж, але зіткнутися з ними можна і на інших ресурсах. Dr.Web LinkCheker здатний виявити таке посилання у виділеному користувачем тексті, перетворити її в стандартну і провести перевірку (у всіх підтримуваних браузерах за винятком Internet Explorer).

Щоб скористатися оновленим Dr.Web LinkChecker, достатньо завантажити і запустити нову версію для відповідного браузера. Розширення для Internet Explorer оновлення не торкнулося.

Dr.Web LinkChecker також входять до дистрибутивів персональних продуктів Dr.Web для Windows.

За короткий проміжок часу в серпні 2010 року з’явилося відразу кілька нових типів шкідливих програм під Android. Серед них – кілька модифікацій шпигунів сімейства Android.MobileSpy і Android.SmsSend, які відправляють платні SMS-повідомлення без відома користувача.

Новий продукт сканує всю файлову систему мобільного пристрою, в тому числі і “закриту” область, в якій розташовуються користувальницькі додатки. Виявлені шкідливі об’єкти антивірус переміщає в карантин.

При включеному файловому моніторі Dr.Web для Android автоматично перевіряє кожну програму, яка встановлюється у внутрішню пам’ять мобільного пристрою, і кожен файл, записаний на SD-карту.

В основі нового Dr.Web CureIt! лежить власний стартер, що рятує від проблем лікування, пов’язаних з недоліками роботи стандартного розпакувальника WinRAR. З його допомогою мінімізована ймовірність зловмисного блокування утиліти при її старт, а також вирішена проблема можливості розпакування файлу без його запуску, яка до цих пір дозволяла зловмисникам збирати утиліту сторонніми засобами і під виглядом Dr.Web CureIt! поширювати троянські програми.

Самозахист Dr.Web активізується на самому ранньому етапі запуску. До цього моменту блокування виключається завдяки застосуванню нових стелс-алгоритмів, що дозволяють утиліті залишатися непоміченою для вірусів.

У зв’язку з активним поширенням шкідливих програм сімейства Trojan.Winlock Dr.Web CureIt! оснащений режимом протидії блокувальника. При запуску утиліти всі її вікна відображаються на захищеному робочому столі, недоступному для блокування. Користувач бачить повідомлення про те, що він може продовжити роботу в режимі посиленого захисту (при цьому інші операції будуть недоступні) або запустити Dr.Web CureIt! у звичайному режимі. Під час роботи в посиленому режимі не можна перемкнутися в звичайний до закінчення роботи утиліти.

На відміну від попередньої версії новий Dr.Web CureIt! повністю сумісний з різними засобами аварійного відновлення Windows – такими як LiveCD і так далі. Системні вимоги для роботи утиліти змінилися: тепер підтримується тільки ОС Windows 2000 і вище. Реалізована підтримка 32 – і 64-бітових систем, причому в обох випадках працює як самозахист, так і посилений режим протидії блокувальника. Як і раніше, утиліта буде оновлюватися в міру випуску нових вірусних баз.