Троян распространяется через каталог приложений для Android, используя новую уязвимость

Теперь во всех моделях мобильных телефонов есть выход в Интернет. Многие пользуются им постоянно для общения в социальных сетях, игр в приложениях. Все большим спросом пользуются онлайн-покупки.

Неудивительно, что злоумышленники теперь создают опасные приложения для смартфонов на платформе андроид. И в некотором роде это стало катастрофой.

Поэтому все чаще пользователи интересуются, как убрать вирус с телефонов андроид.

Что такое вирус на андроид

Это вредоносное программное обеспечение, созданное с целью получить доступ к личным данным пользователя. К ним относятся фотографии, видео, пароли от аккаунтов в социальных сетях и платежных данных. Вирус негативно сказывается на работе смартфона.

Модель смартфона на базе андроид

Все они подразделяются на три большие группы:

• всплывающая реклама, которая не исчезает, даже если закрыть приложение. Эти баннеры замедляют работу смартфона. Некоторые пользователи в стремлении от них избавиться сбрасывают все до стандартных настроек, что приводит к удалению имеющейся информации на телефоне;
• шпионские программы, которые опаснее, чем назойливая реклама. Их принцип работы следующий: они находят личные данные и передают на сторонние ресурсы. Определить наличие подобных приложений несложно, так как существенно увеличивается расход трафика;
• «черви» и другие аналогичные им программы. Они передают личные файлы в Интернет. Также их деятельность наносит вред работе смартфона, внося изменения в данные или удаляя важные файлы. Некоторые за их возврат требуют денег.

Важно! Хакеры постоянно совершенствуют вредоносные программы, чтобы их было сложнее обнаружить. Поэтому иногда целесообразно отдать телефон на профессиональную диагностику, потому что местоположение вирусов может быть скрыто или замаскировано под важную программу.

Вирус на мобильном телефоне тормозит его работу

Какие существуют типы вирусов на андроиде

Как настроить эквалайзер для андроида — подробная инструкция

Особенности удаления зловредной программы зависят от ее разновидности. Их объединяет общее назначение — нарушение работы мобильного приложения.

Троян

Это один из самых опасных вирусов, который не просто вызывает сбои в работе, из-за трояна смартфон может выйти из строя. Кроме того, он получает доступ к личным данным владельца, способен отправлять сообщения на неизвестные номера.

Троян может скачивать сторонние программы с содержанием вирусов. Особенность данного вируса в том, что он действует скрытно. Поэтому его сложно обнаружить даже при помощи антивирусных приложений.

Вредоносное программное обеспечение

Спам-вирусы

Еще одна разновидность вируса, которая стала быстро распространяться благодаря появлению социальных сетей и различных мессенджеров. Это массовая рассылка писем, содержащая вирус. Этот способ используют, чтобы выманить пароли или получить доступ к личным данным. Открыв такое письмо, пользователь автоматически активирует вредоносное программное обеспечение.

Обратите внимание! Спам-вирусы отличаются от рассылки рекламных предложений. Чаще всего они начинаются так: «Вы выиграли 1000 рублей!», «Прочитай сообщение и получи подарок!».

Вирусы с СМС-рассылкой

Это тоже массовая отправка сообщений, только они содержат ссылку. Перейдя по ней, пользователь автоматически скачивает зловредное программное обеспечение. Это может быть троян или другой вирус, предназначенный для доступа к личным данным и ухудшению работы смартфона.

Вирусная рассылка

Android downloader 3737, 3784

Что это такое Android downloader 3737? Данная разновидность вируса устанавливает на мобильный телефон другие вредоносные модули. Он работает в фоновом режиме, и обнаружить его не так просто. Среди загруженных вирусов могут быть трояны, «черви» и другие разновидности.

К сведению! Данное приложение не так опасно, как другие зловредные программы. Троянский Android downloader 3737, 3784 не отправляет личные данные на сторонние ресурсы, однако возрастает шанс показа баннеров.

Как найти вирус на телефоне андроид

Как удалить ВК с телефона андроид — подробная инструкция

Такое программное обеспечение умело маскируется под полезную программу, поэтому не все пользователи могут определить наличие вируса на устройстве. Однако существуют признаки, по которым можно понять, что на андроид-устройстве работает вредоносная программа:

• появилось слишком много рекламы, которая иногда может занимать весь экран. Баннеры показывают даже тогда, когда владелец телефона не пользуется Интернетом или приложениями. Это ухудшает работу мобильного устройства;
• смартфон быстро разряжается, нагревается даже в то время, когда им не пользуются. Иногда причиной этого может быть брак в аккумуляторе. Точно определить это получится во время профессиональной диагностики;
• частые сбои в приложениях, даже если они были куплены на официальном сайте. Иногда это происходит из-за недостатка оперативной памяти. Если на телефоне еще есть место, тогда стоит проверить приложения на наличие вирусов;
• появляются поврежденные файлы и странные папки, могут не открываться фотографии и не проигрываться аудиозаписи. Некоторые данные могут самостоятельно удаляться;
• устройство на платформе андроид самостоятельно устанавливает сторонние приложения;
• возрос расход интернет-трафика, изменились расходы на услуги сотовой связи, передача данных стала осуществляться автоматически.

Сканирование телефона поможет выявить вирусы

Обратите внимание! Если владелец смартфона заметил несколько из вышеперечисленных признаков, ему стоит провести диагностику своего устройства на наличие вредных сторонних приложений. Иногда это можно сделать самостоятельно, но многие вирусы маскируются под программы, необходимые для нормального функционирования телефона.

Как удалить вирус и другие вредоносные программы с андроида

Как удалить виджеты на андроиде — подробная инструкция

Существует несколько способов, как удалить вирус с андроида. Вирусы с СМС-рассылкой и рекламные баннеры можно убрать вручную стандартными средствами, которые есть на Android-устройствах. Но для удаления некоторых понадобятся особые приложения или получить root-права.

• Самый простой и популярный способ почистить устройство — установка антивирусной программы. Есть бесплатные и платные варианты установки. Стоит выбирать антивирусы от известных разработчиков. Пользователю достаточно удалить подозрительные файлы. После всех манипуляций необходимо удалить этот антивирус, скачать и запустить проверку на другом. Это нужно, потому что не все вирусы могут быть найдены при первой проверке.
• Некоторые трояны мешают работе антивируса, поэтому необходимо свести к минимуму вредоносное воздействие на работу телефона. Нужно включить режим «В самолете» или любой другой, в котором не будет доступа к Интернету. При проверке приложений необходимо удалить недавно установленные.
  Еще один вариант — просмотреть их активность в «Диспетчере приложений», чтобы проверить, какие из них расходуют много трафика. Удалить их можно из основной папки на диске телефона, подключив его к компьютеру. У таких файлов будет расширение apk.

Способы удаления вируса существуют разные

• Еще один вариант, как убрать вирус с телефона андроид, если ограничить в правах администратора. Сделать это можно в настройках безопасности телефона. Там имеется раздел с правами приложений, где можно ограничить их действие. Если избавиться от вредного ПО не получается, можно перейти в безопасный режим. Сначала нужно выключить смартфон, а при включении удерживать кнопку уменьшения громкости. Таким способом получится запустить только системные приложения.
• Компьютерные антивирусные программы обладают более расширенным действием в сравнении с мобильными версиями, поэтому смартфон легко проверить, подключив к ПК. Только осуществляют это через режим «Отладка через USB». Он находится в режиме разработчиков. Его же необходимо выбрать в меню, которое появляется при подключении к компьютеру.
• Сброс до заводских настроек. Чтобы сохранить все файлы, специалисты советуют делать резервные копии. Для этого необходимо в настройках телефона найти восстановление и сброс всех настроек.

Вирус на андроиде можно попробовать удалить самостоятельно

Однако бывает так, что вирус затронул работу корневого диска. Поэтому, чтобы минимизировать вред, нужно обратиться к специалистам, так как в процессе самостоятельной нейтрализации можно убрать или повредить важные файлы. Они могут иметь схожее расширение с вредоносным программным обеспечением.

Ремонт телефона лучше доверить проверенному сервисному центру

Как удалить трояны

Трояны сложно удалить, потому что попадают глубоко в прошивку и получают права администратора. Справиться с ними можно следующими способами:

• перепрошивка — надежный вариант борьбы с вирусами. Его главный недостаток — потеря имеющейся информации. Это переустановка платформы андроид. При помощи особых приложений создают копию, которую нужно переместить на SD-карту. Саму прошивку подбирают под конкретную модель телефона, чтобы не возникало сбоев в его работе;
• получение root-прав — сложный способ, подходящий для продвинутых пользователей. Чтобы получить их, нужно воспользоваться ПК через программу KingoRoot. Далее следует воспользоваться Root Explorer и Titanium Backup. С их помощью легко удалить любые трояны.

Способ удаления трояна с помощью ПК

Воспользовавшись одним из вышеперечисленных способов, получится очистить телефон и планшет и от Android downloader 3737, 3784, 4076. Большинство считает, что их не получится удалить. Однако это одни из модифицированных trojan, поэтому стоит воспользоваться последними версиями программ для получения рут-прав.

Для удаления Android click 428 можно воспользоваться антивирусной программой Dr. Web. Это приложение хорошо справляется с поиском подозрительных сторонних ПО. Для этого запускают полное сканирование системы. Если эту функцию блокирует virus, то помогут следующие действия:

• загрузить устройство в безопасном режиме;
• запустить полное сканирование при помощи «Доктор Веб» для андроид-устройств;
• соблюсти рекомендации по устранению угроз;
• перезагрузить телефон в обычном режиме.

Чтобы «вылечить» троян Android hiddenads 251 origin, который работает в фоновом режиме, также подойдет Dr. Web. Данное вредоносное ПО затрудняет работу телефона, чаще всего нарушает загрузку мобильных приложений. Как правило, находится в системных папках, поэтому для обнаружения следует использовать улучшенные версии антивирусов.

Режимы работы смартфона может нарушить любой вирус

Как очистить андроид-телефон от спама

Вирусная рассылка не так опасна, как трояны, «черви», потому что она не отправляет личные данные в Интернет. Ее основная цель состоит в том, чтобы отправить подозрительное ПО на другие устройства.

Также постоянная реклама замедляет работу мобильного устройства и вызывает раздражение у пользователя.

Для ее нейтрализации можно воспользоваться вышеописанными советами, как удалить вирус с андроида на телефоне.

Входящее сообщение с рассылкой раздражают всех пользователей

Сначала нужно ограничить в правах администратора. Найти этот раздел можно в расширенных настройках в категории «Конфиденциальность». Необходимо убирать автоматический запуск со всех приложений. Этот шаг обусловлен тем, что некоторые рекламные вирусы маскируются под обычные приложения.

Затем на телефон необходимо установить любой антивирус, потому что данная разновидность не проникает глубоко в прошивку. Запустив сканирование, можно нейтрализовать подозрительные приложения.

Важно! Иногда рекламные вирусы могут запрещать данные к удалению. Чтобы решить это проблему, понадобится дополнительный диспетчер файлов. И после этого получится убрать подозрительное ПО.

Способы предотвратить заражение Android-устройства вирусами

Недостаточно просто нейтрализовать угрозу для нормального функционирования мобильного телефона или планшета. Нужно придерживаться простых рекомендаций, чтобы обезопасить смартфон:

• нельзя загружать с неизвестных номеров файлы или переходить по незнакомым ссылкам в браузере. Если есть возможность, можно поставить галочку в категории «Спам»;

Огромная подборка для исследования безопасности Android-приложений

Picons.me; Website Beaver

Большая подборка инструментов, статей, книг и всего, что может пригодиться исследователю безопасности Android.

Инструменты

Онлайн-анализаторы

1. AndroTotal — простой бесплатный сканер apk.
2. Tracedroid — бесплатный динамический анализ apk.
3. AVC UnDroid —бесплатный статический анализ apk.
4. Mobile Malware Sandbox — бесплатный сервис, который анализирует подозрительные apk на предмет подозрительной активности.

5. NVISO ApkScan — бесплатно проверяет apk на наличие вредоносов.
6. Virustotal — анализ файлов на наличие угроз. Максимальный размер файла — 128 МБ.
7. AppCritique — загрузите apk-файл и получите бесплатную подробную оценку безопасности приложения.

8. Платные инструменты:
   • Appknox;
   • Fraunhofer App-ray;
   • IBM Security AppScan Mobile Analyzer;
   • NowSecure Lab Automated — инструмент для тестирования безопасности Android- и iOS-приложений. Lab Automated предоставляет возможность провести статический и динамический анализ на реальных устройствах в облаке и вернуть результат за считанные минуты. Платно.

Сканеры уязвимостей приложения

1. QARK — сканер уязвимостей от LinkedIn.
2. AndroBugs — фреймворк для поиска уязвимостей.
3. Nogotofail — инструмент для тестирования сетевой безопасности приложения.

4. Devknox — автоматически исправляет проблемы безопасности так же просто, как IDE проверяет орфографию.

5. JAADAS — инструмент внутрипроцедурного и межпроцедурного анализа для поиска уязвимостей в Android-приложениях, написан на Soot и Scala.

Настольные инструменты для статического анализа

1. Androwarn — определяет потенциально вредоносное поведение приложения и уведомляет о нём пользователя.
2. ApkAnalyser — инструмент для виртуального статического анализа приложений.
3. APKInspector — GUI-инструмент для анализа apk.
4. Инструменты от университета штата Пенсильвания.
5. Генератор Smali CFG.

6. FlowDroid — высокоточный статический анализатор.
7. Droid Intent Data Flow Analysis for Information Leakage — совмещает в себе FlowDroid и Epicc для обнаружения потенциальных проблем в безопасности приложения.
8. Android Decompiler — платный декомпилятор Dalvik, MIPS, ARM и x86.

9. PSCout — инструмент, который извлекает спецификацию разрешений из исходного кода Android, используя статический анализ.
10. Amandroid — фреймворк для статического анализа.
11. SmaliSCA — статический анализ Smali-файлов.
12. CFGScanDroid — сканирует CFG приложения и сравнивает его с CFG вредоносных приложений.

13. Madrolyzer — извлекает из малвари разные полезные данные вроде C&C.
14. SPARTA — проверяет уровень безопасности приложения. Построен на фреймворке Checker.
15. RiskInDroid — инструмент для рискового анализа Anrdoid-приложений на основе их разрешений.
16. SUPER — анализатор приложений, написанный на Rust.

17. StaCoAn — инструмент для статического анализа кода с большим упором на юзабилити и пользовательский интерфейс.

Настольные инструменты для динамического анализа

1. Androl4b —  виртуальная машина для оценки безопасности Android-приложений, реверс-инжиниринга и анализа потенциальных вредоносов.
2. Android Malware Analysis Toolkit — известный Linux-дистрибутив, который раньше был представлен в виде онлайн-анализатора.

3. Mobile-Security-Framework MobSF — open source фреймворк для автоматизированного пентестинга мобильных (Android/iOS) приложений. Может выполнять статический и динамический анализ, а также тестирование веб-API.
4. AppUse — виртуальная машина для пентестинга.
5. Cobradroid – сборка Android, предназначенная для анализа малвари.

6. Droidbox — инструмент для динамического анализа, который выдаёт подробный отчёт после завершения работы.
7. Drozer — фреймворк для оценки безопасности приложения.
8. Inspeckage — динамический анализ с помощью API-хуков (модуль Xposed).
9. Android Hooker — автоматизированный динамический анализ Android-приложений.

   Для работы требуется фреймворк Substrate.

10. ProbeDroid — предоставляет API для создания собственных инструментов, которые позволяют проводить трассировку, профилировать и изменять поведение запущенного приложения.
11. Android Tamer — платформа для специалистов в безопасности Android.

     Эта платформа позволяет работать с большим количеством задач, связанных с безопасностью Android, от анализа вредоносов и пентестинга до реверс-инжиниринга.

12. DECAF — фреймворк для динамического анализа, основанный на QEMU.
13. CuckooDroid — Android-расширение для песочницы Cuckoo.

14. Mem — анализ памяти Android (требуется рут).
15. Appie — программное обеспечение для пентестинга. Полностью портативен, можно загрузить на флешку или смартфон. Пакет содержит в себе все необходимые инструменты для оценки безопасности приложения и служит прекрасной альтернативой существующим виртуальным машинам.

16. Vezir Project — виртуальная машина для пентестинга мобильных приложений и анализа вредоносов.
17. MARA — фреймворк для реверс-инжиниринга и анализа мобильных приложений.

Реверс-инжиниринг

Фаззинг

Обнаружение перепакованных приложений

1. FSquaDRA — инструмент для обнаружения перепакованных приложений путём сравнения хешей ресурсов приложения.

Сканеры магазина приложений

Прочие инструменты

Чтение по теме: Большая подборка ресурсов для изучения Android-разработки

Доклады/статьи/книги

Доклады-исследования

Книги

1. SEI CERT Android Secure Coding Standard.

Прочее

Эксплойты/уязвимости/баги

Списки

Малварь

Bounty-программы

Как сообщить об уязвимости

Чтение по теме: Подборка лучших Android-приложений для взлома и тестирования безопасности

Источник: android-security-awesome

HEUR: Trojan.AndroidOS

Иногда, при обычном использовании программ пользователь сталкивается с непредвиденными трудностями. В некоторых случаях это всплывающие окна о возможной угрозе со стороны сторонних файлов.

Данный материал расскажет об опасном семействе вирусов «HEUR: Trojan», о которых часто сигнализирует Сбербанк Онлайн. Мы покажем как удалить зловреды AndroidOS.Agent.EB, AndroidOS.Dropper, Downloader.Script.Generic, Win32.

Generic, Win32.Banker и другие подобные.

Что это за вирусы?

Семейство HEUR: Trojan – наиболее опасное из современных вирусов на Андроид, iOS и Windows, которое отличается расширенным функционалом, глубоким проникновением, а значит — увеличенным уровнем угрозы для пользователя.

Данные зловреды пробираются в системные файлы смартфона или PC, клонируясь с небывалой скоростью, также может маскироваться под обычные файлы, процессы и безобидные приложения.

К сожалению, ввиду эволюции вредоносного ПО не всегда антивирусы могут предупредить владельца об угрозе скачиваемого файла или посещаемой страницы, что и обуславливает распространение подобной «инфекции». Современные системы защищены правами Администратора, однако и этот момент вирусы способны обходить.

Из популярных «возможностей» HEUR:Trojan выделяют:

• Рассылка сообщений на платные номера, подтверждение платных подписок для вытягивания средств с баланса счёта.
• Воровство личных данных, в том числе паролей от финансовых ресурсов, номеров банковских карт со всеми вытекающими.
• Проникновение непосредственно в программы интернет-банкинга, электронных кошельков для беспрепятственного перевода средств на сторонние счета.

Звучит довольно ужасающе, не правда ли? Радует одно – эту вариацию вируса уже распознаёт большинство антивирусных программ Kaspersky, ESET, Dr.WEB, NOD, AVAST и другие.

Защита Сбербанк Онлайн, к примеру, уже при входе в систему идентифицирует попытку проникновения, предлагая удалить вирус. Однако, радоваться раньше времени не стоит – такое удаление не приведёт к полному уничтожению вируса.

Если говорить, про возможные причины появления зловредов, то здесь всё просто – банальная неосторожность в сети:

• Скачивание пиратских версий игр, иных apk-файлов на смартфон со сторонних ресурсов.
• Посещение сомнительных web-сайтов с множеством картинок, gif-изображений и гиперссылок. В таком случае, скачивание вируса может быть активировано случайным нажатием, в фоновом режиме.
• Обмен файлами с уже заражёнными пользователями – посредством Bluetooth, Облака и подобных сервисов.
• Переход по ссылкам в присылаемом спаме на почту или в SMS.

Из популярных вариаций HEUR:Trojan выделяют:

• AndroidOS.Agent.EB или Androidos.Boogr.Gsh – устанавливает в систему специальную утилиту, внедряющую рекламу во все иные приложения. Используется для монетизации за счёт подобных показов.
• Downloader.AndroidOS.Agent – СМС-вирус, используемый для платных подписок и отправки сообщений на тарифицируемые номера.
• Script.Generic.Miner.Gen – продажа трафика пользователя, скачивание и перенаправление файлов (значительно замедляет и интернет-соединение).

Также существует тип Win32.Generic – это файл, находящийся под подозрением вирусной системы. К такому типу могут относится даже официальные приложения, в коде которых обнаружены отслеживающие или перехватывающие информацию скрипты.

Как удалить HEUR:Trojan.AndroidOS и подобные ему?

Базового предложения «Удалить» от того же Сбербанка, как уже упоминалось, недостаточно — но не стоит переживать о сложности проводимых манипуляций. Для решения проблемы подойдёт стандартные сканеры от Dr.Web, AVG или Kaspersky. Версии этих программ есть как для ПК, так и для мобильных OS.

Следуем простейшим инструкциям:

• Скачиваем любой из предложенных сканеров. Я, к примеру, для своего Xiaomi использую Касперский.
• Также хорошо зарекомендовал себя Dr.Web для смартфонов, так как его базы данных постоянно обновляются и он находит новейшие угрозы.
• С их помощью запускайте сканирование всех файлов, включая системные процессы.
• Обязательно снесите левые приложения, которые вы не используете, либо они загружены не из Маркета.
• Включите опцию «Защита Play Market».Активируйте опцию защиты в Маркете

Далее – просто выбираем «Удалить» для всех подозрительных пунктов. Это более эффективно, нежели «Лечить» файлы, так как вирус может успеть распространиться в другие отсеки системы. Если в доступе вам отказано, тогда:

• Открывайте «Настройки» -> «Конфиденциальность» -> «Администраторы устройства». Снимите галочки со всего лишнего и снова запускайте проверку.
• При обнаружении угроз — показывается путь к опасному файлу. Можете вручную его открыть и стереть из системы. Total Commander позволяет с таким справится очень быстро.Касперский показывает путь
• Есть спец. утилита Titanium BackUp. С её помощью можно банально заморозить вирусный процесс.

Заключение

Рекомендуем вам более скептически относится к «бесплатным» версиям оригинальных приложений. Лучше потратить несколько долларов и купить «лицензию», нежели потом потратить десятки из-за действия вредоносных утилит, отправки платных SMS. Также после удаления рекомендую обновить пароли, включите двойную аутентификацию.

Если у вас возникли сложности, с угрозами типа AndroidOS.Agent.EB и в удалении ничего не получилось — пишите ниже в х, постараемся вам помочь.

(1

Троянские программы для слежки под Windows, macOS, Linux, Android, iOS

Трояны для слежки со встроенным кейлоггером и функциями похищения критически важных данных — это одна из старейших разновидностей малвари. За четверть века шпионский софт только эволюционировал, получая все новые функции защиты от детекта.

Заодно были освоены мобильные устройства, появились разновидности троянов, предназначенные для таргетированных атак. В этой статье мы рассмотрим наиболее известных представителей коммерческих шпионских программ и поговорим о защитных мерах.

Казалось бы, самый очевидный способ защититься от любого компьютерного или мобильного шпиона — установить антивирус и навсегда забыть о проблеме. Но «очевидный» — не синоним слову «эффективный».

Большинство антивирусных программ ловит троянов примерно так же, как контрразведчики вычисляют настоящих шпионов: по отпечаткам пальцев, то есть методом сигнатурного детектирования.

Сигнатура — это хранящийся в специальной базе уникальный идентификатор файла, с помощью которого можно отличить его от других. Если образец этого вредоносного файла ранее не исследовался в вирусной лаборатории и его сигнатура не добавлена в базы, антивирус не сможет опознать его.

Есть разные способы обойти сигнатурный детект — мы не раз о них неоднократно писали. Остается еще эвристика.

Но и эвристические механизмы поиска угроз, опирающиеся на поведенческий анализ, выполнение программы в песочнице и прочие ухищрения, — не панацея, иначе антивирусы не сталкивались бы с ложными срабатываниями.

Иными словами, даже если на вашем компьютере установлена самая современная защита, это отнюдь не означает, что вы в безопасности. Какие же коммерческие программы-шпионы наиболее популярны сейчас на рынке и как вычислить их присутствие в системе?

Троян для слежки FinFisher

Кибершпионская софтина под названием FinFisher, она же FinSpy, была разработана компанией Gamma Group и применялась, по слухам, для политической слежки за журналистами и диссидентами в разных странах мира.

Программу в 2011 году слил в WikiLeaks Джулиан Ассанж, после чего она стала достоянием анонимусов и подверглась пристальному изучению со стороны специалистов по информационной безопасности и прочих заинтересованных лиц.

FinFisher может перехватывать переписку жертвы в социальных сетях, отслеживать почтовые сообщения, работать кейлоггером, предоставлять доступ к хранящимся на инфицированной машине файлам, а также записывать видео и аудио с помощью встроенного микрофона и камеры. Существуют сборки FinFisher под Windows, macOS и Linux. Кроме того, были созданы мобильные версии трояна практически для всех существующих сегодня платформ: Android, iOS, BlackBerry, Symbian и Windows Mobile.

Интерфейс главного окна FinSpy Agent

Схема распространения FinFisher типична для троянов: шпион раздавался с помощью загрузчиков, которые рассылались по электронной почте под видом полезных приложений или прилетали на компьютер с обновлениями ранее установленной безопасной программы.

В одной из атак, исследованных ребятами из ESET, использовалась также реализация схемы MITM: при попытке скачать нужную программу ничего не подозревающая жертва перенаправлялась на фишинговый сайт, откуда загружала дистрибутив с трояном. В рассмотренном ESET примере FinFisher был встроен в дистрибутив утилиты TrueCrypt.

Ирония заключается в том, что юзер, желающий защитить свои данные и зашифровать диск для пущей безопасности, своими руками устанавливал spyware на собственную машину.

Создатели постарались сделать работу FinFisher максимально незаметной и всячески затруднить обнаружение трояна.

В его коде имеются функции защиты приложения от отладки, предотвращения запуска в виртуальной машине, противодействия дизассемблированию, а сам код обфусцирован.

Кроме того, программа старается действовать в зараженной системе незаметно и лишний раз не обращать на себя внимание пользователя.

Защита от трояна FinFisher

Выловить FinFisher на устройстве вручную — довольно сложная задача. Известные семплы успешно детектируются и удаляются популярными антивирусными программами, а вот неизвестные… С ними сложнее.

Как бы банально это ни звучало, но очевидным (и весьма действенным) средством защиты от этого шпиона служит правильно настроенный файрвол. Во время работы FinFisher устанавливает соединение не только со своим управляющим сервером (его адрес может меняться от семпла к семплу), но и с несколькими другими хостами, откуда подгружаются его компоненты.

Если настроить брандмауэр так, что он будет параноидально блокировать соединения приложений с неизвестными узлами, FinFisher не сможет нормально работать на таком устройстве. Ну а чтобы не получить протрояненную доброжелателями софтину вместо чистого дистрибутива, лучше качать программы по HTTPS и не лениться проверять цифровую подпись программ.

Троян для слежки Adwind

Эта кросс-платформенная программа, которую можно отнести к категории систем дистанционного контроля (RCS, Remote Control Systems) или RAT (Remote Access Tool), получила известность в 2016 году, а выявлена была еще раньше — в 2013-м. Этот троян известен под разными именами: Sockrat, JSocket, jRat, Unrecom, Frutas и AlienSpy. Фактически все это — перепевки одной и той же мелодии.

Интерфейс трояна Adwind RAT

Поскольку Adwind написан на Java, он ориентирован практически на все платформы, где есть ее поддержка: Windows, Linux, macOS и, конечно же, Android. Популярность Adwind у анонимусов объясняется прежде всего тем, что троян долгое время распространялся по схеме SAAS (Software as a Service), то есть по подписке.

У разработчиков был свой интернет-магазин, служба технической поддержки и даже рекламный канал c видосами на PоrnHub YouTube. Ценник был вполне демократичным: от 20 до 300 вечнозеленых американских долларов в зависимости от выбранного пакета услуг.

Вторая причина — относительная простота получения рабочего покриптованного бинарника, который не будет палиться антивирусами — по крайней мере до тех пор, пока кто-нибудь не зальет его на VirusTotal.

Основное назначение трояна — предоставлять доброжелателям несанкционированный доступ к скомпрометированной машине. Кроме того, он может делать скриншоты, фиксировать нажатия клавиш, воровать из браузеров сохраненные пароли и данные форм, а также баловаться с камерой и микрофоном.

Основной канал распространения шпиона — электронная почта приправленная социальной инженерией. Потенциальным жертвам атаки рассылали письма, либо имеющие во вложении даунлоадер в формате .

JAR, либо содержащие HTML-код со вставками на VBScript и JScript, который втихаря подтягивал на машину JRE и дроппер трояна.

Аналитики из «Лаборатории Касперского» фиксировали также случаи распространения Adwind с использованием документов RTF, содержащих эксплоит для уязвимости CVE-2012-0158.

Защита от трояна Adwind

Чтобы защититься от трояна Adwind, можно отключить на компьютере Java или снести Java Runtime — не дожидаясь, как говорится, перитонита.

И разумеется, не устраивать соревнований по скоростному открытию аттачей в электронных сообщениях, полученных от подозрительных отправителей.

Если Java вам таки очень нужна, еще один примитивный, но действенный метод защиты от Adwind — смена ассоциации файлов .JAR с JRE на, скажем, notepad.exe.