22 апреля 2025 года

Сегодня мы отмечаем 33-летие антивируса Dr.Web. В честь знаменательной даты пользователи получают подарок: скидку 20% на лицензию Dr.Web Security Space для 1 персонального компьютера сроком на 3 года.

Акция продлится с 22 по 29 апреля 2025 года включительно. Dr.Web Security Space можно приобрести по праздничной цене — всего за 2959,20 ₽ вместо 3699 ₽.

Антивирус Dr.Web был создан в 1992 году, став одним из первых антивирусов в мире. За более чем три десятилетия существования продукт прошел путь от антивирусного сканера до мощного комплексного решения по защите от всех типов цифровых угроз. Благодаря собственным технологиям детектирования и лечения вредоносного ПО, Dr.Web завоевал доверие миллионов пользователей.

Dr.Web Security Space — это современное решение для комплексной защиты персональных компьютеров (Windows, Linux. macOS). Продукт объединяет в себе новейшие технологии противодействия вирусам, троянам, шпионским и рекламным программам, фишинговым сайтам и другим интернет-угрозам.

Преимущества Dr.Web Security Space:

• предотвращение утечки персональных данных и компрометации устройств;
• безопасные онлайн-платежи и банковские операции;
• защита от фишинга, спама и сетевых атак;
• сохранение конфиденциальности переписок в мессенджерах;
• встроенный родительский контроль — безопасная цифровая среда для детей;
• минимальная нагрузка на систему при высокой эффективности защиты.

21 апреля 2025 года

Специалисты компании «Доктор Веб» обнаружили шпиона Android.Spy.1292.origin, основной целью которого являются российские военнослужащие. Троян скрывается в модифицированной злоумышленниками картографической программе Alpine Quest и распространяется в том числе через один из российских каталогов Android-приложений. Среди прочего он передает атакующим информацию о контактах из телефонной книги и геолокацию зараженных устройств. Кроме того, шпион собирает сведения о хранящихся на устройствах файлах и по команде злоумышленников способен загружать дополнительные модули с функциональностью для их кражи.

Alpine Quest — топографическая программа, которая позволяет использовать различные карты как в онлайн-режиме, так и при отсутствии подключения к интернету. Она популярна среди спортсменов, путешественников и охотников, но также нашла широкое применение среди российских военнослужащих в зоне проведения СВО — этим и решили воспользоваться организаторы данной кампании. Злоумышленники встроили Android.Spy.1292.origin в одну из старых версий ПО Alpine Quest и распространяли троянский вариант под видом общедоступной версии программы с расширенной функциональностью, Alpine Quest Pro. Для этого они создали поддельный Telegram-канал приложения, в котором давалась ссылка на загрузку программы в одном из российских каталогов приложений. Позднее эта же троянская версия под видом «обновления» распространялась и в самом канале.

Telegram-канал, через который злоумышленники распространяли трояна Android.Spy.1292.origin

Поскольку Android.Spy.1292.origin встроен в копию настоящего приложения, после установки он выглядит и работает как оригинальная программа, что позволяет ему дольше оставаться незамеченным и выполнять вредоносные функции.

При каждом запуске троян собирает и передает на управляющий сервер следующие данные:

• учетные записи пользователя и его номер мобильного телефона;
• контакты из телефонной книги;
• текущую дату;
• текущую геолокацию;
• сведения о хранящихся на устройстве файлах;
• версию приложения.

При этом он дублирует часть информации в принадлежащий атакующим Telegram-бот. Например, троян отправляет ему данные о новых координатах при каждой смене местоположения устройства.

Получив информацию о доступных файлах, злоумышленники могут дать трояну команду загрузить и запустить вспомогательные модули, с помощью которых тот сможет похищать нужные файлы. Проведенный анализ показал, что создателей шпиона в частности интересуют конфиденциальные документы, которые пользователи передают через мессенджеры Telegram и WhatsApp, а также файл журнала локаций locLog, создаваемый непосредственно программой Alpine Quest.

Таким образом, Android.Spy.1292.origin не только позволяет следить за местоположением пользователей, но и похищать конфиденциальные файлы. При этом его функциональность может быть расширена через загрузку новых модулей, в результате чего он сможет выполнять более широкий спектр вредоносных действий.

Специалисты компании «Доктор Веб» рекомендуют устанавливать Android-приложения только из проверенных источников, таких как официальные каталоги ПО, и не загружать их из Telegram-каналов или с сомнительных сайтов — особенно если речь идет о якобы свободно доступных платных версиях программ. При этом необходимо обращать внимание на то, от имени кого распространяются интересующие приложения, поскольку злоумышленники часто маскируются под настоящих разработчиков, используя для этого похожие имена и логотипы.

Для защиты Android-устройств необходимо пользоваться антивирусом. Dr.Web Security Space для мобильных устройств надежно детектирует и удаляет трояна Android.Spy.1292.origin, поэтому для наших пользователей он опасности не представляет.

Индикаторы компрометации

Подробнее об Android.Spy.1292.origin

18 апреля 2025 года

Пользователям Dr.Web Enterprise Security Suite (ESS) настоятельно рекомендовано оперативно обновить продукт до версии 13. Переход на новую версию обеспечит полноценную защиту и регулярные обновления антивирусных компонентов.

С 30 января 2024 Dr.Web Enterprise Security Suite версия 12 находится в состоянии ограниченной поддержки. Это означает, что выпуск обновлений антивирусных компонентов для ESS версии 12 может быть прекращен в любой момент без дополнительного оповещения, а регулярный выпуск обновлений будет продолжаться только для баз вирусных сигнатур. Таким образом, после прекращения обновлений функциональность средства антивирусной защиты для рабочих станций и серверов сохранится, но уровень защиты от современных угроз будет постепенно снижаться ввиду прекращения обновлений компонентов.

Процесс обновления проходит автоматически средствами центра управления. Пользователю достаточно выполнить действия, описанные в инструкции.

Алгоритм обновления: сначала обновляется сам центр управления, затем автоматически происходит обновление компонентов на конечных устройствах (рабочих станциях и серверах). В случае использования иерархии серверов или кластера обновление серверов необходимо производить по очереди, предварительно отключив иерархическую связь или кластер. После завершения обновления каждого из серверов, иерархические связи (или кластер) необходимо восстановить.

Также напоминаем, что с 30 января 2026 года Dr.Web Enterprise Security Suite в версии 12 переходит в фазу базовой поддержки - это означает, что выпуск обновлений антивирусных компонентов для нее прекратится не позднее этой даты. Не подвергайте оборудование опасности вирусного заражения, обновите свой центр управления Dr.Web до версии 13.

15 апреля 2025 года

Компания «Доктор Веб» объявляет о старте новой акции: до 31 декабря 2025 года все желающие смогут приобрести два продукта — антивирус Dr.Web Security Space для мобильных устройств и мобильное приложение для безопасности детей и взрослых в цифровом пространстве Dr.Web Family Security со скидкой 10%!

Предложение действует при единовременной покупке обоих продуктов и позволяет с выгодой обеспечить не только безопасную работу и отдых с Android-гаджетом, но и быть спокойными за то, что вашим близким ничего не угрожает при использовании ими мобильных устройств.

В то время как Dr.Web Security Space для мобильных устройств защитит смартфон или планшет от всех типов современных Android-угроз, предотвратит похищение ваших персональных данных и денег и убережет от посещения опасных интернет-ресурсов, приложение Dr.Web Family Security позволит вам контролировать сетевую активность ребенка или пожилого родственника, уберегая от потребления нежелательного контента и общения со злоумышленниками в интернете.

Вместе с тем уведомляем пользователей о продлении еще одной нашей акции: купить со скидкой 10% годовые лицензии Dr.Web Security Space и Dr.Web Security Space для мобильных устройств можно будет до 31 декабря 2025 года включительно.

14 апреля 2025 года

С каждым годом криптовалюты становятся все более привычным методом оплаты. По данным на 2023 год в развитых странах примерно 20% населения когда-либо использовали такие средства платежа, а в развивающихся странах, где банковский сектор не отвечает потребностям населения, число пользователей криптовалют достигает еще больших значений. В рейтингах принятия криптовалют по количеству пользователей Россия находится в первой десятке стран. Анонимность и быстрота платежей, глобальный доступ и низкие комиссии за переводы являются основными преимуществами, которые привлекают рядовых пользователей. А для мошенников особый интерес представляют необратимость транзакций, отсутствие регуляции и недостаток знаний у пользователей ввиду относительной новизны криптовалютной технологии, что позволяет реализовывать самые разнообразные схемы незаконного обогащения.

С июня 2024 года в вирусную лабораторию «Доктор Веб» начали поступать сообщения от наших клиентов, которые установили антивирус Dr.Web Security Space на свежеприобретенные телефоны с ОС Android. При сканировании системного раздела прошивки было выявлено подозрительное приложение, замаскированное под мессенджер WhatsApp (принадлежит компании Meta, признанной экстремистской организацией и запрещенной в РФ). В ходе исследования, проведенного нашими аналитиками, было установлено, что эти случаи — не единичные: они свидетельствуют о мошеннической цепочке в рамках кампании по краже криптовалют методом клиппинга.

Клиппинг — это кража информации путем перехвата и/или подмены данных, которые пользователь копирует в буфер обмена. Наиболее часто клипперы нацелены на поиск в буфере обмена последовательностей символов, соответствующих адресам криптокошельков. В среднем такие строки содержат от 25 до 42 символов. Для удобства работы с такими данными пользователи обычно используют стандартные операции «копировать» и «вставить». Клиппер может воспользоваться этим, перехватив содержимое буфера обмена и незаметно подменив все адреса криптовалютных кошельков на те, которые принадлежат киберпреступникам.

Использование мессенджеров, троянизированных клипперами для кражи финансовой информации, не является новой тактикой для хакеров. Одна из подобных кампаний была выявлена еще в 2023 году. Тогда группа злоумышленников использовала ряд легитимных площадок, таких как Youtube, для распространения ссылок на вредоносные приложения Telegram и WhatsApp. Ссылки размещались в описаниях к видео. Основной целевой аудиторией были китайские пользователи, которые не имеют доступа к иностранным мессенджерам. А поскольку для обхода блокировок они используют ряд ухищрений, в частности скачивание программ с неофициальных сайтов, то такая кампания получила довольно внушительный размах.

Теперь злоумышленники смогли выйти на новый уровень и получить доступ к цепочке поставок ряда китайских производителей смартфонов на базе ОС Android. Именно про такие смартфоны и поступили сообщения в вирусную лабораторию «Доктор Веб». Мошеннические приложения были обнаружены непосредственно в составе предустановленного на телефоне ПО: вредоносный код был добавлен к мессенджеру WhatsApp.

Отметим, что в большинстве случаев скомпрометированные устройства были представлены в нижнем ценовом диапазоне и имели названия, созвучные с моделями известных брендов: S23 Ultra, Note 13 Pro, P70 Ultra и так далее. При этом их технические характеристики были далеки от заявленных. Дело в том, что в состав прошивки входило скрытое приложение, позволяющее с легкостью изменить всю отображаемую техническую информацию об устройстве не только в системном меню, но и в отчетах таких популярных приложений, как AIDA64 и CPU-Z. Кроме того, несмотря на то, что в разделе «Об устройстве» было заявлено об установленной последней версии Android 14, на самом деле все устройства работали под управлением одного и того же билда Android 12. Треть указанных ниже моделей выпускается под брендом SHOWJI. Производителей остальных моделей нам идентифицировать не удалось.

Модели смартфонов со встроенным вредоносным ПО, приобретенные нашими пользователями

Изображения из карточек товаров

Скриншот программы для подделывания технических характеристик и результат ее работы

Более достоверные результаты при изучении технических характеристик предоставляет приложение DevCheck. В большинстве случаев оно точно определяет параметры устройства, даже если производитель пытается ввести потребителя в заблуждение.

Троянизированное приложение WhatsApp было создано с помощью инструмента LSPatch. Этот фреймворк позволяет изменять поведение основного приложения, не вмешиваясь в его код, а загружать для этого дополнительные программные модули. В данном случае мошенники разместили в папке assets вредоносный модуль com.whatsHook.apk, выполняющий следующие функции.

• Перехват обновления приложения. Теперь вместо проверки обновлений по адресу hxxps://www.whatsapp[.]com/android/current/WhatsApp[.]apk происходит обращение к одному из серверов злоумышленников, например, hххps://apk-download[.]pro/download/whatsapp[.]apk. Это позволяет сохранять троянизированность приложения и вносить в его работу необходимые мошенникам изменения.

Метод, перехватывающий обращения к легитимному адресу обновлений

Класс, который передает поддельный адрес обновлений

• Поиск строк в принимаемых и отправляемых сообщениях, соответствующих шаблонам адресов кошельков для криптовалют Tron (строка из 34 символов, начинается с T) и Ethereum (строка из 42 символов, начинается с 0x) и их подмена на адреса злоумышленников. Такая базовая функциональность клиппера была расширена, и теперь факт подмены адреса криптокошелька не виден жертве. В случае исходящего сообщения на скомпрометированном устройстве жертве демонстрируется корректный адрес ее собственного кошелька, а получателю сообщения отправляется адрес кошелька мошенников. При получении же входящего сообщения в чате собеседнику виден адрес отправленного им кошелька, а на устройстве жертвы входящий адрес подменяется на адрес кошелька хакеров. Адреса кошельков мошенников меняются при каждой итерации кампании, но в троян вшиты и резервные адреса ("TN7pfenJ1ePpjoPFaeu46pxjT9rhYDqW66", "0x673dB7Ed16A13Aa137d39401a085892D5e1f0fCA"), которые могут использоваться, если по каким-то причинам связь с С2-сервером не может быть установлена. Дополнительно троян отправляет на сервер злоумышленников все сообщения, отправляемые в мессенджере.

Парсер, выполняющий поиск адресов кошельков Tron

Парсер, выполняющий поиск адресов кошельков Ethereum

• Поиск и отправка на сервер злоумышленников всех изображений в форматах jpg, png и jpeg в следующих папках:

Это делается для поиска так называемых мнемонических фраз для криптокошельков, представляющих собой набор из 12–24 слов в определенной последовательности. Такая фраза демонстрируется однократно при создании кошелька и многие пользователи просто делают ее скриншот, а не записывают на отдельный носитель. Такие фразы позволяют восстановить доступ к кошельку, если пользователь забыл пароль. Для злоумышленников получение таких данных означает возможность сразу же вывести все деньги с криптокошелька.

Пример мнемонической фразы для восстановления доступа к криптокошельку. Слова необходимо вводить в соответствии с нумерацией

• Отправляет информацию об устройстве: производитель, модель, языковые настройки и имя троянизированного приложения.

В вирусной базе Dr.Web этот троян получил отдельное название Shibai из-за строки Log.e("", "-------------------SHIBAI-释放------------"), содержащейся в его коде. Можно предположить, что это является отсылкой к названию одной из криптомонет.

Следует отметить, что данная кампания является очень масштабной. Аналогичным образом мошенники модифицировали порядка 40 приложений. Среди них — уже упомянутые нами WhatsApp и Telegram, а также другие мессенджеры, сканеры QR-кодов и т. д. Но в основном вмешательству подверглись популярные приложения криптокошельков (Mathwallet, Trust Wallet и другие). Всего было обнаружено более 60 С2-серверов, а для распространения вредоносных приложений задействованы порядка 30 доменов. Также нам удалось получить некоторые сведения о финансовых успехах троянописателей. На одном из отслеживаемых нами кошельков были замечены поступления за два года в размере более миллиона долларов. На другом нашлось ещё полмиллиона. Остальные кошельки (примерно 20 штук) хранили суммы до 100 тысяч долларов. Полную картину о доходности этой кампании получить невозможно, так как адреса кошельков получаются с сервера злоумышленников и каждый раз могут быть разными.

Один из наиболее доходных кошельков злоумышленников

Для защиты от подобных атак вирусные аналитики «Доктор Веб» рекомендуют установить антивирус Dr.Web Security Space для мобильных устройств, не приобретать смартфоны с характеристиками, явно несоответствующими своей цене, скачивать приложения только из доверенных источников, таких как Google Play, Rustore и AppGallery, а также не хранить скриншоты с мнемоническими фразами, паролями и ключами на устройстве в незашифрованном виде.

Подробнее о Tool.LSPatch.1

Подробнее о Android.Clipper.31

Индикаторы компрометации

7 апреля 2025 года

Dr.Web Katana 2.0 — это обновленная версия программного продукта, в который интегрированы лучшие достижения «Доктор Веб» по превентивной защите Windows.

Продукт используется в качестве дополнительного антивирусного «щита» и усиливает решения других вендоров с помощью превентивных технологий нейтрализации угроз. Dr.Web Katana обеспечивает защиту файлов пользователей от троянцев-шифровальщиков и предотвращает возможность блокировки доступа к данным пользователей. Блокирует активные угрозы, включая атаки нулевого дня и вредоносные программы, обходящие сигнатурные антивирусы. Версия 2.0 отвечает всем современным вызовам кибербезопасности, предлагая пользователям самые эффективные алгоритмы обнаружения угроз, оптимизированное использование ресурсов и обновленный пользовательский интерфейс.

Ключевые обновления

• Современные алгоритмы анализа — обновленные механизмы поведенческого анализа, эвристических и облачных технологий обеспечивают мгновенное выявление новых угроз, в том числе троянцев-шифровальщиков.
• Улучшенная совместимость — программа оптимизирована для работы с последними версиями Microsoft Windows и не конфликтует с антивирусами других производителей.
• Минимальная нагрузка на систему — за счет оптимизации процессов продукт обеспечивает надежную защиту без снижения производительности устройств.
• Обновленный интерфейс — модернизированный дизайн и улучшенная навигация делают продукт еще более удобным в использовании.

Обновление Dr.Web Katana до версии 2.0

При получении обновления Dr.Web уведомит вас о необходимости перезагрузить компьютер для установки обновленных модулей программы.

Если ваша операционная система не поддерживает алгоритм хеширования SHA-256, вы не сможете обновить Dr.Web Katana до новейшей версии. Установите рекомендованные обновления для вашей операционной системы, перезагрузите компьютер и повторите попытку обновления продукта.

Если по какой-то причине вы не смогли обновить продукт, скачайте дистрибутив на нашем сайте и установите новую версию поверх старой, в процессе установки старая версия будет удалена. При возникновении сложностей, обратитесь в нашу Службу технической поддержки.

Важно

Dr.Web Katana — это производный продукт Dr.Web Security Space. Поэтому если на вашем устройстве установлен Dr.Web Security Space, использование Dr.Web Katana не требуется, так как все ключевые технологии уже интегрированы в Dr.Web Security Space.

2 апреля 2025 года

Dr.Web Mobile Security Suite для ОС Аврора успешно прошел испытания ФСТЭК России, что подтверждено сертификатом соответствия № 4909, действующим до 3 февраля 2030 года.

Сертифицированная версия Dr.Web Mobile Security Suite для ОС Аврора защищает мобильные устройства и планшеты, работающие на российской мобильной ОС Аврора, от всех типов вредоносных программ, обеспечивая комплексную защиту устройств, с использованием всех доступных возможностей операционной системы.

ОС Аврора используется в крупных государственных компаниях и организациях и является доверенной – это означает, что организация, сотрудники которой работают со смартфонами и планшетами под управлением ОС Аврора, обладает полным контролем над этими устройствами и хранящимися на них данными.

«Мы активно развиваем продукт Dr.Web Mobile Security Suite для ОС Аврора, так как нам очевидна востребованность среди крупных организаций, и получение сертификата ФСТЭК России, и ранее полученного сертификата ФСБ России, является закономерным этапом в развитии данного решения, поскольку его наличие является обязательным требованием для внедрения и использования во многих организациях», — отметил Дмитрий Орлов, руководитель специальных проектов «Доктор Веб».

«Являясь разработчиком антивирусных решений, Dr.Web обеспечивает безопасность данных, передаваемых через мобильные устройства. Для ряда наших заказчиков это является необходимой функциональностью при реализации корпоративной инфраструктуры. И также является необходимым наличие сертификата для используемого решения. Разработка подобных технически сложных решений стимулирует нас на развитие ОС Аврора, в том числе приводит к появлению новых API и функций. И мы рассчитываем, что Dr.Web Mobile Security Suite для ОС Аврора также продолжит развиваться, обеспечивая более тесную интеграцию с системными возможностями», — подчеркнул Директор департамента развития мобильной среды Кирилл Чувилин.

Сертифицированные решения Dr.Web применяются:

• в организациях с повышенными требованиями к уровню безопасности;
• для защиты данных в системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну;
• для защиты государственных информационных систем до 1 класса защищенности включительно;
• для обеспечения до 1 уровня защищенности персональных данных в информационных системах.

1 апреля 2025 года

Современные ИТ-инфраструктуры всё чаще полагаются на контейнерные технологии, в частности Docker. Использование этих легковесных, изолированных сред для запуска приложений популярно благодаря эффективности и удобству интеграции в инфраструктуру. Такие контейнеры упрощают разработку, тестирование и развёртывание приложений, позволяя компаниям гибко масштабировать свои решения и ускорять цикл выпуска обновлений.

Одной из проблем использования Docker-контейнеров является распространённая практика применения при их сборке сторонних образов в качестве основы. Для ускорения разработки и развёртывания приложений многие компании используют готовые образы, предоставленные третьими лицами. Однако такие образы могут содержать уязвимости или вредоносные элементы, представляющие серьёзную угрозу для ИТ-инфраструктуры.

Использование непроверенных контейнеров увеличивает вероятность внедрения вредоносного ПО или недокументированных функций в корпоративные системы. По сути, это открывает возможность для реализации атаки на цепочку поставок (Supply Chain Compromise по классификации MITRE).
Избежать этих рисков можно при тщательной проверке и анализе контейнеров перед их применением с помощью Dr.Web vxCube.

Новые возможности Dr.Web vxCube

В ответ на растущее число угроз, связанных с контейнерными технологиями, в песочницу Dr.Web vxCube была добавлена новая функция — анализ Docker-контейнеров. Теперь пользователи могут проводить детальный анализ контейнерных образов, выявляя возможные скрытые угрозы, недокументированные функции или вредоносные элементы.

Песочница Dr.Web vxCube анализирует поведение подозрительных объектов и помогает обнаруживать угрозы, которые не всегда могут распознать обычные средства защиты. Dr.Web vxCube играет ключевую роль в противодействии современным киберугрозам, включая целевые атаки APT (Advanced Persistent Threats, или расширенные постоянные угрозы).

Песочница Dr.Web vxCube идеально подходит для Центров мониторинга и предотвращения атак (SOC), основная задача которых - выявление и нейтрализация угроз на ранних этапах. Она обеспечивает как ручной, так и автоматизированный исчерпывающий анализ подозрительных файлов в изолированной среде. Это помогает выявлять скрытые угрозы и детализировать поведение вредоносного ПО, повышая эффективность противодействия ему. Применение песочницы не только сокращает время на принятие решений, но и снижает нагрузку на специалистов по безопасности. Благодаря поддержке различных операционных систем и приложений Dr.Web vxCube позволяет анализировать широкий спектр угроз, что делает его незаменимым инструментом для SOC.

Основные возможности анализа Docker-контейнеров в Dr.Web vxCube:

• проверка контейнерных образов в изолированной среде на наличие скрытых или вредоносных компонентов;
• анализ поведения контейнеров, включая сетевую активность и взаимодействие с системой;
• возможность выявления недокументированных функций, которые могут представлять угрозу безопасности;
• подробный отчёт о результатах анализа, включая информацию о подозрительных действиях контейнера.

Использование Dr.Web vxCube для анализа Docker-контейнеров предоставляет ряд существенных преимуществ:

• повышение уровня безопасности контейнерных приложений за счёт тщательной проверки образов;
• снижение рисков для всей ИТ-инфраструктуры путём предотвращения внедрения вредоносного кода через непроверенные контейнеры;
• оптимизация процессов проверки и внедрения контейнеров, что ускоряет разработку и развёртывание приложений без компромиссов в области безопасности.

Узнать подробнее о Dr.Web vxCube и получить доступ к демо-версии можно здесь - https://www.drweb.ru/vxcube/.

31 марта 2025 года

«Доктор Веб» сообщает, что с 1 апреля 2025 года меняются названия программных продуктов и решений Dr.Web по подписке, ценовая политика и система скидок.

Теперь для пакетов Мобильный, Персональный и Расширенный будут использоваться названия: Dr.Web Мобильный, Dr.Web Персональный и Dr.Web Расширенный. При этом функционал программных продуктов и решений Dr.Web по подписке остается прежним.

Ниже представлены актуальные цены, которые вступят в силу с 1 апреля 2025 года. Чем больше устройств защищает пользователь, тем ниже стоимость использования подписки для одного устройства.

Остались вопросы — обратитесь в Службу поддержки продаж.

27 марта 2025 года

По данным Dr.Web Security Space для мобильных устройств

Android.HiddenAds.657.origin

Android.HiddenAds.655.origin

Android.HiddenAds.4214

Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.FakeApp.1600

Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.

Android.MobiDash.7859

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeMoney.11

Program.FakeMoney.14

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.CloudInject.1

Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.

Program.TrackView.1.origin

Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Tool.NPMod.1

Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.

Tool.Androlua.1.origin

Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Tool.SilentInstaller.14.origin

Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Tool.Packer.1.origin

Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Adware.ModAd.1

Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.

Adware.Basement.1

Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.

Adware.AdPush.3.origin

Adware.Adpush.21846

Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Adware.Fictus.1.origin

Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Угрозы в Google Play

В I квартале 2025 года вирусная лаборатория компании «Доктор Веб» выявила в Google Play несколько десятков вредоносных приложений. Среди них — различные модификации троянов Android.HiddenAds.4213 и Android.HiddenAds.4215, которые скрывают свое присутствие на зараженных устройствах и начинают демонстрировать рекламу поверх других программ и интерфейса операционной системы. Они скрывались в приложениях для фото- и видеосъемки с различными эффектами, фоторедакторах, сборнике изображений и дневнике женского здоровья.

Рекламные трояны Android.HiddenAds, скрывающиеся в программах Time Shift Cam и Fusion Collage Editor

Также наши специалисты обнаружили вредоносные программы Android.CoinSteal.202, Android.CoinSteal.203 и Android.CoinSteal.206, предназначенные для кражи криптовалют и распространявшиеся под видом официального ПО блокчейн-платформ Raydium и Aerodrome Finance, а также криптобиржи Dydx.

Программы Raydium и Dydx Exchange — трояны для кражи криптовалют

При запуске вредоносные приложения предлагают потенциальным жертвам ввести мнемоническую фразу (seed-фразу) якобы для подключения криптокошелька, но на самом деле вводимые данные передаются злоумышленникам. Чтобы окончательно ввести пользователей в заблуждение, формы для ввода мнемонических фраз могут быть замаскированы под запросы от прочих криптоплатформ. Как показано на примере ниже, Android.CoinSteal.206 продемонстрировал фишинговую форму якобы от имени криптобиржи PancakeSwap.

Вместе с тем в Google Play вновь распространялись программы-подделки Android.FakeApp. Многие из них мошенники выдавали за приложения финансовой тематики, включая обучающие пособия, инструменты для доступа к инвестиционным сервисам, программы для учета личных финансов. Они загружали различные фишинговые сайты, в том числе используемые злоумышленниками для сбора персональных данных.

Примеры вредоносных программ Android.FakeApp, распространявшихся под видом финансового ПО: «Умные Деньги» — Android.FakeApp.1803, Economic Union — Android.FakeApp.1777

Другие трояны Android.FakeApp при определенных условиях загружали сайты букмекеров и онлайн-казино. Такие варианты вредоносных программ распространялись под видом всевозможных игр и прочего ПО — например, тренажера для скоростного набора текста и пособия по рисованию. Среди них были в том числе новые модификации трояна Android.FakeApp.1669.

Примеры вредоносных программ-подделок, которые вместо обещанной функциональности могли загружать сайты онлайн-казино и букмекерских контор

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.