"Мир интернета"

[душман]

Механизм загрузки обновлений для WordPress угрожает безопасности данных

Глава отдела разработки компании Paragon Initiative Enterprises Скотт Арцишевски предупредил о рисках, связанных с использованием механизма доставки обновлений для WordPress.

Арцишевски сообщил о проблемах команде WordPress, однако ему так и не удалось убедить ее в их серьезности.В общей сложности эксперт обнаружил три проблемы. Первая из них связана с функцией в исходном коде WordPress, ответственной за связь CMS с сервером и загрузкой обновлений. Данная функция проверяет подлинность загружаемых файлов только по контрольной сумме MD5 без использования криптографической подписи.
О проблеме стало известно еще три года назад, однако она до сих пор остается актуальной.
Вторая загвоздка заключается в серверах, с которых загружаются обновления. Серверы являются единой точкой отказа во всей архитектуре экосистемы WordPress. По словам Арцишевски, под управлением данной CMS работает 25% всех интернет-сайтов, а значит, злоумышленник с доступом к серверу может заставить миллионы ресурсов загрузить вредоносные обновления.
Третья проблема связана с поддерживаемой WordPress минимальной версией PHP - PHP 5.2.4. Арцишевски советует использовать PHP 5.6.0 с лучшей реализацией SSL/TLS.

[душман]

В РФ могут ввести автоматическую блокировку «зеркал» пиратских сайтов

В качестве первой меры по борьбе с интернет-пиратством Госдума РФ седьмого созыва может ввести автоматическую блокировку «зеркал» сайтов с противоправным контентом.

Об этом в среду, 23 ноября, сообщил председатель профильного думского комитета по информполитике Леонид Левин.
Как отметил Левин, отвечая на вопрос о возможном ужесточении антипиратского законодательства, «стоит говорить не о жестокости, а о техническом совершенствовании». По словам эксперта, закон не может стоять на месте, и наиболее очевидным изменением является введение автоматической блокировки «зеркал» ресурсов с незаконным контентом.
Пираты используют «зеркала» (копии сайтов с тем же содержимым, но с другим адресом) для обхода блокировки, ведь «зеркало» - совсем другой ресурс. В интересах правообладателей как можно скорее лишить преступников такой возможности.
Автоматическая блокировка означает моментальное блокирование доступа к «зеркалу» сразу же после его обнаружения. Основанием для блокировки будет служить тот факт, что ресурс является копией основного сайта, внесенного в реестр запрещенных. В текущей версии антипиратского закона подобная мера не предусмотрена.

[душман]

Яндекс.Диск расскажет о последних действиях с файлами

Яндекс объявил о появлении в Яндекс.Диске ленты событий.

Как рассказали в компании, с ее помощью можно следить за последними действиями с контентом и быстро на них реагировать — например, создавать из новых снимков альбомы или комментировать просмотренные файлы. Из места для хранения и редактирования файлов Диск превращается также в место для работы с актуальным контентом.
Лента отображает все основные действия с файлами: загрузку, изменение, добавление файлов в общие папки, просмотр ссылок и так далее. События расположены в хронологическом порядке. Все последние действия находятся сверху — поэтому легко найти документы, с которыми работал недавно. Пользователи могут прямо из ленты создать альбом, поделиться файлом или перейти к его редактированию. Можно также оценивать и комментировать файлы, ссылки на которые просмотрел или отправил другим.
Это особенно удобно при совместной работе. А чтобы кто-нибудь не пропустил комментарий, сервис присылает почтовые уведомления. Подробнее о возможностях ленты читайте в блоге Яндекса.
Лента доступна на disk.yandex.ru и с ограниченным функционалом — в приложении для Android. Пока новый раздел работает в бета-версии. В дальнейшем в ленте появятся новые инструменты для работы с контентом, в частности возможность искать по событиям.
Находить файлы в ленте и в других разделах Диска можно и сейчас. Сервис умеет искать файлы по тексту — даже если он изображён на картинке. По фамилии человека можно найти фотографию его визитки. Этим летом сервис стал распознавать изображения — с помощью компьютерного зрения, которое использует технологии искусственного интеллекта. Например, если набрать в поисковой строке «море», сервис найдёт снимки с морем.

[душман]

Преступники используют новый метод распространения трояна Fareit

Специалисты команды Cisco Talos обнаружили новую спам-кампанию по распространению вредоносного ПО Fareit, использующегося для эксфильтрации данных, например, хищения пользовательских паролей из браузеров.

О функционале Fareit уже известно довольно многое, однако в данном случае внимание специалистов привлек метод распространения трояна, а именно - необычный для подобных случаев формат вредоносного файла, прикрепленного к спам-сообщениям.
В частности, злоумышленники рассылали содержащие счета электронные письма, якобы от банка HSBC. К сообщению был прикреплен MHTML-документ (MIME HTML). MHTML - архивный формат web-страниц, используемый для комбинирования кода HTML и ресурсов, которые обычно представлены в виде внешних ссылок, в один файл.
MHT-файл использовался для загрузки расширения HTA, которое в свою очередь загружало Visual Basic-скрипт и вредоносное ПО Fareit.
Как стало известно ранее, операторы вредоносного банковского трояна Dridex также экспериментируют с методами распространения вредоноса. Если прежде троян распространялся с помощью ботнета из взломанных компьютеров Necurs, то сейчас для рассылки спама злоумышленники используют скомпрометированные легитимные серверы.

[душман]

«Доктор Веб» обеспечит информационную безопасность Универсиады-2017 в Алматы

«Доктор Веб» объявил о планах обеспечить безопасность работы персональных компьютеров, мобильных устройств и серверов, задействованных в проведении Универсиады 2017 г.

Как рассказали в компании, для этих целей «Доктор Веб» предоставит новейшие продукты для защиты информации. Ведущие специалисты «Доктор Веб» будут следить за IT-инфраструктурой мероприятия с целью обеспечения её бесперебойной работы. Соответствующий договор о сотрудничестве между компанией «Доктор Веб – Центральная Азия» и Дирекцией по подготовке и проведению Универсиады-2017 г. в г. Алматы был подписан 7 октября 2016 г.
«Информационная безопасность, защита данных – это важнейшая часть общей системы безопасности Универсиады в Алматы. Мы надеемся, что благодаря сотрудничеству с «Доктор Веб» вся IT-инфраструктура предстоящих игр в городе Алматы будет надежно защищена», - подчеркнул в ходе пресс-конференции руководитель Дирекции Универсиады-2017 Наиль Нуров.
Компания «Доктор Веб» предоставит лицензии Dr.Web для защиты ПК, серверов и мобильных телефонов, а также программно-аппаратный комплекс Dr.Web Office Shield для защиты IT-инфраструктуры на период проведения игр. Во время подготовки и проведения Универсиады будут использоваться последние разработки компании для комплексной защиты рабочих станций, серверов и мобильных устройств от вирусных атак.
«Для компании «Доктор Веб» быть официальным партнером 28-й Всемирной зимней Универсиады 2017 года – огромная честь. Мы осознаем свою ответственность и понимаем, что любые мероприятия такого уровня – это скопление информационных технологий. Практически все, что связано с соревнованиями и их освещением в СМИ, обеспечивается компьютерной техникой. Мы надеемся, что с помощью наших технологий и опыта в организации систем информационной безопасности удастся поставить надежный заслон против любых интернет-угроз», - сказал заместитель генерального директора «Доктор Веб – Центральная Азия» Виталий Бугаев.
«Доктор Веб» имеет успешный опыт защиты информационных ресурсов в ходе проведения крупных спортивных мероприятий. В 2011 г. компания обеспечивала информационную безопасность персональных компьютеров и мобильных устройств, задействованных в проведении 7-х зимних Азиатских игр в Казахстане.

[душман]

ЛК зафиксировала волну целевых атак на организации в Азии

Как сообщают эксперты «Лаборатории Касперского», ряд организаций в странах Азии и Африки стали жертвами атак с использованием уязвимости нулевого дня в InPage.

Данное ПО представляет собой текстовый процессор, поддерживающий такие языки, как урду, пушту, персидский и арабский и использующийся в учебных заведениях, библиотеках, правительственных организациях и СМИ.
Исследователи зафиксировали волну атак с использованием уязвимости в сентябре текущего года. Злоумышленники распространяли эксплоит с помощью фишинговых писем. Сам эксплоит представлял собой файл с расширением InPage (.inp), содержащий шелл-код – вредоносное ПО, способное расшифровывать само себя и вложенный в письмо исполняемый файл. В настоящее время данный случай является единственным примером существования эксплоита для InPage.
Как пояснил эксперт «Лаборатории Касперского» Денис Легезо, в InPage используется собственный проприетарный формат, основанный на Microsoft Compound File Format. Синтаксический анализатор в главном модуле программы ‘inpage.exe’ содержит уязвимость при анализе определенных полей. Создав такое поле в документе, злоумышленник может получить контроль над потоком команд и выполнить код.
По данным исследователей, жертвами хакеров стали организации, в том числе правительственные и финансовые, в Мьянме, Шри-Ланке и Уганде. Злоумышленники эксплуатировали уязвимость в InPage для установки на системы бэкдоров и кейлоггеров.

[душман]

Хакеры распространяют банковские трояны через OneDrive for Business

Киберпреступники все время ищут новые способы заставить жертв открыть вредоносный сайт или загрузить файл.

Как сообщают исследователи компании Forcepoint, с целью выдать вредоносные ссылки за легитимные, мошенники взяли на вооружение сервисы от Microsoft.
Эксперты зафиксировали новую волну с использованием облачного хранилища OneDrive for Business. Злоумышленники размещают в облаке вредоносное ПО, а затем рассылают жертвам ссылку на него с помощью электронных писем. По мнению хакеров, поскольку домен принадлежит Microsoft, у пользователей не должно возникнуть никаких подозрений.
Как сообщают эксперты, таким образом злоумышленники распространяют вредоносное ПО семейств Dridex и Ursnif. Вредоносные письма в основном содержат исполняемые файлы или архивы с JavaScript-загрузчиком. К настоящему времени жертвами кампании стали пользователи в Австралии и Великобритании.
Экспертам пока не удалось выяснить, каким образом злоумышленники взломали учетные записи OneDrive for Business. Следовательно, угрозе подвергаются не только получатели вредоносных писем, но и сами владельцы учетных записей. Имея доступ к аккаунту какой-либо компании в OneDrive for Business, хакеры могут получить всю хранящуюся в нем корпоративную информацию.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошедшая неделя оказалась богатой самыми разнообразными инцидентами безопасности, начиная от обнаружения очередного бэкдора в Android-смартфонах и заканчивая утечкой данных военнослужащих ВМС США.

Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 21 по 27 ноября 2016 года.
Начало прошлой недели ознаменовалось сообщением об очередном бэкдоре в бюджетных Android-устройствах китайского производства. Проблема затрагивает модели смартфонов от BLU Product, Infinix Mobility, DOOGEE, LEAGOO, IKU Mobile, Beeline и XOLO. Из-за некорректной реализации механизма OTA-обновлений и отсутствия шифрования при установке соединения с удаленными серверами злоумышленник может осуществить MiTM-атаку.
Как сообщили ИБ-эксперты, киберпреступники распространяют через Facebook новое вредоносное ПО, замаскированное под изображения в формате .svg. Вредонос рассылается с взломанных учетных записей пользователей соцсети.
Помимо Facebook, для распространения вредоносного ПО злоумышленники стали использовать и другой популярный ресурс – облачное хранилище OneDrive for Business. С взломанных учетных записей хакеры рассылают фишинговые письма с вредоносным вложением. Как сообщают эксперты Forcepoint, таким образом злоумышленники распространяют банковские трояны семейств Dridex и Ursnif.
По данным исследователей Cisco Talos, с помощью фишинговых писем злоумышленники также распространяют вредоносное ПО Fareit, предназначенное для похищения учетных данных из браузера. В частности, злоумышленники рассылают содержащие счета электронные письма якобы от банка HSBC.
Эксперты «Лаборатории Касперского» сообщили о вредоносной кампании, направленной на правительственные и финансовые организации в Африке и Азии. С помощью фишинговых писем злоумышленники распространяют эксплоит для уязвимости нулевого дня в текстовом процессоре InPage.
Одной из наиболее резонансных новостей на прошлой неделе стала новость о международной киберпреступной группировке Cobalt, атаковавшей банкоматы в более десяти странах мира, в том числе в РФ. С помощью вредоносного ПО хакеры удаленно заставили банкоматы несанкционированно выдавать наличные.
В четверг, 24 ноября, масштабной DDoS-атаке подвергся сайт Еврокомиссии. Атака создала заторы в интенет-соединениях, замедлившие доступ к web-сайту исполнительного органа Евросоюза и доступ сотрудников ЕК к интернету.
Не исключено, что вышеупомянутый инцидент может быть связан с печально известным ботнетом Mirai. Как стало известно, два хакера арендовали ботсеть из 400 тыс. инфицированных IoT-устройств и теперь готовы за деньги предоставлять услуги по осуществлению DDoS-атак.
ИБ-эксперт Крис Эванс продемонстрировал новый способ взлома Linux. Для выполнения кода потребуется всего лишь загрузить на систему специально сформированный файл. Эванс разработал эксплоит, предназначенный для эксплуатации уязвимостей повреждения памяти в плагине GStreamer, включенном в большинство дистрибутивов Linux. Эксплуатация уязвимостей может привести к отказу в работе фреймворка и выполнению программ при помощи специально сформированного файла.
Ученые из Университета Бен-Гуриона (Израиль) нашли способ, позволяющий превращать обычные наушники в микрофон для прослушки и записи разговоров. Исследователи разработали ПО Speak(a)r, способное конвертировать вызванные звуком колебания воздуха в электромагнитные сигналы. Проэксплуатировав уязвимость в аудиочипах Realtek, они смогли превратить выходной канал во входной для записи звука.
На прошлой неделе также не обошлось без утечек данных. Неизвестные похитили персональную информацию свыше 130 тыс. действующих и бывших служащих ВМС США . Кроме того, о хакерской атаке на свою платежную систему сообщил владелец исторического театра Chicago Theater – компания Madison Square Garden Company.В результате инцидента неизвестные похитили данные кредитных карт, использовавшихся для оплаты в период между 9 ноября 2015 года и 24 октября 2016 года.

[душман]

YouTube может уйти из России из-за ограничений деятельности онлайн-кинотеатров

Принадлежащий Google видеохостинг YouTube подпадает под ограничения иностранного участия в аудиовизуальных сервисах 20%, которые прописаны в законопроекте, внесенном в Госдуму 25 ноября.

YouTube может рассматриваться как «организатор аудиовизуального сервиса», говорится в заключении правового комитета Медиакоммуникационного союза (МКС), разрабатывавшего поправки. Об этом пишет «Коммерсант» со ссылкой на копию заключения. Ранее президент МКС Павел Степанов говорил, что YouTube и соцсети не подпадают под действие законопроекта.
По аналогии со СМИ, в законопроекте с 1 июня 2017 г. прописано ограничение в 20% доли в компаниях – организаторах аудиовизуальных сервисов с профессиональным контентом. Речь идет об интернет-ресурсах с российской аудиторией более 100 000 пользователей в месяц или более 20 000 пользователей в одном субъекте страны. Такие сервисы должны включаться в специальный реестр.
На YouTube приходится более 30% от общего потребления трафика российскими пользователями. Из заключения МКС следует, что принятие законопроекта может привести к уходу YouTube с территории России. Это связано с тем, что на YouTube размещается как профессиональный, так и пользовательский контент, а методики по их разделению нет, говорит источник, знакомый с разработкой законопроекта.
В Google на запрос не ответили.По словам собеседника издания, поправки были инициированы компаниями «Газпром-медиа» и «СТС Медиа» специально против американского видеосервиса Netflix. В начале года он объявил о выходе на российский рынок. «Чтобы прикрыть собственные неудачи с контентом в онлайне, опасаясь такого мощного игрока, они теперь предлагают монополизировать рынок и фактически пытаются узаконить картель»,— отмечает собеседник издания.
Против этой инициативы выступает «Вымпелком», настаивающий на на широком обсуждении «спорного документа».
Помимо рисков для YouTube законопроект ограничивает конкуренцию, нацеленную на получение выгоды отдельными участниками рынка и выталкивает пользователей в «серую зону», связанную с «бесконтрольным распространением TOR и VPN», - следует из заключения МКС.

[душман]

Новый образец Mirai «отключил» пользователям в Германии доступ к Сети

Причиной проблем с доступом к интернету у пользователей немецкой компании Deutsche Telekom стал нашумевший ботнет Mirai.

Как сообщает издание Network World со ссылкой на исследователя Технологического института SANS Йоханесса Ульриха, вирусописатели выпустили новую версию вредоносного ПО Mirai. Данный образец создан специально для атак на уязвимые маршрутизаторы производства компании Zyxel.
Оригинальная версия Mirai была предназначена для атак на устройства «Интернета вещей» со слабыми заводскими паролями. Вредонос сканировал интернет на наличие таких устройств и взламывал их путем подбора учетных данных из своего списка. Новый образец Mirai также способен эксплуатировать уязвимость в сервисе с использованием протокола SOAP, встроенном в маршрутизаторы Zyxel.
Зараженные устройства становятся частью ботнета для осуществления DDoS-атак. По словам Ульриха, инфицированные новым образцом Mirai роутеры в DDoS-атаках пока не использовались.
Напомним, 27-28 ноября порядка 900 тыс. пользователи проводной связи Deutsche Telekom испытывали проблемы с доступом к Сети. Причиной сбоя послужил выход из строя маршрутизаторов.

[душман]

В России зафиксированы первые DDoS-атаки с применением шифрования

Специалисты «Лаборатории Касперского» зафиксировали в России первые DDoS-атаки типа Wordpress Pingback, реализованные через защищенные шифрованием соединения.

Данный метод атак начал приобретать популярность у злоумышленников в третьем квартале 2016 года. По мнению экспертов, использование шифрования помогает киберпреступникам обойти большинство защитных решений и тем самым увеличить эффективность атак.
Все зафиксированные атаки были направлены на сайт «Новой газеты». По данным специалистов, атакующие эксплуатировали уязвимости платформы WordPress. Первые атаки типа Wordpress Pingback были зафиксированы в 2014 году. Суть метода заключается в том, что в качестве атакующих серверов используются сайты под управлением Wordpress CMS с включенным режимом Pingback, предназначенным для автоматического оповещения авторов об обновлениях в сообщениях.
Злоумышленник отправляет на такие сайты специально сформированный HTTP-запрос с ложным обратным адресом (адресом жертвы), на который сервер отправляет ответы. Атака формируется из десятков подобных ответов, в результате чего возникают сбои в работе web-ресурса жертвы.
Основное отличие DDoS-атаки на сайт «Новой газеты» от приведенной выше классической схемы заключалось в шифровании трафика, направленного на ресурс.
Как пояснил эксперт «Лаборатории Касперского» Алексей Киселев, применение шифрования значительно усложняет обнаружение и отражение атаки, поскольку требуется расшифровка трафика для определения чистый он или «мусорный». Кроме того, подобная атака создает большую нагрузку на атакуемый сайт. Наконец, еще одна сложность заключается в том, что современные механизмы шифрования не предоставляют доступ к содержимому трафика третьей стороне.

[душман]

Домен EX.UA продается за миллион долларов
    
Файловое хранилище EX.UA намерено продать домен за 1 млн долларов.

Об этом говорится в сообщении сервиса. "Чтобы закончить любые спекуляции вокруг EX.UA о возможном "заграничном" будущем ресурса уведомляем: самый дорогой домен UANET продается. Цена домена EX.UA - 1 млн долларов", - говорится в нем.Согласно сообщению, 100% вырученных средств будут переданы на благотворительные цели, а именно на срочные детские операции.Также отмечается, что команда файлообменника рассматривает возможность создания закрытого файлохранилища."О новом проекте и его названии будет объявлено 21 декабря 2016 года", - сказано в сообщении.Решение о прекращении работы ресурса не изменилось, кроме того, ресурс не намерен возобновлять свою работу на другой территории или под другим доменным именем.EX.UA также сохранил возможность переноса личных архивов пользователей до 31 декабря 2016 года.До той же даты будет продолжать функционировать почтовый сервис на домене.Файловое хранилище EX.UA решило прекратить работу в связи с препятствиями работе сервиса.Ресурс принял решение просто прекратить свою работу и обратился к пользователям с просьбой изъять файлы из своих архивов на EX.UA до 30 ноября.

[душман]

Злоумышленники атакуют сайты под управлением MODx Evo

Специалисты компании «Ревизиум» зафиксировали массовые атаки на сайты, работающие на базе CMS MODx Evolution.

Компрометации подвергаются ресурсы под управлением различных версий CMS, в том числе самых актуальных.В ходе атак злоумышленники эксплуатируют уязвимость в компоненте assets/snippets/ajaxSearch/classes/ajaxSearchConfig.class.inc.php, позволяющую внедрить бэкдор при помощи POST-запроса. Бэкдор сохраняется в базе данных и позволяет осуществлять различные действия: загружать вредоносные скрипты, производить манипуляции с файлами и базой данных, осуществлять дефейс и пр.
В связи с тем, что бэкдор сохраняется в базе данных, он не детектируется сканерами файлов на хостинге. Даже в случае успешного удаления всех загруженных вредоносных скриптов у злоумышленника остается возможность повторной их загрузки.
По данным экспертов, атаки осуществляются с арендованных VPS серверов. Бот выполняет POST-запрос, загружает на сайт скрипт-загрузчик и через некоторое время использует его для размещения вредоносных скриптов на ресурсе.
На GitHub уже доступен патч, устраняющий вышеуказанную уязвимость.
Также эксперты зафиксировали атаки на MODx-сайты через популярный скрипт, часто использующийся в различных плагинах галерей. Скрипт является частью evogallery и содержит уязвимость, позволяющую загрузить произвольный файл, в том числе вредоносный.
Специалисты рекомендуют владельцам сайтов, использующих модуль галереи с uploadify и функцию ajax поиска, оперативно установить патчи. Если модуль и функция не используются, эксперты рекомендуют удалить uploadify.php и переименовать скрипт index-ajax.php.

[душман]

Хакеры атаковали 100 тыс. клиентов британского интернет-провайдера

Клиенты британского интернет-провайдера Talktalk Telecom Group PLC стали жертвами кибератаки.

Как сообщает пресс-служба компании, инцидент затронул лишь «небольшое количество пользовательских маршрутизаторов».
«Наряду с другими интернет-провайдерами в Великобритании и за границей мы предпринимаем шаги для выяснения возможного влияния червя Mirai», - сообщила пресс-служба Talktalk.
Согласно заявлению британской государственной компании Post Office, в воскресенье, 27 ноября, кибератаке подверглись 100 тыс. пользовательских маршрутизаторов. Напомним, в этот же день жертвами хакеров стали порядка 900 тыс. клиентов немецкой телекоммуникационной компании Deutsche Telekom.
Причиной сбоя в работе маршрутизаторов оказался новый образец печально известного вредоносного ПО Mirai. По данным ИБ-экспертов из Flashpoint, вредонос инфицировал устройства не только в Германии, но также порядка в 10 странах мира, в том числе в Великобритании и Бразилии.
Британские пользователи столкнулись с проблемами с доступом к интернету, однако, по заявлению компании, их данные затронуты не были. «Мы обнаружили источник проблемы и приняли меры по ее устранению», - сообщила пресс-служба, не уточнив, о каком именно источнике идет речь.

[душман]

Волгоградский кибермошенник вымогал деньги от имени ФСБ

Сотрудники правоохранительных органов задержали мужчину и женщину, выдававших себя за служащих силовых структур (МВД, ФСБ и ФССП) с целью вымогательства денег.

Об этом в пятницу, 2 декабря, сообщила официальный представитель Министерства внутренних дел РФ Ирина Волк.По данным МВД, преступники, которыми оказались скрывающиеся в Таиланде жители Волгограда, с помощью вредоносных скриптов блокировали компьютеры пользователей якобы за просмотр порнографического контента и от имени российских правоохранительных органов требовали выкуп за разблокировку.Источники незаконной прибыли были перекрыты, из-за чего организатор мошеннической схемы вернулся в Россию. Как сообщила Волк, правоохранители задержали преступника в аэропорту «Домодедово». Мошенник признал свою вину и добровольно согласился предоставить все используемое в преступных целях оборудование.Сейчас преступник и его помощница находятся под домашним арестом.

[душман]

Червь Shamoon вернулся после четырехлетнего затишья

Специалисты компаний CrowdStrike, Palo Alto Networks и Symantec предупредили о волне атак с использованием нового варианта вредоносного ПО Shamoon.

Червь Shamoon полностью стирает данные с жесткого диска и делает компьютер непригодным для дальнейшего использования.
Четыре года назад Shamoon «засветился» в атаках на ближневосточные энергетические компании Saudi Aramco и RasGas, а затем исчез из поля зрения. В середине ноября 2016 года был зафиксирован новый виток атак с применением Shamoon, направленных на компьютерные системы организаций в Саудовской Аравии и ряде других регионов.
Эксперты не раскрыли информацию о жертвах атак, объеме причиненного ущерба или о том, кто может стоять за вредоносной кампанией.
«Причины внезапного возвращения Shamoon спустя четыре года непонятны, но учитывая высокую степень его деструктивности, атакующие наверняка хотят привлечь внимание своих жертв», - отметил эксперт Symantec.
В ходе кампании 2012 года хакеры размещали на скомпрометированных компьютерах Saudi Aramco и RasGas изображения горящего американского флага в качестве визитной карточки. По словам исследователей, в нынешнем году атакующие используют фотографию трехлетнего сирийского мальчика, утонувшего в Средиземном море в прошлом году.
Согласно словам представителя компании FireEye, Shamoon 2 содержит встроенный список учетных данных, позволяющий предположить, что злоумышленники уже проникали в компьютерные сети с целью сбора необходимых логинов и паролей для дальнейшего использования в кибератаках.

[душман]

В России заблокировали больше 4 тысяч страниц с порно и интимом

За четыре года в России заблокировали 4,6 тысячи интернет-страниц с порнографией и информацией об оказании интимных услуг.

Об этом свидетельствуют данные Генеральной прокуратуры России.В ведомстве сообщили, что за время работы единого реестра доменных имен и указателей страниц в Роскомнадзор поступило более 1,6 тысячи судебных решений о признании информации порнографического характера запрещенной к распространению на территории России.На их основании было заблокировано 2,3 тысячи веб-страниц, включая их «зеркала». В настоящее время более 800 страниц находятся в процессе блокировки.Роскомнадзор также внес в реестр запрещенных сайтов 3,4 тысячи страниц с информацией об оказании интимных услуг, однако ввиду удаления администрацией ресурсов противоправной информации блокировке подверглись лишь 2,3 тысячи страниц.В ноябре Роскомнадзор внес в реестр запрещенных сайтов крупнейший в СНГ торент-трекер с порноконтентом Pornolab.net, а также 50 бесплатных порносайтов. В октябре на территории России заблокировали крупнейшие ресурсы для взрослых PornHub и YouPorn.Единый реестр доменных имен и указателей страниц начал функционировать в России 1 ноября 2012 года.

[душман]

В РФ предлагают установить единые требования к способам блокировки сайтов

Министерство связи и массовых коммуникаций РФ предлагает определить единые требования для всех операторов связи к способам блокировки сайтов.

Уведомление о внесении соответствующих поправок в Федеральный закон «Об информации, информационных технологиях и о защите информации» размещено на портале федеральных нормативных правовых актов.
Как указывается в уведомлении, в настоящее время операторы связи по своему усмотрению выбирают способы ограничения доступа к интернет-ресурсам. В ряде случаев выбранные методы не всегда являются оптимальными с точки зрения сохранения устойчивости сетей связи.
В результате могут блокироваться сайты, не содержащие противоправную информацию.
В этой связи возникает необходимость унифицировать и определить единые требования для всех операторов связи к способам ограничения доступа к интернет-ресурсам, а также сообщением о блокировке доступа к сайтам, отмечается в уведомлении.
Планируется, что новый закон вступит в силу в сентябре 2017 года.
В настоящее время закон предусматривает три метода блокировки сайтов - по URL, IP-адресу и доменному имени. В первом случае блокируется конкретная страница, содержащая запрещенную информацию. Применение остальных методов влечет ограничение доступа ко всему ресурсу, а также к другим сайтам, находящимся на том же адресе.
Не все операторы имеют возможность блокировать доступ по URL, поскольку для этого требуется дорогостоящее оборудование.

[душман]

Eset предложила бесплатную утилиту для жертв ботнета Avalanche

Компания Eset предложила бесплатную утилиту для проверки компьютера на предмет заражения бот-программами сети Avalanche, ликвидированной в конце ноября.

В состав ботнета входило до 500 тыс. компьютеров по всему миру, сообщили в Eset.Глобальный ботнет Avalanche выведен из строя при участии правоохранительных органов и ИТ-специалистов из 40 стран мира. Сеть действовала больше семи лет, распространяя не менее 20 видов вредоносных программ, включая шифраторы и банковские трояны.
Инфраструктура Avalanche использовалась для заражения пользователей вредоносным ПО TeslaCrypt, Nymain, Dridex, Qbot и др.
Eset давно сотрудничает с правоохранительными органами для противодействия международной киберпреступности. Компания участвовала в ликвидации ботнета Dorkbot, заражавшего тысячи компьютеров в неделю, и сети Windigo, которая специализировалась на краже персональных данных и перенаправлении трафика на вредоносный контент.
Eset рекомендует проверить компьютер на предмет включения в ботнет Avalanche при помощи бесплатного онлайн-сканера. Eset Online Scanner детектирует и устраняет любые вредоносные программы, в том числе из реестра.

[душман]

Число кибератак и вредоносных программ в октябре 2016 выросло на 5%

Команда исследователей Check Point Software Technologies Ltd. обнаружила, что и количество вредоносных семейств, и количество атак в октябре 2016 г. выросло на 5%.

Согласно ежемесячному отчету Global Threat Index, объем атак на бизнес в отчетном месяце достиг своего пика, по сравнению со всеми предыдущими месяцами 2016 г., сообщили в Check Point.
По данным компании, Conficker использовался в 17% зарегистрированных атак. Червь обеспечивает удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.
Продолжает расти число атак с вымогателем Locky, поэтому в октябре он перемещается с третьего на второе место среди наиболее часто используемых видов вредоносного ПО (зафиксирован в 5% известных атак). По мнению специалистов компании, причина популярности Locky — постоянное появление его модификаций и механизм распространения преимущественно через спам-рассылку.
Создатели Locky меняют тип файлов, используемых для загрузки вымогателя (doc, xls и wsf-файлы), а также вносят значительные структурные изменения в спам-письма. Сам по себе вымогатель не является чем-то исключительным, но киберпреступники затрачивают много времени, чтобы заразить как можно больше компьютеров.
В топ-3 также возвращается банковский троян Zeus, отмеченный в 5% обнаруженных атак. Троян, который атакует Windows-платформы и часто используется для кражи банковской информации посредством захвата введенных учетных данных (формграббера) и кейлоггинга, указали в Check Point.
Между тем, количество атак на Россию в октябре значительно уменьшилось, что позволило ей опуститься с 52 на 101 место. Атаки на компании на территории страны проводились с использованием таких вредоносных программ, как InstalleRex, Conficker, Kometaur, Ramnit, Cryptoload, Dorkbot, Cryptowall, Locky, Bancos и Sality. Больше всех в прошлом месяце атаковали Ботсвану, Уганду и Замбию, а меньше всех зарегистрированных атак было на Уругвай, Аргентину и Доминиканскую Республику.
Мобильные зловреды продолжают подвергать бизнес значительной опасности: 15 из 200 видов вредоносного ПО атакуют именно мобильные устройства. Также в течение последних семи месяцев HummingBad, вредоносное ПО для Android, остается самым используемым для атак на мобильные устройства. Зловред, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
Среди других, наиболее часто используемых мобильных угроз в октябре: Triada — модульный бэкдор для Android, который дает повышенные привилегии загруженным зловредам, поскольку помогает им внедриться в системные процессы (Triada также была замечена в подмене URL-адресов, загруженных в браузере); XcodeGhost — компрометированная версия платформы разработчиков iOS Xcode (изменена так, что она может внедрять вредоносный код в приложение, которое разработано и скомпилировано с ее помощью. Внедренный код отправляет информацию о приложении на командный сервер, позволяя инфицированному приложению считывать данные из буфера обмена устройства).
«Тот факт, что топ-10 вредоносных программ остается без изменений с сентября, позволяет нам предполагать, что киберпреступники довольны их действием. А для компаний это сигнал, что им нужно реагировать проактивно, чтобы защищать свои критические бизнес-активы. Эффективность таких программ, как Conficker, говорит также о том, что пока компании не используют защиту необходимого уровня, — считает Василий Дягилев, глава представительства Check Point Software Technologies. Чтобы защитить себя, бизнесу необходим комплексный подход и меры продвинутой защиты сетей, конечных и мобильных устройств, чтобы остановить вредоносное ПО еще до заражения.
Это возможно с такими решениями, как Check Point’s SandBlast Zero-Day Protection и Mobile Threat Prevention, которые способны противостоять новейшим угрозам».
Информация для отчета Threat Index основана на данных, предоставляемых ThreatCloud World Cyber Threat Map, которая отображает место и время атак по всему миру в режиме реального времени. Данные для Threat Map предоставлены Check Point ThreatCloud — крупной сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошедшая неделя ознаменовалась резонансным предупреждением Федеральной службы безопасности РФ о готовящихся кибератаках на российский финансовый сектор и новыми «достижениями» ботнета Mirai.

Предлагаем ознакомиться с кратким обзором инцидентов безопасности за период с 28 ноября по 4 декабря 2016 года.
27-28 ноября порядка 900 тыс. пользователи проводной связи Deutsche Telekom испытывали проблемы с доступом к Сети. Причиной сбоя послужило инфицирование маршрутизаторов новым образцом вредоносного ПО Mirai, предназначенного для заражения устройств производства компании Zyxel. Тогда же кибератаке подверглись 100 тыс. пользовательских маршрутизаторов в Великобритании. Как сообщает Motherboard, ответственность за атаку лежит на двух хакерах, управляющих новым ботнетом Mirai, который злоумышленники теперь предпочитают называть Annie.
Пока новоиспеченный Annie уверено поднимает голову, правоохранители из 30 стран совместными усилиями ликвидировали ботнет Avalanche. Сеть существовала с 2009 года и использовалась для распространения вредоносного ПО, фишинговых писем и спама. В неделю Avalanche рассылал свыше 1 млн писем с вредоносными ссылками или вложениями. Ежедневно с его помощью вредоносным ПО заражались порядка полумиллиона компьютеров.
Большой резонанс вызвало предупреждение ФСБ о запланированных на 5 декабря кибератаках на отечественные банки. По данным ФСБ, зарубежные спецслужбы будут вести настоящую информационную войну с помощью массовой рассылки SMS-сообщений и публикаций в социальных сетях и блогах. Целью злоумышленников является дестабилизация российской финансовой системы.
Специалисты компаний CrowdStrike, Palo Alto Networks и Symantec предупредили о волне атак с использованием нового варианта вредоносного ПО Shamoon. Червь полностью стирает данные с жесткого диска и делает компьютер непригодным для дальнейшего использования. Жертвами атак стали организации в Саудовской Аравии.
На прошлой неделе уже традиционно не обошлось без сообщений о новом вредоносном ПО для Android. Исследователи компании Palo Alto Networks обнаружили новый Android-троян, использующий фреймворк DroidPlugin для распределения вредоносной активности по нескольким плагинам с целью избежать обнаружения. Данный подход является инновационным для подобного вредоносного ПО.
Эксперты Check Point рассказали о трояне для Android под названием Gooligan, скомпрометировавшем более 1 млн учетных записей Google. Вредонос инфицирует устройства под управлением версий Android 4 и 5, установленных на 74% смартфонов и планшетов.
Специалисты компании «Ревизиум» зафиксировали массовые атаки на сайты, работающие на базе CMS MODx Evolution. По данным экспертов, атаки осуществляются с арендованных VPS серверов.
На прошлой неделе стало известно об утечке данных, касающихся международных расследований Интерпола. Инцидент произошел по вине бывшего сотрудника Европола, нарушившего служебные предписания. Работник взял документы домой и сохранил их на жестком диске, подключенном к интернету. Утекшая информация касается 54 различных полицейских расследований, проводимых в 2006-2008 годах, и в частности содержит имена и номера телефонов подозреваемых.

[душман]

ESET: мошенники подделывают сообщения Amazon

ESET обнародовала предупреждения пользователям Amazon о новой волне фишинга.

Как рассказали в компании, мошенники добывают личные данные клиентов, рассылая от лица площадки письма о несуществующей проблеме с заказом.Чтобы решить «проблему», пользователю предлагают обновить персональные данные, перейдя по ссылке. Мошенники утверждают, что в противном случае доступ к аккаунту Amazon будет заблокирован.
По ссылке пользователь попадает на поддельный сайт, имитирующий дизайн легитимного Amazon.com. Там ему предлагают ввести персональные данные, включая реквизиты банковской карты, и нажать кнопку «Сохранить и продолжить». После этого пользователь будет перенаправлен на настоящий Amazon.com, чтобы исключить подозрения.
Накануне Нового года пользователи чаще покупают онлайн и, как следствие, больше подвержены «тематическому» фишингу. ESET советует тщательно проверять адреса отправителей писем и игнорировать сомнительные сообщения.

[душман]

В зоне .РУС заработала кириллическая электронная почта

В доменной зоне .РУС заработал русскоязычный почтовый электронный сервис @почта.рус, сообщили в «Координационном центре национального домена сети интернет».

Автором технологии выступает директор Data Xgen Technologies (Индия) доктор Аджай Дата. Как ожидается, новый сервис обеспечит устранение языковых сложностей в повседневных электронных коммуникациях между русскоговорящими пользователями интернета.
В целом @почта.рус представляет собой совместный проект компаний «Имена Интернет» (Россия) и DataMail (Индия), который функционирует на оборудовании, установленном в России. Полномасштабное коммуникационное решение позволяет обмениваться сообщениями электронной почты, используя адреса вида кириллица@почта.рус в полном соответствии со стандартами, утвержденными IETF (RFC6530-RFC6533, RFC6855-RFC6858).
По мнению экспертов «Координационного центра доменов .RU/.РФ», появление кириллической почты станет новым толчком к развитию IDN-доменов во всем мире, в том числе и национального российского домена .РФ. Директор центра Андрей Воробьев так прокомментировал событие: «Отсутствие так называемой full IDN-почты (с нелатинскими частями до и после символа @) было главным препятствием для развития и дальнейшего роста доменов на национальных языках.
С появлением такой почты мы ожидаем вторую волну интереса к нелатинским доменам, в том числе к российскому национальному домену .РФ».

[душман]

В Сеть утекли данные более 85 млн пользователей видеохостинга DailyMotion

Неизвестный хакер предположительно взломал и похитил 85,2 млн учетных записей пользователей видеохостинга DailyMotion.

По данным ресурса LeakedSource, инцидент произошел 20 октября 2016 года. Похищенная информация включает 85,2 млн уникальных логинов и адресов электронной почты. В порядка 20% случаев (около 18,3 млн) учетные записи содержали пароль, хешированный алгоритмом BCrypt.
Журналисты ресурса ZDNet, получившие в распоряжение фрагмент похищенной базы, подтвердили подлинность информации. В настоящее время неизвестно, каким образом злоумышленнику удалось получить доступ к учетным записям. Представители ресурса DailyMotion отказались комментировать инцидент.
В середине ноября нынешнего года стало известно о взломе учетных записей более 412 млн пользователей развлекательной сети FriendFinder Networks. Месяцем ранее жертвами утечки персональной информации стали пользователи бесплатного сервиса по созданию web-сайтов Weebly.

[душман]

Белорусские цензоры добрались до Tor

Интернет-пользователи в Беларуси зафиксировали блокировку доступа к основным серверам Tor.

Первые сообщения о блокировке Tor в сетях интернет-провайдера Atlant Telecom и мобильного оператора Velcom начали появляться в конце ноября - начале декабря нынешнего года.
Согласно статистике Tor Project, в начале декабря число прямых соединений с Беларусью снизилось на 30% (с 5 500 до 3000).Как отмечает издание Deutsche Welle со ссылкой на неофициальные данные, домены Tor включены в закрытый реестр ограниченного доступа Республиканского унитарного предприятия по надзору за электросвязью БелГИЭ (РУП «БелГИЭ»).
В данный перечень, находящийся в ведении Министерства информации Беларуси, включаются сайты, подлежащие блокировке.
С 25 февраля 2015 года в стране действует постановление Оперативно-аналитического центра при президенте Беларуси и Министерства связи и информатизации, поручающее РУП «БелГИЭ» вносить в список ограниченного доступа прокси-серверы, анонимные сети наподобие Tor и другие средства, позволяющие получить доступ к заблокированным сайтам.
Хотя постановление вступило в силу почти год назад, белорусские цензоры приступили к блокировке Tor только сейчас.

[душман]

В Reg.ru стартовала регистрация односимвольных и премиум-доменов в зонах .МОСКВА и .MOSCOW

8 декабря в 12:00 Мск в Reg.ru началась регистрация односимвольных и премиум-доменов в доменных зонах .МОСКВА и .MOSCOW для всех желающих.

Первая неделя регистрации будет проходить в формате голландского аукциона, сообщили в Reg.ru.Столичные доменные зоны .MOSCOW и .МОСКВА появились в 2014 г., наряду с другими геодоменами, соответствующими наименованиям крупных городов и мегаполисов — .PARIS, .HAMBURG, .AMSTERDAM, .OSAKA и .WIEN. На сегодняшний день общее число зарегистрированных доменов в .МОСКВА и .MOSCOW, по данным регистратора, достигает 42 тыс.
С 8 декабря Регистратурой доменных зон .МОСКВА и .MOSCOW вводится политика премиальных доменов. Каждый желающий сможет стать обладателем адреса, состоящего из родового слова или короткой аббревиатуры. Особенный интерес, по мнению Reg.ru, вызывают односимвольные домены (например, 1.MOSCOW или А.МОСКВА), которые ранее были недоступны для массовой регистрации.
В первую неделю регистрация премиум-доменов пройдёт в формате голландского аукциона — с 8 по 14 декабря. В основе аукциона лежит сформированный регистратурой список премиум-доменов, разделённый на 13 категорий с разной стоимостью — от 308 тыс. до 8,8 тыс. рублей. Например, домены 1.МОСКВА, V.MOSCOW относятся к 13 категории, а домены КОНФЕТЫ.МОСКВА, CHERRY.MOSCOW, ВЕЧЕРНЯЯ.МОСКВА, ЛОЛ.МОСКВА, ШАМПАНСКОЕ.МОСКВА — к 1-й.
В ходе аукциона ежедневно цена доменов в каждой категории будет снижаться и в заключительный день составит от 45,5 тыс. до 1,3 тыс. рублей и закрепится как итоговая стоимость для всех дальнейших регистраций. Стоимость последующего продления домена будет равна цене его первичной регистрации.
Для участия в регистрации премиум-доменов достаточно оставить заявку с указанием желаемого домена на сайте аккредитованного регистратора Reg.ru. При наличии нескольких претендентов на одно доменное имя будет действовать принцип первой принятой заявки, то есть право регистрации получит пользователь, подавший заявку и оплативший регистрацию раньше других.
«Ранее, короткие домены в зонах .МОСКВА и .MOSCOW, в том числе односимвольные, находились в специальном списке Реестра. Получить их можно было только обратившись с запросом к Реестру и только в том случае, если этот запрос будет одобрен. Де-факто такие домены были закрыты для рядовых пользователей, — пояснил генеральный директор Reg.ru Алексей Королюк.
Введение политики премиальных доменов меняет ситуацию, делая самые короткие и лаконичные домены доступными для всех желающих. Односимвольные-двухсимвольные домены как никакие другие будут запоминаться с первого взгляда, а значит, они идеальны для использования в маркетинговых и рекламных кампаниях самых разных организаций».

[душман]

Пять крупных российских банков подверглись DDoS-атакам

Похоже, сделанное ровно неделю назад заявление ФСБ о готовящихся кибератаках на российские банки имело под собой почву.

Как и предупреждала спецслужба, 5 декабря ряд отечественных финансовых организаций подверглись DDoS-атакам.Как сообщает «Ростелеком», компании успешно удалось отразить атаки на пять крупнейших банков России. Названия финансовых организаций не уточняются, однако, как сообщалось ранее, 5 декабря попытка DDoS-атаки была осуществлена на группу ВТБ.По данным «Ростелекома», атаки представляли собой SYN-флуд (отправка большого количества SYN-запросов на подключение по протоколу TCP), а их максимальная мощность достигала 3,2 млн пакетов в секунду. Наиболее продолжительная атака длилась два часа.Как пояснил директор Центра кибербезопасности «Ростелекома» Муслим Меджлумов, источником части вредоносного трафика являлись домашние маршрутизаторы, относящиеся к устройствам «Интернета вещей». Все устройства поддерживали протокол управления CWMP (TR-069), а значит, источником атаки мог стать новый ботнет Mirai.По данным экспертов, в отличие от оригинальной версии новый образец вредоносного ПО Mirai способен эксплуатировать уязвимость в реализации протокола TR-069.

[душман]

Крупнейший промышленный концерн Германии подвергся кибератаке

Компьютерные сети подразделений одного из крупнейших немецких промышленных концернов ThyssenKrupp подверглись хакерской атаке, в ходе которой злоумышленникам удалось похитить коммерческие секреты компании.

Как сообщает Reuters со ссылкой на заявление пресс-службы концерна, мощная кибератака произошла в феврале нынешнего года. Действия хакеров, работавших с территории одной их стан Юго-Восточной Азии, отличались «организованностью и высоким профессионализмом», отмечают в компании.
Сотрудники службы безопасности ThyssenKrupp обнаружили утечку данных лишь в минувшем апреле. В результате несанкционированного проникновения в компьютерные сети хакерам удалось получить доступ к документации инженерного отдела и других служб, список которых уточняется.
В компании подчеркнули, что кибератака не затронула системы, обеспечивающие работу электростанции и сталелитейного производства в Дуйсбурге. Признаков проникновения в системы подразделения, отвечающего за морские проекты, в том числе производство военных подлодок и кораблей, также не обнаружено.

[душман]

Взломавший аккаунты знаменитостей хакер получил 5 лет тюрьмы

Суд в США вынес обвинительный приговор уроженцу Багамских островов, взломавшему учетные записи электронной почты более чем сотни знаменитостей.

24-летний Алонсо Ноулс был приговорен к пяти годам лишения свободы. По данным прокуратуры, Ноулс получил несанкционированный доступ к учетным записям 130 деятелей культуры и похитил сценарии невыпущенных фильмов, личные сообщения, а также видеозаписи интимного характера.
В мае нынешнего года мужчина признал себя виновным по обвинению в нарушении авторских прав, а также в краже персональной информации.
Власти США арестовали Ноулса в декабре прошлого года после попытки продажи 15 сценариев и частной информации ряда знаменитостей.
В ходе обыска правоохранители изъяли принадлежащий подозреваемому ноутбук с похищенными данными, в числе которых оказались номера социального страхования ряда актеров и спортсменов, фотографии и видеозаписи откровенного характера, контракты и сценарии невыпущенных кинофильмов и телесериалов, а также адреса электронной почты и номера телефонов по крайней мере 130 знаменитостей.Кто конкретно стал жертвой Ноулса не разглашается.

[душман]

Новая версия трояна Android.Loki заражает системные библиотеки

Вирусные аналитики компании «Доктор Веб» обнаружили нового представителя семейства опасных троянов Android.Loki.

Как и предыдущие версии, выявленная вредоносная программа внедряется в процессы различных приложений, в том числе системных, однако теперь для этого она заражает библиотеки ОС Android, сообщили в «Доктор Веб».Вредоносная программа, получившая имя Android.Loki.16.origin, представляет собой многокомпонентного трояна. Она незаметно загружает и устанавливает ПО на мобильные устройства под управлением ОС Android. Троян заражает смартфоны и планшеты в несколько этапов.На первом этапе Android.Loki.16.origin загружается на мобильные устройства и запускается другими вредоносными программами. Затем он соединяется с управляющим сервером и скачивает с него вредоносный компонент Android.Loki.28, а также несколько эксплойтов для получения root-доступа. Все эти файлы сохраняются в рабочий каталог трояна. Далее Android.Loki.16.origin поочередно выполняет эксплойты и после успешного повышения системных привилегий запускает на исполнение модуль Android.Loki.28.В свою очередь, Android.Loki.28 после запуска монтирует раздел /system на запись, получая возможность вносить изменения в системные файлы. Затем он извлекает из себя дополнительные вредоносные компоненты Android.Loki.26 и Android.Loki.27 и помещает их в системные каталоги /system/bin/ и /system/lib/ соответственно. Далее вредоносная программа внедряет в одну из системных библиотек зависимость от троянского компонента Android.Loki.27. После модификации библиотеки вредоносный модуль Android.Loki.27 привязывается к ней и запускается каждый раз, когда ее задействует операционная система.После того как Android.Loki.27 начинает работу, он запускает на исполнение вредоносный модуль Android.Loki.26. Его старт выполняется только из системных процессов, работающих с правами root. Таким образом, Android.Loki.26 получает root-полномочия и может незаметно загружать, устанавливать и удалять приложения. С помощью этого модуля киберпреступники загружают на Android-устройства не только другие вредоносные программы, но и рекламные модули или безобидное ПО, получая доход от показа назойливой рекламы или накрутки счетчика установок определенных приложений, пояснили в «Доктор Веб».Поскольку вредоносный модуль Android.Loki.27 изменяет системные компоненты, его удаление приведет к поломке зараженного мобильного устройства. При последующих включениях ОС Android не сможет нормально загрузиться, потому что не найдет в модифицированной библиотеке зависимость, соответствующую трояну. Чтобы восстановить работу системы, устройство придется перепрошить. Поскольку все персональные файлы при этом будут удалены, перед прошивкой рекомендуется создать резервные копии важных данных и по возможности обратиться к специалисту.По утверждению компании, антивирусные продукты Dr.Web для Android распознают все известные модификации троянов семейства Android.Loki.