Heur trojan androidos agent ck – Нет, “Сбербанк Онлайн” не атакует троян

Содержание

Как самостоятельно удалить троян с Андроида — Всё об Android

Телефон не меньше компьютера подвержен атакам извне. В связи с этим узнаем, как самостоятельно удалить троян с телефона на платформе Андроид, если произошло заражение.

Как распознать наличие трояна

О том, что на смартфоне поселилась вредоносная программа свидетельствует следующее:

  • рекламные баннеры;
  • самостоятельное скачивание и установка приложений;
  • внезапная потеря доступа к внутренней или внешней памяти;
  • быстрая разрядка и нагрев смартфона;
  • СМС-рассылки на посторонние номера.

Если наблюдаются подобные проблемы, необходимо принимать меры.

Удаление при помощи утилит

Можно воспользоваться специальными программами. Вот примеры подходящего софта.

Антивирусы

Обычные программы антивирусы с большой вероятностью способны решить проблему. Скачайте антивирус из Google Play и просканируйте устройство.

Anti-Malware

Загрузить можно тут https://play.google.com/store/apps/details?id=org.malwarebytes.antimalware&hl=ru, программа удаляет имеющиеся заражения и защищает от новых. Справляется с самыми сложными ситуациями.

Trojan Killer

Скачивайте отсюда https://play.google.com/store/apps/details?id=com.cleanmaster.security.stubborntrjkiller&hl=ru. Удаляет даже «упрямые» трояны.

Lookout

Чтобы загрузить перейдите по ссылке https://play.google.com/store/apps/details?id=com.lookout&hl=ru. Отлично справляется с задачей.

Удаление вируса вручную

Удалить программу-троян с Андроида можно и вручную, для этого можно воспользоваться компьютером или справиться силами смартфона.

Через файловый менеджер

Необходимо отследить вредоносный продукт через файловый менеджер и удалить его. Для этого перейдите в настройки гаджета и откройте диспетчер приложений. Во вкладке запущенных приложений найдите троян. Затем откройте корневую папку .apk и удалите. Перезагрузите смартфон.

Через ПК

Антивирусы на ПК призваны бороться с более сильными угрозами. Поэтому программа для компьютера легко справится с вредоносными программами на смартфоне.

  1. Включите на устройстве возможность отладки по USB и соедините его с ПК.
  2. Как только ПК распознает устройство, просканируйте его с помощью антивируса.
  3. Исправьте найденные угрозы.

Несмотря на разницу в коде будет получен нужный результат.

Сброс до заводских настроек

Если удалить троян с Андроида вышеописанными способами не удаётся можно откатить устройство до заводских настроек. В меню конфигураций откройте раздел «восстановление и сброс» и выберите команду «Сброс данных».

Перепрошивка

В самых тяжёлых случаях придётся прибегнуть к перепрошивке устройства. На официальном сайте найдите подходящую версию операционной системы и с помощью специального ПО обновите оболочку устройства.

Пожаловаться на контент

poandroidam.ru

Kaspersky Threats — Triada

Дата обнаружения 28/09/2016 Описание

Троянец Trojan.AndroidOS.Triada получает сам и предоставляет другим троянцам, которые скачивает, права суперпользователя (root), позволяющие изменять системные файлы. Вредоносная программа передает на удаленный командный сервер злоумышленника данные о системе зараженного устройства и скачивает конфигурационный файл, содержащий персональный ID зараженного устройства и набор настроек.

Основной функцией троянца является перенаправление финансовых SMS-транзакций, когда пользователь осуществляет онлайн-платежи, приобретая дополнительный контент в легитимных приложениях. Деньги отправляются преступникам, а не разработчику программного обеспечения.

Некоторые версии троянца модифицируют процесс Zygote. Это один из базовых процессов в операционной системе Android, который содержит системные библиотеки и фреймворки, используемые каждым установленным на устройстве приложением, и является основой для любого другого приложения.

Основная часть Trojan.AndroidOS.Triada существует лишь в оперативной памяти устройства, поэтому троянца очень сложно обнаружить. Кроме того, все отдельно запущенные процессы троянца скрываются от пользователя и других приложений.

География атак семейства Trojan.AndroidOS.Triada


География атак в период 28.09.2015 — 28.09.2016

TOP 10 стран по количеству атакованных пользователей (%)

Страна % атакованных пользователей*
1 Российская Федерация 24,35
2 Индия 13,19
3 Алжир 4,18
4 Бангладеш 4,11
5 Индонезия 3,18
6 Украина 3,18
7 США 3,06
8 Германия 2,97
9 Бразилия 2,21
10 Мексика 1,98

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом

threats.kaspersky.com

Убрать HEUR:Trojan.Script.Agent.gen — Вредоносное ПО бесплатно ПК

HEUR:Trojan.Script.Agent.gen описывается в качестве отвратительного троянского вируса, который скрывает целевую конфиденциальность пользователей и данные после установки. Это вредоносная программа, способная заразить все версии операционной системы Windows XP, Vista, Win 7, 8, 8,1 и почти 10. В настоящее время этот паразит распространяется через все страны мира, такие США, Россия, Япония, Бразилия, Германия, Франция и многие другие. Помимо этих стран, эта вредоносная программа входит в систему пользователя, используя тот же процесс, что и одноранговый файловый ресурс общего доступа, чтение нежелательных сообщений, внедренные ссылки, установленные поврежденные программы, щелкните веб-узел социальной сети и так много других возможных способов заражения.

После того, как HEUR:Trojan.Script.Agent.gen полностью вторгается на компьютер, она сначала глубоко укоренилась, изменив имя базы данных и место хранения, чтобы пользователь не смог их найти. Помимо этого, она обращается к системе «черный ход», чтобы пригласить другие вредоносные программы, вирусы, ошибки, программы для показа рекламы, шпионские программные средства, черви и так много других злонамеренных программ. После этого он начинает разрушать производительность компьютера путем изменения параметров DNS, блокировать антивирусную программу, повредить безопасность брандмауэра, аварийное хранение жесткого диска и т. д. Эта злокачественная программа была разработана группой кибер-преступников с целью ее установки на компьютер невинного пользователя без какого-либо разрешения. Более того, он начинает собирать конфиденциальные сведения, данные для входа, конфиденциальные сведения о банковском счете и многие другие, хранящиеся на жестком диске. Поэтому очень важно

удалить HEUR:Trojan.Script.Agent.gen с вашего компьютера, чтобы обеспечить его безопасность в течение длительного времени.


Как вы можете быть уверены, что ваш IP-адрес будет доступен без вашего разрешения:

  • Запустить диалоговое окно запуска окон, нажав кнопку Win + R.
  • Теперь введите [notepad %windir%/system32/Drivers/etc/hosts] в пустое поле в поле и нажмите кнопку ввода.

Примечание: Как вы видите на рисунке выше, за одним из IP-адресов следует ваш компьютер, но если вы видите несколько IP-адресов, перечисленных в списке, то я боюсь, что ваш компьютер имеет доступ с другим IP-адресом, который может принадлежать Cyber Criminals.

Как восстановить DNS-сервер, зараженный HEUR:Trojan.Script.Agent.gen?

Большинство таких инфекций, как HEUR:Trojan.Script.Agent.gen, могут нарушить настройки вашего компьютера в Интернете или настройки DNS-сервера, расположенные внутри панели управления. В этих условиях вам следует опасаться, что вы не сможете прекратить получать вредоносные всплывающие окна и перенаправление веб-страниц браузера. Чтобы этого избежать, рекомендуется исправить это как можно скорее.

Для пользователей Windows 8 / 8.1 / 10:
  • Щелкните правой кнопкой мыши значок Windows, расположенный в левой нижней части экрана.
  • Щелкните параметры панели управления, а затем дважды щелкните Сетевое подключение.
  • Щелкните правой кнопкой мыши по активному соединению.
  • Затем выберите опцию свойств.
Для пользователей Windows Vista / XP / 7:
  • Щелкните на меню «Пуск» в Windows.
  • Перейдите к опции «Панель управления».
  • Нажмите «Центр управления сетями и общим доступом».
  • Затем нажмите на свой Тип подключения (Подключение по локальной сети).
  • Нажмите кнопку «Свойства», откроется новое окно.
  • Щелкните по Интернет-протоколу (TCP / IP).
  • Нажмите кнопку «Свойства».
  • Убедитесь, что вы получили IP-адрес автоматически, а параметр DNS-сервер автоматически выбран. Это позволит вашей машине получить настройки прямо с вашего модема / маршрутизатора.
Теперь измените настройку DNS-сервера на значение по умолчанию:
  • Нажмите «Пуск» >> «Панель управления»> «Центр управления сетями и общим доступом» или «Сетевая опция».

  • Нажмите «Изменить параметры адаптера» на левой панели.

  • Щелкните правой кнопкой мыши на сетевом устройстве и выберите свойства. В моем случае это было Подключение по локальной сети, но это мог быть и беспроводной адаптер или что-то другое.

  • Выберите версию IP, в которой вы хотите установить настройки DNS, и нажмите «Свойства». Я буду выбирать IPv4 для этого руководства, но шаги в основном идентичны для IPv6.

  • В появившемся окне нажмите «Дополнительно» в правом нижнем углу окна.

  • Перейдите на вкладку «DNS» вверху.

  • Нажмите «Добавить», затем введите «IP-адрес сервера уровня 2» в появившемся окне и нажмите «Добавить еще раз».

(IP-адреса «Tier Server IP» являются локальными IP-адресами, расположенными в соответствии с вашей областью. Для получения дополнительной информации о вашем ближайшем IP-адресе вы можете посетить https://www.opennicproject.org/nearest-servers/).

Примечание: Вы можете повторять шаг выше столько раз, сколько хотите добавить IP-адрес DNS-серверов. DNS-серверы, добавленные в список, испытываются последовательно после короткого тайм-аута, когда один или несколько из них находятся в автономном режиме.

Если вы чувствуете себя ленивым или смущенным о вышеупомянутых шагах, то вы также можете попробовать некоторое программное обеспечение, расположенное на нашем сайте. Это поможет вам сохранить настройки компьютера по умолчанию и удалить HEUR:Trojan.Script.Agent.gen.


Как удалить HEUR:Trojan.Script.Agent.gen-инфекцию из браузера:

Иногда вредоносное ПО, например, HEUR:Trojan.Script.Agent.gen препятствует вашему интернет-подключению, подключаясь к нему. Они часто устанавливаются в браузере как расширение, Browser Helping Object или панели инструментов и начинают раздражать жертв через нежелательное перенаправление и всплывающие окна. Вам нужно предпринять немедленные действия, чтобы исправить их все.

Удалить HEUR:Trojan.Script.Agent.gen расширение из Google Chrome:
  • Откройте браузер Chrome. Нажмите на значок с тремя полосками, расположенный в правом верхнем углу.
  • Нажмите Настройки >> Настройки расширения и найдите расширение HEUR:Trojan.Script.Agent.gen с именем и удалите его.
  • Затем после очистки всех данных просмотра и вредоносной поисковой системы, установленной в вашем браузере без вашего разрешения.
  • Чтобы принять ваши настройки, перезапустите браузер.
Удалить HEUR:Trojan.Script.Agent.gen расширение из Mozilla Firefox:
  • Откройте браузер Firefox и нажмите кнопку «Firefox», расположенную в верхнем левом углу.
  • Нажмите на опции надстроек >> вкладка «Расширение».
  • Здесь вы найдете все расширения, которые были установлены на ПК.
  • Выберите вредоносное расширение, установленное без вашего разрешения, и удалите его.
  • Чтобы вступили в силу ваши изменения, перезапустите браузер.
Исключить HEUR:Trojan.Script.Agent.gen расширение из Internet Explorer:
  • Откройте браузер I.E на ПК.
  • Нажмите на значок инструмента или шестеренки >> Управление параметрами надстроек.
  • На экране появится окно расширения, теперь определите вредоносное расширение, связанное с HEUR:Trojan.Script.Agent.gen, и отключите его.
  • Перезапустите браузер.
Избавиться от HEUR:Trojan.Script.Agent.gen расширения из браузера Safari:
  • Откройте браузер Safari и выберите раскрывающееся меню «Safari».
  • Нажмите кнопку «Настройки». Это действие запустит новое меню.
  • Теперь выберите вкладку «Расширение».
  • Здесь вы можете управлять всем установленным расширением. Проверьте наличие вредоносных расширений и удалите их.
  • Перезагрузите браузер, чтобы загрузить свои настройки.

Удалить HEUR:Trojan.Script.Agent.gen’s поврежденные записи из окна реестра Windows:

  • Запустите диалоговое окно запуска окон, нажав кнопку Win + R.
  • Теперь введите [regedit] в пустое поле в поле и нажмите кнопку ввода.

  • Откроется новое окно под названием «Окно реестра Windows».

  • Теперь проверьте некоторые общие ниже перечисленные записи и удалите их.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
Startup=»C:\windows\start menu\programs\startup»
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
Startup=»C:\windows\start menu\programs\startup»
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders]
«Common Startup»=»C:\windows\start menu\programs\startup»
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders]
«Common Startup»=»C:\windows\start menu\programs\startup»
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
«Whatever»=»c:\runfolder\HEUR:Trojan.Script.Agent.gen.exe»
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
«Whatever»=»c:\runfolder\HEUR:Trojan.Script.Agent.gen.exe»
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
«Whatever»=»c:\runfolder\HEUR:Trojan.Script.Agent.gen.exe»
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
«Whatever»=»c:\runfolder\HEUR:Trojan.Script.Agent.gen.exe»
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
«Whatever»=»c:\runfolder\HEUR:Trojan.Script.Agent.gen.exe»
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
«Whatever»=»c:\runfolder\HEUR:Trojan.Script.Agent.gen.exe»
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
«Whatever»=»c:\runfolder\HEUR:Trojan.Script.Agent.gen.exe»
[HKEY_CLASSES_ROOT\exefile\shell\open\command] @=»\»%1\» %*»
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @=»\»%1\» %*»
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @=»\»%1\» %*»
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @=»\»%1\» %*»
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @=»\»%1\» %*»
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @=»\»%1\» %*»
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @=»\»%1\» %*»
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @=»\»%1\» %*»
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @=»\»%1\» %*»
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @=»\»%1\» %*»

Примечание: Ключ должен иметь значение «% 1% *», если это будет изменено на «server.exe% 1% *», то файл server.exe будет выполнен EVERYTIME exe / pif / com / bat / hta Выполняется.

Удалите HEUR:Trojan.Script.Agent.gen и их скрытые связанные файлы из ваших дисков и файлов Temp:

  • Прежде всего, пройдите Панель управления >> Внешний вид и персонализация.

  • Нажмите «Свойства папки», откроется новое окно, перейдите на вкладку «Просмотр».

  • Установите флажок [Показывать скрытые файлы и папки] и нажмите «ОК».

С помощью этого действия вы сможете просмотреть скрытый файл, который был расположен на диске. Теперь нам нужно вручную проверить жесткий диск, перейдя к месту расположения пользовательских данных.

  • Перейдите по следующему пути: [C: \ Users \ XXXXX \ AppData \ Local \ Temp] («XXXXX» — это имя пользователя вашего ПК).
  • Удалите все файлы и папку, расположенные в папке Temp.
  • Иногда это действие может запрашивать у вас разрешение администратора, поэтому не нужно паниковать, просто нажмите кнопку [ОК].

www.ru.freefromvirus.com

GCM во вредоносных приложениях | Securelist

Продукты:

  • Для дома
  • Для малого бизнеса
  • Для среднего бизнеса
  • Для крупного бизнеса
Kaspersky
  • CompanyAccount
  • ЗАДАТЬ ВОПРОС
  • Решения
      • Контроль и защита рабочих мест

        Подробнее

      • Безопасность виртуальных и облачных сред

        Подробнее

      • Защита встраиваемых систем и Интернета вещей

        Подробнее

      • Защита от передовых угроз и целевых атак

        Подробнее

      • Защита критических инфраструктур

        Подробнее

      • Защита от кибермошенничества

        Подробнее

  • Отраслевая защита
      • Кибербезопасность государственных организаций

        Подробнее

      • Промышленная кибербезопасность

        Подробнее

      • Кибербезопасность финансовых учреждений

        Подробнее

      • Кибербезопасность медицинских учреждений

        Подробнее

      • Кибербезопасность транспортной инфраструктуры

        Подробнее

      • Кибербезопасность розничной торговли

        Подробнее

      • ДРУГИЕ ОТРАСЛИ
      • Кибербезопасность телекоммуникационных компаний
      • Все отраслевые решения
  • Продукты
      • KasperskySecurity для бизнеса

        Подробнее

      • KasperskyEndpoint Detection and Response

        Подробнее

      • KasperskySecurity для виртуальных и облачных сред

        Подробнее

      • KasperskyAnti Targeted Attack Platform

        Подробнее

      • KasperskyPrivate Security Network

        Подробнее

      • KasperskyEmbedded Systems Security

        Подробнее

      • ДРУГИЕ ПРОДУКТЫ
      • Kaspersky Security для почтовых серверов
      • Kaspersky DDoS Protection
      • Kaspersky Security для мобильных устройств
      • Kaspersky Security для систем хранения данных
      • Все продукты
  • Сервисы
      • KasperskyСервисы кибербезопасности

        Подробнее

      • KasperskySecurity Awareness

        Подробнее

      • KasperskyРасширенная техническая поддержка

        Подробнее

      • KasperskyThreat Intelligence

        Подробнее

      • KasperskyThreat Hunting

        Подробнее

      • KasperskyIncident Response

        Подробнее

      • ДРУГИЕ СЕРВИСЫ
      • Kaspersky Professional Services
      • Kaspersky Security Assessment
      • Kaspersky Security Training
      • Все сервисы
  • Материалы
    • Реализованные проекты
    • Обзоры
    • Брошюры
  • Задать вопрос

Меню

Securelist Pусский
  • English
  • Pусский
  • Deutsch
  • Français
  • Italiano
  • Español
  • Polski
  • Угрозы
    • Финансовые угрозы
    • Мобильные угрозы
    • Спам и фишинг
    • Безопасное окружение (IoT)
    • Индустриальные угрозы
    • Веб-угрозы
    • Уязвимости и эксплойты
    • Все угрозы
  • Категории
    • Исследование
    • Мобильные угрозы
    • Инциденты
    • Security Bulletin
    • Спам и фишинг
    • Обзор 
    • Отчеты об ИТ-угрозах
    • Мнение
    • Все категории
  • Теги
    • Ботнеты
    • Рассылка спама
    • Социальная инженерия
    • Социальные сети
    • Мобильные угрозы
    • Фишинг
    • Показать все теги
  • Статистика
  • Энциклопедия
  • Описания
  • Продукты:
  • Для дома
    • Продукты
      • KasperskyTotal Security
      • KasperskyInternet Security
      • KasperskyAnti-Virus
      • KasperskyInternet Security для Mac
      • KasperskyInternet Security для Android
      • KasperskySafe Kids
      • Бесплатные сервисы
      • Kaspersky Free
      • Kaspersky Password Manager
      • Kaspersky Software Updater
      • Kaspersky QR Scanner
      • Другое
    • Как купить
    • Продлить
    • Скачать
    • Поддержка
    • Об угрозах
    • Акции
    • Блог
      • Безопасность
      • Бизнес
      • Новости
      • Приватность
      • Продукты
      • Советы
      • Технологии
      • Угрозы
    • My Kaspersky
      • Устройства
      • Продукты / Лицензии
      • Заказы
  • Для малого бизнеса(1-24 сотрудников)
    • Продукты
      • KasperskySmall Office Security
      • KasperskyEndpoint Security Cloud
      • KasperskyEndpoint Security для бизнеса Стандартный
      • KasperskyEndpoint Security для бизнеса Расширенный
    • Как купить
    • Продлить
    • Скачать
    • Поддержка
    • Материалы
      • Листовки и брошюры
      • Технологии
      • Реализованные проекты
      • Видео
      • Награды
      • Сертификаты
    • Акции
    • My Kaspersky
      • Устройства
      • Продукты / Лицензии
      • Заказы
  • Для среднего бизнеса(25-999 сотрудников)
    • Продукты
      • KasperskyEndpoint Security Cloud
      • KasperskyMicrosoft Office 365
      • KasperskyEndpoint Security для бизнеса Стандартный
      • KasperskyEndpoint Security для бизнеса Расширенный
      • KasperskySecurity для бизнеса Total
      • KasperskySecurity для виртуальных и облачных сред
      • Защита отдельных узлов сети
      • от DDoS-атак
      • почтовых серверов
      • файловых серверов
      • мобильных устройств
      • интернет-шлюзов
      • серверов совместной работы
      • администрирования
      • систем хранения данных
      • Подробнее
    • Услуги и сервисы
    • Как купить
    • Продлить
    • Скачать
    • Поддержка
    • Материалы
      • Листовки и брошюры
      • Технологии
      • Реализованные проекты
      • Видео
      • Награды
      • Сертификаты
    • Акции
    • CompanyAccount
  • Для крупного бизнеса(1000+ сотрудников)
    • Решения
      • Контроль и защита рабочих мест
      • Безопасность виртуальных и облачных сред
      • Защита встраиваемых систем и Интернета вещей
      • Защита от передовых угроз и целевых атак
      • Защита критических инфраструктур
      • Защита от кибермошенничества
    • Отраслевая защита
      • Кибербезопасность государственных организаций
      • Промышленная кибербезопасность
      • Кибербезопасность финансовых учреждений
      • Кибербезопасность медицинских учреждений
      • Кибербезопасность транспортной инфраструктуры
      • Кибербезопасность розничной торговли
      • Другие Отрасли
      • Кибербезопасность телекоммуникационных компаний
      • Все отраслевые решения
    • Продукты
      • KasperskySecurity для бизнеса
      • KasperskyEndpoint Detection and Response
      • KasperskySecurity для виртуальных и облачных сред
      • KasperskyAnti Targeted Attack Platform
      • KasperskyPrivate Security Network
      • KasperskyEmbedded Systems Security
      • Другие Продукты
      • Kaspersky Security для почтовых серверов
      • Kaspersky DDoS Protection
      • Kaspersky Security для мобильных устройств
      • Kaspersky Security для систем хранения данных
      • Все продукты
    • Сервисы
      • KasperskyСервисы кибербезопасности
      • KasperskySecurity Awareness
      • KasperskyРасширенная техническая поддержка
      • KasperskyThreat Intelligence
      • KasperskyThreat Hunting
      • KasperskyIncident Response
      • Другие Сервисы
      • Kaspersky Professional Services
      • Kaspersky Security Assessment
      • Kaspersky Security Training
      • Все сервисы
    • Материалы
      • Реализованные проекты
      • Обзоры
      • Брошюры
    • Задать вопрос
    • CompanyAccount
  • Securelist
  • Угрозы
    • Детектируемые объекты
    • Спам и фишинг
    • Уязвимости и хакеры
  • Категории
    • Kaspersky Security Bulletin
    • Инциденты
    • Исследование
    • Мобильные угрозы
    • Отчеты об ИТ-угрозах
    • Спам и фишинг
  • Теги
    • Ботнеты
    • Рассылка спама
    • Социальная инженерия
    • Социальные сети
    • мобильные угрозы
    • Фишинг
  • Статистика
  • Энциклопедия
  • Описания
  • Партнерам
    • Партнерам
    • Найти партнера
    • Учебным центрам
    • Сервис-провайдерам
    • Технологии
    • Whitelist
    • Акции
  • О компании
    • О нас
    • Kомпания
    • Команда
    • Как мы работаем

securelist.ru

Банковский троян Banker.AndroidOS.Tordow.a похищает пароли и БД браузеров

Специалисты «Лаборатории Касперского» обнаружили троян, чьи возможности превосходят большинство банковских зловредов.

Вредонос Banker.AndroidOS.Tordow.a (далее Tordow) был обнаружен в феврале 2016 года. Он отличается от большинства мобильных банкеров тем, что использует root-привилегии, хотя деньги можно украсть множеством способов, не требующих повышенных прав, и обычно авторы банковской малвари к ним не стремятся. Впрочем, нельзя сказать, что похожих троянов нет вовсе. Root-привилегии в системе также получают Godless, Ztorg, Libskin, Matrix, Rootnik, и Shuanet.

Tordow распространяется, маскируясь под различные популярные приложения, например, «ВКонтакте», «ДругВокруг», «Одноклассники», Pokemon GO, Telegram, или Subway Surf. Речь, разумеется, не об оригинальных приложениях, а о их копиях, которые распространяются через неофициальные каталоги. Исследователи пишут, что в данном случае внедренный в легитимное приложение код расшифровывает файл, добавленный злоумышленниками в ресурсы приложения, и запускает его.

Вредонос в легитимном приложении

Затем запущенный файл скачивает с управляющего сервера основную часть Tordow, которая содержит ссылки на скачивание еще нескольких файлов – эксплоита для получения рута, новых версий зловреда и так далее. Количество ссылок может меняться в зависимости от планов злоумышленников, более того, каждый скачанный файл может дополнительно загрузить с сервера, расшифровать и запустить новые компоненты. В результате на зараженное устройство загружаются несколько модулей зловреда, количество и функциональность которых тоже зависят от пожеланий хозяев Tordow.

В результате операторы малвари получают все необходимое для кражи денег жертвы «традиционными методами». В функциональность вредоносного приложения входят:

  • Отправка, кража, удаление SMS;
  • Запись, перенаправление, блокирование звонков;
  • Проверка баланса;
  • Кража контактов;
  • Осуществление звонков;
  • Изменение управляющего сервера;
  • Скачивание и запуск файлов;
  • Установка и удаление приложений;
  • Блокировка устройства с показом веб-страницы, заданной сервером злоумышленников;
  • Составление и передача злоумышленникам списка содержащихся на устройстве файлов; отправка, переименование любых файлов;
  • Перезагрузка телефона.

Но помимо скачивания «классических» модулей банковского трояна, Tordow также загружает и популярный пакет эксплоитов для получения прав root, что предоставляет малвари новый вектор для атаки и уникальные возможности.

Так, Tordow устанавливает один из скачанных модулей в системную папку, что делает его трудноудаляемым. А при помощи прав суперпользователя операторы малвари похищают базы данных дефолтного браузера Android и браузера Google Chrome, если он установлен. Такие БД содержат информацию о сохраненных логинах и паролях, историю посещений, файлы cookie и иногда даже сохраненные данные банковских карт.

Данные в БД браузера

Исследователи отмечают, что root-права также позволяют малвари похитить практически любой файл в системе – от фотографий и документов до файлов с данными аккаунтов мобильных приложений.

xakep.ru

Kaspersky Threats — Svpeng

Дата обнаружения 20/08/2015 Описание

Вредоносная программа этого семейства скрытно получает права администратора на зараженном устройстве и показывает пользователю ложную страницу, вводя его в заблуждение. Получив права администратора, вредоносная программа перехватывает запросы программ пользователя к платным онлайн-службам и онлайн-банкам, например, онлайн-банкам Сбербанк, Приват24, службе Play Market. Перехватив запросы, вредоносная программа семейства Trojan-Banker.AndroidOS.Svpeng предлагает пользователю ввести банковские реквизиты.

Эта вредоносная программа содержит методы, усложняющие ее удаление. Например, программа может:

  • запрещать пользователю открывать окно настройки параметров, закрывая окно при открытии;
  • вводить пользователя в заблуждение, утверждая, что настройки его устройства будут сброшены к заводским;
  • выводить ложное уведомление о том, что пользователь вводит неправильный пароль.

География атак семейства Trojan-Banker.AndroidOS.Svpeng

География обнаружения в период с 24.07.2014 по 27.07.2015

TOP 10 стран по количеству атакованных пользователей (%)

Страна % атакованных пользователей*
1 Российская Федерация 85,31
2 США 9,49
3 Украина 0,90
4 Саудовская Аравия 0,55
5 Германия 0,43
6 Китай 0,41
7 Иран 0,40
8 Узбекистан 0,31
9 Казахстан 0,29
10 ОАЭ 0,22

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом

threats.kaspersky.com

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *