Kaspersky Lab: szkodliwe programy XI 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy X 2011

Nietypowa aktywność

Nowy arsenał sztuczek cyberprzestępców

Ostatnio wzrosła liczba incydentów charakteryzujących się wykorzystywaniem steganografii w szkodliwym oprogramowaniu.

We wrześniu wykorzystywane były pliki graficzne zawierające ukryte polecenia zarządzania botnetem SST stanowiącym modyfikację niesławnego TDSS/TDL.

W listopadzie podobną technikę wykryliśmy w rodzinie trojanów atakujących klientów brazylijskich banków. Był to pierwszy wykryty przypadek trojanów z Ameryki Łacińskiej wykorzystujących steganografię w obrazach.

Pliki zawierały zaszyfrowane szkodliwe oprogramowanie i dodatkowe dane. Posiadały rozszerzenie jpeg, ale ich struktura przypominała pliki bmp. Dalsza analiza wykazała, że cyberprzestępcy wykorzystywali szyfr blokowy.

Dzięki zastosowaniu tej techniki twórcy wirusów upiekli kilka pieczeni na jednym ogniu. Po pierwsze, może ona spowodować niewłaściwe działanie automatycznych systemów analizy szkodliwych programów: po analizie programy antywirusowe stwierdzą, że pliki są czyste, i z czasem dany odsyłacz zostanie całkowicie wyłączony ze sprawdzania. Po drugie, administratorzy stron, na których hostowane są zaszyfrowane szkodliwe pliki, nie będą w stanie zidentyfikować ich jako szkodliwe i nie będą z nimi nic robić. Po trzecie, niektórzy analitycy szkodliwego oprogramowania mogą nie mieć czasu ani niezbędnej wiedzy, aby sobie z nimi poradzić. Naturalnie, wszystko to działa na korzyść cyberprzestępców.

Mobilne zagrożenia: trojany SMS rozprzestrzeniają się na całym świecie

W połowie lipca pisaliśmy o „programach wysyłających SMS-y pornograficzne”, które dokonywały subskrypcji różnych usług w imieniu użytkowników, wysyłając wiadomości tekstowe na numery o podwyższonej opłacie. Tego rodzaju aplikacje atakowały w listopadzie użytkowników w Stanach Zjednoczonych, Malezji, Holandii, Wielkiej Brytanii, Kenii oraz Afryce Południowej.

W listopadzie wykryliśmy trojany SMS atakujące użytkowników w kilku krajach europejskich oraz w Kanadzie. Szkodliwe oprogramowanie wysyła cztery wiadomości tekstowe z zainfekowanych urządzeń na krótkie numery o podwyższonej opłacie. Ta konkretna rodzina programów jest wykrywana pod nazwą Trojan-SMS.AndroidOS.Foncy.

Według informacji publikowanych na forach, pierwsze infekcje miały miejsce na początku września. Ktoś pobrał aplikację, która ponoć monitorowała jego wiadomości SMS/MMS, połączenia telefoniczne i ruch internetowy. Po uruchomieniu program wyświetlał komunikat informujący, że aplikacja nie jest kompatybilna z wykorzystywaną przez użytkownika wersją systemu Android. Następnie, z konta ofiary znikały pieniądze.

Przed pojawieniem się rodziny Trojan-SMS.AndroidOS.Foncy trojany SMS atakowały głównie użytkowników z Rosji i Chin. tego rodzaju szkodniki stanowią obecnie jeden z najłatwiejszych sposobów zarabiania pieniędzy przez cyberprzestępców. Niestety, wygląda na to, że wykorzystywanie krótkich numerów przez szkodliwe oprogramowanie ma miejsce również w innych częściach świata i nic nie wskazuje na to, że proces ten niebawem skończy się.