ОБЗОР НЕКОТОРЫХ НОВЫХ ВИРУСОВ и КАК ПОЛЬЗОВАТЕЛЬ САМ ОТДАЕТ ЛОГИН И ПАРОЛЬ МОШЕННИКАМ.

Все чаще появляются новостные блоки о том что в Google Play и реже в App Store обнаруживаются приложения с вредоносным кодом. Но почему то их обнаруживают только после того как эти приложения установили на десятки тысяч гаджетов.
* Как приложение с вредоносным кодом может обойти защиту в Google Play.
Вредоносный код (вирус) встраивается в приложения с помощью новых алгоритмов шифрования и многоступенчатой работы, в результате чего защита Google Play попросту не видит его. Пользователь скачивает приложение, приложения устанавливается, а вирус начинает работать в фоновом режиме, не привлекая к себе внимания какое то время. Затем происходит скрытое скачивание приложений из сторонних источников, чаще всего они имеют названия известных приложений таких как Flash Player, Google chrome update service, Android Update и много других, чтобы пользователь подтвердил их установку.
В результате вирус получает полный доступ к мобильному устройству.
Единственный способ уберечь свой смартфон от заражения – это скачивание программ только от проверенных разработчиков или официальных источников.
Нередко были замечены компании, выпускающие сматфоны на Российский рынок уже с вредоносным приложением или рекламным программным обеспечением.
* Как работает вирус Android.Fakebank. Вирус проникает в смартфон зачастую при установке приложений, скачанных из неофициальных источников. После установки Android.Fakebank отсылает на свой сервер данные о смартфоне и персональные сведения о пользователе. Затем программа получает конфигурационный файл, который содержит номера телефона банка и мошенников - когда пользователь попытается позвонить в банк, то звонок незаметно перенаправляется на номер мошенников, распространяющих вирус.
Общаясь с пользователем, мошенники могут получить от него информацию, которая затем будет использована для выведения средств с его счета. Android.Fakebank также умеет перехватывать исходящие и входящие звонки. Ранние версии могли только перехватывать банковские SMS, записывать звонки клиентов в банк, а также отображать поддельные страницы входа в системы интернет-банкинга.
* Android-троян HeroRat (Remote Administration Tool). HeroRat управляет зараженными устройствами и крадет данные с помощью бота в Telegram. HeroRat распространяется через неофициальные магазины Android-приложений, социальные сети и мессенджеры. Зачастую троян маскируется под приложения, обещающие биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях и др. Большинство заражений зафиксировано в Иране.
После установки и запуска приложения на экране появится всплывающее окно, в нем сообщается, что программа не может работать на устройстве и будет удалена. После «удаления» иконка приложения исчезнет, а троян продолжит работу скрытно от пользователя. Операторы HeroRat управляют зараженными устройствами через Telegram с помощью бота. Троян позволяет перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки. Для управления функциями предусмотрены интерактивные кнопки в интерфейсе Telegram-бота – оператор получает набор инструментов в соответствии с выбранной комплектацией.
Разработчика вируса предлагают его в аренду по модели Malware-as-a-Service (вредоносное ПО в качестве услуги). Доступны три комплектации (бронзовая, серебряная и золотая), которые различаются набором функций и ценой – 25, 50 и 100 долларов соответственно. Исходный код вируса продается за 650 долларов. Предусмотрен даже видеоканал техподдержки.
* Как пользователь сам отдает логин и пароль от соц. сетей мошенникам.
Многие сталкивались с такими сообщениями "Проголосуешь за меня........", вместо точек указана ссылка на сайт. При переходе по ссылке вы видите две фотографии. Первая фотография - вашего друга(подруги) за которого нужно проголосовать, вторая - незнакомого вам человека. При нажатии на фото вашего друга или подруги или нажатии кнопки "проголосовать" вы перенаправляетесь на сайт только с виду похожий на вк, одноклассники, фейсбук и др. соц.сети (в зависимости в какой соц. сети вам пришло сообщение о голосовании со ссылкой) где нужно ввести логин и пароль от соц. сети чтобы авторизоваться для голосования. При вводе логина и пароля ваши данные отправляются на сервер мошенников и сохраняются в базе данных. Теперь мошенники знают ваши учетные данные и смогут вместо вас заходить на вашу страничку, писать сообщения о голосовании и размещать ссылки у себя на стене, рассылать рекламу, писать какие либо порочащие сообщения и многое другое.