На прошлой неделе «Лаборатория Касперского» опубликовала отчет об эволюции киберугроз в первом квартале 2019 года. Краткий обзор можно прочитать в этой новости, а в посте мы подробнее рассмотрим две темы: банковские трояны для Android и Windows, а также наиболее часто эксплуатируемые злоумышленниками уязвимости в Windows и популярном софте.
Начнем с уязвимостей. Чаще всего реальные атаки с использованием уязвимостей нацелены на Microsoft Office — доля эксплойтов для этого офисного пакета составила 69%. Четыре самые популярные уязвимости были обнаружены и закрыты в 2017 году. Чаще всего используется вот эта уязвимость в компоненте Equation Editor. Она затрагивает все версии Office, начиная с 2007 и заканчивая 2016, включая Office 365. Несмотря на выпуск патча еще в ноябре 2017 года, киберпреступникам, судя по всему, удается находить достаточно жертв со старыми версиями ПО. Интересно, как меняются приоритеты атакующих в зависимости от популярности того или иного софта, и тут есть смысл посмотреть на аналогичные сводки прошлых лет. Начнем издалека — с 2012 года.
В отчете за 2012 год наблюдается совсем иная картина: у пользователей массово установлены компоненты Oracle Java и уязвимые версии Adobe Reader и Adobe Flash. На эту троицу приходится 80% всех активно используемых эксплойтов. В 2014 году Java атакуется часто, но на второе место выходят уязвимости в браузерах.
В статистике за 2016 год доля Java и Adobe Reader все еще значительная, но самые популярные эксплойты нацелены на браузеры и офисное ПО. Как оценивать такие изменения? Прежде всего, в такой статистике оцениваются широкомасштабные атаки. В таргетированных атаках могут использоваться совсем другие уязвимости, например этот баг в самой Windows, обнаруженный недавно. Популярные эксплойты выбираются киберпреступниками по возможности поставить взлом компьютеров (а с некоторых пор — и мобильных устройств на Android) на поток. Хотя не стоит забывать о новых серьезных уязвимостях, в настоящий момент полностью пропатченный и обновленный офисный пакет и браузер — это то, чем нужно озаботиться в первую очередь.
Каждый месяц продукты «Лаборатории Касперского» блокируют десятки тысяч вредоносных атак на Android-устройства, целью которых является кража денег со счетов пользователей. Относительно общего количества атак это на самом деле немного: в Австралии за первый квартал было атаковано 0,81% всех пользователей, и это самый высокий показатель. В России банковские трояны были заблокированы у 0,64% пользователей. Банковские трояны на десктопах встречаются чаще — детектируются у 1–3% пользователей в зависимости от страны. Как обычно, внимание к таким вредоносным программам обусловлено немедленными и чувствительными финансовыми потерями, в случае успешного заражения. Посмотрим на список самых популярных зловредов для кражи денег на Android:
Как вообще выглядят мобильные трояны? Начнем с верхних строчек рейтинга. Семейство Asacub подробно описано в этой прошлогодней статье. Известные с 2015 года трояны распространяются через SMS- и MMS-сообщения, со ссылкой на страницу, предлагающую посмотреть фото. Вместо фото скачивается установочный файл.
При установке программа запрашивает права администратора устройства либо доступ к службе специальных возможностей (Accessibility Service, из-за регулярного ее использования не по назначению, приложения, ее использующие, были забанены в Google Play в 2017 году).
После установки троян получает команды с управляющего сервера. Так как он становится приложением для отправки и получения SMS по умолчанию, он может переводить деньги со счета жертвы и получать коды подтверждения от банков по SMS, незаметно для пользователя. Он также способен блокировать запуск банковских клиентов на смартфоне, чтобы не было в��зможности проверить баланс. По данным на август 2018 года, 98% всех атак Asacub приходились на Россию. В общей статистике за 2018 год на Asacub приходится 58% атак. На втором и третьем местах — семейства банковских троянов Trojan-Banker.AndroidOS.Agent и Svpeng.
Семейство Svpeng существует еще дольше — первые упоминания относятся к 2013 году. В отличие от Asacub, эта вредоносная программа таргетирует пользователей по всему миру. На скриншоте выше — результат действия трояна: при открытии магазина приложений Google его окно перекрывается запросом на ввод данных кредитной карты. Помимо кражи денег непосредственно со счетов жертв, некоторые версии вредоноса также вымогают средства у пользователя.
Владельцы традиционных ПК и ноутбуков сталкиваются с финансовыми зловредами чаще, чем пользователи мобильных устройств. На десктопе наблюдается большее разнообразие вредоносных программ, и потери в ряде случаев могут быть выше. Например, банковский троян RTM, занявший первую строчку рейтинга в своей категории, нацелен на систему Дистанционного Банковского Обслуживания на предприятиях. В случае Android-троянов важную роль играет готовность пользователя распознать угрозу: для работы такие зловреды часто требуют несколько разрешений на получение расширенных прав от владельца. Возможности отличить такие запросы от легитимных (которые тоже часто «всплывают») у технически неподкованных владельцев смартфонов нет. Отсюда и последствия: по данным Центробанка РФ за 2017 год, со счетов граждан было украдено около миллиарда рублей. В половине случаев, правда, используются не технические средства, а банальная социальная инженерия. Будьте бдительны!
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
Начнем с уязвимостей. Чаще всего реальные атаки с использованием уязвимостей нацелены на Microsoft Office — доля эксплойтов для этого офисного пакета составила 69%. Четыре самые популярные уязвимости были обнаружены и закрыты в 2017 году. Чаще всего используется вот эта уязвимость в компоненте Equation Editor. Она затрагивает все версии Office, начиная с 2007 и заканчивая 2016, включая Office 365. Несмотря на выпуск патча еще в ноябре 2017 года, киберпреступникам, судя по всему, удается находить достаточно жертв со старыми версиями ПО. Интересно, как меняются приоритеты атакующих в зависимости от популярности того или иного софта, и тут есть смысл посмотреть на аналогичные сводки прошлых лет. Начнем издалека — с 2012 года.
В отчете за 2012 год наблюдается совсем иная картина: у пользователей массово установлены компоненты Oracle Java и уязвимые версии Adobe Reader и Adobe Flash. На эту троицу приходится 80% всех активно используемых эксплойтов. В 2014 году Java атакуется часто, но на второе место выходят уязвимости в браузерах.
В статистике за 2016 год доля Java и Adobe Reader все еще значительная, но самые популярные эксплойты нацелены на браузеры и офисное ПО. Как оценивать такие изменения? Прежде всего, в такой статистике оцениваются широкомасштабные атаки. В таргетированных атаках могут использоваться совсем другие уязвимости, например этот баг в самой Windows, обнаруженный недавно. Популярные эксплойты выбираются киберпреступниками по возможности поставить взлом компьютеров (а с некоторых пор — и мобильных устройств на Android) на поток. Хотя не стоит забывать о новых серьезных уязвимостях, в настоящий момент полностью пропатченный и обновленный офисный пакет и браузер — это то, чем нужно озаботиться в первую очередь.
Каждый месяц продукты «Лаборатории Касперского» блокируют десятки тысяч вредоносных атак на Android-устройства, целью которых является кража денег со счетов пользователей. Относительно общего количества атак это на самом деле немного: в Австралии за первый квартал было атаковано 0,81% всех пользователей, и это самый высокий показатель. В России банковские трояны были заблокированы у 0,64% пользователей. Банковские трояны на десктопах встречаются чаще — детектируются у 1–3% пользователей в зависимости от страны. Как обычно, внимание к таким вредоносным программам обусловлено немедленными и чувствительными финансовыми потерями, в случае успешного заражения. Посмотрим на список самых популярных зловредов для кражи денег на Android:
Как вообще выглядят мобильные трояны? Начнем с верхних строчек рейтинга. Семейство Asacub подробно описано в этой прошлогодней статье. Известные с 2015 года трояны распространяются через SMS- и MMS-сообщения, со ссылкой на страницу, предлагающую посмотреть фото. Вместо фото скачивается установочный файл.
При установке программа запрашивает права администратора устройства либо доступ к службе специальных возможностей (Accessibility Service, из-за регулярного ее использования не по назначению, приложения, ее использующие, были забанены в Google Play в 2017 году).
После установки троян получает команды с управляющего сервера. Так как он становится приложением для отправки и получения SMS по умолчанию, он может переводить деньги со счета жертвы и получать коды подтверждения от банков по SMS, незаметно для пользователя. Он также способен блокировать запуск банковских клиентов на смартфоне, чтобы не было в��зможности проверить баланс. По данным на август 2018 года, 98% всех атак Asacub приходились на Россию. В общей статистике за 2018 год на Asacub приходится 58% атак. На втором и третьем местах — семейства банковских троянов Trojan-Banker.AndroidOS.Agent и Svpeng.
Семейство Svpeng существует еще дольше — первые упоминания относятся к 2013 году. В отличие от Asacub, эта вредоносная программа таргетирует пользователей по всему миру. На скриншоте выше — результат действия трояна: при открытии магазина приложений Google его окно перекрывается запросом на ввод данных кредитной карты. Помимо кражи денег непосредственно со счетов жертв, некоторые версии вредоноса также вымогают средства у пользователя.
Владельцы традиционных ПК и ноутбуков сталкиваются с финансовыми зловредами чаще, чем пользователи мобильных устройств. На десктопе наблюдается большее разнообразие вредоносных программ, и потери в ряде случаев могут быть выше. Например, банковский троян RTM, занявший первую строчку рейтинга в своей категории, нацелен на систему Дистанционного Банковского Обслуживания на предприятиях. В случае Android-троянов важную роль играет готовность пользователя распознать угрозу: для работы такие зловреды часто требуют несколько разрешений на получение расширенных прав от владельца. Возможности отличить такие запросы от легитимных (которые тоже часто «всплывают») у технически неподкованных владельцев смартфонов нет. Отсюда и последствия: по данным Центробанка РФ за 2017 год, со счетов граждан было украдено около миллиарда рублей. В половине случаев, правда, используются не технические средства, а банальная социальная инженерия. Будьте бдительны!
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
