Лже-антивирус маскируется под продукт BitDefender

Лже-антивирус маскируется под продукт BitDefender

Специалисты BitDefender обнаружили новую разновидность вредоносного программного обеспечения, которое маскируется под продукты компании. ByteDefender, названный так специально, чтобы запутать пользователя, представляет собой поддельный антивирусный пакет, рассчитанный на вымогательство денег у пользователей, говорится в сообщении компании.



В данном экземпляре вредоносного ПО примечательно, прежде всего, то, что для проникновения на компьютер-жертву используется маскировка не под прикладную программу, а под популярный антивирусный пакет. Веб-сайт, с которого распространяется «самозванец», расположен по адресу bytedefender.in, при этом на сайте представлены фотографии несуществующих коробок лже-антивируса, которые по своему дизайну настолько сильно напоминают подлинные упаковки BitDefender, что различить легитимный и вредоносный продукт чрезвычайно сложно, подчеркнули в компании BitDefender.

Сценарий заражения прост, но эффективен: адрес сайта подобран так, что пользователь, желающий попасть на сайт BitDefender, может легко набрать ByteDefender в результате опечатки или ошибки. А попав на практически идентичную страницу, загрузить и установить вирус вместо антивируса. Через некоторое время после установки программа начинает выдавать фальшивые предупреждения о заражении, за которыми следуют предложения купить «полную» версию, чтобы эти «заражения» удалить. 

Примечателен и тот факт, что в качестве процессинговой компании для платежей злоумышленники выбрали вполне известную компанию Plimus, которая на данный момент заблокировала проведение транзакций, сообщили в BitDefender. 

По словам специалистов компании, с технической точки зрения лже-антивирус защищен модифицированным UPX-упаковщиком с многочисленными уровнями маскировки, которые не только затрудняют статистический анализ, но также не позволяют запустить программу в виртуальной среде. Сам лже-антивирус безуспешно пытается остановить некоторые Windows-процессы, принадлежащие известным антивирусам, чтобы открыть своим файлам путь в систему.

BitDefender уже добавил защиту от данной угрозы (определяется как Trojan.FakeAV.KZO) в свои продукты и выпустил бесплатную утилиту для удаления вируса с уже зараженных компьютеров (на которых не установлены решения BitDefender), доступную для скачивания на сайте компании.

Источник

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый шпионское приложение для Android не даёт удалить себя без пароля

Исследователи наткнулись на очередной пример коммерческого сталкерского софта для Android, который не только мастерски скрывается на устройствах, но и делает процесс удаления почти невозможным, требуя от пользователя специальный пароль.

Приложение маскируется под стандартные системные настройки, скрывая свою иконку на главном экране и используя функции Android, предназначенные для администрирования устройств и наложения окон.

Оно запрашивает разрешение на «наложение окон поверх других приложений», а затем блокирует попытки удаления, выводя всплывающее окно с запросом пароля, который использовался при установке приложения.

 

При попытке деактивировать или удалить программу через системные настройки, жертва сталкивается с запросом пароля. Неправильная комбинация приводит к возврату на главный экран, полностью блокируя доступ к удалению.

Специалисты TechCrunch предлагают перезагрузить устройство в безопасном режиме (safe mode) — в этом случае загружаются только системные приложения, а сторонние (в том числе шпионские) не запускаются. Это позволяет обойти защиту и удалить программу.

  1. Войти в безопасный режим:
    • Зажать кнопку питания до появления меню.
    • Долгое нажатие на кнопку «Выключить» вызовет запрос на перезапуск в безопасном режиме. Подтвердите действие.
    • После перезапуска вы увидите надпись «Safe mode» на экране.
  1. Отключить права администратора устройства:
    • Перейдите в настройки → Безопасность → Администраторы устройства.
    • Найдите неизвестное приложение и отключите его.
  1. Удалить приложение:
    • Откройте настройки → Приложения.
    • Найдите подозрительное приложение (например, «System Settings») и удалите его.
  1. Перезагрузите устройство в обычном режиме.

Удаление подобного софта даст понять злоумышленнику, что приложение больше не работает. Поэтому перед деинсталляцией важно иметь план безопасности — например, сменить пароли, выйти из аккаунтов, изменить код блокировки устройства и убедиться, что у третьих лиц больше нет физического доступа к телефону.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru