Банковский троян Ramnit удвоил свою активность за несколько месяцев

Банковский троян Ramnit удвоил свою активность за несколько месяцев

Банковский троян Ramnit удвоил свою активность за несколько месяцев

Компания Check Point опубликовала отчет Global Threat Index за август 2018 года, в котором отмечает значительное увеличение числа атак с использованием банковского трояна Ramnit. За последние несколько месяцев Ramnit удвоил свою активность, чему способствовала широкомасштабная кампания, в ходе которой устройства жертв становились вредоносными прокси-серверами.

В августе 2018 года Ramnit подскочил до 6-го места в рейтинге угроз Threat Index и стал самым распространенным банковским трояном в восходящем тренде банковских угроз.

«Это второй случай за лето, когда злоумышленники все чаще используют банковские трояны, чтобы получить быструю прибыль. Тенденции, подобные этой, не следует игнорировать, поскольку хакеры четко знают, какие векторы атаки с большой вероятностью будут успешными в текущий момент», — комментирует Василий Дягилев, глава представительства Check Point в России и СНГ.

«Хакеры изучают привычки пользователей и знают, что в летний период они более уязвимы для банковских троянов. Это показывает, насколько злоумышленники упорны и изобретательны в своих попытках заполучить деньги».

«Чтобы предотвратить эксплуатацию как банковскими троянами, так и другими типами атак, крайне важно, чтобы предприятия применяли многоуровневую стратегию кибербезопасности, которая защищает от известных вредоносных программ и от угроз нулевого дня».

Согласно отчету, в августе 2018 года криптомайнер Coinhive остался наиболее распространенным вредоносным ПО, атаковав 17% организации по всему миру. В топ-3 поднялся модульный бот Andromeda, который, как и Dorkbot, затронул 6% организаций по всему миру.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фейковое Android-приложение Deepseek AI крадет банковские данные

Специалисты K7 Labs раскрыли новую вредоносную кампанию, в рамках которой злоумышленники распространяют банковский троян для Android под видом популярного чатбота Deepseek AI. Вредонос назвали OctoV2.

Атака начинается с фишинговой ссылки, ведущей на поддельный сайт, внешне практически неотличимый от официального ресурса Deepseek AI.

Пользователям предлагается скачать приложение с названием «DeepSeek.apk». После установки вредоносная программа маскируется под оригинальное приложение, используя его иконку.

Зловред сначала просит пользователя разрешить установку приложений из неизвестных источников, после чего инсталлирует две отдельные вредоносные программы — «родительское» приложение com.hello.world и «дочернее» com.vgsupervision_kit29.

«Дочерний» софт активно запрашивает у жертвы доступ к специальным возможностям операционной системы Android (Accessibility Service).

 

Исследователи столкнулись со сложностями анализа «родительского» приложения из-за парольной защиты. Здесь наблюдается тенденция к росту числа подобных вредоносных APK-файлов с защитой от реверс-инжиниринга.

Тем не менее специалистам удалось определить, что «родительское» приложение проверяет наличие файла с расширением «.cat», после чего устанавливает дополнительный вредоносный пакет.

Кроме того, троян OctoV2 использует алгоритм генерации доменов (DGA), что позволяет постоянно менять имена серверов управления и обходить блокировки. Кроме того, троян передаёт на серверы злоумышленников информацию обо всех установленных на заражённом устройстве приложениях.

Напомним, ранее банковский Android-троян Octo выдавал себя за Google Chrome и NordVPN.

Специалисты рекомендуют быть особенно внимательными при скачивании приложений и избегать установки программ из неизвестных источников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru