kl q3 malware report

РАЗВИТИЕ ИНФОРМАЦИОННЫХ УГРОЗ В ТРЕТЬЕМ КВАРТАЛЕ 2016 Г.Дэвид Эмм, Мария Гарнаева, Александр Лискин, Денис Макрушин, Федор Синицын, Роман Унучек

Развитие информационных угроз в третьем квартале 2016 г.

Стр. 2 из 46

Содержание

Обзор ситуации ........................................................................................................................................... 3

Целевые атаки и вредоносные кампании .................................................................................................. 3

Dropping Elephant ..................................................................................................................................... 3

ProjectSauron ............................................................................................................................................ 4

ShadowBrokers .......................................................................................................................................... 6

Operation Ghoul ........................................................................................................................................ 7

Вредоносные программы ............................................................................................................................ 9

Lurk ............................................................................................................................................................ 9

Программы-вымогатели ....................................................................................................................... 10

Утечка данных ........................................................................................................................................ 13

Статистика .................................................................................................................................................. 14

Цифры квартала .......................................................................................................................................... 14

Мобильные угрозы ..................................................................................................................................... 15

Особенности квартала ........................................................................................................................... 15

Статистика мобильных угроз ................................................................................................................ 18

Мобильные банковские троянцы ........................................................................................................ 23

Мобильные троянцы-вымогатели........................................................................................................ 26

Уязвимые приложения, используемые злоумышленниками ................................................................ 29

Вредоносные программы в интернете (атаки через веб-ресурсы) ........................................................ 30

Онлайн-угрозы в финансовом секторе ................................................................................................ 31

Вредоносные программы-шифровальщики ....................................................................................... 35

Страны – источники веб-атак: TOP 10 .................................................................................................. 40

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет 41

Локальные угрозы ...................................................................................................................................... 44

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального

заражения............................................................................................................................................... 44


Стр. 3 из 46

Обзор ситуации

Целевые атаки и вредоносные кампании

Dropping Elephant

Чтобы увенчаться успехом, целевым атакам не обязательно быть технически сложными. В июле 2016

года мы сообщили о группировке Dropping Elephant (известной также под названиями Chinastrats и

Patchwork). Используя социальную инженерию в сочетании со старым кодом эксплойтов и

несколькими вредоносными программами на базе PowerShell, группировка успешно крала у своих

жертв конфиденциальные данные.

Мишенями группировки, которая активно действовала с ноября 2015 года, стали влиятельные

организации, работающие в дипломатической и экономической сфере и связанные с

внешнеполитическими отношениями Китая. Эта направленность очевидна из выбора тем, которыми

злоумышленники завлекали своих жертв.

При проведении атак использовалось сочетание целевого фишинга и атак типа watering hole. Первый

подразумевает отправку документа, часть содержимого которого находится на удаленном сервере.

При открытии документа на командный сервер атакующих оправляется ping-запрос. Затем жертва

получает второе целевое фишинговое сообщение, содержащее документ Word или файл PowerPoint

(при этом эксплуатируются старые уязвимости – CVE-2012-0158 и CVE-2014-6352 соответственно).

После выполнения вредоносной нагрузки в систему загружается исполняемый AutoIT-файл. Будучи

запущен на выполнение, он загружает другие компоненты с командного сервера, и начинается кража

данных с компьютера жертвы.

Злоумышленники также создали сайт для проведения атак типа watering hole, который привлекает

посетителей реальными новостными статьями с легитимных веб-ресурсов. Если пользователь хочет

полностью просмотреть представленную на сайте статью, ему предлагается загрузить файл

PowerPoint. Это позволяет получить доступ к оставшейся части документа и одновременно приводит

к загрузке вредоносного объекта. Злоумышленники иногда рассылают ссылки на свой сайт, созданный

для атак типа watering hole, по электронной почте. Кроме того, группировка использует учетные записи

в социальных сетях Google+, Facebook и Twitter, чтобы оптимизировать выдачу поисковых систем (SEO)

и расширить охват потенциальных жертв.

В успехе группировки Dropping Elephant примечательно то, что ей удавалось взламывать системы

влиятельных жертв без использования эксплойтов нулевого дня или сложных технических приемов.

Очевидно, что подобным атакам можно эффективно противостоять, своевременно устанавливая

обновления безопасности и повышая осведомленность сотрудников в области информационной

безопасности. В начале года мы прогнозировали, что APT-группировки будут тратить меньше усилий

на разработку сложных инструментов и более широко использовать готовое вредоносное ПО.

https://securelist.com/blog/research/75328/the-dropping-elephant-actor/

https://securelist.ru/analysis/ksb/27454/kaspersky-security-bulletin-2015-prognozy-na-2016-god/


Стр. 4 из 46

Dropping Elephant – это еще один пример того, что применение готового инструментария при низком

уровне инвестиций может быть чрезвычайно эффективным в сочетании с отработанной социальной

инженерией.

ProjectSauron

В сентябре наша платформа для защиты от целевых атак Kaspersky Anti-Targeted Attack Platform

обнаружила аномалию в сети клиента. Проведенное расследование привело к обнаружению

ProjectSauron – группировки, занимавшейся кражей конфиденциальных данных у организаций в

России, Иране, Руанде и, возможно, в других странах с июня 2011 года. Нам удалось

идентифицировать более 30 жертв. Все эти организации выполняют ключевые государственные

функции и относятся к правительственным и финансовым структурам, вооруженным силам, научно-

исследовательской сфере и телекоммуникациям.

Группировка ProjectSauron была особенно заинтересована в получении доступа к зашифрованным

коммуникациям. Для этой цели она использует сложную модульную платформу кибершпионажа,

включающую в себя уникальный инструментарий и методы. Затратность проекта, его сложность,

упорство злоумышленников и конечная цель (кража секретных данных у близких к государству

организаций) свидетельствуют о том, что ProjectSauron – кампания, поддерживаемая на

https://securelist.ru/analysis/obzor/28983/faq-the-projectsauron-apt/


Стр. 5 из 46

государственном уровне. ProjectSauron производит впечатление опытной группировки

злоумышленников, которая целенаправленно перенимает опыт других сложных атак, включая Duqu,

Flame, Equation и Regin, берет на вооружение их наиболее инновационные методы и совершенствует

их тактику, чтобы избежать обнаружения.

Одна из наиболее интересных черт ProjectSauron – это намеренное избегание шаблонов: импланты,

применяемые группировкой, создаются индивидуально для каждой жертвы и никогда не

используются повторно. Это делает традиционные индикаторы заражения (Indicators of Compromise,

IoC) почти бесполезными. Такой подход в сочетании с использованием нескольких методов вывода

украденных данных (включая легитимную электронную почту и DNS) позволяет ProjectSauron

проводить хорошо законспирированные долгосрочные кампании шпионажа в сетях интересующих их

организаций.

Ключевые особенности ProjectSauron:

уникальность основных имплантов, создаваемых индивидуально для каждой жертвы;

использование легитимных скриптов обновления ПО;

использование бэкдоров, загружающих новые модули или выполняющих команды прямо в

оперативной памяти;

заинтересованность в информации о нестандартном ПО для шифрования сетевого трафика;

применение низкоуровневых инструментов, управляемых скриптами высокого уровня,

написанными на языке LUA (применение компонентов LUA во вредоносном ПО встречается

крайне редко – до сих пор они были обнаружены лишь в атаках Flame и Animal Farm);


Стр. 6 из 46

использование с целью проникновения в изолированные сети специально подготовленных

USB-носителей, имеющих скрытые области для хранения украденных данных;

использование нескольких механизмов для вывода украденных данных, позволяющих скрыть

передаваемые данные в легитимном трафике.

Метод, использованный для первоначального проникновения в сети жертв, остается неизвестным.

Однократное использование уникальных ресурсов, таких как командный сервер, ключи шифрования

и так далее, в сочетании с самыми современными методами, перенятыми у других крупнейших

киберпреступных группировок, – такого раньше не было. Единственный эффективный способ

противостоять подобным угрозам – создать многоуровневую систему безопасности с сенсорами,

способными обнаружить малейшие аномалии в цифровом документообороте организации, в

сочетании с оперативным получением сведений об актуальных угрозах и проведением

криминалистического анализа. Дополнительную информацию о методах, с помощью которых можно

противостоять подобным угрозам, можно найти здесь.

ShadowBrokers

В августе отдельная личность или группа лиц, известная как ShadowBrokers, заявила, что в ее

распоряжении находятся файлы, принадлежащие группировке Equation, и опубликовала ссылки на

два архива, зашифрованные с помощью PGP. Ключ к первому архиву был доступен бесплатно, а ключ

ко второму – выставлен на «аукцион» по цене 1 миллион BTC (это 1/15 часть всех биткойнов,

находящихся в обращении).

Поскольку мы обнаружили группировку Equation в феврале 2015 года, нам было интересно

проанализировать первый архив. Он содержит почти 300 МБ эксплойтов для сетевых экранов, а также

инструментов и скриптов, под такими кодовыми названиями, как BANANAUSURPER, BLATSTING и

BUZZDIRECTION. Большинству файлов не менее трех лет – последние записи об изменениях датируются

августом 2013 года, а новейшая временная метка относится к октябрю 2013 года.

https://business.kaspersky.ru/projectsauron-apt/3997/

https://securelist.ru/blog/intsidenty/29168/the-equation-giveaway/

https://securelist.ru/blog/intsidenty/29168/the-equation-giveaway/


Стр. 7 из 46

Группировка Equation широко использует алгоритмы шифрования RC5 и RC6, созданные Роналдом

Ривестом (Ronald Rivest) в 1994 и 1998 годах соответственно. Бесплатный материал, опубликованный

ShadowBrokers, содержит 347 различных примеров реализации алгоритмов RC5 и RC6. Реализация

функционально идентична той, что применена во вредоносном коде Equation, и больше нигде не

встречается.

Сходство кода позволяет нам говорить с высокой степенью уверенности о существовании связи между

инструментами из утечки, организованной ShadowBrokers, и вредоносным ПО группировки Equation.

Operation Ghoul

В июне мы столкнулись с потоком целевых фишинговых сообщений с вредоносными вложениями.

Сообщения, которые были разосланы преимущественно руководителям и менеджерам среднего

звена из множества компаний, выглядели так, как будто они были отправлены банком из ОАЭ. В

сообщение, которое якобы содержало платежное извещение банка, был вложен документ SWIFT.

Однако в действительности архив содержал вредоносное ПО. Проведенное расследование показало,

что июньские атаки были последней по времени операцией группировки, активность которой

эксперты отслеживали уже более года, и которой «Лаборатория Касперского» дала имя Operation

Ghoul.

Группировка успешно атаковала более 130 организаций из 30 стран, включая Испанию, Пакистан, ОАЭ,

Индию, Египет, Великобританию, Германию и Саудовскую Аравию. По информации, полученной с

sinkhole-серверов, на которые были переключены некоторые из командных серверов группировки,

большинство этих организаций работают в сфере промышленного производства и машиностроения.

Кроме того, среди жертв были судоходные, фармацевтические, производственные, торговые и

образовательные организации.

https://securelist.com/blog/research/75718/operation-ghoul-targeted-attacks-on-industrial-and-engineering-organizations/

https://securelist.com/blog/research/75718/operation-ghoul-targeted-attacks-on-industrial-and-engineering-organizations/


Стр. 8 из 46

Вредоносное ПО, применяемое группировкой Operation Ghoul, основано на коммерческом пакете

шпионского ПО Hawkeye, которое открыто продается на подпольных сайтах (Dark Web). После

установки вредоносное ПО собирает с компьютеров жертв интересующие злоумышленников данные,

включая клавиатурные нажатия, содержимое буфера обмена, учетные данные аккаунтов на FTP-

серверах, данные учетных записей из браузеров, систем обмена сообщениями и почтовых клиентов, а

также информацию об установленных приложениях. Эти данные затем отправляются на командные

серверы группировки.

По-видимому, целью кампании является финансовая выгода: все атакованные организации владеют

ценной информацией, которую можно продать на черном рынке.

Тот факт, что социальная инженерия по-прежнему успешно применяется злоумышленниками для

проникновения в сети атакуемых организаций, означает, что компаниям необходимо сделать

образование сотрудников и повышение их осведомленности об угрозах центральным элементом

своей стратегии обеспечения безопасности.


Стр. 9 из 46

Вредоносные программы

Lurk

В июне 2016 года мы писали о банковском троянце Lurk, с помощью которого киберпреступники

систематически похищали средства со счетов российских коммерческих организаций, в том числе

нескольких банков. По оценкам полиции, ущерб, нанесенный троянцем, составил около 45 миллионов

долларов.

В процессе изучения троянца мы выяснили, что жертвы Lurk устанавливали также программу

удаленного администрирования Ammyy Admin. Сначала мы не придали этому значения, но затем

стало понятно, что официальный сайт Ammyy Admin был взломан и использовался группировкой Lurk

для проведения атак типа watering-hole: троянец загружался на компьютеры жертв вместе с

легитимным ПО.

Начиная с 1 июня 2016 года, когда были арестованы предположительные создатели троянца Lurk,

дроппер на сайте Ammyy Admin начал распространять другую троянскую программу – Trojan-

PSW.Win32.Fareit. Видимо, те, кто стоял за взломом сайта Ammyy Admin, были готовы продать свой

дроппер любому желающему распространять вредоносное ПО через взломанный сайт.

Банковский троянец – не единственное «достижение» группировки Lurk. Она также создала набор

эксплойтов Angler – комплекс вредоносных программ, предназначенных для эксплуатации

https://securelist.ru/featured/28708/bankovskij-troyanec-lurk-specialno-dlya-rossii/

https://securelist.ru/blog/issledovaniya/28900/lurk-a-danger-where-you-least-expect-it/

https://securelist.ru/blog/issledovaniya/28900/lurk-a-danger-where-you-least-expect-it/


Стр. 10 из 46

уязвимостей в распространенных приложениях с целью установки вредоносного ПО. Первоначально

этот набор эксплойтов был создан, чтобы обеспечить надежный и эффективный канал доставки для

собственного вредоносного ПО группировки. Однако в 2013 году группировка начала сдавать набор в

аренду всем, кто был готов за него платить, – вероятно, чтобы финансировать содержание обширной

сетевой инфраструктуры и многочисленных «сотрудников» группировки. Набор эксплойтов Angler стал

одним из наиболее мощных инструментов, доступных на подпольных киберкриминальных ресурсах.

В отличие от банковского троянца Lurk, который был ориентирован прежде всего на жертв в России,

Angler применялся для проведения атак во всем мире, в том числе группировками, стоящими за

программами-вымогателями CryptXXX и TeslaCrypt и банковским троянцем Neverquest (последний

был использован для атак почти на 100 банков). Использование Angler сошло на нет после ареста

предполагаемых членов группировки Lurk.

Группировка отметилась и другой побочной деятельностью. Ее представители более пяти лет

занимались созданием чрезвычайно мощного вредоносного ПО для автоматизированной кражи

денежных средств из систем удаленного банкинга. Кроме того, на счету группировки кража средств с

использованием сложных мошеннических схем с подменой SIM-карт. Представители Lurk также стали

специалистами по взлому банковских систем, требующему знания внутренней банковской

инфраструктуры.

«Лаборатория Касперского» сотрудничала с российской полицией в ходе расследования деятельности

группировки, стоящей за троянской программой Lurk. Аресты стали кульминацией шестилетней

работы нашего отдела расследования компьютерных инцидентов. Вы можете прочитать о

расследовании здесь.

Программы-вымогатели

Редкий месяц проходит без появления в СМИ новостей об атаках программ-вымогателей. Например,

недавно появилось сообщение о том, что за последние 12 месяцев жертвами программ-вымогателей

стали 28 отделений Национальной службы здравоохранения Великобритании (NHS trusts).

Большинство атак с применением программ-вымогателей нацелено на частных лиц, однако на

компании также проводится большое число атак (около 13% в 2015-16 гг.). В отчете «Лаборатории

Касперского» об информационной безопасности бизнеса за 2016 год указывалось, что около 42%

предприятий малого и среднего бизнеса стали жертвами программ-вымогателей в течение года (с

сентября 2015 г. по август 2016 г.).

В ходе недавней атаки с применением программы-вымогателя киберпреступники требовали в

качестве выкупа значительную сумму – 2 биткойна (около 1 300 долларов США). Программа-

вымогатель Ded Cryptor заменяет фон экрана на компьютере жертвы на изображение злого Санта-

Клауса.

https://securelist.ru/analysis/obzor/29220/the-hunt-for-lurk/

http://www.telegraph.co.uk/news/2016/10/10/cyber-blackmailers-increasingly-target-nhs-trusts-with-ransoms-f/

http://www.telegraph.co.uk/news/2016/10/10/cyber-blackmailers-increasingly-target-nhs-trusts-with-ransoms-f/

https://securelist.ru/analysis/obzor/28774/pc-ransomware-in-2014-2016/

https://business.kaspersky.com/cryptomalware-report-2016/5971/

https://business.kaspersky.com/cryptomalware-report-2016/5971/


Стр. 11 из 46

Работа этой программы сама по себе (т.е. шифрование файлов, страшная картинка и требование

выкупа) ничем не примечательна, но предыстория атаки представляет определенный интерес.

Программа основана на открытом исходном коде троянца-вымогателя EDA2, созданном Utku Sen в

ходе неудачного эксперимента. Utku Sen, эксперт по безопасности из Турции, создал программу-

вымогатель и опубликовал ее исходный код. Он понимал, что киберпреступники будут использовать

его код для создания собственных шифровальщиков, но рассчитывал, что своими действиями он

поможет экспертам по безопасности понять, как киберпреступники мыслят и пишут код, и это позволит

повысить эффективность мер по защите от программ-вымогателей.

Ded Cryptor – лишь одна из множества программ-вымогателей, созданных на основе EDA2. Еще одна

недавно обнаруженная программа называется Fantom. Она интересна не только своей связью с EDA2,

но и тем, что выглядит как настоящий экран обновления Windows.

https://blog.kaspersky.ru/ded-cryptor-ransomware/12415/

https://blog.kaspersky.ru/fantom-ransomware/12939/


Стр. 12 из 46

Этот экран демонстрируется, пока Fantom шифрует в фоновом режиме файлы жертвы. Фальшивая

программа обновления работает в полноэкранном режиме, визуально блокируя другие программы и

отвлекая внимание жертвы от того, что в действительности происходит на компьютере. Когда

шифрование файлов завершено, Fantom выводит более характерное сообщение.

Нет сомнений, что в целом осведомленность общественности об этой проблеме растет, однако

очевидно, что ни отдельные пользователи, ни организации не предпринимают достаточных усилий,

чтобы противостоять ей, и киберпреступники этим пользуются. Об этом ясно свидетельствует рост

числа атак с применением программ-вымогателей.

Необходимо снизить риск возможного заражения программами-вымогателями (о важных шагах,

которые вы можете предпринять, мы писали здесь). Тем не менее, 100%-ной защиты не существует,

поэтому необходимо свести к минимуму потенциальный ущерб. В частности, крайне важно сохранять

резервные копии данных, чтобы не попасть в ситуацию, когда нужно выбирать между перечислением

средств киберпреступникам и потерей данных. Платить выкуп – всегда плохая идея.

Если вы все же оказались в ситуации, когда ваши данные зашифрованы, а резервной копии нет,

узнайте у производителя вашего антивирусного решения, не может ли он помочь, и посетите сайт No

More Ransom, чтобы проверить, нет ли на нем ключей для расшифровки ваших данных. Этот сайт –

результат совместных усилий Национального подразделения полиции Нидерландов по борьбе с

высокотехнологичными преступлениями, европейского центра Европола по борьбе с

киберпреступностью, «Лаборатории Касперского» и компании Intel Security. Его цель – помочь

жертвам программ-вымогателей восстановить свои данные без уплаты выкупа киберпреступникам.

В недавней статье из серии «Спроси эксперта» Йорнт ван дер Виль, эксперт глобального центра

анализа угроз «Лаборатории Касперского», поделился полезными сведениями о программах-

вымогателях.

https://securelist.ru/analysis/malware-quarterly/29062/it-threat-evolution-in-q2-2016-statistics/

https://securelist.ru/analysis/malware-quarterly/29062/it-threat-evolution-in-q2-2016-statistics/

https://blog.kaspersky.ru/ransomware-10-tips/9946/

https://www.nomoreransom.org/

https://www.nomoreransom.org/

https://blog.kaspersky.ru/ask-expert-yornt-ransomware/12545/


Стр. 13 из 46

Утечка данных

Личные данные – ценный товар, поэтому неудивительно, что киберпреступники атакуют провайдеров

онлайн-сервисов с целью украсть сразу большой объем данных. Мы уже привыкли к постоянному

потоку сообщений в СМИ о крупных инцидентах с утечками данных. Прошедший квартал не стал

исключением: утечки произошли с официального форума DotA 2, из сети Yahoo и с ресурсов других

компаний.

В результате некоторых из этих атак были украдены огромные объемы данных. Это говорит о том, что

многие компании не применяют адекватные меры безопасности. Долг каждой организации, которая

хранит личные данные пользователей, – позаботиться об их эффективной защите. Меры безопасности

должны включать хранение пользовательских паролей в виде посоленных хешей и шифрование

остальных секретных данных.

Каждый пользователь способен уменьшить ущерб от взлома ресурсов провайдера онлайн-сервисов,

выбирая уникальный и сложный пароль для каждого ресурса. Идеальный пароль должен быть длиной

не менее 15 символов и состоять из букв, цифр и служебных символов, разбросанных по всей

клавиатуре. В качестве альтернативы можно использовать программу – менеджер паролей, которая

будет выполнять эту функцию автоматически.

Кроме того, следует использовать двухфакторную аутентификацию там, где провайдеры

предоставляют такую возможность. В этом случае для доступа на сайт или, как минимум, для внесения

изменений в настройки учетной записи пользователь должен ввести код, сгенерированный

аппаратным ключом или отправленный провайдером на мобильное устройство.

Учитывая потенциальный ущерб, который может нанести взлом систем провайдера, неудивительно,

что регулирующие органы уделяют этой проблеме все больше внимания. Управление Комиссара по

информации Великобритании (UK Information Commissioner’s Office, ICO) недавно наложило

рекордный штраф размером 400 000 фунтов стерлингов на компанию TalkTalk за «отсутствие

элементарных мер по обеспечению кибербезопасности» в связи с атакой на компанию, имевшей

место в октябре 2015 года. По мнению ICO, рекордный штраф – это «предупреждение остальным, что

кибербезопасность – это не прерогатива IT-департамента, а сфера ответственности совета

директоров».

Принятые в ЕС Общие правила защиты данных (General Data Protection Regulation, GDPR), которые

вступят в силу в мае 2018 года, требуют, чтобы компании сообщали об утечке данных регулирующему

органу, и предусматривают серьезные штрафы за отсутствие надлежащей защиты личных данных.

Общую информацию о Правилах можно найти здесь.

Мы проанализировали ущерб, нанесенный взломом сайта Ashley Madison, через год после атаки,

которая привела к утечке пользовательских данных, и предложили ряд полезных советов для всех, кто

собирается искать приключений в Сети, а также рекомендации по мерам безопасности при

управлении любым онлайн-аккаунтом.

https://blog.kaspersky.ru/dota-2-hack/12749/

https://threatpost.ru/500-million-yahoo-accounts-stolen-by-state-sponsored-hackers/18269/

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/10/talktalk-gets-record-400-000-fine-for-failing-to-prevent-october-2015-attack/

https://ico.org.uk/for-organisations/data-protection-reform/overview-of-the-gdpr/

https://blog.kaspersky.ru/ashley-madison-one-year-after/12568/


Стр. 14 из 46

Статистика Все статистические данные, использованные в отчете, получены с помощью распределенной

антивирусной сети Kaspersky Security Network (KSN) как результат работы различных

компонентов защиты от вредоносных программ. Данные получены от тех пользователей

KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией

о вредоносной активности принимают участие миллионы пользователей продуктов

«Лаборатории Касперского» из 213 стран и территорий мира.

Цифры квартала

По данным KSN, решения «Лаборатории Касперского» отразили 171 802 109 атак, которые

проводились с интернет-ресурсов, размещенных в 190 странах мира.

Зафиксировано 45 169 524 уникальных URL, на которых происходило срабатывание веб-

антивируса.

Нашим веб-антивирусом было обнаружено 12 657 673 уникальных детектируемых объектов

(скрипты, эксплойты, исполняемые файлы и т.д.).

Попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к

банковским счетам отражены на компьютерах 1 198 264 пользователей.

Атаки шифровальщиков отражены на компьютерах 821 865 уникальных пользователей.

Нашим файловым антивирусом зафиксировано 116 469 744 уникальных вредоносных и

потенциально нежелательных объектов.

Продуктами «Лаборатории Касперского» для защиты мобильных устройств было обнаружено:

1 520 931 вредоносных установочных пакетов;

30 167 установочных пакетов мобильных банковских троянцев;

37 150 установочных пакетов мобильных троянцев-вымогателей.

http://www.kaspersky.ru/downloads/pdf/kaspersky_security_network.pdf


Стр. 15 из 46

Мобильные угрозы

Особенности квартала

Pokemon GO: популярен у пользователей и злоумышленников

Одним из знаковых событий третьего квартала стал выход игры Pokemon GO. Злоумышленики,

конечно же, не могли оставить без внимания популярность новинки и старались использовать ее для

своих целей. Чаще всего они добавляли вредоносный код в оригинальную игру и распространяли

вредоносное приложение через сторонние магазины. Таким образом распространялся, например,

банковский троянец Trojan-Banker.AndroidOS.Tordow, использующий уязвимости в системе для

получения прав суперпользователя на устройстве. Обладая правами суперпользователя, этот троянец

защищается от удаления, кроме того, он может воровать сохраненные пароли из браузеров.

Но самым громким случаем использования популярности Pokemon GO для заражения мобильных

устройств пользователей стало размещение злоумышленниками гида для этой игры в официальном

магазине приложений Google Play Store. Это приложения на самом деле оказалось рекламным

троянцем, способным получить на устройстве права суперпользователя, эксплуатируя уязвимости в

системе.

Впоследствии нам удалось обнаружить еще две модификации этого троянца, которые были

размещены в магазине Google Play под видом разных приложений. Один из них, выдававший себя за

эквалайзер, по данным Google Play имел от 100 000 до 500 000 установок.

Trojan.AndroidOS.Ztorg.ad в официальном магазине приложений Google Play Store

https://securelist.ru/blog/issledovaniya/29343/the-banker-that-can-steal-anything/

https://securelist.ru/blog/issledovaniya/29331/rooting-pokemons-in-google-play-store/


Стр. 16 из 46

Интересно, что для продвижения троянца злоумышленники выбрали в том числе компанию, которая

платит пользователям за установку рекламируемых приложений.

Скриншот приложения, предлагающего пользователю установить троянца за 5 центов

По правилам этой компании, она не сотрудничает с пользователями, на устройстве которых есть права

суперпользователя. Таким образом, пытаясь немного подзаработать, пользователь не только

заражает свое устройство троянцем, но и не получает деньги, так как после заражения на устройстве

появляются права суперпользователя.

Реклама с троянцем

Самым популярным мобильным троянцем в третьем квартале 2016 года стал Trojan-

Banker.AndroidOS.Svpeng.q. За квартал количество атакованных им пользователей выросло

практически в 8 раз.

Более 97% атакованных Svpeng пользователей находились в России. Такой популярности троянца

злоумышленникам удалось добиться, рекламируя его через рекламную сеть Google AdSense. Это одна

из самых популярных рекламных сетей в Рунете, для показа пользователям таргетированной рекламы

ею пользуется много известных и популярных сайтов . Оплатить и зарегистрировать свое рекламное

объявление в этой сети может любой желающий, что и проделали злоумышленники. Только вместе с

рекламой они разместили в AdSense троянца. В результате при посещении пользователем страницы с

их рекламным объявлением на его устройство загружался Svpeng.

https://securelist.ru/blog/intsidenty/28995/s-dobrym-utrom-android/


Стр. 17 из 46

Обход защитных механизмов Android 6

В отчете за второй квартал 2016 года мы упоминали семейство банковских троянцев Trojan-

Banker.AndroidOS.Asacub, которые обходили некоторые ограничения системы. В этом квартале стоит

отметить семейство банковских троянцев Trojan-Banker.AndroidOS.Gugi, которые научились обходить

некоторые защитные механизмы, появившиеся в Android 6, обманывая пользователя. Во-первых,

троянец запрашивает права на перекрытие других приложений, а во-вторых, воспользовавшись

предоставленным ранее правом, вынуждает пользователя дать ему права на работу с SMS и на

совершение звонков.

Троянец-вымогатель в официальном магазине приложений Google Play

В третьем квартале мы зафиксировали распространение мобильного троянца вымогателя Trojan-

Ransom.AndroidOS.Pletor.d через официальный магазин приложений Google Play. Троянец выдавал

себя за приложение для обслуживания устройства, в задачи которого входили очистка от ненужных

данных, ускорение работы устройства и даже антивирусная защита.

Trojan-Ransom.AndroidOS.Pletor.d в Google Play Store

На самом же деле троянец проверял страну устройства, и, если это была не Россия или Украина, то

запрашивал права администратора устройства и обращался к серверу за командами. Несмотря на то,

что ранние модификации этого троянца шифровали данные пользователя, данная модификация не

имеет такой функциональности – троянец блокирует работу устройства, открыв свое окно поверх всех

открытых окон на устройстве, и вымогает деньги за разблокировку.

https://securelist.ru/analysis/malware-quarterly/29037/it-threat-evolution-in-q2-2016-overview/

https://securelist.ru/blog/issledovaniya/27764/troyanec-asacub-ot-shpiona-k-bankeru/


https://securelist.ru/blog/issledovaniya/29257/gugi-from-an-sms-trojan-to-a-mobile-banking-trojan/

https://securelist.ru/blog/issledovaniya/29240/banking-trojan-gugi-evolves-to-bypass-android-6-protection/

https://securelist.ru/blog/intsidenty/20145/pervyj-mobilnyj-shifrovalshhik/


Стр. 18 из 46

Статистика мобильных угроз

В третьем квартале 2016 года «Лабораторией Касперского» было обнаружено 1 520 931 вредоносных

установочных пакетов – это в 2,3 раза меньше, чем в предыдущем квартале.

Количество обнаруженных вредоносных установочных пакетов (Q4 2015 – Q3 2016)

Распределение детектируемых мобильных программ по типам

Распределение новых детектируемых мобильных программ по типам, (Q2 2016 и Q3 2016)


Стр. 19 из 46

В рейтинге обнаруженных в третьем квартале 2016 года детектируемых объектов для мобильных

устройств лидируют программы типа RiskTool – легальные приложения, которые потенциально опасны

для пользователей. Их доля за квартал продолжила расти – с 45,1% до 55,8%, то есть в 1,2 раза.

Напомним, что во втором квартале доля программ этого типа выросла в 1,5 раза.

Из-за большого количества программ типа RiskTool и значительного увеличения их доли в общем

потоке детектируемых объектов, процент практически всех остальных типов программ уменьшился –

причем даже в тех случаях, когда количество обнаруженных программ выросло по сравнению с

предыдущим кварталом.

Больше всего в этом квартале снизилась доля Trojan-Ransom – в 2,4 раза, с 5,72% до 2,37%. Это

обусловлено уменьшением активности семейства мобильных вымогателей Trojan-

Ransom.AndroidOS.Fusob, о чем мы подробнее расскажем ниже.

При этом мы зафиксировали незначительный, но все же рост доли Trojan-Banker – с 1,88% до 1,98%.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или

нежелательные программы, такие как RiskTool и рекламные программы.

Название % атакованных пользователей*

1 DangerousObject.Multi.Generic 78,46

2 Trojan-Banker.AndroidOS.Svpeng.q 11,45

3 Trojan.AndroidOS.Ztorg.t 8,03

4 Backdoor.AndroidOS.Ztorg.c 7,24

5 Backdoor.AndroidOS.Ztorg.a 6,55

6 Trojan-Dropper.AndroidOS.Agent.dm 4,91

7 Trojan.AndroidOS.Hiddad.v 4,55

8 Trojan.AndroidOS.Agent.gm 4,25

9 Trojan-Dropper.AndroidOS.Agent.cv 3,67

10 Trojan.AndroidOS.Ztorg.aa 3,61

11 Trojan-Banker.AndroidOS.Svpeng.r 3,44

12 Trojan.AndroidOS.Ztorg.pac 3,31

13 Trojan.AndroidOS.Iop.c 3,27

14 Trojan.AndroidOS.Muetan.b 3,17


Стр. 20 из 46

15 Trojan.AndroidOS.Vdloader.a 3,14

16 Trojan-Dropper.AndroidOS.Triada.s 2,80

17 Trojan.AndroidOS.Muetan.a 2,77

18 Trojan.AndroidOS.Triada.pac 2,75

19 Trojan-Dropper.AndroidOS.Triada.d 2,73

20 Trojan.AndroidOS.Agent.eb 2,63

* Процент уникальных пользователей, атакованных данным зловредом, от всех атакованных пользователей мобильного антивируса «Лаборатории Касперского».

Первое место в рейтинге занимает вердикт DangerousObject.Multi.Generic (78,46%), используемый для

вредоносных программ, обнаруженных с помощью облачных технологий. Эти технологии работают,

когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной

программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так

детектируются самые новые вредоносные программы.

В третьем квартале 2016 года в TOP 20 попали семнадцать троянцев, которые используют рекламу в

качестве основного средства монетизации (выделены в таблице синим цветом). Их цель – доставить

пользователю как можно больше рекламы различными способами, в том числе за счет установки

новых рекламных программ, зачастую скрытно. Эти троянцы могут воспользоваться правами

суперпользователя для того, чтобы скрыться в системной папке, откуда удалить их будет очень сложно.

Используя права суперпользователя на устройстве, троянцы могут делать незаметно от пользователя

очень много разных вещей, в том числе устанавливать различные программы из официального

магазина приложений Google Play Store, включая платные.

Стоит отметить, что троянцы семейства Ztorg, которые заняли четыре строки в TOP 20, часто

распространяются через официальный магазин приложений Google Play Store. С конца 2015 года мы

зарегистрировали более 10 подобных случаев (в том числе распространение под видом гида для игры

Pokemon GO). Несколько раз у троянца было более 100 000 установок, а один раз – более 500 000.

https://securelist.ru/blog/issledovaniya/29186/how-trojans-manipulate-google-play/




Стр. 21 из 46

Trojan.AndroidOS.Ztorg.ad под видом гида для Pokemon GO в официальном магазине приложений

Google Play Store

Кроме того, в рейтинг попали два представителя семейства мобильных банкеров Trojan-

Banker.AndroidOS.Svpeng. Как мы уже писали выше, Svpeng.q стал самым популярным зловредом в

третьем квартале 2016. Такой популярности злоумышленникам удалось добиться благодаря

распространению троянца через рекламную сеть AdSense, которой пользуется большое количество

сайтов в Рунете.



Стр. 22 из 46

География мобильных угроз

Карта попыток заражений мобильными зловредами в третьем квартале 2016 года (процент атакованных пользователей в стране)

TOP 10 стран по проценту пользователей, атакованных мобильными зловредами:

Страна* Процент атакованных пользователей**

1 Бангладеш 35,57

2 Непал 31,54

3 Иран 31,38

4 Китай 26,95

5 Пакистан 26,83

6 Индонезия 26,33

7 Индия 24,35

8 Нигерия 22,88


Стр. 23 из 46

9 Алжир 21,82

10 Филиппины 21,67

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10000). ** Процент уникальных пользователей, атакованных в стране, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.

В третьем квартале первое место занял Бангладеш – в нем практически 36% пользователей хотя бы раз

в течение квартала сталкивались с мобильными зловредами. Китай же, занимавший первое место

подобных рейтингов в течение предыдущих двух кварталов, спустился на четвертое метсто.

Во всех странах этого списка, за исключением Китая, популярны примерно одни и те же мобильные

детектируемые объекты – рекламные троянцы, попавшие в TOP 20 мобильных вредоносных

программ, в основном относящиеся к семействам Ztorg, Iop, Hiddad и Triada. В Китае тоже популярны

рекламные троянцы, но других семейств – в основном Backdoor.AndroidOS.GinMaster и

Backdoor.AndroidOS.Fakengry.

Россия (12,1%) в этом рейтинге заняла 24-е место, Франция (6,7%) – 52-е. США (5,3%) оказались на 63-

й строчке, Италия (5,1%) – на 65-й, Германия (4,9%) – на 68-й, Великобритания (4,7%) – на 71-й.

Стоит отметить, что ситуация в Германии и Италии значительно улучшилась: в предыдущем квартале

их показатели составляли 8,5% и 6,2% соответственно. Это произошло благодаря снижению активности

семейства мобильных вымогателей Fusob.

Самые безопасные страны по доле атакованных пользователей: Австрия (3,3%), Хорватия (3,1%) и

Япония (1,7%).

Мобильные банковские троянцы

За отчетный период мы обнаружили 30 167 установочных пакетов мобильных банковских троянцев,

что в 1,1 раза больше, чем в прошлом квартале.


Стр. 24 из 46

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского» (Q4 2015 – Q3 2016)

Самым популярным мобильным банковским троянцев в этом квартале стал Trojan-

Banker.AndroidOS.Svpeng.q, благодаря активному распространению через рекламную сеть AdSense.

Более половины пользователей, столкнувшихся в этом квартале с мобильными банковскими

троянцами, столкнулись с Trojan-Banker.AndroidOS.Svpeng.q. В третьем квартале троянец постоянно

наращивал темпы распространения – в сентябре мы зарегистрировали практически в 8 раз больше

атакованных пользователей, чем их было в июне.

Количество уникальных пользователей, атакованных семейством мобильных банковских

троянцев Trojan-Banker.AndroidOS.Svpeng, июнь – сентябрь 2016 года



Стр. 25 из 46

Более 97% атакованных пользователей находились в России. Это семейство мобильных банковских

троянцев использует фишинговые окна для кражи данных кредитной карточки и логина-пароля от

онлайн банкинга. Кроме того, злоумышленники воруют деньги посредством смс сервисов, в том числе

мобильного банкинга.

География мобильных банковских угроз в третьем квартале 2016 года (процент атакованных пользователей)

TOP 10 стран по проценту пользователей, атакованных мобильными банковскими троянцами

Страна* % атакованных пользователей**

1 Россия 3,12

2 Австралия 1,42

3 Украина 0,95

4 Узбекистан 0,60

5 Таджикистан 0,56


Стр. 26 из 46

6 Казахстан 0,51

7 Китай 0,49

8 Латвия 0,47

9 Корея 0,41

10 Белоруссия 0,37

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10 000). ** Процент в стране уникальных пользователей, атакованных мобильными банковскими троянцами, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в этой стране.

В третьем квартале 2016 года в этом рейтинге первое место заняла Россия (3,12%), где по сравнению

со вторым кварталом практически удвоилась доля пользователей, атакованных мобильными

банковскими троянцами.

Австралия (1,42%), как и в предыдущем квартале, заняла второе место в рейтинге, большая часть атак

в этой стране пришлась на представителей семейств Trojan-Banker.AndroidOS.Acecard и Trojan-

Banker.AndroidOS.Marcher.

Самыми распространяемыми мобильными банковскими троянцами в третьем квартале 2016 года

стали представители семейств Svpeng, Faketoken, Regon, Asacub, Gugi и Grapereh. Отметим, что

семейство Trojan-Banker.AndroidOS.Gugi в этом квартале научилось обходить некоторые защитные

механизмы Android c помощью обмана пользователей.

Мобильные троянцы-вымогатели

В третьем квартале 2016 года мы обнаружили 37 150 установочных пакетов мобильных троянцев-

вымогателей.

https://securelist.ru/blog/intsidenty/28995/s-dobrym-utrom-android


https://securelist.ru/blog/issledovaniya/29257/gugi-from-an-sms-trojan-to-a-mobile-banking-trojan/




Стр. 27 из 46

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского» (Q4 2015 – Q3 2016)

Резкий рост количества установочных пакетов мобильных вымогателей в перовом и втором кварталах

2016 года был обусловлен активным распространением троянцев семейства Trojan-

Ransom.AndroidOS.Fusob. В первом квартале 2016 года на это семейство пришлось боле 96%

обнаруженных установочных пакетов мобильных зловредов типа Trojan-Ransom, во втором квартале

их доля составила 85%. В третьем же квартале их доля составила уже 73%.

Количество пользователей, атакованных семейством мобильных троянцев вымогателей Trojan-Ransom.AndroidOS.Fusob за январь – сентябрь 2016 года


Стр. 28 из 46

Это семейство атаковало максимальное количество пользователей в марте 2016, с тех пор количество

атакованных пользователей уменьшается, причем сильнее всего в Германии.

Несмотря на это, самым популярным троянцем-вымогателем в третьем квартале все равно стал Trojan-

Ransom.AndroidOS.Fusob.h. С ним столкнулись более 53% пользователей, атакованных мобильными

вымогателями. После запуска этот троянец запрашивает права администратора, собирает

информацию об устройстве, в том числе GPS координаты и историю звонков, и загружает ее на сервер

злоумышленников. После чего он может получить команду на блокировку устройства.

География атак

География мобильных троянцев-вымогателей в третьем квартале 2016 года (процент атакованных пользователей)

TOP 10 стран по проценту пользователей, атакованных мобильными троянцами-вымогателями


1 Канада 0,95

2 США 0,94

https://securelist.ru/analysis/ksb/28071/mobilnaya-virusologiya-2015/

https://securelist.ru/analysis/ksb/28071/mobilnaya-virusologiya-2015/


Стр. 29 из 46

3 Казахстан 0,71

4 Германия 0,63

5 Великобритания 0,61

6 Мексика 0,58


8 Испания 0,54

9 Италия 0,53

10 Швейцария 0,51

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории

Касперского» относительно мало (менее 10 000). ** Процент в стране уникальных пользователей, атакованных мобильными троянцами-вымогателями, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.

Во всех странах из этого TOP 10, кроме Казахстана, наиболее популярно семейство Fusob. В США

помимо Fusob достаточно популярно семейство Trojan-Ransom.AndroidOS.Svpeng. Это семейтво

троянцев вымогателей появилось в 2014 году как модификация семейсвта мобильных банкеров

Trojan-Banker.AndroidOS.Svpeng. Эти троянцы-вымогатели обычно требуют $100-$500 за

разблокировку устройства.

В Казахстане основную угрозу для пользователей представляют троянцы-вымогатели семейства Small.

Это достаточно простой троянец-вымогатель, который перекрывает своим окном все остальные окна

на устройстве, таким образом блокируя его работу. За разблокировку злоумышленники обычно

требуют от 10 долларов.

Уязвимые приложения, используемые злоумышленниками

В третьем квартале 2016 года киберкриминальный рынок покинул эксплойт-пак Neutrino – вслед за

Angler и Nuclear, которые ушли в прошлом квартале.

Активными остаются паки RIG и Magnitude. При этом в третьем квартале RIG был особенно заметен –

он довольно эффектно занял освободившуюся на рынке эксплойт-паков нишу.

По итогам квартала статистика использования эксплойтов имеет следующий вид:

https://securelist.ru/blog/intsidenty/20129/novaya-versiya-svpeng-nacelena-na-zhitelej-ssha/


Стр. 30 из 46

Распределение эксплойтов, использованных в атаках злоумышленников, по типам атакуемых

приложений, третий квартал 2016 года

Первое место в нашем рейтинге по-прежнему занимают эксплойты для различных браузеров и их

компонентов (45%), их доля уменьшилась на 3 п.п. За ними с большим отрывом следуют эксплойты к

уязвимостям для ОС Android (19%), потерявшие в третьем квартале 5 п.п. Замыкают тройку лидеров

эксплойты для пакета Microsoft Office – их доля, наоборот, выросла за квартал с 14% до 16%.

Эксплойты для Adobe Flash Player все еще остаются популярными, более того, их доля увеличилась

более чем в два раза – с 6% до 13%. Причиной этого, как мы упоминали выше, стал эксплойт-пак RIG:

благодаря нескольким кампаниям с его участием произошло резкое увеличение доли SWF-

эксплойтов.

Вредоносные программы в интернете (атаки через веб-ресурсы)

Статистические данные в этой главе получены на основе работы веб-антивируса, который

защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной

веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными

могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а

также взломанные легитимные ресурсы.


Стр. 31 из 46

В третьем квартале 2016 года нашим веб-антивирусом было обнаружено 12 657 673 уникальных

объектов (скрипты, эксплойты, исполняемые файлы и т.д.), и зафиксировано 45 169 524 уникальных

URL, на которых происходило срабатывание веб-антивируса. Решения «Лаборатории Касперского»

отразили 171 802 109 атак, которые проводились с интернет-ресурсов, размещенных в 190 странах

мира.

Онлайн-угрозы в финансовом секторе

Настоящая статистика основана на детектирующих вердиктах продуктов «Лаборатории

Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на

передачу статистических данных.

В третьем квартале 2016 года решения «Лаборатории Касперского» отразили попытки запуска

вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам на

компьютерах 1 198 264 пользователей. По сравнению с предыдущим кварталом (1 132 031) количество

пользователей, атакованных финансовым вредоносным ПО, увеличилось на 5,8%.

Третий квартал является сезоном отпусков для многих пользователей онлайн-банкинга в Европе, а

значит, количество онлайн-платежей, совершаемых этими пользователями, в этот период времени

растет. Вместе с этим наблюдается рост и финансовых угроз.

Число пользователей, атакованных финансовым вредоносным ПО, третий квартал 2016

В третьем квартале активность финансовых угроз росла ежемесячно.


Стр. 32 из 46


Чтобы оценить и сравнить степень риска заражения банковскими троянцами, которому

подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране

процент пользователей продуктов «Лаборатории Касперского», которые столкнулись с этой угрозой в

отчетный период, от всех пользователей наших продуктов в стране.

География атак банковского вредоносного ПО в третьем квартале 2016 года

(процент атакованных пользователей)

TOP-10 стран по проценту атакованных пользователей


1 Россия 4,20

2 Шри-Ланка 3,48

3 Бразилия 2,86

4 Турция 2,77

5 Камбоджа 2,59


7 Венесуэла 1,90


Стр. 33 из 46

8 Вьетнам 1,86

9 Аргентина 1,86


Настоящая статистика основана на детектирующих вердиктах антивируса, которые были

предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на


* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского»

относительно мало (меньше 10 тысяч).

** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам банковских

троянцев, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

В третьем квартале 2016 года Россия стала лидером по доле пользователей, атакованных банковскими

троянцами. Представители семейства троянцев-банкеров ZeuS (Zbot), которые лидируют по

количеству атакованных пользователей в мире, наиболее активны в России. Это не удивительно, так

как за разработкой данного зловерда предположительно стоят российские киберпреступники,

которые отлично понимают специфику российских систем онлайн-банкинга и менталитет российских

пользователей и учитывают эти особенности при разработке вредоносного ПО. В России по-прежнему

распространяется банковский троянец Gozi, всплеск активности которого, обусловленный

объединением усилий его разработчиков с разработчиками другого троянца-банкера Nymaim,

произошел в прошлом квартале. Отметим, что Россия заняла первое место и в TOP 10 стран по

проценту пользователей, атакованных мобильными банкерами.

Новичком данного рейтинга, который сразу же оказался на втором месте, стала туристическая страна

Шри-Ланка. В этой стране с финансовыми угрозами столкнулись 3,48% пользователей, среди которых,

безусловно, могут быть иностранцы, приехавшие в эту страну на отдых и использующие онлайн-

банкинг для осуществления платежей. Наиболее активным представителем банковского ПО в этом

регионе стали представители семейства банкеров Fsysna, которые ранее были замечены в атаках на

пользователей латиноамериканских банков.

Бразилия уже второй квартал подряд замыкает тройку лидеров. Во втором квартале мы

прогнозировали всплеск активности финансовых угроз в странах Латинской Америки и, в частности, в

Бразилии из-за проводившихся в этой стране Олимпийских игр. Однако, увеличение доли атакованных

в Бразилии пользователей было незначительным: в третьем квартале 2,86% пользователей Бразилии

столкнулись с финансовыми угрозами, в то время как во втором квартале этот показатель составлял

2,63%. В то же время пользователи другой страны – Аргентины (1,86%) – подверглись активным атакам

со стороны преступников, и в результате данная страна оказалась на девятом месте рейтинга.

На показатели практически всех стран из TOP 10 повлиял сезон отпусков. В России, Украине и

Узбекистане пользователи традиционно отдыхают именно в это время, а другие страны (Шри-Ланка,

Бразилия, Турция, Камбоджа и т.д.) являются привлекательными странами с точки зрения туризма.


Стр. 34 из 46

Туристы, как правило, активно пользуются системами онлайн-банкинга, что весьма привлекательно

для злоумышленников, использующих банковское вредоносное ПО.

Доля атакованных пользователей в Италии – 0,60%, в Испании – 0,61%, в Германии – 1,21%, ОАЭ –

1,14%.

TOP 10 семейств банковского вредоносного ПО

TOP 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-банкинга

в третьем квартале 2016 года (по доле атакованных пользователей):

Название* Процент атакованных пользователей**

1 Trojan-Spy.Win32.Zbot 34,58

2 Trojan.Win32.Qhost/Trojan.BAT.Qhost 9,48

3 Trojan.Win32.Fsysna 9,47

4 Trojan-Banker.Win32.Gozi 8,98

5 Trojan.Win32.Nymaim 8,32

6 Trojan-Banker.Win32.Shiotob 5,29

7 Trojan-Banker.Win32.ChePro 3,77

8 Trojan-Banker.Win32.BestaFera 3,31

9 Trojan-Banker.Win32.Banbra 2,79

10 Trojan.Win32.Neurevt 1,79

* Детектирующие вердикты продуктов «Лаборатории Касперского». Информация предоставлена

пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу

статистических данных.

** Процент уникальных пользователей, атакованных данным зловредом, от всех пользователей,

атакованных финансовым вредоносным ПО.

Бессменным лидером данного рейтинга остается Trojan-Spy.Win32.Zbot, исходные коды которого

вследствие утечки стали доступны всем желающим использовать этот инструмент для кражи

платежных данных пользователей. В результате злодеи регулярно пополняют это семейство новыми

образцами, скомпилированными на основе исходного кода и содержащими минимальные отличия от

оригинала, что и обеспечивает семейству первое место в рейтинге.

Второе место досталось семействам троянцев Qhost (вердикты Trojan.Win32.Qhost и Trojan.BAT.Qhost).

Функциональность зловредов этого семейства довольно примитивна: троянец модифицирует


Стр. 35 из 46

содержимое файла host (специальный текстовый файл, содержащий базу данных доменных имен и

используемый при их трансляции в сетевые адреса узлов) таким образом, чтобы при посещении

определенных ресурсов на зараженную рабочую станцию загружались вредоносные компоненты

троянца, которые, в свою очередь, осуществляют кражу платежной информации. Кроме того, данный

троянец добавляет в файл host ряд записей, которые не позволяют браузеру пользователя

подключаться к веб-приложениям и информационным ресурсам популярных антивирусных

производителей.

В данном рейтинге в третьем квартале оказался и новый представитель вредоносного ПО – семейство

банковских троянцев Trojan.Win32.Fsysna. Представители этого семейства, помимо кражи платежных

данных с зараженных рабочих стаций, также используются преступниками для рассылки спама.

Троянец от имени инфицированной машины перенаправляет спам-сообщения от командного центра

на почтовый сервер. Кроме того, некоторые представители этого семейства обладают

функциональностью троянца-шифровальщика. В арсенале киберпреступников Fsysna – это, своего

рода, «швейцарский нож» для кражи денег.

Кроме того, в третьем квартале мы наблюдаем снижение активности известной финансовой угрозы

Trojan-Spy.Win32.Lurk: число атакованных этим вредоносным ПО пользователей снизилось на 7,10%.

Lurk не попал в TOP 10 угроз, но по-прежнему представляет опасность для пользователей онлайн-

банкинга. В связи с тем, что преступная группа, которая стояла у истоков создания данной финансовой

угрозы, поймана (о поимке этих преступников мы рассказали в отдельном материале), мы ожидаем

снижения активности данного банковского троянца в следующем квартале.

Вредоносные программы-шифровальщики

На сегодняшний день шифровальщики – одна из самых актуальных угроз для пользователей и

компаний. Эти вредоносные программы становятся все более популярными в киберкриминальном

мире, поскольку приносят немалую прибыль своим хозяевам при сравнительно небольших затратах.

В третьем квартале 2016 года мы обнаружили 21 новое семейство шифровальщиков и 32 091 новую

модификацию. Мы также добавили в коллекцию программ-шифровальщиков и несколько семейств,

существовавших ранее.

Если число новых семейств шифровальщиков чуть меньше, чем аналогичный показатель второго

квартала (25 семейств), то число новых модификаций – в 3,5 раза больше, чем было обнаружено в

предыдущем квартале.

https://securelist.ru/analysis/obzor/29220/the-hunt-for-lurk/


Стр. 36 из 46

Количество новых модификаций шифровальщиков, Q1 – Q3 2016

Вирусописатели постоянно пытаются усовершенствовать свои творения. Кроме того, злоумышленники

стремятся найти новые способы заражения компьютеров – особенно в случаях атак на компании,

которые с точки зрения атакующих могут быть гораздо прибыльнее, чем атаки на пользователей.

Удаленный запуск шифровальщика злоумышленниками

Всё чаще встречаются случаи, когда преступники подбирают пароль для удаленного доступа к системе

жертвы (как правило, это организация) и заражают скомпрометированную машину троянцем-

шифровальщиком. Примерами распространяемых таким образом зловредов стали появившиеся в

третьем квартале Xpan и Dcryptor.

Xpan/TeamXRat ransomware

Trojan-Ransom.Win32.Xpan злоумышленники запускают после удаленного проникновения в систему

жертвы. Этот троянец распространяется бразильскими преступниками, они осуществляют подбор

пароля RDP (стандартный протокол удаленного доступа к рабочему столу Windows) и заражают

скомпрометированную систему троянцем Xpan, который шифрует файлы и показывает жертве

сообщение о выкупе.

Dcryptor/Mamba

Trojan-Ransom.Win32.Dcryptor известен также под псевдонимом Mamba. Заражение данным

зловредом осуществляется злоумышленниками в ручном режиме: они подбирают пароли для

удаленного доступа к машине жертвы и запускают троянца, передавая пароль для шифрования в виде

аргумента командной строки.

https://securelist.com/blog/research/76153/teamxrat-brazilian-cybercrime-meets-ransomware/


Стр. 37 из 46

Троянец Dcryptor использует при заражении легальную утилиту DiskCryptor. В результате заражения

зловредом зашифрованными оказываются не только отдельные файлы, расположенные на сетевых

дисках, но и целые разделы жесткого диска на локальной машине. Загрузка системы оказывается

заблокированной – при запуске компьютера вместо старта ОС на экран выводится сообщение с

требованием выкупа и адресом почты для связи со злоумышленниками.

Данный троянец напоминает нашумевшего шифровальщика Petya/Mischa и своим появлением

продолжает наметившуюся тенденцию – злоумышленники ищут новые способы лишить жертву

доступа к данным.

Шифровальщики на скриптовых языках

Еще одна привлекшая наше внимание тенденция – растет количество шифровальщиков, написанных

на скриптовых языках. В третьем квартале 2016 года появилось сразу несколько новых семейств

зловредов, написанных на Python:

HolyCrypt (Trojan-Ransom.Python.Holy)

CryPy (Trojan-Ransom.Python.Kpyna)

Trojan-Ransom.Python.Agent

В качестве еще одного примера упомянем появившийся в июне Stampado (Trojan-

Ransom.Win32.Stampa), написанный на языке автоматизации AutoIt.

Количество пользователей, атакованных троянцами-шифровальщиками

В третьем квартале 2016 года шифровальщиками было атаковано 821 865 компьютеров уникальных

пользователей KSN. По сравнению с предыдущим кварталом, число атакованных пользователей

выросло примерно в 2,6 раз.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками,

третий квартал 2016

https://securelist.ru/blog/issledovaniya/28473/petya-the-two-in-one-trojan/

https://securelist.com/blog/research/76318/crypy-ransomware-behind-israeli-lines/


Стр. 38 из 46

Наибольший вклад в данную статистику внесли представители семейства Trojan-

Downloader.JS.Cryptoload. Это троянцы-загрузчики, написанные на языке JavaScript, цель которых –

скачивание и установка в систему представителей разнообразных семейств шифровальщиков.


География атак троянцев-шифровальщиков в третьем квартале 2016 года


TОР 10 стран, подвергшихся атакам троянцев-шифровальщиков

Страна* % пользователей, атакованных

шифровальщиками**

1 Япония 4,83

2 Хорватия 3,71

3 Корея 3,36

4 Тунис 3,22

5 Болгария 3,20

6 Гонконг 3,14

7 Тайвань 3,03


Стр. 39 из 46

8 Аргентина 2,65

9 Мальдивы 2,63



относительно мало (менее 10 000).

** Процент уникальных пользователей, компьютеры которых были атакованы троянцами-

шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

Япония, как и во втором квартале, заняла первое место.

Также в первой десятке стран с наибольшим процентом атакованных пользователей появились Тунис,

Гонконг, Аргентина и Австралия; первую десятку покинули Италия, Джибути, Люксембург,

Нидерланды.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

Название Вердикты* Процент атакованных пользователей**

1 CTB-Locker Trojan-Ransom.Win32.Onion/

Trojan-Ransom.NSIS.Onion

28,34

2 Locky Trojan-Ransom.Win32.Locky 9,60

3 CryptXXX Trojan-Ransom.Win32.CryptXXX 8,95

4 TeslaCrypt Trojan-Ransom.Win32.Bitman 1,44

5 Shade Trojan-Ransom.Win32.Shade 1,10

6 Cryakl Trojan-Ransom.Win32.Cryakl 0,82

7 Cryrar/ACCDFISA Trojan-Ransom.Win32.Cryrar 0,73

8 Cerber Trojan-Ransom.Win32.Zerber 0,59

9 CryptoWall Trojan-Ransom.Win32.Cryptodef 0,58

10 Crysis Trojan-Ransom.Win32.Crusis 0,51

* Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского».

Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими

свое согласие на передачу статистических данных.


Стр. 40 из 46

** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного

семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

В третьем квартале, как и во втором, первое место по распространенности занимает CTB-Locker. В

тройку «лидеров» попали также широко известные Locky и CryptXXX. Шифровальщик TeslaCrypt,

несмотря на то, что его авторы прекратили разработку зловреда и опубликовали свой мастер-ключ

еще в мае, продолжает присутствовать в рейтинге (хотя его распространенность упала в этом квартале

в 5,8 раз).

Crysis

Впервые в TOP 10 по распространенности попал шифровальщик Crysis (вердикт Trojan-

Ransom.Win32.Crusis). Этот троянец впервые был обнаружен в феврале 2016 и с тех пор претерпел

несколько переработок кода.

Интересен тот факт, что список адресов почты, которые используют распространители Crysis для

требования выкупа, частично пересекается со списком адресов, связанных с другими известными

троянцами – Cryakl и Aura. В то же время анализ исполняемых файлов этих семейств показывает, что

общего кода в них нет. Судя по всему, данные зловреды распространяются по партнерской схеме, и

некоторые распространители занимаются одновременно тремя разными троянцами, но при этом

используют один и тот же адрес почты, на который должны писать пострадавшие пользователи, чтобы

узнать условия выкупа.

Polyglot/MarsJoke

Этот троянец появился в августе 2016 года (мы публиковали подробный разбор Polyglot). Он не попал

в TOP 10, но у него есть одна интересная особенность: авторы троянца попытались во всём скопировать

широко известный CTB-Locker, который вот уже второй квартал подряд лидирует в нашем рейтинге. И

внешний вид, и внутреннее устройство зловреда сильно напоминают «прообраз», однако

злоумышленники на этот раз допустили ошибку, позволяющую расшифровать файлы без оплаты

выкупа.

Страны – источники веб-атак: TOP 10

Данная статистика показывает распределение по странам источников заблокированных

продуктами «Лаборатории Касперского» интернет-атак на компьютеры пользователей (веб-

страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными

программами, центры управления ботнетами и т.д.). Отметим, что каждый уникальный хост

мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления

доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления

географического местоположения данного IP-адреса (GEOIP).

https://securelist.ru/blog/issledovaniya/28337/locky-the-encryptor-taking-the-world-by-storm/

https://securelist.ru/blog/issledovaniya/26212/teslacrypt-2-0-v-oblichii-cryptowall/

https://securelist.ru/blog/issledovaniya/29376/polyglot-the-fake-ctb-locker/


Стр. 41 из 46

В третьем квартале 2016 года решения «Лаборатории Касперского» отразили 171 802 109 атак,

которые проводились с интернет-ресурсов, размещенных в 190 странах мира. Зафиксировано

45 169 524 уникальных URL, на которых происходило срабатывание веб-антивируса.

83% уведомлений о заблокированных веб-атаках были получены при блокировании атак с веб-

ресурсов, расположенных в десяти странах мира.

Распределение по странам источников веб-атак, третий квартал 2016

Лидер прошлого квартала не изменился: на первом месте США (33,51%). Россия опустилась со второго

места на четвертое (9%). Второе место заняла Германия (10,5%). Из рейтинга выбыла Канада, а новичок

рейтинга – Кипр на девятом месте (1,24%).

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения вредоносными программами через интернет, которому

подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране

процент пользователей продуктов «Лаборатории Касперского», которые столкнулись со

срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем

агрессивности среды, в которой работают компьютеры в разных странах.


Стр. 42 из 46

Отметим, что, начиная с этого квартала, в этом рейтинге учитываются только атаки вредоносных

объектов класса Malware, при подсчетах мы не учитывали срабатывания веб-антивируса на

потенциально опасные и нежелательные программы, такие как RiskTool и рекламные программы.


1 Словения 30,02

2 Болгария 29,49

3 Армения 29,30

4 Италия 29,21


6 Испания 28,15

7 Бразилия 27,83

8 Белоруссия 27,06

9 Алжир 26,95

10 Катар 26,42

11 Греция 26,10

12 Португалия 26,08

13 Россия 25,87

14 Франция 25,44

15 Казахастан 25,26

16 Азербайджан 25,05

17 ОАЭ 24,97


19 Китай 24,19

20 Албания 23,23

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были

предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на



Стр. 43 из 46

* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского»,

относительно мало (меньше 10 000).

** Процент уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware,

от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

В среднем в течение квартала 20,2% компьютеров пользователей интернета в мире хоть раз

подвергались веб-атаке класса Malware.

География веб-атак вредоносного ПО в третьем квартале 2016 года


В числе самых безопасных для серфинга в интернете стран Хорватия (14,21%), Великобритания

(14,19%), Сингапур (13,78%), США (13,45%), Норвегия (13,07%), Чехия (12,80%), ЮАР (11,98%), Швеция

(10,96%), Корея (10,61%), Нидерланды (9,95%), Япония (9,78%).


Стр. 44 из 46

Локальные угрозы

Важным показателем является статистика локальных заражений пользовательских

компьютеров. Сюда попадают объекты, которые проникли на компьютер путем заражения

файлов или съемных носителей либо изначально попали на компьютер не в открытом виде

(например, программы в составе сложных инсталляторов, зашифрованные файлы и т.д.).

В этом разделе мы анализируем статистические данные, полученные на основе работы

антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и

данные по сканированию различных съемных носителей информации.

В третьем квартале 2016 года нашим файловым антивирусом было зафиксировано 116 469 744

вредоносных и потенциально нежелательных объектов.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран мы подсчитали, какой процент пользователей продуктов «Лаборатории

Касперского» столкнулся со срабатыванием файлового антивируса в отчетный период. Эта статистика

отражает уровень зараженности персональных компьютеров в различных странах мира.

Отметим, что, начиная с этого квартала, в этом рейтинге учитываются только атаки вредоносных

объектов класса Malware, при подсчетах мы не учитывали срабатывания файлового антивируса на

потенциально опасные или нежелательные программы, такие как RiskTool и рекламные программы.



2 Афганистан 52,00

3 Йемен 51,32

4 Сомали 50,78

5 Эфиопия 50,50


7 Руанда 50,14


Стр. 45 из 46

8 Лаос 49,27

9 Венесуэла 49,27

10 Филиппины 47,69

11 Непал 47,01

12 Джибути 46,49

13 Бурунди 46,17

14 Сирия 45,97

15 Бангладеш 45,48

16 Камбоджа 44,51

17 Индонезия 43,31

18 Таджикистан 43,01

19 Мозамбик 42,98

20 Мьянма 42,85

Настоящая статистика основана на детектирующих вердиктах модулей OAS и ODS антивируса, которые

были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое

согласие на передачу статистических данных. Учитывались вредоносные программы, найденные

непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к

компьютерам — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.


относительно мало (менее 10 000).

** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы

класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

В среднем в мире хотя бы один раз в течение третьего квартала локальные угрозы класса Malware

были зафиксированы на 22,9% компьютеров пользователей.

Показатель России в этом рейтинге составил 25,93%.


Стр. 46 из 46

Страны с наименьшим уровнем заражения: Испания (14,68%), Сингапур (13,86%), Италия (13,30%),

Финляндия (10,94%), Норвегия (10,86%), Франция (10,81%), Австралия (10,77%), Чехия (9,89%),

Хорватия (9,70%), Ирландия (9,62%), Германия (9,16%), Великобритания (9,09%), Канада (8,92%),

Швеция (8,32%), США (8,08%), Дания (6,53%), Япония (6,53%).

О «ЛАБОРАТОРИИ КАСПЕРСКОГО»«Лаборатория Касперского» – крупнейшая в мире частная компания, работающая в сфере информационной безопасности, и один из наиболее быстро развивающихся вендоров защитных решений. Компания входит в четверку ведущих мировых производителей решений для обеспечения IT-безопасности пользователей конечных устройств (IDC, 2014). С 1997 года «Лаборатория Касперского» создает инновационные и эффективные защитные решения и сервисы для крупных корпораций, предприятий среднего и малого бизнеса и домашних пользователей. «Лаборатория Касперского» – международная компания, работающая почти в 200 странах и территориях мира; ее технологии защищают более 400 миллионов пользователей по всему миру. Более подробная информация доступна на сайте www.kaspersky.ru.

Сайт «ЛабораторииКасперского»

Блог Евгения Касперского

B2B блог «ЛабораторииКасперского»

B2C блог «ЛабораторииКасперского»

Новостная служба«Лаборатории Касперского» Блог Kaspersky Academy

Securelist, ресурс экспертов «Лаборатории Касперского» с актуальной информацией о киберугрозах

kl q3 malware report

Technology