Вредоносная Программа Которая Открывает Сайты Казино

Люблю я описывать разные решения, которые проверил на собственном опыте. Когда удалось решить какую-то проблему, и просто делишься этой информацией с другими людьми. Сегодня речь пойдет об очень неприятном вредоносном ПО, которое добавляет рекламу в браузер. После чего, браузер сам запускается при включении компьютера, и в нем открывается сайт с рекламой.

На самом деле, таких вирусов (если можно их так назвать) сейчас очень много. Ведут они себя по-разному и открывают разные сайты и рекламу. Но в любом случае, это сильно мешает и раздражает. Бывает, что в браузере просто открывается новая вкладка с рекламой в то время, когда вы смотрите другие сайты. Или открывается какой-то сайт с рекламой при запуске браузера. Причем, эта гадость может поселится практически в любом браузере: Opera, Chrome, Microsoft Edge, Mozilla Firefox, Internet Explorer и т. д. Очень часто автоматически открывается сайт с рекламой вулкан. Кстати, я уже писал о том, как удалить «Вулкан» из браузера. Если у вас проблема именно с сайтом «Казино Вулкан», то можете перейти по ссылке и применить решения.

Я столкнулся с проблемой, когда сразу при включении компьютера автоматически открывался браузер Microsoft Edge и в нем загружался сайт goalma.org и goalma.org. Где крутилась разная плохая реклама. Причем со звуком. Я разобрался в чем проблема, убрал эту рекламу и сейчас расскажу вам как это сделать.

Обратите внимание, что у вас при загрузке Windows может запускаться другой браузер. Например: Chrome, Firefox, Opera, Internet Explorer. Как я позже выяснил, все зависит от того, какой браузер у вас установлен по молчанию в настройках Windows.

И сайт с рекламой так же может быть другой. Думаю, это не имеет никакого значения.

В моем случае на компьютере установлена Windows 10, и лицензионный антивирус ESET NOD32, который каким-то образом пропустил это вредоносное, или правильнее наверное рекламное ПО.

Как оно может попасть на компьютер? Да как угодно. Скорее всего при установке какой-то программы, которая была изначально заражена. Вариантов очень много. Всегда старайтесь скачивать программы только с официальных сайтов. И внимательно устанавливайте. Убирайте лишние галочки.

Браузер запускается сам и открывается сайт с рекламой

Сейчас покажу как это происходит (конкретно в моем случае). Так сказать обрисую проблему и приступим к решению.

Включаю компьютер. Загружаются все программы, антивирус, и в конце автоматически открывается Microsoft Edge (стандартный браузер в Windows 10). И в нем сразу загружается сайт goalma.org Вот только антивирус не дает ему загрузится.

Ради интереса отключил антивирус и перешел на этот сайт. Вам так делать не советую! Идет перенаправление на другой сайт goalma.org, где уже крутится эта ужасная реклама, да еще и со звуком.

Кстати, если закрыть эту вкладку с рекламой и заново запустит браузер, то сайт &#;Страница спонсоров&#; уже не открывается. Только при включении компьютера.

Вот такая неприятная гадость. Которую мы сейчас будем убирать.

Не могу гарантировать, что описанные ниже действия вам помогут, но в моем случае я полностью убрал рекламу и браузер перестал открываться сам по себе. Просто есть разные варианты этого вредоносного ПО, и прятаться они могут где угодно и как угодно. Ну и скорее всего этим сайтам с рекламой все ровно в каком браузере загружаться. Будь то Internet Explorer, Хром, или Опера. И не важно какая система: Windows 10, Windows 7, или старенькая XP.

Почему при включении компьютера открывается браузер с рекламой?

На первый взгляд, проблема очень простая. Раз браузер открывается при загрузке Windows, то значит он сидит в автозагрузке. А в качестве домашней страницы в нем прописался этот сайт с рекламой. Но все оказалось не совсем так.

Открываем список автозагрузки. В Windows 10 и Windows 8 достаточно нажать сочетание клавиш Ctrl + Alt + Del выбрать &#;Диспетчер задач&#; и перейти на вкладку &#;Автозагрузка&#;.

А в Windows 7 нажимаем сочетание клавиш Win + R, вводим команду msconfig, Ok и открываем вкладку &#;Автозагрузка&#;.

В списке автозагрузки я не нашел никаких странных программ и тем более браузера. Но там почему-то был Проводник (goalma.org). Странно, подумал я. Что делает проводник в автозагрузке. Тем более, что он не открывается при загрузке системы. Посмотрел его свойства, там ничего странного и лишнего нет. Файл goalma.org запускается из папки C:\Windows. Все как положено.

Решил его отключить.

Отключил. Перезагрузил компьютер и браузер уже не загрузился! И на этом уже можно было закончить эту статью, но я решил разобраться до конца. Не очень хотелось оставлять этот &#;Проводник&#; в автозагрузке. Пусть и в отключенном состоянии. Но я уже точно знал, что проблем именно в нем.

Как полностью убрать рекламный вирус в Windows?

Решил я проверить папки &#;Автозагрузка&#;. Но там ничего не нашел. Тогда решил проверить все в редакторе реестра.

Чтобы открыть редактор реестра, нажмите сочетание клавиш Win + R, введите команду regedit и нажмите Ok.

И в ветке:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Где находится список программ текущего пользователя, которые загружаются при старте компьютера.

Я увидел очень интересный параметр с именем текущего пользователя. Где был прописан запуск проводника Windows с сайтом на котором загружалась реклама. Выглядит это как: &#;goalma.org goalma.org&#;.

Все очень просто! Запускается проводник и в нем автоматически открывается сайт goalma.org Но так как это сайт (с http://), то он не может быть открыт в проводнике и автоматически открывается в браузере, который установлен в системе по умолчанию! Можете попробовать набрать адрес любого сайта в проводнике. Он откроется в браузере.

Интересное решение. И я подумал, что все можно решить просто удалив этот параметр из реестра. Так и сделал.

Перезагрузил компьютер и что вы думаете? Снова открылся браузер Microsoft Edge и в нем эта реклама!

Тут уже становится понятно, что удаление записи в реестре – это не решение. Где-то в системе сидит эта вредоносная программа, которая снова прописывает все параметры, и сайт с рекламой открывается снова. А NOD32 почему-то ничего не замечает. Антивирус то вроде хороший.

Я решил проверить компьютер с помощью антивирусных утилит.

Антивирусные утилиты в борьбе с самостоятельным запуском браузера

Я использовал три сканера: goalma.org CureIt!, Malwarebytes Free и Malwarebytes AdwCleaner. Сразу скажу, что мне помогла утилита Malwarebytes Free. Там вроде пробная версия на 14 дней. Мне ее хватило.

Но начинал я с Malwarebytes AdwCleaner. Скачал и запустил ее. Установка не требуется. Просто запускам и нажимаем на кнопку &#;Сканировать&#;.

Минуты через три она мне выдала, что найдено 7 угроз. А в списке отображалось только две, которые я мог очистить. Это: goalma.org и goalma.org В последнем указан сайт, который загружался в браузере. Я обрадовался, что после очистки проблема исчезнет.

Очистил, перезагрузил компьютер, но проблема осталась. Снова &#;красивая&#; реклама сразу после загрузки Windows Не знаю почему это не помогло. При повторном сканировании утилита ничего не обнаружила.

Дальше скачал goalma.org CureIt! и запустил проверку. Но он вообще ничего не нашел. То что вы видите на скриншоте ниже, это точно не рекламный вирус.

В итоге скачал Malwarebytes Free. Запустил и начал наблюдать за процессом сканирования. Было найдено три угрозы &#;Вредоносное ПО&#; (goalma.orgage) и две &#;Потенциально нежелательные программы&#;. Выделил только &#;Вредоносное ПО&#; и отправил в карантин.

После чего утилита Malwarebytes Free запросила разрешение на перезагрузку.

После перезагрузки проблема с автоматическим запуском браузера была полностью решена. Ну и сайт с рекламой соответственно больше не загружается.

В редакторе реестра ключ с параметром &#;goalma.org goalma.org&#; исчез и больше не появляется. Точно так же как и &#;Проводник&#; в окне &#;Автозагрузка&#;.

Я очень надеюсь, что моя статья вам пригодилась. Если это так, то напишите в комментариях, какой браузер у вас сам запускался при включении компьютера, и какой сайт с рекламой в нем загружался. Так же интересно, какое решение, или какая антивирусная утилита помогла убрать эту рекламу.

Если же вы не смогли избавится от этого вируса, то опишите в комментариях что и когда у вас открывается и в каком браузере. Так же можете скриншот прикрепить. Обязательно постараюсь подсказать решение.

Особенности

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети). Трояны отличаются отсутствием механизма создания собственных копий.

Некоторые трояны способны к автономному преодолению защиты компьютерной системы, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.

Большинство троянских программ предназначено для сбора конфиденциальной информации. Их задача, чаще всего, состоит в выполнении действий, позволяющих получить доступ к данным, которые не подлежат широкой огласке. К таким данным относятся пользовательские пароли, регистрационные номера программ, сведения о банковских счетах и т. д. Остальные троянцы создаются для причинения прямого ущерба компьютерной системе, приводя ее в неработоспособное состояние.

Виды троянских программ

Наиболее распространены следующие виды троянов:

• Клавиатурные шпионы (Trojan-SPY) - трояны, постоянно находящиеся в памяти и сохраняющие все данные поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию
• Похитители паролей (Trojan-PSW) - трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. Обычно в таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями
• Утилиты удаленного управления (Backdoor) - трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. Существуют легальные утилиты такого же свойства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления, напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику. Наиболее популярная утилита удаленного управления - Back Orifice
• Анонимные smtp-сервера и прокси (Trojan-Proxy) - трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами
• Модификаторы настроек браузера (Trojan-Cliker) - трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, для организации несанкционированных обращений к интернет-ресурсам
• Инсталляторы прочих вредоносных программ (Trojan-Dropper) - трояны, представляющие возможность злоумышленнику производить скрытую установку других программ
• Загрузчики вредоносных программ (Trojan Downloader) - трояны, предназначенные для загрузки на компьютер-жертву новых версий вредоносных программ, или рекламных систем
• Уведомители об успешной атаке (Trojan-Notifier) - трояны данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере
• "Бомбы" в архивах (ARCBomb) - трояны, представляющие собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные - зависание или существенное замедление работы компьютера, заполнение диска большим количеством "пустых" данных
• Логические бомбы - чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных
• Утилиты дозвона - сравнительно новый тип троянов, представляющий собой утилиты dial-up доступа в интернет через платные почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой крупные счета за пользование интернетом

Принцип действия троянских программ

Все "Троянские кони" имеют две части: клиент и сервер. Клиент осуществляет управление серверной частью программы по протоколу TCP/IP. Клиент может иметь графический интерфейс и содержать в себе набор команд для удалённого администрирования.

Серверная часть программы - устанавливается на компьютере жертвы и не содержит графического интерфейса. Серверная часть предназначена для обработки (выполнения) команд от клиентской части и передаче запрашиваемых данных злоумышленнику. После попадания в систему и захвата контроля, серверная часть трояна прослушивает определённый порт, периодически проверяя соединение с интернетом и если соединение активно, она ждёт команд от клиентской части. Злоумышленник при помощи клиента пингует определённый порт инфицированного узла (компьютера жертвы). Если серверная часть была установлена, то она ответит подтверждением на пинг о готовности работать, причём при подтверждении серверная часть сообщит взломщику IP-адрес компьютера и его сетевое имя, после чего соединение считается установленным. Как только с Сервером произошло соединение, Клиент может отправлять на него команды, которые Сервер будет исполнять на машине-жертве. Также многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой.

История

Заражение Windows-компьютеров модульной троянской программой-загрузчика goalma.org1

Компания «Доктор Веб» выявила атаку на пользователей Windows с применением модульной троянской программы-загрузчика goalma.org С ее помощью злоумышленники способны заражать компьютеры различными типами вредоносных приложений в зависимости от своих целей. Для сокрытия атаки и повышения шансов на ее действенность используется ряд приемов. Среди них — многоступенчатый процесс заражения целевых систем, применение безобидных программ для запуска компонентов трояна, а также попытка обойти антивирусную защиту. Об этом 27 июля года сообщили в «Доктор Веб». Подробнее здесь.

С помощью трояна в пиратских сборках Windows злоумышленники похитили криптовалюту на $19 тыс.

Специалисты «Доктор Веб» выявили троянскую программу-стилер в ряде неофициальных сборок ОСWindows 10, которые злоумышленники распространяли через один из торрент-трекеров. Как 14 июня года TAdviser сообщили представители «Доктор Веб», вредоносное приложение, получившее имя goalma.orgr, подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. С помощью данного трояна злоумышленникам уже удалось похитить криптовалюту на сумму, эквивалентную порядка $19 тыс.

По подсчетам наших вирусных аналитиков, на момент публикации этой новости с помощью стилера goalma.orgr злоумышленники украли BTC и ETH, что примерно эквивалентно сумме $18 ,29, или 1 рубля, — говорится в сообщении компании.

В пиратских сборках Windows обнаружен стилер для кражи криптовалюты
Фото: goalma.org

В конце мая года в «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОСWindows Проведенный специалистами компании анализ подтвердил факт присутствия троянских программ в системе — стилера goalma.orgr, а также вредоносных приложений goalma.orgp и goalma.org, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» локализовала все эти угрозы и справилась с их обезвреживанием.

В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально. Дальнейшее исследование позволило выявить несколько таких зараженных сборок Windows:

• Windows 10 Pro 22H2 + Office x64 by BoJlIIIebnik goalma.org
• Windows 10 Pro 22H2 + Office x64 by BoJlIIIebnik goalma.org
• Windows 10 Pro 22H2 x64 by BoJlIIIebnik goalma.org
• Windows 10 Pro 22H2 + Office x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 x64 by BoJlIIIebnik [RU, EN].iso

По информации «Доктор Веб», все сборки были доступны для скачивания на одном из торрент-трекеров. В компании при этом не исключают, что злоумышленники используют и другие сайты для распространения инфицированных образов системы.

Вредоносные программы в этих сборках расположены в системном каталоге:

• \Windows\Installer\goalma.org (goalma.orgp)
• \Windows\Installer\goalma.org (goalma.org)
• \Windows\Installer\kd_08_5edll (goalma.orgr)

Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа goalma.orgp %SystemDrive%\Windows\Installer\goalma.org Ее задача — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить goalma.org и размонтировать EFI-раздел.

В свою очередь, goalma.org с использованием техники Process Hollowing внедряет goalma.orgr в системный процесс %WINDIR%\\System32\\goalma.org, после чего стилер начинает работать в его контексте, пояснили эксперты «Доктор Веб».

Получив управление, goalma.orgr приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется рад ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\goalma.org Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.

Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для специалистов по информационной безопасности, — отметили в «Доктор Веб».

В компании рекомендуют пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей.

Уязвимость SymStealer поставила под удар каждого пользователя Google Chrome

13 марта года стало известно о том, что команда Imperva Red в конце года обнаружила в браузереGoogle Chromeуязвимость, которая отслеживается под идентификатором CVE На момент, когда уязвимость была активна, она затрагивала свыше 2,5 миллиардов пользователей Chrome и позволяла злоумышленникам украсть конфиденциальные файлы, такие как криптокошельки и учётные данныеоблачногопровайдера.

Уязвимость была обнаружена в ходе проверки способов взаимодействия браузера с файловой системой, в частности поиска общих уязвимостей, связанных с тем, как браузеры обрабатывают символические ссылки. Символические ссылки (symlink) представляют собой тип файла, который указывает на другой файл или каталог, что позволяет операционной системе обрабатывать связанный файл или каталог, как если бы он находился в расположении символической ссылки. Это может быть полезно для создания ярлыков, перенаправления путей к файлам или более гибкой организации файлов.

Иллюстрация:goalma.org

Однако символические ссылки также могут создавать уязвимости, если они не обрабатываются должным образом. В случае уязвимости CVE браузер неправильно проверял, указывает ли символическая ссылка на место, доступ к которому не предполагается, что позволяло украсть конфиденциальные файлы.

Злоумышленник может создать поддельный веб-сайт, предлагающий, например, услугу криптокошелька. А в процессе создания кошелька попросить скачать на компьютер так называемые «ключи восстановления». Эти ключи на самом деле будут zip-файлом, содержащим символическую ссылку на конфиденциальный файл или папку на компьютере пользователя, например учётные данные облачного провайдера. Когда пользователь разархивирует и загрузит ключи восстановления обратно на веб-сайт, символическая ссылка будет обработана, и злоумышленник получит доступ к нужному конфиденциальному файлу. Пользователь может даже не осознавать, что что-то не так, поскольку веб-сайт может выглядеть вполне законным, а процесс загрузки и выгрузки ключей восстановления — нормальная практика для криптовалютных кошельков.

Google полностью устранила уязвимость символических ссылок в Chrome версии Чтобы защитить свои криптоактивы, важно поддерживать программное обеспечение в актуальном состоянии, избегать загрузки сомнительных файлов или перехода по ссылкам из ненадежных источников^[1].

Обновлённый пакистанский троян ReverseRAT нацелен на госучреждения Индии

ИБ-компания ThreatMon обнаружила целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, которая приводит к развертыванию обновленной версии RAT-трояна ReverseRAT. Специалисты ThreatMon приписали эту активность группировке SideCopy. Об этом стало известно 21 февраля года.

SideCopy — хакерская группа пакистанского происхождения, которая пересекается с другим субъектом угроз под названием Transparent Tribe. Она названа так потому, что имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО. SideCopy впервые была замечена в году во время развертывания ReverseRAT в атаках на правительства и энергетические компании в Индии и Афганистане.

Обнаруженная кампания SideCopy использует программу для двухфакторной аутентификации Kavach, которое используется индийскими госслужащими. Цепочка заражения начинается с фишингового письма, содержащего документ Word с поддержкой макросов («Cyber ​​Advisory docm»).

Файл имитирует рекомендацию Министерства связи Индии об угрозах на устройства Android и реагирование на них («Android Threats and Prevention»). Кроме того, большая часть контента была скопирована из реального предупреждения Министерства.

После открытия файла и включения макросов выполняется вредоносный код, который приводит к развертыванию ReverseRAT в скомпрометированной системе. Как только ReverseRAT получает постоянство, он перечисляет устройства жертвы, собирает данные, шифрует их с помощью RC4 и отправляет их на сервер управления и контроля (C2, C&C). Бэкдор ожидает выполнения команд на целевой машине, и некоторые из его функций включают создание снимков экрана, загрузку и выполнение файлов, а также эксфильтрацию файлов на сервер C2.

Бэкдор ReverseRAT впервые был обнаружен в году компанией Black Lotus Labs. Тогда эксперты пояснили, что операторы трояна нацелены на правительственные и энергетические организации в регионах Южной и Центральной Азии.

С года SideWinder, с которой связана группа SideCopy, совершила серию из атак , применяя все более изощренные методы кибератак. В году «Лаборатория Касперского» рассказала о целях SideWinder – военных и правоохранительных органах Пакистана, Бангладеш и других стран Южной Азии. Считается, что группировка связана с правительством Индии, но ЛК утверждает, что группировка не относится к какой-либо стране^[2].

Linux-бэкдор взламывает сайты под управлением WordPress

Компания «Доктор Веб» выявила троянскую программу для ОСLinux, которая взламывает сайты на базе CMS WordPress через эксплуатацию 30 уязвимостей в ряде плагинов и тем оформления для этой платформы. Подробнее здесь.

Распространение трояна Godfather по всему миру

21 декабря года в компании Group-IB сообщили о распространении нового банковского трояна по всему миру - Godfather. Он атакует пользователей финансовых сервисов. Подробнее здесь.

Троян Qakbot распространяется внутри SVG-изображений

Исследователи кибербезопасности из Cisco Talos обнаружили, что операторы Qakbot распространяют вредоносное ПО с помощью SVG-изображений, встроенных в HTML-вложения электронной почты. Об этом стало известно 15 декабря года.

Такой метод распространения называется HTML Smuggling (Контрабанда HTML) — он использует функции HTML и JavaScript для запуска закодированного вредоносного кода, содержащегося во вложении-приманке, и доставки полезной нагрузки на компьютер жертвы.

Цепочка атаки

В цепочке атак JavaScript-сценарий вставляется внутрь SVG-изображения и выполняется, когда получатель письма запускает HTML-вложение. После запуска скрипт создаёт вредоносный ZIP-архив и предоставляет пользователю диалоговое окно для сохранения файла.

ZIP-архив также защищен паролем, который отображается в HTML-вложении, после чего извлекается ISO-образ для запуска трояна Qakbot.

Процесс заражения Qakbot

Как сообщили специалисты из компании Sophos, Qakbot собирает большой спектр информации профиля с зараженных систем, включая сведения о всех настроенных учетных записях пользователей, разрешениях, установленном программном обеспечении, запущенных службах и пр^[3].

Harly — троян-подписчик в Google Play

Исследователи «Лаборатории Касперского» сообщили о трояне Harly, активном с года. Согласно отчету, вредоносом заражено по меньшей мере приложений, у которых суммарно миллиона скачиваний. Однако жертв может быть гораздо больше. Об этом стало известно 27 сентября года.

Чтобы обмануть пользователей, операторы Harly используют стратегию трояна Jocker – загружают из Google Play легитимные приложения, встраивают в них вредоносный код и выгружают их обратно под другим именем. При этом, чтобы не вызывать подозрений, разработчики оставляют приложениям их функционал.

Примеры приложений, содержащих зловред, в Google Play

Однако, у Harly и Jocker есть отличие: первый троян содержит всю полезную нагрузку внутри приложения и различными способами расшифровывают ее для запуска, а второй – многоуровневый загрузчик, получающий полезную нагрузку с серверов злоумышленников.

После запуска приложения, зараженного Harly, происходит загрузка подозрительной библиотеки в которой происходит расшифровка файла из ресурсов приложения. После расшифровки троян собирает информацию об устройстве пользователя, в особенности о мобильной сети. Телефон пользователя переключается на мобильную сеть, после чего троян запрашивает у командного сервера конфигурацию и список подписок, которые необходимо оформить.

Затем Harly в невидимом окне открывает адрес подписки, с помощью инъекции JS-скриптов вводит номер телефона пользователя, нажимает нужные кнопки и подставляет проверочный код, извлеченный из пришедшего на телефон SMS. В результате без ведома пользователя на него оформляется подписка.

Еще одна интересная особенность Harly — он умеет оформлять подписки, защищенные не только SMS-кодом, но и телефонным звонком: троян совершает звонок по определенному номеру, подтверждая оформление подписки.

Чтобы не стать жертвой таких приложений, эксперты рекомендуют пользователям смотреть на отзывы о приложениях перед загрузкой^[4].

Разработчик RAT-трояна выложил его исходный код на GitHub

Исследователи SafeBreach Labs проанализировали обновленную кампанию, нацеленную на разработчиков, говорящих на фарси. Злоумышленники использовали документ Microsoft Word, который включал эксплойт Microsoft Dynamic Data Exchange (DDE) вместе с ранее неизвестным трояном удаленного доступа RAT, отслеживаемым SafeBreach Labs как CodeRAT. Примечательно, что эксперты смогли идентифицировать разработчика CodeRAT, который решил опубликовать исходный код CodeRAT в своей общедоступной учетной записи GitHub. Об этом стало известно 5 сентября года

Иллюстрация:goalma.org

CodeRAT позволяет оператору отслеживать активность жертвы в соцсетях и на локальных компьютерах, поддерживая 50 команд, включая:

• создание снимков экрана;
• копирование буфера обмена;
• завершение процессов;
• анализ использования графического процессора;
• загрузку, выгрузку и удаление файлов;
• мониторинг запущенных процессов;
• выполнение программ.

Также вредоносное ПО может отслеживать:

CodeRAT также отслеживает большое количество заголовков окон браузера, 2 из которых особены для иранских жертв – известный иранский сайт электронной коммерции и веб-мессенджер на фарси.

Эксперты считают, что CodeRAT представляет собой шпионское ПО, используемое иранским правительством. По словам исследователей, отслеживание посещений порносайтов, использование инструментов анонимного просмотра и активности в соцсетях делает CodeRAT разведывательным инструментом, используемый злоумышленником, связанным с правительством.

CodeRAT может работать в скрытом режиме, избегая отправки данных. Вредоносное ПО не использует выделенный C&C-сервер, вместо этого оно загружает данные на анонимный общедоступный сайт. CodeRAT ограничивает свое использование до 30 дней, чтобы избежать обнаружения. Он также использует веб-сайт HTTP Debugger в качестве прокси для связи со своим C&C-каналом в Telegram.

Исследователи также обнаружили доказательства того, что имена нападавших могут быть Мохсен и Сиавахш, которые являются распространенными персидскими именами.

По словам ученых, их цель — повысить осведомленность об этом обновленном типе вредоносного ПО, использующего относительно обновленный метод использования сайта для анонимной отправки файлов в качестве C&C-сервера. Эксперты также планируют предупредить сообщество разработчиков о том, что они особенно уязвимы для этой атаки^[5].

Дроппер BugDrop заражает Android-устройства опасным трояном Xenomorph

Исследователи из ThreatFabric обнаружили ранее неизвестный троян-дроппер для Android , который в агусте года находится в стадии разработки. Вредонос пытается проникнуть на Android-устройства с помощью техники, которая ранее не встречалась специалистам, а затем заразить жертву опасным трояном Xenomorph. Об этом стало известно в августе года. Подробнее здесь.

Российские компании атакует троян-«шпион», источник неизвестен

Антивирусный вендор MalwareBytes 3 августа года сообщил о серии кибератак, направленных на российские организации. В частности, злоумышленники атаковали «Объединённую Авиастроительную Корпорацию» (ОАК) с помощью RAT-троянца WoodyRat.

RAT - это сокращение от Remote Administration Tool или Remote Access Tool (инструмент удалённого доступа или администрирования). Так обычно называют троянцы, используемые для обеспечения стабильного удалённого доступа в сети целевых организаций.

MalwareBytes утверждает, что в атаках использовался WoodyRat - многофункциональный троянец, который распространяется либо в виде архивов, либо в виде вредоносных документов Microsoft Office, пытающихся эксплуатировать уязвимость Follina.

Методы распространения WoodyRat

Follina была выявлена в Microsoft Support Diagnostic Tool (MSDT) весной года, её эксплуатация производится с помощью документов Microsoft Office.^[6] Эта уязвимость позволяет удаленно выполнять код в системах Windows, причем, как пишет издание SecureList «Лаборатории Касперского», в отдельных случаях атака могла быть успешной даже если жертва не открывала документ, а лишь использовала функцию предварительного просмотра в Проводнике, или же открывала его в защищенном режиме.^[7]

Как утверждается в публикации MalwareBytes, вредонос Woody Rat активен уже не менее года, однако использовать уязвимость Follina злоумышленники начали только после того, как информация о ней была опубликована.

Атаки с использованием архивов и с использованием документов с уязвимостью Follina различались между собой.

Активный вредоносный компонент - исполняемый файл - может рассылаться с помощью спиэр-фишинговых писем с вложениями в виде файлов ZIP и названиями anketa_goalma.org или goalma.org Архивы содержат исполняемые файлы .EXE с теми же названиями, что и у архива.

Вредоносный документ, который выглядит как памятка по ИБ

В случае использования уязвимости Follina, злоумышленники применяют файлы DOCX с названиями вроде «goalma.org» - это может быть вполне невинно выглядящая памятка по информационной безопасности с типичными рекомендациями для сотрудников. Но при этом документ содержит вредоносный компонент, позволяющий незаметно загрузить и запустить исполняемый файл.

Проникнув на машину, вредонос начинает обмениваться данными с контрольным сервером, причём всё пересылаемой шифруется с помощью комбинации алгоритмов RSA и AES-CBC. Как установили исследователи, на контрольный сервер направляются данные об архитектуре и операционной системе заражённой машины, о наличии антивирусов, информация о .NET, PowerShell и Python, а также о подключённых накопителях данных, список активных процессов, список аккаунтов и их привилегий и так далее.

Вредонос способен обнаруживать шесть антивирусов, в том числе, разработки «Лаборатории Касперского» и «Доктор Веб», а также Avast, AVG, ESET и Sophos.

Судя по командам, которые поддерживает вредонос, он способен загружать, запускать, выгружать и удалять произвольные файлы в заражённой системе, делать скриншоты, создавать новые процессы и производить инъекцию в уже существующие.

Для обмена данными с контрольным сервером вредонос формирует два различных потока, после чего устраняет с жёсткого диска свои файлы.^[8]

В MalwareBytes утверждают, что не могут проассоциировать атаку ни с кем из известных хакерских группировок. Исторически российские учреждения подвергались атакам со стороны китайских и северокорейскихAPT, однако кто действует в данном случае, остаётся загадкой.^[9]

Любопытно, что злоумышленники разместили контрольный сервер вредоноса в домене fnsru. Это явная попытка выдать его за официальный ресурс. На самом деле, Федеральная налоговая служба использует уже только домены в зоне goalma.org 77 - это код Москвы в налоговых документах и первые две цифры в кодах московских налоговых инспекций. Злоумышленники, очевидно, знают об этом.

В приведённом в публикации MalwareBytes скриншоте «Памятки об информационной безопасности» не видно серьёзных языковых ошибок, которые могли бы выдавать иностранное происхождение текста. Это, впрочем, ничего не значит: злоумышленники вполне могли использовать настоящий документ подобного рода, не меняя в нём ничего.

Примеров спиэр-фишинговых писем, которые получали жертвы, антивирусный вендор не приводит.

«Подобные RAT-троянцы используются для максимально адресных, узконаправленных атак, когда злоумышленники точно знают, чего они хотят добиться, - говорит Алексей Водясов, технический директор компании SEQ. - Функциональность вредоносной программы явно шпионская. Но ниоткуда не следует, что её операторами не являются обычные кибернаёмники, работающие на тех, кто больше заплатит».

Уничтожен троян FluBot

Европол объявил о уничтожении одного из самых быстро распространяющихся вредоносов – Android-трояна FluBot. Об этом стало известно 1 июня года.

В операции по уничтожению вредоносного ПО приняли участие 11 стран.

По данным властей, FluBot активно распространялся через текстовые сообщения, похищал пароли, банковские реквизиты и другую конфиденциальную информацию с зараженных смартфонов.

Инфраструктура, поддерживающая троян, была уничтожена голландской полицией в мае, в результате чего вредоносная программа стала неактивной, сообщил Европол.

Впервые FluBot был замечен в декабре года, когда вредонос успел волной прокатиться по миру, взломав миллионы устройств. Визитной карточкой трояна был его способ распространения – безобидные SMS-сообщения. В них жертву просили перейти по ссылке и установить приложение для отслеживания посылок или прослушивания фальшивого голосового сообщения.

После установки FluBot запрашивал разрешения на доступ к данным устройства. Получив доступ, хакеры похищали учетные данные банковских приложений и криптовалютных счетов жертв, а потом отключали встроенные механизмы безопасности.

Поскольку вредоносная программа могла получить доступ к списку контактов, она распространялась как лесной пожар, отправляя сообщения со ссылками на FluBot всем контактам жертвы.

По данным Европола, специалисты все еще ищут злоумышленников, распространявших FluBot по всему миру.

Не так давно в Финляндии прошла волна заражений FluBot. За 24 часа вредонос успел заразить устройства десятков тысяч жертв^[10].

Скрытный Nerbian RAT замечен в атаках по всей Европе

12 мая года стало известно, что специалисты из Proofpoint предупредили пользователей о появлении трояна удаленного доступа (RAT) под названием Nerbian. RAT написан на языке Go и нацелен на организации в Великобритании, Италии и Испании.

Иллюстрация: goalma.org

«Троян написан на языке программирования Go, не зависящем от ОС, скомпилирован для битных систем и использует несколько процедур шифрования для обхода сетевого анализа», - пишут исследователи.

RAT может регистрировать нажатия клавиш, запускать произвольные команды, делать скриншоты и передавать данные на удаленный C&C-сервер. Разработчик трояна пока неизвестен.

Nerbian распространяется с 26 апреля года через фишинговую рассылку с использованием поддельных писем на тему COVID Количество таких писем не превышает , и они замаскированы под письма ВОЗ о мерах безопасности в условиях эпидемии. В письмах жертвам предлагается открыть документ Word с макросом, который в фоновом режиме запускает цепочку заражения.

Иллюстрация: goalma.org

Специалисты Proofpoint рассказали, что дроппером полезной нагрузки является goalma.org - битный исполняемый файл, размером 3,5 МБ и написанный на языке Go (Golang). По данным исследователей, дроппер и вредоносное ПО были разработаны одним автором.

Исследователи Proofpoint заметили в Nerbian множество антианалитических компонентов, усложняющих обратный инжиниринг и проведение антиреверсивных проверок. Защитные компоненты также используются для самоликвидации трояна при обнаружении отладчиков или программ анализа памяти.

Недавно стало известно про другой троян TeaBot, который, по информации специалистов из Proofpoint, атаковал более приложений и заразил миллионы устройств.^[11]

В даркнете появился троян для удаленного доступа — Borat

На киберпреступных торговых площадках появился очередной троян для удаленного доступа (RAT) под названием Borat, предлагающий простые в использовании функции для проведения DDoS-атак, обхода UAC и установки программ-вымогателей.

Borat позволяет удаленным злоумышленникам получить полный контроль над мышью и клавиатурой своей жертвы, получить доступ к файлам, сетевым точкам и скрыть любые признаки своего присутствия. Вредоносное ПО также позволяет своим операторам выбирать параметры компиляции для создания небольших полезных нагрузок для узкоспециализированных атак.

Неясно, продается ли Borat RAT за определенную цену или свободно распространяется среди киберпреступников, но специалисты из компании Cycle сообщили , что вредонос поставляется в виде пакета, который включает в себя сборщик, модули вредоносного ПО и сертификат сервера.

Функции Borat включают кейлоггинг, установку программы-вымогателя и автоматическое создание записки с требованием выкупа, проведение DDoS-атак, аудиозапись, запись с web-камеры, запуск скрытого удаленного рабочего стола для выполнения операций с файлами, использование устройств ввода, выполнение кода, запуск приложений, настройка обратного прокси-сервера, сбор базовой информации о системе, внедрение вредоносного кода в легитимные процессы, кражу учетных данных и токена Discord.

По словам экспертов, данные функции делают Borat шпионским ПО и программой-вымогателем, поэтому он представляет собой опасную угрозу^[12].

Обнаружены трояны для кражи криптовалют у владельцев мобильных устройств

22 марта года компания «Доктор Веб» сообщила о распространении троянских программ, созданных для кражи криптовалют у владельцев мобильных устройств. Вредоносные приложения похищают секретные seed-фразы, которые необходимы для доступа к криптокошелькам. При этом риску подвержены пользователи как Android-устройств, так и смартфоновApple.

По информации компании, обнаруженные троянские приложения скрываются в модифицированных злоумышленниками версиях популярных криптокошельков. На март года специалисты «Доктора Веб» фиксируют случаи внедрения вредоносного кода в копии таких приложений как imToken, MetaMask, Bitpie и TokenPocket, однако этот список может оказаться шире. Известные модификации выявленных угроз детектируются goalma.org как трояны из семейств goalma.orgeal и goalma.orgeal. Среди них — goalma.orgeal.7, goalma.orgeal.8, goalma.orgeal, goalma.orgeal.1, goalma.orgeal.2, goalma.orgeal.3 и другие.

Троянские версии криптокошельков распространяются через вредоносные сайты, копирующие внешний вид и функциональность оригинальных веб-ресурсов соответствующих проектов. Адреса таких сайтов также максимально приближены к настоящим, что в сочетании с методами социальной инженерии может увеличить шансы на успешный обман потенциальных жертв.

В зависимости от типа устройства, с которого посещаются поддельные сайты, пользователям предлагается загрузить и установить версию кошелька для соответствующей платформы — Android или iOS. Загрузка Android-версий троянов чаще всего происходит непосредственно с посещенного вредоносного ресурса. При этом владельцы iOS-устройств обычно перенаправляются на другой сайт, оформленный в стиле официального каталога приложений Apple. Это еще один прием злоумышленников, призванный обмануть потенциальных жертв.

Несмотря на то, что в обеих операционных системах установка программ из сторонних источников по умолчанию отключена или не предусмотрена, она по-прежнему возможна. Так, на Android-устройствах для этого достаточно включить необходимую опцию в системных настройках. А в случае устройств компании Apple мошенники применяют механизм установки через специальные профили конфигурации (configuration profiles) и профили обеспечения (provisioning profiles). Такие профили некоторые компании используют, например, для распространения ПО среди своих сотрудников, минуя App Store. При этом для установки не требуется, чтобы iOS-устройства были разблокированы («взломаны») и имели jailbreak. Процесс установки одной из таких вредоносных программ (goalma.orgeal.2 по классификации компании «Доктор Веб») на примере iOS-устройства продемонстрирован на следующем изображении:

Видео установки и работы трояна, а также сравнения его с версией приложения из App Store.

Поскольку трояны являются копиями настоящих приложений с минимальными модификациями, они работают точно так же, как и оригиналы, и по внешним признакам отличить их друг от друга практически невозможно.

После установки троянов вся вредоносная активность проходит незаметно для жертв. Она заключается в краже секретной мнемонической seed-фразы, которая уникальна для каждого криптокошелька и защищает его от доступа посторонних. Фактически, seed-фраза — это аналог мастер-пароля. Получив ее, киберпреступники смогут добраться до хранящейся в кошельке криптовалюты и украсть ее. При этом риску подвержены владельцы как уже имеющихся кошельков, так и вновь создаваемых.

Специалисты компании «Доктор Веб» рекомендуют пользователям устанавливать программы-криптокошельки только из официальных каталогов приложений и не загружать их из сторонних источников. При этом важно обращать внимание на имеющиеся отзывы, а также признаки возможной подделки — отсутствие более старых версий, наличие опечаток в описании, несоответствие скриншотов фактической функциональности.

В связи с возросшими рисками ограничения работы Google Play, App Store и других каталогов ПО в России рекомендуется заранее установить необходимые приложения. Мошенники могут воспользоваться ситуацией с потенциальной блокировкой и начать интенсивнее распространять вредоносные программы под видом оригиналов как через поддельные сайты, так и через другие каналы — например, облачные сервисы и файлообменные сети.

Android-троян TeaBot теперь атакует более приложений

Троян для удаленного доступа (RAT) TeaBot получил обновления, приведшие к росту числа его жертв по всему миру. Об этом стало известно 3 марта года.

Ранее сследовательская команда компании Cleafy сообщила, что TeaBot теперь атакует более приложений и отказался от смишинга (вид фишинга через SMS) в пользу более продвинутых техник.

Когда TeaBot только появился в начале года, он распространялся через фишинговые SMS и выдавал себя только за 60 приложений. В июле года вредонос был настроен для атак на приложения десятков европейскихбанков.

Затем TeaBot вышел за пределы Европы и стал атаковать пользователей в России, США и Гонконге. Также расширился список приложений, под которые он маскировался, в частности, в него были добавлены криптовалютные биржи и страховые компании.

По словам специалистов Cleafy, вредонос также научился проникать в официальные репозитории Android через приложения-дропперы. В феврале года эксперты обнаружили в Google Play приложение QR Code & Barcode Scanner, доставлявшее TeaBot на устройства пользователей через поддельные обновления.

Разработчики вредоносного ПО часто публикуют легитимное приложение в официальный репозиторий, проходят все проверки безопасности, а после того, как оно наберет солидную пользовательскую базу, развертывают обновление, превращающее безобидное приложение в вредоносное.

После установки на устройстве TeaBot сначала использует сервисы Android Accessibility service, запрашивая разрешения на действия, позволяющие ему записывать нажатия клавиш и удаленно взламывать устройство. Более того, TeaBot способен делать скриншоты и осуществлять мониторинг экрана с целью кражи учетных данных и кодов двухфакторной аутентификации^[13].

В каталоге приложений AppGallery обнаружены десятки игр со встроенным трояном

23 ноября года компания «Доктор Веб» сообщила об обнаружении в каталоге AppGallery десятков игр со встроенным в них трояном goalma.org7, который собирает информацию о мобильных номерах пользователей. Опасные игры установили по меньшей мере 9 владельцев Android-устройств. Подробнее здесь.

Avast: эволюционировавший банковский троян Ursnif атакует пользователей по всему миру

Исследователи Avast Threat Labs, подразделения компании Avast, представителя в области цифровой безопасности и решений защиты, обнаружили, что эволюционировавший банковский троян Ursnif продолжает атаковать пользователей по всему миру. Уже несколько лет он распространяется через фишинговые письма, написанные на разных языках. Об этом компания сообщила 9 марта года.

В отличие от других троянов, Ursnif устанавливается на устройство жертвы после скачивания ею бэкдора, позволяя неавторизованным пользователям обойти привычные защитные механизмы и получить высокий уровень доступа к компьютерной системе, сети или программам. Ursnif представляет собой так называемое «бесфайловое вредоносное ПО» — это продвинутая программа, которая почти не оставляет следов в системе. Поскольку Ursnif устанавливается после бэкдора и для активации должен получить информацию через C&C-сервер, он может часами оставаться незамеченным, пока в итоге не начнет вредоносную деятельность.

Ursnif может не только украсть банковские данные, но и получить доступ к некоторым электронным письмам и браузерам, а также добраться до криптовалютного кошелька.

Механизмы скрытного обхода инструментов безопасности были сделаны довольно изобретательно. Это может оказаться особенно эффективной тактикой против устройств, которые не имеют усиленных уровней безопасности, например, детектирования подозрительного поведения, – отмечает Михал Салат, директор департамента по исследованию угроз Avast. – Эти атаки еще раз доказывают, что человек – самое слабое звено в системе. Необходимо помнить о том, что открывать письма с вложением от неизвестных отправителей и нажимать на ссылки – опасно. Если пользователь уже совершил ошибку и открыл письмо, поможет только отключение макроса в документе.

В процессе анализа исследователи Avast обнаружили банковские реквизиты, платежную информацию, логины, пароли и данныекредитных карт, которые, как выяснилось, были украдены операторами Ursnif. Главной целью Ursnif стали итальянскиебанки: злоумышленники атаковали более банков; и более банковских данных похитил один сервис платежей. Полученная информация помогла исследователям Avast защитить жертв Ursnif и пользователей, которые могут столкнуться с ним в будущем.

Команда исследователей сообщила об атаках банкам и платежным сервисам, которых удалось идентифицировать, а также государственным службам, обрабатывающим финансовую информацию. Затронутые атаками компании предприняли все необходимые действия для защиты клиентов и ликвидации ущерба, нанесенного деятельностью Ursnif.

Avast верит в то, что подобное информирование поможет сделать Интернет безопаснее.

Публикация исходного кода трояна Cerberus в даркнете

В середине сентября года на хакерских форумах в даркнете появился исходный код банковского трояна Cerberus. Его создатели планировали выручить $ тыс., однако покупатель не нашелся. Подробнее здесь.

Изучены трояны, применявшиеся в ходе ATP-атак на госучреждения Казахстана и Киргизии

В марте года в компанию «Доктор Веб» обратился клиент из государственного учреждения Республики Казахстан по вопросу наличия вредоносного ПО на одном из компьютеров корпоративной сети. Об этом «Доктор Веб» сообщил TAdviser 22 июля года. Это обращение послужило поводом к началу расследования, по результатам которого специалисты компании обнаружили и впервые описали группу троянских программ, использующихся для полномасштабной целевой атаки на учреждение. Кроме того, в феврале года в «Доктор Веб» обратились представители госучреждения Киргизской Республики с признаками заражения корпоративной сети.

Учитывая, что несанкционированное присутствие в обеих инфраструктурах продолжалось на протяжении как минимум трех лет, а также то, что при изучении отчетов с серверов были выявлены совершенно разные семейства троянских программ, в компании «Доктор Веб» допускают, что за этими атаками могут стоять сразу несколько хакерских групп. При этом некоторые из использованных троянов хорошо известны: часть из них является эксклюзивными инструментами известных APT-групп, другая часть — используется различными APT-группами Китая. Подробнее здесь.

Avast: троян HiddenAds встречается в Google Play Store в 47 приложениях, имитирующих игры

26 июня года стало известно, что Avast, компания в области цифровой безопасности и решений защиты, обнаружила в Google Play Store 47 приложений-игр, являющихся частью семейства троянов HiddenAds. Специалисты Avast уже сообщили представителям Google Play Store о найденных приложениях, но на 26 июня года некоторые приложения все еще доступны в магазине Google Play. Подробнее здесь.

Троян Casbaneiro охотился за криптовалютой бразильских и мексиканских пользователей

Международная компания ESET изучила семейство банковских троянов Casbaneiro. Об этом стало известно 10 октября года. Вредоносная программа охотилась за криптовалютойбразильских и мексиканских пользователей.

Во время исследования эксперты ESET обнаружили, что Casbaneiro имеет похожий функционал с другим семейством банковских троянов, Amavaldo. Вредоносные программы применяют один и тот же криптографическийалгоритм и распространяют похожую зловредную утилиту для почты.

Как и Amavaldo, троян Casbaneiro использует всплывающие окна и формы для обмана жертв. Такие методы социальной инженерии направлены на первичные эмоции — человека срочно, без раздумий заставляют принять решение. Поводом может быть обновление ПО, верификация кредитнойкарты или запрос из банка.

После заражения Casbaneiro ограничивает доступ к различным банковским сайтам, а также следит за нажатием клавиш и делает снимки экрана. Кроме того, троян отслеживает буфер обмена — если малварь видит личные данные криптовалютного кошелька, то заменяет адрес получателя на кошелек мошенника.

Семейство Casbaneiro применяет множество сложных алгоритмов для маскировки кода, расшифровки скачанных компонентов и данных конфигураций. Основной способ распространения Casbaniero — вредоносная фишинговая рассылка, как и у Amavaldo.

Особенностью трояна стало то, что операторы Casbaneiro тщательно старались скрыть домен и порт C&C-сервера. Его прятали в самых разных местах — в поддельных записях DNS, в онлайн-документах Google Docs и даже на фальшивых сайтах разных учреждений. Интересно, что иногда злоумышленникам удавалось спрятать следы управляющего сервера и на официальных сайтах, а также в описаниях видео на YouTube^[14].

Обнаружение вредоносной копии сайта ФССП России

8 октября года стало известно о том, что специалисты вирусной лаборатории «Доктор Веб» обнаружили вредоносную копию сайта Федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей троянцем goalma.orgader

Как сообщалось, копия сайта ФССП России была обнаружена специалистами по адресу ***.***. Внешне подделка почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются некоторые элементы.

При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен goalma.orgader

Этот троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – goalma.org Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего goalma.org собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.

Запустившись на устройстве жертвы, троянец может:

• получить информацию о дисках;
• получить информацию о файле;
• получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
• получить список файлов в папке;
• удалить файлы;
• создать папку;
• переместить файл;
• запустить процесс;
• остановить процесс;
• получить список процессов.

Согласно данным на октябрь года, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.

Все версии этого троянца детектируются и удаляются антивирусом goalma.org антивирус.

Android-троян Fanta своровал в России 35 млн руб. Под прицелом — пользователи Avito

17 сентября года компания Group-IB сообщила, что её специалисты зафиксировали кампанию Android-трояна FANTA, атакующего клиентов 70 банков, платежных систем, web-кошельков в России и странах СНГ. Троян нацелен на пользователей, размещающих объявления о купле-продаже на интернет-сервисеAvito. Только с начала года потенциальный ущерб от FANTA в России составил не менее 35 млн руб.

Несмотря на то, что различные вариации Android-троянов семейства Flexnet известны с года, и подробно изучены, сам троян и связанная с ним инфраструктура постоянно развиваются: злоумышленники разрабатывают новые эффективные схемы распространения, добавляют функциональные возможности, позволяющие эффективнее воровать деньги с зараженных устройств и обходить средства защиты.

Зафиксированная кампания использует качественные фишинговые страницы под популярный интернет-сервис Avito и нацелена на пользователей, размещающих объявления о купле-продаже. Схема работает так: спустя некоторое время после публикации продавец получает именное SMS о «переводе» на его счет необходимой суммы — полной стоимости товара. Детали платежа ему предлагается посмотреть по ссылке.

Довольный продавец кликает на ссылку: открывается фишинговая страница, подделанная под реальную страницу Avito, уведомляющая продавца о совершении покупки и содержащая описание его товара и суммы, полученной от «продажи» товара. После клика на кнопку «Продолжить» на телефон пользователя загружается вредоносный APK FANTA, замаскированный под приложение Avito. Такая маскировка усыпляет бдительность пользователя и он устанавливает вредоносное приложение. Получение данныхбанковских карт осуществляется стандартным для Android-троянов образом: пользователю демонстрируются фишинговые окна, маскирующиеся под легитимные мобильные приложения банков, куда жертва сама вводит данные своей банковской карты.

Нынешняя кампания нацелена на русскоязычных пользователей, большая часть зараженных устройств находится в России, небольшое количество — зафиксировано на Украине, а также в Казахстане и Беларуси.

FANTA анализирует, какие приложения запускаются на зараженном устройстве. При открытии целевого приложения — троян демонстрирует фишинговое окно поверх всех остальных, которое представляет собой форму для ввода информации о банковской карте. Пользователю необходимо ввести следующие данные: номер карты, срок действия карты, CVV, имя держателя карты (не для всех банков).

Исследуя троян, было обнаружено, что кроме демонстрации заранее заготовленных фишинговых страниц, Fanta также читает текст уведомлений около 70 приложений банков, систем быстрых платежей и электронных кошельков.

Проанализированные специалистами Group-IB Threat Hunting Intelligence фишинговые страницы под интернет-сервис для размещения объявлений Avito, указывают на то, что они готовились целенаправленно под конкретную жертву.

При исследовании трояна обнаружено, что помимо Avito, разработчики FANTA нацелены на пользователей порядка 30 различных интернет-сервисов, включая AliExpress, Юла, Pandao, Aviasales, Booking, Trivago, а также такси и каршеринговых служб и тд.

FANTA работает на всех версиях Android не ниже Как и другие андроид-трояны, FANTA способна читать и отправлять SMS, совершать USSD-запросы, демонстрировать собственные окна поверх приложений. Однако в зафиксированной кампании мобильный троян начал использовать AccessibilityService (сервис для людей с ограниченными возможностями), что позволяет ему читать содержимое уведомлений других приложений, предотвращать обнаружение и остановку исполнения трояна на зараженном устройстве.

Троян «проверяет» тип устройства, после чего выводит на экран смартфона пользователя сообщение якобы о системном сбое. После этого пользователю демонстрируется окно «Безопасность системы» — запрос предоставление прав для использования AccessibilityService. После получения прав приложение уже без посторонней помощи получает права и на другие действия в системе, эмулируя нажатия клавиш пользователя.

Важной функцией FANTA, которой создатели уделили особое внимание, является обход на Android-смартфоне антивирусных средств. Так троян препятствует запуску пользователем приложений: Clean, Meizu Applicatiom Permission Management, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Mobile AntiVirus Security PRO, AVG Protection для Xperia, Samsung Smart Manager, goalma.org антивирус Mobile Control Center, goalma.org антивирусSecurity Space Life, Kaspersky Internet Security и другие.

«Поводом для этого исследования послужил реальный кейс: специалист по информационной безопасности, опубликовавший объявление на Avito, получил подозрительное СМС. Он сразу переслал его команде Group-IB Threat Hunting Intelligence, которая в ходе исследования выявила масштабную кампанию Android-трояна FANTA. Однако далеко не все истории заканчиваются так удачно, поэтому мы рекомендуем пользователям регулярно устанавливать обновления ОС Android, не переходить по подозрительным ссылкам, полученным в СМС-сообщениях, не посещать подозрительные ресурсы и не скачивать оттуда файлы, а также не устанавливать приложения из неофициальных источников. Что касается банков и вендоров мобильных приложений, на которые нацелено это семейство Android-троянов, мы можем порекомендовать использование систем для проактивного предотвращениябанковского мошенничества на всех устройствах (смартфон, планшет, ноутбук, ПК) через любые каналы взаимодействия с банком (мобильное приложение, онлайн-банкинг и др)», отметил Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB

Банковский троян Amavaldo использует снимки экрана для хищения информации

8 августа года международная антивирусная компания ESET сообщила, что изучила ряд банковских троянов, которые атакуют пользователей Латинской Америки.

Эти вредоносные программы имеют ряд схожих признаков: они написаны на Delphi, содержат функционал бэкдоров, состоят из нескольких компонентов, маскируются под легитимные документы и ПО, а также нацелены на испано- и португалоговорящие страны Латинской Америки.

Для атаки злоумышленники применяют социальную инженерию: вредоносные программы детектируют открытые окна на устройстве жертвы. Обнаружив открытый банковский сайт, показывают пользователю требование срочно ввести информацию о кредитной карте или банковском счете. Введенная в поддельные окна информация отправляется на сервер злоумышленников.

В ходе исследования эксперты ESET детально изучили типичный для этой группы банковский троян Amavaldo. Он может делать снимки экрана, предоставляет злоумышленникам доступ к веб-камере жертвы, фиксирует нажатие клавиш, загружает и запускает программы, ограничивает доступ к банковским сайтам и др.

Amavaldo собирает данные о компьютере, а также о методах защиты онлайн-платежей и банковских приложений (например, проверяет наличие антивируса с такими функциями).

Особенно примечателен вектор атаки этого трояна. Обнаружив открытый сайт банка, Amavaldo делает скриншот рабочего стола, который затем используется для имитации фона. Далее пользователю показывается всплывающее окно, куда от него требуют ввести банковские данные.

Таким образом жертва не может взаимодействовать с любыми элементами статичного фона, активным остается только это окно. Преступники даже отключают некоторые комбинации клавиш, чтобы пользователь не смог переключиться на другой процесс.

Троянца-кликера из каталога Google Play установили почти млн. пользователей Android

8 августа года «Доктор Веб» сообщил, что троянца-кликера из каталога Google Play установили почти пользователей Android.

Троянцы-кликеры — распространенные вредоносные программы для накрутки посещений веб-сайтов и монетизации онлайн-трафика. Они имитируют действия пользователей на веб-страницах, нажимая на расположенные на них ссылки и другие интерактивные элементы.

Троянец представляет собой вредоносный модуль, который по классификации goalma.org получил имя goalma.orgrigin. Он встроен в обычные приложения — словари, онлайн-карты, аудиоплееры, сканерыштрих-кодов и другое ПО. Все эти программы работоспособны, и для владельцев Android-устройств выглядят безобидными. Кроме того, при их запуске goalma.orgrigin начинает вредоносную деятельность лишь через 8 часов, чтобы не вызвать подозрений у пользователей.

Начав работу, троянец передает на управляющий сервер следующую информацию о зараженном устройстве:

• производитель и модель;
• версия ОС;
• страна проживания пользователя и установленный по умолчанию язык системы;
• идентификатор User-Agent;
• наименование мобильного оператора;
• тип интернет-соединения;
• параметры экрана;
• временная зона;
• информация о приложении, в которое встроен троянец.

В ответ сервер отправляет ему необходимые настройки. Часть функций вредоносного приложения реализована с использованием рефлексии, и в этих настройках содержатся имена методов и классов вместе с параметрами для них. Эти параметры применяются, например, для регистрации приемника широковещательных сообщений и контент-наблюдателя, с помощью которых goalma.orgrigin следит за установкой и обновлением программ.

При инсталляции приложения или скачивании apk-файла клиентом Play Маркет троянец передает на управляющий сервер информацию об этой программе вместе с некоторыми техническими данными об устройстве. В ответ goalma.orgrigin получает адреса сайтов, которые затем открывает в невидимых WebView, а также ссылки, которые он загружает в браузере или каталоге Google Play.

Таким образом, в зависимости от настроек управляющего сервера и поступающих от него указаний троянец может не только рекламировать приложения в Google Play, но и незаметно загружать любые сайты, в том числе с рекламой (включая видео) или другим сомнительным содержимым. Например, после установки приложений, в которые был встроен этот троянец, пользователи жаловались на автоматические подписки на дорогостоящие услуги контент-провайдеров.

Специалистам «Доктор Веб» не удалось воссоздать условия для загрузки троянцем таких сайтов, однако потенциальная реализация этой мошеннической схемы в случае с goalma.orgrigin достаточно проста. Поскольку троянец сообщает управляющему серверу информацию о типе текущего интернет-соединения, то при наличии подключения через сеть мобильного оператора сервер может передать команду на открытие веб-сайта одного из партнерских сервисов, поддерживающих технологию WAP-Сlick. Эта технология упрощает подключение различных премиальных сервисов, однако часто применяется для незаконной подписки пользователей на премиум-услуги. Указанную проблему компания освещала в и годах. В некоторых случаях для подключения ненужной услуги не требуется подтверждение пользователя — за него это сможет сделать скрипт, размещенный на той же странице, или же сам троянец. Он и «нажмет» на кнопку подтверждения. А поскольку goalma.orgrigin откроет страницу такого сайта в невидимом WebView, вся процедура пройдет без ведома и участия жертвы.

Вирусные аналитики «Доктор Веб» выявили 34 приложения, в которые был встроен goalma.orgrigin. Их установили свыше 51 пользователей. Кроме того, модификацию троянца, получившую имя goalma.orgrigin, загрузили по меньшей мере 50 человек. Таким образом, общее число владельцев мобильных устройств, которым угрожает этот троянец, превысило Ниже представлен список программ, в которых был найден этот кликер:

• GPS Fix
• QR Code Reader
• goalma.org Free Emoji Keyboard
• Cricket Mazza Live Line
• English Urdu Dictionary Offline - Learn English
• EMI Calculator - Loan & Finance Planner
• Pedometer Step Counter - Fitness Tracker
• Route Finder
• PDF Viewer - EBook Reader
• GPS Speedometer
• GPS Speedometer PRO
• Notepad - Text Editor
• Notepad - Text Editor PRO
• Who unfriended me?
• Who deleted me?
• GPS Route Finder & Transit: Maps Navigation Live
• Muslim Prayer Times & Qibla Compass
• Qibla Compass - Prayer Times, Quran, Kalma, Azan
• Full Quran MP3 - 50+ Audio Translation & Languages
• Al Quran Mp3 - 50 Reciters & Translation Audio
• Prayer Times: Azan, Quran, Qibla Compass
• Ramadan Times: Muslim Prayers, Duas, Azan & Qibla
• OK Google Voice Commands (Guide)
• Sikh World - Nitnem & Live Gurbani Radio
• Math Formulas Mega Pack
• Обществознание - школьный курс. ЕГЭ и ОГЭ.
• Bombuj - Filmy a seriály zadarmo
• Video to MP3 Converter, RINGTONE Maker, MP3 Cutter
• Power VPN Free VPN
• Earth Live Cam - Public Webcams Online
• QR & Barcode Scanner
• Remove Object from Photo - Unwanted Object Remover
• Cover art IRCTC Train PNR Status, NTES Rail Running Status

Компания «Доктор Веб» передала информацию об этом троянце в корпорацию Google, после чего некоторые из найденных программ были оперативно удалены из Google Play. Кроме того, для нескольких приложений были выпущены обновления, в которых троянский компонент уже отсутствует. Тем не менее, на момент публикации этой новости большинство приложений все еще содержали вредоносный модуль и оставались доступными для загрузки.

Вирусные аналитики рекомендуют разработчикам ответственно выбирать модули для монетизации приложений и не интегрировать сомнительные SDK в свое ПО.

Троян-бэкдор маскируется под ПО для обновления графического интерфейса OpenGL ES

12 июля года компания «Доктор Веб» сообщила, что выявила в Google Play троянец-бэкдор, который выполняет команды злоумышленников, позволяет им дистанционно управлять инфицированными Android-устройствами и шпионить за пользователями. Подробнее здесь.

goalma.org-троян добывает криптовалюту TurtleCoin

19 июня года компания «Доктор Веб» сообщила что в ее вирусной лаборатории исследован троянец-загрузчик, написанный на JavaScript и использующий для запуска goalma.org Образец троянца на исследование в «Доктор Веб» передала компания «Яндекс». ВредоносноеПО распространяется через сайты с читами для популярных видеоигр и получило название goalma.orgrInstall.

Троян имеет несколько версий и компонентов. При попытке скачать чит пользователь загружает на свой компьютерархив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.

Запустившись на устройстве жертвы, goalma.orgrInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.

Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно раз в месяц.

Ресурсы, принадлежащие разработчику троянца:

• румайнкрафт[.]рф;
• clearcheats[.]ru;
• mmotalks[.]com;
• minecraft-chiter[.]ru;
• torrent-igri[.]com;
• worldcodes[.]ru;
• cheatfiles[.]ru.

Кроме того, троянцем заражены некоторые файлы на сайте proplaying[.]ru.

Специалисты «Доктор Веб» рекомендуют пользователям вовремя обновлять антивирус и не загружать сомнительное ПО.

Android-троян помогает злоумышленникам подписывать пользователей на рекламные уведомления

14 июня года компания «Доктор Веб» сообщила, что её специалисты обнаружили троянца goalma.orgp, который загружает в Google Chrome сомнительные веб-сайты, где пользователей подписывают на рекламные уведомления. Они приходят даже если браузер закрыт и могут быть ошибочно приняты за системные. Такие уведомления не только мешают работе с Android-устройствами, но и способны привести к краже денег и конфиденциальной информации.

Технология Web Push позволяет сайтам с согласия пользователя отправлять ему уведомления даже когда соответствующие веб-страницы не открыты в браузере. При работе с безобидными ресурсами эта функция полезна и удобна. Например, социальные сети таким образом могут информировать о сообщениях, а новостные агентства ― о свежих публикациях. Однако злоумышленники и недобросовестные рекламодатели злоупотребляют ей, распространяя с ее помощью рекламу и мошеннические уведомления, которые поступают со взломанных или вредоносных сайтов.

Эти уведомления поддерживаются в браузерах как ПК и ноутбуков, так и мобильных устройств. Обычно жертва попадает на сомнительный ресурс-спамер, перейдя по специально сформированной ссылке или рекламному баннеру. goalma.orgp — один из первых троянцев, которые «помогают» злоумышленникам увеличить число посетителей этих сайтов и подписать на такие уведомления именно пользователей смартфонов и планшетов.

goalma.orgp распространяется под видом полезных программ – например, официального ПО известных брендов. Две такие модификации троянца вирусные аналитики «Доктор Веб» обнаружили в начале июня в каталоге Google Play. После обращения в корпорацию Google вредоносные программы были удалены, но их успели загрузить свыше пользователей.

При запуске троянец загружает в браузере Google Chrome веб-сайт, адрес которого указан в настройках вредоносного приложения. С этого сайта в соответствии с его параметрами поочередно выполняется несколько перенаправлений на страницы различных партнерских программ. На каждой из них пользователю предлагается разрешить получение уведомлений. Для убедительности жертве сообщается, что выполняется некая проверка (например, что пользователь — не робот), либо просто дается подсказка, какую кнопку диалогового окна необходимо нажать. Это делается для увеличения числа успешных подписок.

После активации подписки сайты начинают отправлять пользователю многочисленные уведомления сомнительного содержания. Они приходят даже если браузер закрыт, а сам троянец уже был удален, и отображаются в панели состояния операционной системы. Их содержимое может быть любым. Например, ложные уведомления о поступлении неких денежных бонусов или переводов, о поступивших сообщениях в соцсетях, реклама гороскопов, казино, товаров и услуг и даже различные «новости».

Многие из них выглядят как настоящие уведомления реальных онлайн-сервисов и приложений, которые могут быть установлены на устройстве. Например, в них отображается логотип того или иного банка, сайта знакомств, новостного агентства или социальной сети, а также привлекательный баннер. Владельцы Android-устройств могут получать десятки таких спам-сообщений в день.

Несмотря на то, что в этих уведомлениях указан и адрес сайта, с которого оно пришло, неподготовленный пользователь может просто его не заметить, либо не придать этому особого значения.

При нажатии на такое уведомление пользователь перенаправляется на сайт с сомнительным контентом. Это может быть реклама казино, букмекерских контор и различных приложений в Google Play, предложение скидок и купонов, поддельные онлайн-опросы и фиктивные розыгрыши призов, сайт-агрегатор партнерских ссылок и другие онлайн-ресурсы, которые разнятся в зависимости от страны пребывания пользователя.

Многие из этих ресурсов замешаны в известных мошеннических схемах кражи денег, однако злоумышленники способны в любое время организовать атаку для похищения конфиденциальных данных. Например, отправив через браузер «важное» уведомление от имени банка или социальной сети. Потенциальная жертва может принять поддельное уведомление за настоящее, нажмет на него и перейдет на фишинговый сайт, где у нее попросят указать имя, логин, пароль, адрес электронной почты, номер банковской карты и другие конфиденциальные сведения.

Специалисты «Доктор Веб» полагают, что злоумышленники будут активнее использовать этот метод продвижения сомнительных услуг, поэтому пользователям мобильных устройств при посещении веб-сайтов следует внимательно ознакомиться с их содержимым и не подписываться на уведомления, если ресурс незнаком или выглядит подозрительным. Если же подписка на нежелательные спам-уведомления уже произошла, нужно выполнить следующие действия:

• зайти в настройки Google Chrome, выбрать опцию «Настройки сайтов» и далее — «Уведомления»;
• в появившемся списке веб-сайтов и уведомлений найти адрес интересующего ресурса, нажать на него и выбрать опцию «Очистить и сбросить».

Антивирусные продукты goalma.org для Android детектируют и удаляют все известные модификации goalma.orgp, поэтому для пользователей goalma.org этот троянец опасности не представляет.

Киберпреступники вернулись к опасному банковскому трояну Trickbot

15 мая года стало известно, что компания Check Point Software Technologies, поставщик решений для кибербезопасности во всем мире, опубликовала отчет с самыми активными угрозами в апреле года Global Threat Index. Банковский троян Trickbot впервые за почти два года вернулся в первую десятку рейтинга.

Универсальные банковские трояны, такие как Trickbot, популярны среди киберпреступников, так как позволяют получить максимальную прибыль. Trickbot нацелен преимущественно на банки, но отдельные пользователи также могут с ним столкнуться. Он имеет широкую географию распространения и большое языковое разнообразие, что делает его одним из самых опасных и сложноудаляемых вирусов. Атаки Trickbot резко увеличились в апреле , когда рассылка вредоносногоспама с темой американского «Налогового дня» совпала с крайним сроком подачи налоговых деклараций в США. В рамках спам-кампании злоумышленники распространили файлы Excel, которые загружали Trickbot на компьютеры жертв для распространения по сетям, сбора банковских данных и возможной кражи налоговых документов для мошеннического использования.

Три из десяти самых распространенных вариантов вредоносного ПО в апреле года — криптомайнеры. Остальные семь из первой десятки — многоцелевые трояны. Это показывает, что тактика киберпреступников меняется после закрытия нескольких популярных служб криптомайнинга и снижения стоимости криптовалюты в году мошенники ищут другие каналы с максимальной финансовой выгодой. Важно отметить, что слабым, незащищенным звеном являются мобильные устройства — только 9% профессионалов в сфере ИТ считают мобильные угрозы серьезным риском для безопасности. При этом через них вредоносное ПО может легко проникать в облачные или локальные сети организаций.

В апреле года самым активным вредоносом в России стал Badrabbit, который затронул 25% организаций. Программа-червь, нацеленная на платформу Windows, использует список имен пользователей и паролей для доступа и распространения на SMB-ресурсы других систем в сети. После Badrabbit следует криптомайнер Cryptoloot (22,5%), который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн

Испытайте добычу, создание и выживание в кармане

После огромного успеха на ПК разработчик Mojang смог адаптировать игровой процесс Minecraft для сенсорного экрана , доведя популярную игру до вашего мобильного телефона и планшета в виде Minecraft Pocket Edition. Пришло время погрузиться в мир строительных блоков Minecraft, игра, которая стала легендарной. Для любого игрока с творческим умом эта игра для вас.

Классическая игра выживания и творчества

Minecraft Pocket Edition начинается со случайного этапа. Вы окажетесь на хаотической земле посреди океана, окруженной горами, долинами, деревьями и животными. В режиме выживания мишень становится более важной, когда наступает солнце.

Появятся монстры и попытаются съесть вас, и вскоре становится невозможно выжить на открытом воздухе. Чтобы провести первую ночь под прибежищем, вам нужно либо выкопать его, либо построить. Как только ваше основное выживание будет гарантировано, вы можете начать развивать свой домен. В творческом режиме у вас не будет никаких ограничений, поэтому вы сможете развязать свои самые смелые идеи. Если вы хотите построить замок, лодку или собор, небо - предел!

Хорошо продуманный игровой процесс для мобильных устройств

Соберите древесину, уголь и камни: меню инвентаря позволит вам построить почти все, что вы можете придумать, используя эти материалы. После того, как вы разблокируете секреты захватывающего игрового процесса, вы сможете создать действительно интересные структуры и развязать свое творчество.

Благодаря продуманной игровой системе для сенсорных устройств все, что вам нужно сделать, это потратить некоторое время на изучение игры, и вы сможете сделать все, что захотите. Это отличная адаптация , тем более, что у нее есть много вариантов и позволяет вам настроить свой опыт в зависимости от используемого устройства.

Эффективный, даже если он не впечатляет графически

Саундтрек Minecraft Pocket Edition не так уж хорош, и если вы не поклонник пиксельных блоков, эта игра не для вас. Если, однако, вы любите исследовать и всегда мечтали стать Robinson Crusoe в виртуальной среде, Minecraft Pocket Edition действительно оправдает ваши ожидания.

Активное сообщество пользователей поможет вам, и многопользовательский режим открывает возможности еще больше. Что касается технического аспекта этой мобильной версии, я должен признать, что разработчики проделали отличную работу: игра эффективная и быстрая, и все работает гладко. Единственный недостаток: разрешение игры не очень хорошее, ограничивая поле зрения на экране.

Непревзойденная игра

Minecraft Pocket Edition - это бесконечная мировая игра, невероятно инновационная, заслуживающая звания игры в песочнице . Среди многих клонов Minecraft, которые запущены для мобильных телефонов, не ошибетесь: оригинальный Minecraft по-прежнему не имеет себе равных .