Представьте, каким был бы мир, если бы с помощью карт Таро можно было точно предсказать абсолютно любые события! Быть может, тогда бы мы пресекли «Операцию Триангуляция» в зародыше, а уязвимостей нулевого дня не возникало бы в принципе — разработчики ПО знали бы о них заранее благодаря предупреждающим раскладам.

Звучит невероятно, но нечто подобное нашим экспертам удалось организовать в этот раз! Читайте этот материал, чтобы узнать, что за новый троян мы обнаружили и как именно это сделали.

Что за троян

Новый троян Trojan.Arcanum распространяется через сайты, посвященные гаданиям и эзотерике, маскируясь под «магическое» приложение для предсказания будущего. На первый взгляд — это безобидная программа, предлагающая пользователю разложить виртуальные карты Таро, рассчитать астрологическую совместимость или даже «зарядить амулет энергией Вселенной», что бы это ни значило. Но на самом деле за кулисами творится нечто по-настоящему мистическое — в худшем смысле этого слова. После внедрения на устройство пользователя Trojan.Arcanum обращается к облачному C2-серверу и устанавливает полезную нагрузку — стилер Autolycus.Hermes, майнер Karma.Miner и шифровальщик Lysander.Scytale.

Собрав данные пользователя (логины, пароли, дату, время и место рождения, банковскую информацию и так далее), стилер также отправляет их в облако, а дальше начинается самое интересное: троян принимается манипулировать своей жертвой в реальной жизни с использованием методов социальной инженерии!

С помощью всплывающих уведомлений Trojan.Arcanum отправляет пользователю псевдоэзотерические советы, побуждая его совершать те или иные действия. Так, получив доступ к банковским приложениям жертвы и обнаружив на счету крупную сумму, злоумышленники отправляют команду, и зловред выдает совет с раскладом о благоприятности крупных инвестиций — после чего жертве может прийти фишинговое письмо с предложением поучаствовать в «перспективном стартапе». А может и не прийти — смотря как лягут карты.

Одновременно с этим встроенный майнер Karma.Miner начинает майнить токены KARMA, а троян активирует платную подписку на сомнительные «эзотерические практики» с ежемесячным списанием средств. Если майнинг кармы обнаруживается и завершается пользователем, шифровальщик перемешивает сегменты пользовательских файлов в случайном порядке без возможности восстановления.

Как обнаружили Trojan.Arcanum

Обычно мы ищем киберугрозы с помощью сложных алгоритмов и анализа данных. Но что, если угроза слишком загадочна? В такие моменты стоит довериться карточному раскладу. Именно так и поступили наши эксперты. При гадании по сигнатуре неизвестного вируса, отловленного с помощью KSN (Kaspersky Sacral Network), выпало несколько старших арканов, некоторые из них — перевернутые.

1. Император — знак силы, контроля и стратегического предвидения. Значит, угроза серьезная.
2. Маг — способен видеть уязвимости там, где их не замечает никто другой. Умен, активен и решителен, умело манипулирует людьми. В перевернутом положении предупреждает о потере контроля. Значит, злоумышленники используют социальную инженерию.
3. Конь — указывает на смелую, решительную, авантюрную личность, символ активности, перемен… и троянских коней. Перевернутый аркан означает ошибку из-за импульсивных поступков. Значит, угроза может маскироваться под случайно скачанное безобидное приложение.
4. Колесо — предупреждает, что непреодолимые обстоятельства не зависят от действий пользователя, а благоприятное разрешение ситуации задержится. Обычно указывает на майнер или мошенничество с финансами.
5. Башня — предвещает этап перемен, инициированных не человеком, а судьбой и обрушивающихся на голову с неумолимой силой. С большой долей вероятности мы имеем дело с zero-click уязвимостью.
6. Смерть — это трансформация, смена циклов, финал, переход на новый уровень. Указывает на наличие шифровальщика.

Как выглядел расклад на столе эксперта

Как защититься от Arcanum

Защититься от подобного вируса практически невозможно — хотя бы потому, что его не существуют, а вся эта история — выдумка от первого до последнего слова. Но что запрещает ей в любой момент времени стать былью? Трояны и другие виды зловредов на самом деле часто маскируются под реальные приложения и умеют красть самую разнообразную информацию, майнеры давно уже распространяются через ссылки под популярными YouTube-видео или через игры, а шифровальщики в состоянии парализовать работу системы медицинского страхования целой страны. Ну а эзотерическая тематика достаточно популярна, чтобы попасть в поле зрения злоумышленников. Вот советы, которые помогут сделать жизнь в цифровом мире безопаснее.

• Доверяйте проверенным технологиям защиты. Расклад Таро не обнаружит вирус и не спасет от него ваш смартфон или ноутбук, а вот Kaspersky Premium — защитит.
• Проверяйте разрешения у приложений. Если программа для гадания запрашивает доступ к SMS, геолокации или файловой системе, стоит задуматься — зачем ей это? Вероятно, перед вами замаскированный шпион, а не магическая технология.
• Внимательно следите за своими подписками. Регулярно проверяйте свои подписки в настройках магазинов приложений, чтобы не обнаружить там, например, «Тайный орден предсказателей» с ежемесячным списанием.
• Не верьте всему, что пишут в Интернете. Особенно 1 апреля.