Исследование

Киберугрозы для геймеров в 2020–2021 гг.

Часть 1 отчета о киберугрозах, нацеленных на геймеров

Часть 2: BloodyStealer и данные геймеров в теневом интернете

Игровая индустрия переживает небывалый рост, во многом благодаря пандемии, которая вынудила людей искать новые способы развлекаться и общаться во время локдауна. Получив мощный толчок к развитию, отрасль остается на подъеме даже несмотря на постепенное смягчение ограничений. Аналитическая компания Newzoo оценивает доход игровой индустрии в 2021 году в 175,8 миллиарда долларов США — это немногим меньше, чем доход от игр за 2020 год, и гораздо выше, чем показатели до пандемии.

Своим стремительным развитием отрасль во многом обязана возросшей популярности мобильных игр и потребности в социальном взаимодействии во время пандемии. В мире более 2,7 миллиарда геймеров, которым виртуальные миры дают возможность не только отдохнуть, но и пообщаться с людьми из разных уголков планеты. И их ряды постоянно пополняются.

Особенно бурно растет число пользователей мобильных игр. По разным оценкам, доход поставщиков мобильных игр в 2021 году составит от 90,7 миллиарда до 120 миллиардов долларов США  — это более половины прогнозируемых доходов всей игровой отрасли. Прошлогодние локдауны ускорили рост рынка мобильных игр. В первом квартале 2021 года пользователи скачивали более миллиарда мобильных игр в неделю — на 30% больше, чем в четвертом квартале 2019-го. В первой половине 2021 года пользователи по всеми миру потратили на мобильные игры 44,7 миллиарда долларов США.

Стремительный рост игровой индустрии побудил нас взглянуть на происходящее с точки зрения кибербезопасности. В начале 2021 года мы проанализировали динамику интернет-атак на игроков за все время пандемии и обнаружили, что их количество выросло.

Однако, когда доступно столько платформ для игр, только интернет-атаками дело не ограничивается.

Чтобы подробнее исследовать ландшафт угроз, с которыми сталкиваются геймеры, мы решили более детально рассмотреть киберугрозы, имеющие отношение к игровой индустрии. В первой части нашего отчета мы рассматриваем угрозы, связанные с играми для ПК и мобильных устройств, а также различные фишинговые схемы, эксплуатирующие популярность отдельных игр.

Методология

Чтобы измерить уровень риска, с которым сталкиваются геймеры, мы рассмотрели несколько типов угроз. К ним относится вредоносное и нежелательное ПО, маскирующееся под популярные компьютерные и мобильные игры, а также отдельные разновидности зловредов и связанные с ними опасности для пользователей. Мы также проверили в нашей базе данных наличие активных спам-угроз и фишинговых схем, эксплуатирующих игровую тематику.

В отчете использована статистика из системы Kaspersky Security Network, обрабатывающей обезличенные данные о киберугрозах, которые добровольно предоставляют пользователи решений «Лаборатории Касперского». Статистика показывает, сколько пользователей наших решений в течение отчетного периода сталкивались с угрозами, имеющими отношение к играм, и как часто это происходило.

Большая часть представленных в отчете данных собрана в период с 1 июля 2020 года по 30 июня 2021 года. Статистика, связанная с пандемией, охватывает период с января 2020 года по июнь 2021 года включительно.

В результате анализа мы выявили следующее:

  • Общее количество пользователей ПК, которые столкнулись с вредоносными и нежелательными приложениями, эксплуатирующими игровую тематику, в период с 1 июля 2020 года по 30 июня 2021 года составило 303 827 человек. Под видом 24 наиболее популярных компьютерных игр было загружено 69 244 нежелательных файла.
  • Динамика по кварталам показывает, что количество пользователей, подвергшихся киберугрозам с игровой тематикой, выросло в начале пандемии, но сократилось в первом и втором кварталах 2021 года по сравнению с первым и вторым кварталами 2020 года, когда из-за локдауна больше пользователей искало возможность поиграть бесплатно. Угрозы, связанные с мобильными играми, подчиняются другой тенденции. Количество пострадавших пользователей выросло на 185% в начале пандемии и сократилось лишь на 10% во втором квартале 2021 года. Это означает, что киберпреступники по-прежнему активно используют мобильные угрозы.
  • В атаках, для которых наблюдается наибольшее число пострадавших пользователей, в качестве приманок использовались следующие пять игр для ПК: Minecraft, The Sims 4, PUBG, Fortnite и Grand Theft Auto V.
  • Мы выявили крупную организованную кампанию по распространению дроппера Swarez через SEO-оптимизированные сайты с нелегальным ПО. Этот зловред загружал на зараженные устройства стилер, который извлекал секреты и личные данные из криптовалютных кошельков, браузеров и других приложений. Атака затронула пользователей в 45 странах.
  • Среди мобильных игр в качестве приманки чаще всего использовались три: Minecraft, PUBG Mobile и Among Us.
  • В период с июля 2020 года по июнь 2021 года в общей сложности 50 644 пользователя попытались скачать 10 488 уникальных файлов, замаскированных под 10 самых популярных мобильных игр, что привело к 332 570 срабатываниям решений «Лаборатории Касперского».
  • Большинство угроз, обнаруженных на компьютерах и мобильных устройствах, представляют собой нежелательные приложения. Тем не менее встречаются и опасные вредоносные программы, которые могут похищать учетные данные и другую информацию, а также деньги, в том числе криптовалюту.
  • Фишинговые схемы, связанные с играми, отличаются большим разнообразием — сейчас проводится все больше мероприятий этой тематики, что позволяет киберпреступникам постоянно использовать новые сценарии, чтобы заполучить данные пользователей.

Киберугрозы, затрагивающие пользователей компьютерных игр

Для анализа ландшафта угроз, связанных с играми, мы взяли четыре рейтинга-десятки самых популярных компьютерных игр с таких онлайн-платформ, как Origin или Steam, и еще один, не зависящий от платформ. Из этих рейтингов мы убрали повторы и игры, в названиях которых используются слишком распространенные слова, что мешает выделить конкретные связанные с ними угрозы. В результате мы выбрали 24 самых популярных компьютерных игры.

1.         Apex Legends

2.         Battlefield V

3.         Chivalry 2

4.         Counter-Strike: Global Offensive

5.         Dota 2

6.         FIFA 21

7.         Fortnite

8.         Grand Theft Auto V

9.         Minecraft

10.       NBA 2K21

11.       Need for Speed Heat

12.       PLAYERUNKNOWN’S BATTLEGROUNDS (PUBG)

13.       Rocket League

14.       Rogue Company

15.       Star Wars Battlefront

16.       Team Fortress 2

17.       The Sims 4

18.       Titanfall 2

19.       Unravel Two

20.       Valheim

21.       League of Legends

22.       Battlefield 1

23.       Warframe

24.       Tom Clancy’s Rainbow Six Siege

 

24 игры, проанализированных для отчета

Мы провели поиск по данным нашей телеметрии, используя названия этих игр как ключевые слова, чтобы определить масштаб распространения вредоносных файлов и нежелательных программ под видом этих игр, а также количество пользователей, атакованных с помощью этих файлов.

За прошедший год, с июля 2020 года по июнь 2021 года, под видом популярных игр распространялось 69 244 файла, с которыми столкнулось 303 827 пользователей по всему миру. В общей сложности решения «Лаборатории Касперского» обнаружили 5 846 032 атаки с использованием этих файлов в течение отчетного периода.

Исходя из количества пользователей, попытавшихся скачать эти файлы, мы составили рейтинг из 10 самых популярных игр, которые использовались как прикрытие для вредоносных и нежелательных программ. Этот рейтинг в основном совпадает с рейтингами по распространяемым файлам и обнаружениям: по 9 совпадений из 10 в каждом случае.

Первое место занимает Minecraft: в период с июля 2020 года по июнь 2021 года было обнаружено 36 336 распространяемых файлов, с помощью которых была проведена 3 010 891 попытка заражения на устройствах 184 887 пользователей. В пятерке лидеров по числу затронутых пользователей также оказались The Sims 4, PUBG, Fortnite и Grand Theft Auto V. Примечательно, что количество уникальных пользователей, попытавшихся скачать Minecraft, на 40% превышает общее количество пользователей, подвергшихся атакам, эксплуатирующим названия остальных игр из десятки. Более того, количество файлов, маскирующихся под Minecraft, на 250% больше, чем имитирующих PUBG — игру, которая занимает второе место по числу распространяемых файлов.

Такую огромную популярность Minecraft можно объяснить наличием разных версий и множества модов — дополнений и изменений, устанавливаемых поверх основной игры. Моды создают пользователи, а не официальный разработчик, поэтому их удобно использовать как маскировку для вредоносных полезных нагрузок или нежелательных программ.

  Название игры Число атакованных пользователей
1 Minecraft 184 887
2 The Sims 4 43 252
3 PUBG 26 724
4 Fortnite 14 702
5 Grand Theft Auto V 14 261
6 Counter-Strike: Global Offensive 13 625
7 Rocket League 4631
8 League of Legends 4166
9 FIFA 21 3109
10 Need for Speed Heat 2069

10 самых популярных игр, использовавшихся в качестве приманки для распространения вредоносного и нежелательного ПО, 1 июля 2020 г. — 30 июня 2021 г. Рейтинг по количеству атакованных пользователей.

  Название игры Число распространяемых файлов
1 Minecraft 36 336
2 PUBG 10 360
3 Fortnite 6109
4 The Sims 4 5844
5 Grand Theft Auto V 4953
6 League of Legends 3794
7 Counter-Strike: Global Offensive 2281
8 FIFA 21 2138
9 NBA 2K21 1045
10 Rocket League 987

10 самых популярных игр, использовавшихся в качестве приманки для распространения вредоносного и нежелательного ПО, 1 июля 2020 г. — 30 июня 2021 г. Рейтинг по количеству файлов.

  Название игры Число обнаружений
1 Minecraft 3 010 891
2 The Sims 4 1 266 804
3 PUBG 484 528
4 Counter-Strike: Global Offensive 327 976
5 Fortnite 267 598
6 Grand Theft Auto V 187 114
7 League of Legends 56 710
8 Rocket League 37 751
9 Need for Speed Heat 27 786
10 Dota 2 22 175

10 самых популярных игр, использовавшихся в качестве приманки для распространения вредоносного и нежелательного ПО. Рейтинг по количеству обнаруженных атак. 1 июля 2020 г. — 30 июня 2021 г.

Зловреды с доставкой на дом

Мы также проанализировали динамику распространения киберугроз, эксплуатирующих игровую тематику, за последние полтора года, чтобы оценить влияние пандемии. Во втором квартале 2020 года после введения локдауна во многих странах в связи с пандемией число обнаружений вредоносного и нежелательного ПО, маскирующегося под компьютерные игры, резко возросло. Было обнаружено 2 481 915 атак, от которых пострадало 165 207 пользователей по всему миру. Для сравнения: во втором квартале 2021 года число обнаружений составило лишь 636 904 (втрое меньше, чем за год до этого), а количество атакованных пользователей — 53 439 (в 3,8 раза меньше). Такая динамика может объясняться тем, что после снятия локдауна и смягчения ограничений по всему миру во втором квартале 2021 года количество пользователей, желающих скачать компьютерные игры, моды и т. д., значительно сократилось.

Число пользователей, пытавшихся скачать вредоносные или нежелательные файлы, замаскированные под игры, Q1 2020 — Q2 2021 (скачать)

Число попыток скачать вредоносные или нежелательные файлы, замаскированные под игры, Q1 2020 — Q2 2021 (скачать)

Количество файлов вредоносного и нежелательного ПО, распространяемого под видом игр, снижалось от квартала к кварталу, даже когда число атакованных пользователей возрастало. Так, в первом квартале 2020 года было обнаружено 40 340 таких файлов, а в первом квартале 2021 года — 19 960. Та же тенденция явно прослеживается при сравнении вторых кварталов 2020 и 2021 года.

Количество файлов вредоносного и нежелательного ПО, распространяемого под видом игр, Q1 2020 — Q2 2021 (скачать)

Угрозы, маскирующиеся под игры

Типы вредоносного и нежелательного ПО, распространяемого под видом игр, отражают общие тенденции, характерные для файлов, которые маскируются под нелицензионные или взломанные программы. Статистика показывает, что подавляющее большинство (87,24%) распространяемых таким образом файлов — загрузчики. Сами по себе они не являются вредоносными, но часто используются для загрузки зловредов на устройства. Еще один распространенный тип программ, маскирующихся под игры, — приложения, которые показывают пользователям рекламу без их согласия.

Под видом популярных игр также распространяются различные троянцы: троянцы-дропперы, троянцы-загрузчики и другие.

Вердикт Доля от общего числа заражений, %
not-a-virus:Downloader 87,24
not-a-virus:AdWare 7,34
Trojan 2
Trojan-Downloader 0,73
not-a-virus:WebToolbar 0,71
DangerousObject 0,49
not-a-virus:RiskTool 0,46
Hoax 0,22
Trojan-Dropper 0,19
Trojan-PSW 0,11

10 угроз, чаще всего распространяемых под видом популярных игр, 1 июля 2020 г. — 30 июня 2021 г.

Среди угроз для пользователей компьютерных игр особо упоминания заслуживают майнеры. Их обнаруживали с разными вердиктами (Trojan, RiskTool и др.), и они составляют 0,11% от общего числа угроз. Нацеленность майнеров на геймеров вполне объяснима: игровые компьютеры обладают большой вычислительной мощностью. Майнеры могут долго оставаться незамеченными и выдавать свое присутствие только количеством потребляемой энергии. Один из майнеров, обнаруженных нашими решениями, был замаскирован под установщик PUBG. Когда пользователь запускает его, на компьютер устанавливается майнер, запрограммированный на автоматическое выполнение.

Самораспаковывающийся архив, замаскированный под установщик PUBG, содержит майнер XMRig

Самораспаковывающийся архив, замаскированный под установщик PUBG, содержит майнер XMRig

Дроппер Swarez распространяет среди геймеров троянец-стилер

В апреле 2021 года мы наблюдали масштабную и хорошо организованную кампанию по распространению дроппера, который мы назвали Swarez, загружавшего троянец-стилер на компьютеры жертв. Дроппер внедрялся через различные сайты, имитирующие платформы для нелегального бесплатного распространения ПО. Как правило, такие платформы нарушают авторские права разработчиков.

Мы обнаружили множество подобных сайтов, распространяющих вредоносное ПО под видом ключей для программ, в том числе для антивирусного ПО, фото- и видеоредакторов, а также популярных игр. Согласно данным нашей телеметрии, геймеры в 45 странах пытались загрузить это вредоносное ПО, принимая его за игру.

1 Among Us
2 Battlefield 4
3 Battlefield V
4 Control
5 Counter-Strike: Global Offensive
6 FIFA 21
7 Fortnite
8 Grand Theft Auto V
9 Minecraft
10 NBA 2K21
11 Need for Speed Heat
12 PLAYERUNKNOWN’S BATTLEGROUNDS
13 Rust
14 The Sims 4
15 Titanfall 2

Список игр, под которые маскировался дроппер Swarez

Чтобы целевые страницы попадали в верхние строки поисковой выдачи, для каждого поста использовалось множество тегов. В результате некоторые сайты, распространяющие вредоносное ПО, попадали в три верхних строки результатов популярных поисковых систем.

Веб-сайты, распространяющие Swarez, попадают в верхние строки выдачи при поиске ключей для взлома Minecraft

Веб-сайты, распространяющие Swarez, попадают в верхние строки выдачи при поиске ключей для взлома Minecraft

Пытаясь загрузить файлы с этого сайта, после долгой цепочки редиректов пользователь приходит на страницу загрузки и наконец скачивает ZIP-архив, в котором содержится еще один ZIP-архив, защищенный паролем, и текстовый файл, где указан этот пароль. Многоступенчатая схема загрузки в конечном итоге приводит к расшифровке и запуску основной полезной нагрузки — стилера Taurus, способного извлекать ценные данные из веб-браузеров, криптовалютных кошельков и других приложений.

Пример страницы сайта со взломанным ПО для распространения Swarez

Пример страницы сайта со взломанным ПО для распространения Swarez

Загружаемый зловред маскируется под взломанное ПО, чтобы пользователи его установили

Загружаемый зловред маскируется под взломанное ПО, чтобы пользователи его установили

На первом этапе заражения дроппер Swarez выполняет обфусцированный CMD-скрипт, который дешифрует легитимный интерпретатор AutoIt. Используя его, зловред выполняет скрипт AutoIt, тоже обфусцированный. Проводится несколько проверок того, что файл выполняется не в эмулированной среде, а затем полезная нагрузка дешифруется по алгоритму RC4. Полученный файл внедряется в один из системных процессов и выполняется в его контексте. Это Taurus — платный троянец-стилер, разработанный группой Predator, со множеством функций и возможностью настройки. Он может похищать cookie-файлы, сохраненные пароли и данные автозаполнения из браузеров, секреты для доступа к криптовалютным кошелькам, собирать информацию о системе, текстовые файлы с рабочего стола пользователя и даже делать снимки экрана. Всю эту информацию троянец отправляет на командный сервер.

Киберугрозы, затрагивающие мобильных геймеров

Чтобы глубже проанализировать ландшафт угроз, связанных с играми, мы также обратились к мобильным играм. Мобильные игры привлекают аудиторию, отличную от аудитории компьютерных игр, и в целом отличаются от них игровой механикой. Не в последнюю очередь это связано с тем, что мобильные телефоны пользователи всегда носят с собой и многие мобильные игры требуют меньшей вовлеченности пользователя, чем компьютерные. Развитие мобильных технологий позволяет разработчикам выпускать версии популярных компьютерных игр на мобильных платформах, которые часто предоставляются бесплатно.

Как и в анализе угроз для компьютерных игроков, мы выбрали 10 самых популярных мобильных игр на основе сводки рейтингов с разных платформ. Наша телеметрия показывает, что в период с июля 2020 года по июнь 2021 года в общей сложности 50 644 пользователя попытались скачать 10 488 уникальных файлов, замаскированных под эти игры, что привело к 332 570 срабатываниям решений «Лаборатории Касперского».

Minecraft — самая популярная мобильная игра для маскировки нежелательного ПО. С июля 2020 года по июнь 2021 года на устройствах 44 335 пользователей было обнаружено 3982 файла, распространяемых под видом модов для Minecraft. Всего выявлено 302 611 атак. Мы уже писали о различных угрозах, имитирующих эту популярную игру. В 2020 году мы рассказали о 20 приложениях в Google Play, маскирующихся под моды для Minecraft, а в 2021 году нашли еще больше таких приложений. Большинство из них были абсолютно бесполезными и показывали крайне навязчивую рекламу, в особо тяжелых случаях делая использование устройств практически невозможным. Следом за Minecraft в списке идут Among Us (у 2755 пользователей были найдены 1887 файлов, всего 9616 обнаружений) и мобильная версия PUBG (1534 пользователя, 1713 файлов и 9084 обнаружения).

Рейтинг самых популярных мобильных игр, используемых для маскировки нежелательного ПО, по количеству уникальных пользователей, июль 2020 г. — июнь 2021 г. (скачать)

Игра Число уникальных пользователей Число обнаружений Число уникальных файлов
1 Minecraft 44 335 302 611 3982
2 Among Us 2755 9616 1887
3 PUBG Mobile 1534 9084 1714
4 Free Fire 1226 6065 1217
5 Brawl Stars 613 2025 881
6 Roblox 513 2120 603
7 Call of Duty: Mobile 403 1358 543
8 Clash of Clans 170 511 212
9 Clash Royale 116 359 112
10 Genshin Impact 28 63 40

Пандемия и риски для мобильных геймеров

Как и в случае с компьютерными играми, количество выявленных попыток заражения мобильных устройств и число подвергшихся кибератакам пользователей мобильных игр стремительно выросли с началом пандемии. В феврале 2020 года было атаковано 1138 пользователей, а в марте 2020 года — 3253 (на 185% больше).

Однако количество пользователей, пытавшихся загрузить вредоносные файлы и нежелательное ПО, которые они приняли за мобильную игру, достигло самого высокого уровня не во втором квартале 2020 года, когда начались локдауны, а в третьем — в августе 2020 года, когда 6341 пользователь попытался загрузить приложения, приняв их за игры, и решения «Лаборатории Касперского» обнаружили в общей сложности 42 664 атаки.

Хотя больше всего атак было обнаружено летом 2020 года, в 2021 году количество мобильных геймеров, попавших под удар злоумышленников, сократилось незначительно. В среднем количество ежемесячно атакуемых пользователей во втором квартале 2021 года уменьшилось лишь на 10% по сравнению со вторым кварталом 2020 года.

Количество пользователей, подвергшихся киберугрозам, связанным с мобильными играми, январь 2020 г. — июнь 2021 г. (скачать)

Количество обнаружений мобильных киберугроз, связанных с играми, январь 2020 г. — июнь 2021 г. (скачать)

Телефонный «зоопарк»

Подавляющее большинство (83%) файлов, маскирующихся под мобильные игры, являются рекламным ПО. В период с июля 2020 года по июнь 2021 года мы выявили 8710 таких файлов — с ними столкнулись 48 492 пользователя. Хотя рекламное ПО не является вредоносным, нежелательная реклама раздражает пользователей и подвергает риску их данные. Более того, рекламное ПО может сильно мешать использованию мобильных устройств, так как постоянно открывает браузеры, показывает рекламу и расходует заряд батареи.

10 самых распространенных типов угроз, использующих игровую тематику, по числу файлов, июль 2020 г. — июнь 2021 г. Источник: Kaspersky Security Network (скачать)

10 самых распространенных типов угроз, использующих игровую тематику, по числу атакованных пользователей, июль 2020 года — июнь 2021 года. Источник: Kaspersky Security Network (скачать)

На втором месте по распространенности находятся троянцы (8%). Их пытались скачать 1035 пользователей. Троянцы могут удалять, блокировать, изменять или копировать данные, а также создавать помехи работе устройств и подключению к сети. Отдельные типы троянцев, такие как SMS-троянцы, отправляющие с устройств пользователей платные сообщения, а также банковские троянцы и стилеры (опасное ПО, ворующее важные данные, например имена пользователей и пароли) тоже распространяются под видом игр, но реже.

Все 10 самых распространенных вредоносных и нежелательных приложений, с которыми столкнулись пользователи в поисках мобильных игр с июля 2020 года по июнь 2021 года, принадлежали к разным семействам рекламного ПО. Чаще всего встречался образец AdWare.AndroidOS.Fyben.a. С этой угрозой столкнулись 33 693 пользователя. Второе, третье, четвертое, седьмое и десятое места занимают представители семейства HiddenAd.

Вердикт Число пользователей
AdWare.AndroidOS.Fyben.a 33 693
AdWare.AndroidOS.HiddenAd.os 7077
AdWare.AndroidOS.HiddenAd.ri 650
AdWare.AndroidOS.HiddenAd.lu 652
AdWare.AndroidOS.MobiDash.bg 641
AdWare.AndroidOS.FakeAdBlocker.a 607
AdWare.AndroidOS.HiddenAd.mn 651
AdWare.AndroidOS.FakeAdBlocker.c 599
AdWare.AndroidOS.FakeAdBlocker.e 287
AdWare.AndroidOS.HiddenAd.tm 278

10 наиболее распространенных вердиктов для файлов, использующих игровую тематику, по количеству атакованных мобильных пользователей, июль 2020 года — июнь 2021 года. Источник: Kaspersky Security Network

SMS-троянец вместо игры

Рассмотрим подробнее некоторые серьезные угрозы, нацеленные на любителей популярных мобильных игр. Один из троянцев, обнаруженный нашими решениями с вердиктом HEUR:Trojan.AndroidOS.Vesub.b, маскируется под мобильные игры Brawl Stars и PUBG. При запуске это приложение имитирует процесс загрузки, тогда как на самом деле оно собирает и отправляет на командный сервер информацию об устройстве, получая в ответ команды. После того как пользователь видит, что игра не запускается, и выходит из приложения, значок приложения скрывается, но само оно продолжает работать в фоновом режиме, получая команды оформлять подписки, отправлять текстовые сообщения или показывать рекламу, в том числе видео в YouTube, страницы приложений в Google Play и рекламные страницы в браузере.

Эта фишинговая страница предлагает скачать PUBG Mobile, но пользователь получает только нежелательное ПО

Эта фишинговая страница предлагает скачать PUBG Mobile, но пользователь получает только нежелательное ПО

Поддельное приложение PUBG долго «загружается», собирая данные с устройства пользователя

Троянец Vesub отправляет данные зараженной системы на командный сервер и получает команду оформить подписку

Троянец Vesub отправляет данные зараженной системы на командный сервер и получает команду оформить подписку

Среди распространяемых угроз мы нашли хорошо известный троянец Triada, обнаруживаемый с вердиктом HEUR:Trojan.AndroidOS.Triada.bu. Он может показывать нежелательную рекламу, а также скачивать и устанавливать приложения без подтверждения пользователем. Это троянец скрыт в модифицированной версии Minecraft. Сама игра работает, и ни о чем подозревающий пользователь даже может в нее сыграть.

Троянец Triada запрограммирован показывать рекламу, скачивать и устанавливать приложения без ведома пользователя, пока тот играет в модифицированную версию Minecraft

Троянец Triada запрограммирован показывать рекламу, скачивать и устанавливать приложения без ведома пользователя, пока тот играет в модифицированную версию Minecraft

Троянец Triada запрограммирован показывать рекламу, скачивать и устанавливать приложения без ведома пользователя, пока тот играет в модифицированную версию Minecraft

Под видом Minecraft распространяется также дроппер HEUR:Trojan-Dropper.AndroidOS.Hqwar, который внедряет на устройство банковские троянцы. Это приложение работает особенно хитроумно. После активации на устройстве жертвы оно уведомляет об ошибке во время установки и предлагает удалить игру. Пользователю остается только нажать соответствующую кнопку, после чего он видит уведомление о том, что приложение удалено. На самом же деле исчезает только значок игры Minecraft из списка приложений. Зловред же устанавливает банковский троянец Trojan-Banker.AndroidOS.Grapereh, который может отправлять и получать текстовые сообщения, делать телефонные звонки и отправлять USSD-команды.

При запуске поддельное приложение Minecraft уведомляет пользователя об ошибке установки и последующем удалении — но на самом деле зловред остается на устройстве При запуске поддельное приложение Minecraft уведомляет пользователя об ошибке установки и последующем удалении — но на самом деле зловред остается на устройстве При запуске поддельное приложение Minecraft уведомляет пользователя об ошибке установки и последующем удалении — но на самом деле зловред остается на устройстве

При запуске поддельное приложение Minecraft уведомляет пользователя об ошибке установки и последующем удалении — но на самом деле зловред остается на устройстве

Фишинговые угрозы

В предыдущих разделах отчета мы рассмотрели вредоносное и нежелательное ПО, маскирующееся под популярные игры. Однако существует еще одна распространенная угроза — фишинг. Этот вид кибермошенничества использует методы социальной инженерии и правдоподобные копии страниц известных брендов или популярных товаров. Фишинг часто применяется, чтобы выманить у пользователей данные и деньги или вынудить загрузить вредоносное ПО. Мошенники знают, как создать привлекательную приманку, и используют креативные сценарии, чтобы обмануть неискушенных пользователей. Игровая сфера и геймеры — лакомый кусочек для фишеров. Давайте рассмотрим несколько распространенных схем.

Бесплатное золото в фишинговой «мышеловке»

Во многих популярных играх используется внутренняя валюта, которая позволяет, например, приобретать виртуальные товары или улучшать характеристики персонажей. Игровая валюта стоит реальных денег, и некоторые пользователи, что вполне ожидаемо, стремятся сократить свои расходы.

Кибермошенники играют на их желании сэкономить и предлагают игровую валюту бесплатно. Мы нашли примеры таких схем, нацеленных на игроков в Apex Legends, FIFA 21, Candy Crush, Grand Theft Auto V, Pokemon Go и PUBG. Конечно, на страницах, куда ведут фишинговые ссылки, нельзя получить валюту: на самом деле они собирают адреса электронной почты, имена пользователей в играх, игровые идентификаторы, номера мобильных телефонов и псевдонимы в социальных сетях. Для этого используются опросы, которые якобы должны подтвердить, что пользователь не является роботом. Собранные данные мошенники используют для атак или продают в теневом интернете.

Оставьте имя пользователя и игровой идентификатор и не получите ничего взамен — так работает фишинг Оставьте имя пользователя и игровой идентификатор и не получите ничего взамен — так работает фишинг

Оставьте имя пользователя и игровой идентификатор и не получите ничего взамен — так работает фишинг

Бесплатные игры, бонусы и подарочные карты

Многие фишинговые страницы предлагают игры бесплатно или за очень низкую цену (например, меньше 50 рублей за целую коллекцию). Чтобы получить игру, нужно лишь указать имя в социальной сети или адрес электронной почты и выполнить несколько заданий. Полученные данные злоумышленники могут использовать в дальнейшем. Кроме того, если вы платите на таком сайте даже маленькую сумму, злоумышленники могут украсть данные вашей банковской карты. То же самое происходит, когда сайт просто запрашивает данные карты, не взимая никакую плату. Некоторые страницы предлагают бесплатно загрузить игры без заполнения форм или прохождения опроса. В таком случае вы, скорее всего, получите вредоносную или рекламную программу вместо игры.

Эта фишинговая страница предлагает пакеты, содержащие от 30 до 100 игр, менее чем за 100 рублей

Эта фишинговая страница предлагает пакеты, содержащие от 30 до 100 игр, менее чем за 100 рублей

Фишинговая страница с поддельным предложением игры Sims 4 Cottage Living

Фишинговая страница с поддельным предложением игры Sims 4 Cottage Living

Для бесплатного скачивания Dota 2 все равно потребуется ввести данные банковской карты, которые затем могут оказаться в теневом интернете

Для бесплатного скачивания Dota 2 все равно потребуется ввести данные банковской карты, которые затем могут оказаться в теневом интернете

Некоторые фишеры даже пишут, что другое программное обеспечение может содержать скрытые вредоносные приложения, чтобы отвести от себя подозрения

Некоторые фишеры даже пишут, что другое программное обеспечение может содержать скрытые вредоносные приложения, чтобы отвести от себя подозрения

Угрозы, связанные со Steam и другими платформами для геймеров

Такие популярные игровые платформы, как Steam, злоумышленники тоже используют как приманку. Если не соблюдать осторожность, можно отдать мошенникам свои учетные данные — и вместе с ними все, что есть в вашем аккаунте, в том числе игры и игровую валюту, о которой говорилось выше.

Фишинговая страница может выглядеть убедительно, но при этом воровать учетные данные Steam

Фишинговая страница может выглядеть убедительно, но при этом воровать учетные данные Steam

Злоумышленники также не обошли стороной Twitch и Discord — платформы для стриминга и общения игроков. Фишеры создают страницы с фирменной символикой этих популярных платформ и крадут учетные данные и данные банковских карт, прикрываясь розыгрышами и выгодными предложениями.

Эта фишинговая страница, замаскированная под сайт Discord, собирает учетные записи пользователей Discord

Эта фишинговая страница, замаскированная под сайт Discord, собирает учетные записи пользователей Discord

Злоумышленники могут рекламировать поддельные розыгрыши на легитимных платформах. Мы рассказывали о такой схеме, в которой мошенники создавали поддельные профили стримеров в Twitch, чтобы привлечь внимание пользователей.

Поддельные турниры

Онлайн-турниры приобретают все большую популярность, и киберпреступники не могли пройти мимо. Мы находили фишинговые страницы, копирующие страницы популярных турниров с упоминанием известных спонсоров, чтобы выглядеть более правдоподобно. Как правило, они использовались для кражи учетных данных и паролей.

Искусно подделанная страница турнира для правдоподобности ссылается на известные бренды с хорошей репутацией

Искусно подделанная страница турнира для правдоподобности ссылается на известные бренды с хорошей репутацией

Выводы и рекомендации

Пандемия привела к росту игрового рынка, за которым закономерно последовал рост числа атак на пользователей, играющих в компьютерные и мобильные игры. В то же время по мере возврата к нормальной жизни мы наблюдаем две очень разных тенденции: атаки на пользователей компьютерных игр происходят реже, а любители мобильных игр остаются очень привлекательной целью для киберпреступников. Скорее всего, это связано с бурным развитием мобильной отрасли в целом.

Чаще всего геймеры сталкиваются с нежелательными приложениями, но встречаются, хотя и реже, по-настоящему опасные зловреды. Мы выявили вредоносное ПО, маскирующееся под игры, для распространения которого проводились хорошо скоординированные кампании с использованием фишинговых страниц и веб-сайтов с пиратскими программами. Киберпреступники продолжают продвигать в интернете целевые страницы с вредоносными приложениями и даже выводят их в верхние строки выдачи популярных поисковых систем.

Число различных схем обмана игроков увеличивается, и обычным пользователям по-прежнему бывает сложно отличить мошенничество от легитимного предложения. Киберпреступники используют растущую популярность игровых платформ и онлайн-турниров, чтобы обманом выманивать у пользователей данные. Охота за аккаунтами и внутриигровым имуществом игроков продолжается. Она может принимать и другие формы, которые мы обсудим во второй части отчета. Мы рекомендуем пользователям соблюдать осмотрительность и использовать надежные технологии, помогающие отследить угрозу, которую человек определить не способен.

Правила кибербезопасности для геймеров

  • По возможности используйте для защиты аккаунтов двухфакторную аутентификацию. Если она не поддерживается, проверьте, какие защитные возможности есть в настройках аккаунта, и активируйте их.
  • Используйте надежные пароли, уникальные для каждого аккаунта. Если один аккаунт будет украден, остальные не пострадают.
  • Выберите надежное и эффективное защитное решение — желательно такое, которое будет блокировать все возможные киберугрозы, не замедляя при этом работу компьютера даже во время игры. Например, Kaspersky Total Security отлично работает со Steam и другими игровыми сервисами.
  • Загружайте игры только из официальных магазинов: Steam, Apple App Store, Google Play или Amazon Appstore. Нельзя гарантировать полную безопасность игр из этих магазинов — но в них по крайней мере предусмотрена проверка, которую многие подозрительные приложения не проходят.
  • Если вы хотите купить игру, которая не продается в официальных игровых магазинах, используйте для этого официальный веб-сайт разработчика. Тщательно проверяйте подлинность URL-адреса сайта.
  • Не покупайте первый попавшийся на глаза товар. Даже во время летней распродажи в Steam читайте отзывы, прежде чем потратить деньги на малоизвестную игру. Другие пользователи могли проверить ее и обнаружить что-то подозрительное.
  • Опасайтесь фишинговых кампаний и неизвестных игроков. Не открывайте ссылки в письмах и игровых чатах, если не уверены в отправителе. Не открывайте файлы, присланные незнакомыми людьми.
  • Тщательно проверяйте адрес любого ресурса, запрашивающего имя пользователя и пароль. Страница может быть поддельной.
  • Не скачивайте пиратские программы и другой нелегальный контент, даже если вы были перенаправлены на страницу с легитимного сайта.
  • Обновляйте операционную систему и важные приложения сразу, как только выходят обновления. Многие проблемы безопасности можно решить, установив актуальные версии программ.
  • Не открывайте сомнительные веб-сайты из поисковой выдачи, не скачивайте с них файлы и тем более не устанавливайте их.
  • Используйте надежное решение для защиты от вредоносных программ и других угроз для мобильных устройств, например Kaspersky Internet Security для Android.

Киберугрозы для геймеров в 2020–2021 гг.

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике