Добавить в библиотеку

RU RU CN DE EN ES FR JP PL UA

«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2015 года

30 октября 2015 года

Главные тенденции октября

Количество записей для вредоносных и нежелательных программ под ОС Android в вирусной базе Dr.Web

Сентябрь 2015Октябрь 2015Динамика
14 03315 135+7,85%

«Мобильная» угроза месяца

В начале октября специалисты по информационной безопасности обнаружили очередного троянца, предназначенного для работы на мобильных устройствах под управлением iOS. Новая вредоносная программа, получившая по классификации Dr.Web имя IPhoneOS.Trojan.YiSpecter.2, распространялась злоумышленниками преимущественно среди жителей Китая и могла загружаться на их мобильные устройства под видом безобидных приложений. В частности, при посещении различных веб-ресурсов эротической тематики пользователям для просмотра видеороликов категории для взрослых предлагалось установить специальный видеоплеер, который обладал заявленным функционалом, однако в действительности скрывал в себе троянца. При этом благодаря применению вирусописателями корпоративного метода дистрибуции ПО, позволяющего пользователям iOS получать программы в обход каталога App Store, в случае согласия на установку IPhoneOS.Trojan.YiSpecter.2 мог инсталлироваться как на смартфоны и планшеты с наличием «jailbreak», так и на аппараты c немодифицированной версией ОС.

#drweb #drweb #drweb

IPhoneOS.Trojan.YiSpecter.2 обладает следующим вредоносным функционалом:

Троянцы в Google Play

В прошедшем месяце был зафиксирован очередной случай размещения Android-троянца в официальном каталоге приложений Google Play. Вредоносная программа, добавленная в вирусную базу Dr.Web как Android.PWS.3, скрывалась во внешне безобидном аудиоплеере, позволявшем прослушивать размещенные в социальной сети «ВКонтакте» музыкальные композиции. После запуска этот троянец запрашивал у ничего не подозревающего пользователя логин и пароль от его учетной записи, выполнял аутентификацию в соцсети и действительно предоставлял доступ к музыке, однако в то же время незаметно для своих жертв передавал злоумышленникам введенные ими конфиденциальные данные. Затем Android.PWS.3 подключался к удаленному узлу вирусописателей, откуда получал список различных групп из сети «ВКонтакте», в которые автоматически добавлял пострадавших пользователей, «накручивая» тем самым рейтинг и популярность соответствующих онлайн-сообществ.

#drweb #drweb #drweb

Троянцы в прошивках

Практически каждый месяц вирусные аналитики «Доктор Веб» фиксируют новые случаи размещения различных вредоносных приложений в Android-прошивках. В этом плане не стал исключением и минувший октябрь, когда на нескольких мобильных устройствах был обнаружен предустановленный троянец Android.Cooee.1. Эта опасная программа находится в приложении-лаунчере (графической оболочке Android) и содержит в себе ряд специализированных модулей, предназначенных для показа рекламы. Также троянец способен незаметно загружать и запускать на исполнение как дополнительные рекламные пакеты, так и другие приложения, включая вредоносное ПО. В частности, среди скачанных им файлов был обнаружен троянец Android.DownLoader.225, предназначенный для скрытой загрузки различных программ.

Примечательно, что если пострадавшие от троянца пользователи удалят содержащий Android.Cooee.1 лаунчер, работоспособность их зараженного мобильного устройства будет нарушена, т. к. при следующем его включении операционная система не сможет нормально загрузиться. Поэтому перед попыткой деинсталляции вредоносной программы необходимо заблаговременно установить любую из альтернативных версий соответствующего ПО и в настройках системы выставить ее как работающую по умолчанию оболочку.

Банковские троянцы

Среди выявленных в октябре вредоносных Android-приложений в очередной раз оказалось немало банковских троянцев, созданных для кражи денег. Одним из них стал обнаруженный в конце месяца банкер Android.BankBot.80.origin, который распространялся вирусописателями под видом легального ПО одной из крупных российских кредитных организаций. После запуска на целевых смартфонах и планшетах Android.BankBot.80.origin вынуждает пользователя предоставить ему права администратора мобильного устройства, после чего рассылает по всем найденным в его телефонной книге номерам СМС-сообщение вида «Привет, проголосуй за меня http://******konkurs.ru/». При посещении данного веб-сайта, посвященного якобы проводимому конкурсу фотографии, на устройства потенциальных жертв автоматически загружается одна из версий банкера, детектируемая Антивирусом Dr.Web для Android как Android.SmsBot.472.origin. Кроме того, на этом портале владельцам мобильных устройств для участия в голосовании предлагается установить специальную программу, которая на самом деле является еще одной версией Android.BankBot.80.origin.

#drweb #drweb

Особенности данного троянца:

Подробнее об Android.BankBot.80.origin читайте в материале, опубликованном на нашем сайте.

Число записей для банковских троянцев Android.BankBot в вирусной базе Dr.Web:

Сентябрь 2015Октябрь 2015Динамика
142148+4,2%

Число записей для многофункциональных троянцев Android.SmsBot в вирусной базе Dr.Web:

Сентябрь 2015Октябрь 2015Динамика
520550+5,8%