5 ноября 2014 года

Разнообразие совершенных в течение октября атак на мобильные Android-устройства в очередной раз наглядно демонстрирует, что угроза со стороны вредоносных программ остается крайне актуальной для пользователей. На протяжении всего месяца специалисты компании «Доктор Веб» фиксировали появление различных вредоносных приложений, среди которых были программы-вымогатели, банковские троянцы и другие угрозы, помогающие киберпреступникам заработать за счет ничего не подозревающих жертв.

Одной из обнаруженных в октябре Android-угроз, созданных для заработка злоумышленников, стал троянец Android.Selfmite.1.origin, который распространялся в модифицированном вирусописателями официальном приложении-клиенте социальной сети Google+. Эта вредоносная программа имела в своем арсенале сразу несколько механизмов для монетизации. Во-первых, после установки на Android-смартфон или планшет она помещала на главном экране операционной системы несколько ярлыков, которые, в зависимости от географического расположения пользователя, вели на различные веб-сайты, продвигаемые при помощи партнерских программ и разнообразных рекламных систем. В результате каждое нажатие на данные ярлыки приносило авторам Android.Selfmite.1.origin определенный доход. Во-вторых, троянец мог «рекламировать» размещенные в каталоге Google Play приложения, демонстрируя на экране мобильного устройства соответствующие разделы онлайн-магазина. В-третьих, вредоносная программа была способна рассылать СМС-сообщения, в которых, в зависимости от полученных с управляющего сервера параметров, могли содержаться ссылки на те или иные веб-сайты, а также на загрузку других программ, включая копию самого троянца. Главная опасность Android.Selfmite.1.origin заключалась в том, что рассылка таких сообщений производилась по всем контактам из телефонной книги пользователя, причем количество отправляемых СМС никак не ограничивалось, поэтому потенциальные жертвы троянца могли понести существенные финансовые потери, а также невольно помочь злоумышленникам в распространении этого вредоносного приложения.

Еще одна обнаруженная в октябре вредоносная Android-программа, созданная для обогащения злоумышленников, получила по классификации компании «Доктор Веб» имя Android.Dialer.7.origin. Этот троянец относится к классу вредоносных программ-дозвонщиков, приносящих киберпреступникам прибыль за счет выполнения звонков на различные премиум-номера. Запускаясь на зараженном мобильном устройстве, Android.Dialer.7.origin осуществляет телефонное соединение с заданным в его настройках номером, однако может позвонить и на другие телефоны, получив необходимую информацию с управляющего сервера. Троянец обладает рядом особенностей, позволяющих ему максимально продлить свою вредоносную деятельность. Так, ярлык этого дозвонщика не имеет собственного изображения и подписи, а после запуска вредоносной программы и вовсе удаляется, делая Android.Dialer.7.origin «невидимым» для пользователя. Также троянец удаляет из системных журналов и списка звонков информацию обо всех совершаемых им телефонных соединениях. Более того, эта вредоносная программа способна препятствовать своему удалению, не давая пользователю зайти в системный раздел управления приложениями, поэтому Android.Dialer.7.origin представляет весьма серьезную опасность. Более подробную информацию об этом троянце можно почерпнуть в соответствующей публикации на сайте компании «Доктор Веб».

Другой Android-угрозой, созданной киберпреступниками для заработка, стал очередной троянец-блокировщик семейства Android.Locker. Вредоносная программа, добавленная в вирусную базу Dr.Web под именем Android.Locker.54.origin, действовала уже по отработанной схеме, блокируя экран зараженного мобильного устройства и требуя у пользователя оплату за его разблокировку. Отличием этого троянца от прочих подобных угроз стало то, что данный вымогатель мог разослать всем сохраненным в телефонной книге контактам СМС-сообщение, содержащее ссылку на загрузку копии вредоносного приложения. В результате пострадавшие пользователи не только становились жертвой шантажа, но также невольно могли способствовать распространению этой угрозы, увеличивая шансы злоумышленников получить незаконную прибыль.

Также в октябре вновь были активны киберпреступники, нацеленные на пользователей из Южной Кореи. Специалисты компании «Доктор Веб» зафиксировали более 170 спам-кампаний, организованных для рассылки различных Android-угроз. Наиболее часто южнокорейские владельцы Android-устройств могли столкнуться с атаками со стороны таких троянцев как Android.BankBot.27.origin, Android.MulDrop.36.origin, Android.SmsSpy.78.origin, Android.Spy.40.origin, Android.MulDrop.21.origin и Android.BankBot.29.origin.

Среди распространяемых в Южной Корее вредоносных программ оказался и новый представитель банковских троянцев, получивший имя Android.BankBot.29.origin. Эта Android-угроза, предназначенная для кражи аутентификационной информации у клиентов 17 кредитных организаций, обманом получает необходимые данные, имитируя работу настоящего банковского приложения. Как и многие другие подобные угрозы, Android.BankBot.29.origin пытается получить права администратора мобильного устройства, чтобы затруднить свое удаление, однако реализовывает для этого весьма необычный механизм. В частности, троянец «прячет» от пользователя соответствующий системный запрос за собственным диалоговым окном, в результате чего потенциальная жертва с высокой долей вероятности может предоставить вредоносному приложению необходимые полномочия.

Специалисты компании «Доктор Веб» продолжают следить за появлением новых Android-угроз и оперативно вносят соответствующие записи в вирусную базу для обеспечения надежной защиты пользователей Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light.

Защитите ваше Android-устройство с помощью Dr.Web