«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2018 года

28 сентября 2018 года

В сентябре 2018 года в официальном каталоге приложений для ОС Android вирусные аналитики выявили большое число троянцев. Помимо этого, в уходящем месяце пользователям мобильных устройств угрожали различные Android-банкеры. Также в сентябре злоумышленники распространяли опасного троянца, который использовался для кибершпионажа. В этом же месяце в вирусную базу Dr.Web были добавлены записи для детектирования новых версий известных коммерческих программ-шпионов.

Мобильная угроза месяца

В сентябре пользователям мобильных Android-устройств угрожал опасный троянец-шпион Android.Spy.460.origin, который известен вирусным аналитикам компании «Доктор Веб» с июня 2018 года. Эта вредоносная программа распространяется с использованием мошеннических веб-сайтов, с которых она загружается под видом системных приложений, например ПО с именем «Google Carrier Service».

Android.Spy.460.origin отслеживает СМС-переписку, местоположение зараженного смартфона или планшета, прослушивает телефонные звонки, записывает окружение при помощи встроенного в мобильное устройство микрофона, крадет данные из телефонной книги и календаря, а также передает киберпреступникам историю посещения из веб-браузера и сохраненные в нем закладки.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin

Android.Backdoor.1572

Троянские программы, которые выполняют команды злоумышленников и позволяют им контролировать зараженные мобильные устройства.

Android.HiddenAds

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Android.Mobifun.4

Троянец, загружающий другие вредоносные приложения.

Adware.Zeus.1

Adware.Gexin.2.origin

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Aesads.1.origin

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Угрозы в Google Play

В уходящем месяце в каталоге Google Play было выявлено большое число вредоносных программ. Специалисты «Доктор Веб» вновь обнаружили в нем троянцев семейства Android.Click, которых киберпреступники распространяли под видом официальных приложений букмекерских контор. Помимо уже известных версий этих троянцев (о них наша компания сообщала в августе), вирусные аналитики зафиксировали 17 их новых модификаций. В общей сложности вредоносные приложения установили не менее 62 000 пользователей.

При запуске эти троянцы по команде управляющего сервера загружают в своем окне веб-сайты букмекерских фирм и демонстрируют их пользователям. Однако сервер в любой момент способен отдать указание на открытие другого интернет-адреса, что может представлять серьезную опасность.

Кроме того, среди троянцев-кликеров, проникших в сентябре в официальный каталог ПО для ОС Android, оказался Android.Click.265.origin, о котором мы также информировали пользователей в прошлом месяце. Android.Click.265.origin загружает сайты с премиум-контентом и подписывает пользователей на дорогостоящие услуги. Для этого он автоматически нажимает на расположенную на открываемых веб-страницах кнопку подтверждения доступа к платному сервису. В сентябре злоумышленники распространяли эту вредоносную программу под видом официальных приложений от известных компаний, таких как «Ситилинк», MODIS и O′STIN.

Еще один троянец с аналогичным Android.Click.265.origin функционалом получил имя Android.Click.223.origin. Вирусописатели также распространяли его под видом безобидных программ от имени компаний Gloria Jeans и «ТВОЕ».

В сентябре в каталоге Google Play были вновь обнаружены банковские троянцы. Среди них Android.Banker.2855 и Android.Banker.2856, распространявшиеся под видом сервисных утилит и программ-гороскопов. Эти вредоносные программы извлекают и запускают скрытого внутри них банкера, который похищает логины и пароли для доступа к учетным записям клиентов кредитных организаций.

Еще один Android-банкер, проникший в Google Play в сентябре, получил имя Android.Banker.283.origin. Вирусописатели выдавали его за официальное приложение одной их турецких кредитных организаций.

Программы-шпионы

В сентябре были обнаружены новые версии коммерческих программ-шпионов, таких как Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Они предназначены для незаметного наблюдения за владельцами мобильных устройств под управлением ОС Android. Например, эти приложения позволяют злоумышленникам перехватывать СМС-переписку, отслеживать телефонные звонки и местоположение смартфонов и планшетов, получать доступ к истории посещений веб-браузера и сохраненным в нем закладкам, копировать контакты из телефонной книги, а также похищать другую конфиденциальную информацию.

Киберпреступники постоянно создают новые троянские и потенциально опасные программы и с их помощью пытаются заразить Android-смартфоны и планшеты пользователей. Многие из таких приложений продолжают появляться в каталоге Google Play. Для защиты мобильных устройств их владельцам следует установить антивирусные продукты Dr.Web для Android.