Согласно данным статистики детектирований антивируса Dr.Web для Android, в октябре одними из наиболее распространенных угроз оставались приложения, демонстрирующие нежелательную рекламу. Однако по сравнению с прошлым месяцем их активность несколько снизилась.

Заметную активность проявили банковские трояны и приложения, позволяющие злоумышленникам шпионить за пользователями. Например, владельцы Android-устройств вновь сталкивались с троянской программой Android.Spy.4498 и различными ее модификациями. Она способна похищать содержимое уведомлений от других приложений, что может привести к утечке конфиденциальных данных.

Вместе с тем в течение месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество новых угроз, включая вредоносное, рекламное и нежелательное ПО.

ГЛАВНЫЕ ТЕНДЕНЦИИ ОКТЯБРЯ

Троянские приложения, демонстрирующие нежелательную рекламу, остаются одними из наиболее распространенных Android-угроз
Появление новых угроз в каталоге Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.4498
Android.Spy.5106: Детектирование различных модификаций трояна, крадущего содержимое уведомлений от других приложений. Он также загружает и предлагает пользователям установить другие программы и может демонстрировать диалоговые окна.
Android.MobiDash.6945: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.HiddenAds.3558: Троянская программа, предназначенная для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.BankBot.11466: Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское, а также другое вредоносное ПО.

Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.1.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет читать переписку пользователя (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.WapSniff.1.origin: Программа для перехвата сообщений в мессенджере WhatsApp.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.13.origin
Tool.SilentInstaller.6.origin
Tool.SilentInstaller.7.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.Obfuscapk.1: Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.SspSdk.1.origin
Adware.AdPush.36.origin
Adware.Adpush.6547
Adware.Fictus.1.origin
Adware.Airpush.7.origin

Угрозы в Google Play

В начале октября вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play троянскую программу Fast Cleaner & Cooling Master, которую злоумышленники выдавали за утилиту оптимизации работы операционной системы. Она управляется при помощи команд, которые получает через Firebase Cloud Messaging или AppMetrica Push SDK. В зависимости от команды приложение показывает рекламу или запускает на Android-устройстве прокси-сервер для использования третьими лицами, которые могут перенаправлять через него трафик. Различные версии этого трояна антивирус Dr.Web детектирует как Android.Proxy.35, Android.Proxy.36 и Android.Proxy.37.

Позднее были выявлены приложения, содержащие новый рекламный модуль Adware.FireAd. Он получает команды через Firebase Cloud Messaging и открывает в веб-браузере заданные в них ссылки. Модуль был встроен в некоторые версии таких программ как Volume, Music Equalizer (версии 2.9-3.5, детектируются Dr.Web как Adware.FireAd.1), Bluetooth device auto connect (версии 46-58, детектируются как Adware.FireAd.2) и Bluetooth & Wi-Fi & USB driver (версии 15-19, детектируются как Adware.FireAd.2).

В конце октября в вирусную базу Dr.Web была добавлена запись Program.FakeMoney.3 для детектирования нежелательного приложения под названием TubeBox. С его помощью владельцы Android-устройств якобы могли зарабатывать на просмотре видеороликов и рекламы.

За каждый просмотр на внутренний счет им якобы начислялось вознаграждение — монеты и купоны, которые можно конвертировать в деньги и вывести удобным способом — например, банковским переводом или через платежные системы. При этом, чтобы вывести деньги, они должны были накопить минимально допустимую сумму. Если же нужная сумма со временем набиралась, получить выплаты пользователи не могли из-за тех или иных проблем, о которых сообщала программа. Создатели приложения старались как можно дольше удержать своих жертв внутри него, чтобы те продолжали смотреть видео и рекламу, на самом деле зарабатывая деньги для мошенников, а не для себя.

Также в течение месяца было найдено множество новых программ-подделок семейства Android.FakeApp, которые киберпреступники использовали в различных мошеннических схемах. Троянские приложения распространялись под видом инвестиционных программ, якобы имеющих прямое отношение к российским банкам и сырьевым компаниям, а также маскировались под справочники и программы для участия в опросах. Мошенники обещали потенциальным жертвам (в том числе через рекламу), что те смогут пройти обучение инвестированию, выгодно вложить средства, самостоятельно торговать газом и даже бесплатно получить акции соответствующих компаний. На самом деле такие подделки загружали специально созданные сайты, на которых под видом участия в опросах, регистрации учетных записей или подачи заявок собирались персональные данные.

Ниже представлены примеры рекламы, в которой потенциальным жертвам предлагается установить троянские приложения. Злоумышленники используют образы известных личностей и компаний, а также делают громкие заявления. В частности, обещают высокий доход и сопровождают рекламу такими фразами как «Против санкций всей страной», «Дарим 10 акций бесплатно», «Заработайте уже во время обучения», «Я дам вам 100 000 USD, если вы не станете миллионером за 6 месяцев» и т. п.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно