«Доктор Веб»: обзор вирусной активности для мобильных устройств во II квартале 2024 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, во II квартале 2024 года на защищаемых устройствах наиболее часто выявлялись рекламные троянские программы Android.HiddenAds. Вторыми по распространенности стали вредоносные приложения Android.FakeApp, которые злоумышленники применяют при реализации различных мошеннических схем. Основная доля детектирований этого семейства пришлась на трояна Android.FakeApp.1600, которого наши специалисты обнаружили в конце мая. Он распространяется через вредоносные сайты, с которых скачивается под видом игрового приложения. Однако на самом деле эта подделка при запуске загружает прописанный в ее настройках веб-сайт — в известных модификациях им является сайт онлайн-казино. Его посетителям предлагается сыграть в игру вида «колесо удачи», но при попытке сделать это они перенаправляются на страницу с формой регистрации. Высокие показатели по числу детектирований этой вредоносной программы можно объяснить тем, что для ее продвижения злоумышленники используют в том числе рекламу в других приложениях. При нажатии на такое объявление пользователи попадают на соответствующий вредоносный сайт, с которого происходит загрузка трояна. Третьими по распространенности стали обладающие шпионской функциональностью трояны Android.Spy.

В течение II квартала вирусная лаборатория компании «Доктор Веб» выявила очередные угрозы в каталоге Google Play. Среди них — разнообразные вредоносные программы-подделки Android.FakeApp, а также нежелательная программа Program.FakeMoney.11, якобы позволяющая конвертировать виртуальные награды в настоящие деньги и выводить их из приложения. Кроме того, злоумышленники в очередной раз распространяли через Google Play трояна, который подписывает жертв на платные услуги.

По данным антивирусных продуктов Dr.Web для Android

Android.FakeApp.1600

Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.

Android.HiddenAds.3956

Android.HiddenAds.3980

Android.HiddenAds.3989

Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Spy.5106

Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Program.CloudInject.1

Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.

Program.FakeMoney.11

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.TrackView.1.origin

Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.17.origin

Tool.SilentInstaller.14.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.

Tool.Packer.1.origin

Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Tool.NPMod.1

Tool.NPMod.2

Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.

Adware.ModAd.1

Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты, например ― онлайн-казино и букмекеров, сайты для взрослых.

Adware.AdPush.39.origin

Adware.Adpush.21846

Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Adware.ShareInstall.1.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС.

Adware.Airpush.7.origin

Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

Во втором квартале 2024 года вирусная лаборатория компании «Доктор Веб» вновь выявила в каталоге Google Play троянские приложения из семейства Android.FakeApp. Часть из них распространялась под видом программ финансовой тематики, а также приложений для участия в опросах и викторинах:

Они могли загружать мошеннические сайты, на которых потенциальным жертвам якобы от имени известных кредитных организаций и нефтегазовых компаний предлагалось пройти финансовое обучение или стать инвесторами. Для доступа к тому или иному «сервису» от пользователей требовалось ответить на несколько вопросов, после чего указать персональные данные.

Другие трояны Android.FakeApp скрывались во всевозможных играх. При определенных условиях вместо заявленной функциональности они загружали сайты букмекеров и онлайн-казино.

Еще одна троянская программа семейства Android.FakeApp — Android.FakeApp.1607 — скрывалась в программе — сборнике изображений. Она действительно предоставляла заявленную функциональность, но вместо этого тоже могла загружать сайты онлайн-казино.

Несколько представителей семейства Android.FakeApp (Android.FakeApp.1605 и Android.FakeApp.1606) злоумышленники выдавали за программы для поиска работы. Эти трояны загружают поддельные списки вакансий, где предлагается связаться с «работодателем» через интернет-мессенджеры (например, Telegram), либо отправить «резюме», предоставив персональные данные. После привлечения внимания потенциальных жертв мошенники, пытаясь украсть деньги, могут заманивать пользователей в различные сомнительные схемы заработка.

Наши специалисты также выявили в Google Play еще одну нежелательную программу, принадлежащую семейству Program.FakeMoney. Такие приложения предлагают пользователям выполнять различные задания и получать виртуальные награды, которые в дальнейшем якобы возможно вывести в виде реальных денег. На самом деле они вводят владельцев Android-устройств в заблуждение, поскольку никаких выплат не происходит. Цель таких программ — стимулировать пользователей как можно дольше оставаться внутри них и показывать им рекламу, которая приносит прибыль разработчикам.

Выявленная программа (Program.FakeMoney.11) представляет собой вариант беспроигрышного «однорукого бандита», за игру в который и за просмотр рекламы внутри приложения пользователям начисляются виртуальные награды. При попытке вывести «заработанные» деньги программа максимально отдаляет эту возможность, устанавливая все новые условия. Если же пользователь в итоге «успешно» подаст заявку на вывод, он окажется в некой очереди на рассмотрение, состоящей из нескольких тысяч других «претендентов».

Кроме того, в каталоге Google Play распространялась очередная троянская программа семейства Android.Harly — Android.Harly.87. Вредоносные приложения этого семейства подписывают жертв на платные услуги.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации