Доктор Веб: Обзор вирусной активности для мобильных устройств в январе 2017 года


Hit WebСогласно отчету компании Доктор Веб, главные тенденции января 2017 года:

  • обнаружение Android-трояна, способного внедрялся в работающий процесс программы Play Маркет и незаметно скачивающего приложения из каталога Google Play;
  • распространение банковских троянов;
  • появление трояна-вымогателя в каталоге приложений Google Play.

Мобильная угроза месяца

В начале января 2017 года вирусными аналитиками компании Доктор Веб был обнаружен троян Android.Skyfin.1.origin. Троян внедрялся в работающий процесс приложения Play Маркет, крал конфиденциальные данные и незаметно скачивал приложения из каталога Google Play, искусственно увеличивая их популярность.

Особенности Android.Skyfin.1.origin:

  • распространяется другими вредоносными программами, которые пытаются получить root-полномочия и устанавливают трояна в системный каталог;
  • крадет аутентификационные данные и другую конфиденциальную информацию из приложения Play Маркет, имитирует его работу и незаметно для пользователя скачивает программы из каталога Google Play;
  • после загрузки приложений сохраняет их на карту памяти, но не устанавливает, чтобы не вызывать подозрений у владельца зараженного мобильного устройства;
  • оставляет в каталоге Google Play поддельные отзывы на указанные злоумышленниками программы.


Вредоносные, нежелательные и потенциально опасные программы

Наиболее распространенные вредоносные программы согласно статистике детектирований Dr.Web для Android

Naibolee rasprostranennie vredonosnie programmi po dannim DrWeb for Android v january 2017

  • Android.Loki.34 - вредоносная программа, предназначенная для загрузки других троянов.
  • Android.Xiny.26.origin - троян, загружающий и устанавливающий различные приложения, а также показывающий навязчивую рекламу.
  • Android.DownLoader.337.origin - троян, предназначенный для загрузки других вредоносных приложений.
  • Android.Triada.161.origin - представитель многофункциональных троянов, выполняющих разнообразные вредоносные действия.
  • Android.Mobifun.7 - троян, предназначенный для загрузки других Android-приложений.


Наиболее распространенные нежелательные и потенциально опасные программы Dr.Web для Android

Naibolee rasprostranennie nejelatelnie i opasnie programmi po dannim DrWeb for Android v january 2017

  • Adware.Adpush.7
  • Adware.Airpush.31.origin
  • Adware.Leadbolt.12.origin
  • Adware.WalkFree.2.origin
  • Adware.Appsad.3.origin


Android-банкеры

В январе был обнаружен банковский троян для Android-устройств - Android.BankBot.140.origin. Вредонос распространялся под видом игры Super Mario Run. Напомним, в настоящее время эта игра доступна лишь для устройств под управлением iOS.

Android.BankBot.140.origin отслеживает запуск банковских приложений и отображает поверх их окон фишинговую форму ввода логина и пароля для доступа к учетной записи пользователя. Кроме того, при открытии программы Play Маркет троян пытался украсть информацию о банковской карте, показывая поддельное окно настройки платежного сервиса Google Play.

Другой представитель банковских троянов - Android.BankBot.149.origin, был обнаружен в середине месяца. Это вредоносное приложение отслеживало запуск программ для доступа к услугам дистанционного банковского обслуживания и платежным системам и показывало поверх них мошенническую форму для ввода логина и пароля от учетной записи пользователя. Кроме того, Android.BankBot.149.origin пытался получить сведения о банковской карте, показывая фишинговое окно поверх программы Play Маркет.

Также троян перехватывал входящие СМС и пытался скрыть их, отслеживал GPS-координаты зараженного устройства, похищал информацию из телефонной книги и мог рассылать сообщения по всем доступным номерам.


Трояны в Google Play

В каталоге Google Play был обнаружен троян-вымогатель Android.Locker.387.origin. Для усложнения анализа и детектирования вирусописатели защитили вредонос специальным упаковщиком. Троян распространялся под видом программы Energy Rescue, которая якобы оптимизировала работу аккумулятора. После запуска Android.Locker.387.origin запрашивал доступ к функциям администратора мобильного устройства и блокировал зараженный смартфон или планшет. За разблокировку устройства вредонос требовал выкуп. При этом устройства пользователей из России, Украины и Беларуси вымогатель не атаковал.

Помимо блокировки Android-устройств, Android.Locker.387.origin крал информацию об имеющихся в телефонной книге контактах и все доступные СМС-сообщения.


Обновлено (05.02.2017 19:55)