Небезпечні трояни маскуються у Google Play під антивіруси та VPN-клієнти

Згідно зі статистикою детектування антивірусних продуктів Dr.Web для Android за жовтень, основною загрозою для користувачів залишаються рекламні троянські програми, а також шкідливі програми, що завантажували інше ПЗ та виконували довільний код.

Минулого місяця фахівці виявили у каталозі Google Play троянів, що підписують жертв на платні послуги та викрадають логіни і паролі від облікових записів соціальної мережі Facebook, а також шкідливі програми, що перетворюють Android-пристрою користувачів на проксі-сервери.

• Android.MobiDash.6244 – Троянська програма, що показує надокучливу рекламу. Є програмним модулем, який розробники ПЗ вбудовують у програми.
• Android.HiddenAds.1994, Android.HiddenAds.615.origin – Трояни, призначені для показу нав'язливої реклами. Часто поширюються під виглядом нешкідливих програм і в деяких випадках встановлюються у системний каталог іншими шкідливими програмами.
• Android.Triada.4567, Android.Triada.510.origin – Багатофункціональні трояни, що виконують різноманітні шкідливі дії. Належать до сімейства троянських програм, що проникають у процеси всіх працюючих програм. Різні представники цього сімейства можуть зустрічатися у прошивках Android-пристроїв, куди зловмисники впроваджують їх на етапі виробництва. Окрім того, деякі їх модифікації можуть експлуатувати уразливості, щоб отримати доступ до захищених системних файлів та каталогів.

• Program.FakeAntiVirus.1 – Рекламні програм, що імітують роботу антивірусного ПЗ. Можуть повідомляти про неіснуючі загрози та вводити користувачів у оману, вимагаючи оплатити купівлю повної версії.
• Program.SecretVideoRecorder.1.origin – Програма, призначена для фонової фото- та відеозйомки за допомогою вбудованих камер Android-пристроїв. Вона може працювати непомітно, дозволяючи відключити повідомлення про запис, а також змінювати піктограму та опис програми на фальшиві. Така функціональність робить цю програму потенційно небезпечною.
• Program.FreeAndroidSpy.1.origin, Program.Gemius.1.origin – Програми, що стежать за власниками Android-пристроїв і можуть використовуватися для кібершпигунства. Вони здатні контролювати розташування пристроїв, збирати дані про SMS-листування, бесіди в соціальних мережах, копіювати документи, фотографії та відео, прослуховувати телефонні дзвінки й оточення тощо.
• Program.KeyStroke.3 – Android-програма, здатна перехоплювати введену з клавіатури інформацію. Деякі її модифікації також дозволяють відстежувати вхідні SMS-повідомлення, контролювати історію телефонних дзвінків та записувати телефонні розмови.

• Tool.SilentInstaller.14.origin, Tool.SilentInstaller.6.origin, Tool.SilentInstaller.13.origin, Tool.SilentInstaller.7.origin – Потенційно небезпечні програмні платформи, які дозволяють програмам запускати apk-файли без їх встановлення. Вони створюють віртуальне середовище виконання, яке не зачіпає основну операційну систему.
• Tool.Packer.1.origin – Спеціалізована утиліта-пакувальник, призначена для захисту Android-програм від модифікації та зворотного інжинірингу. Вона не є шкідливою, але може використовуватися для захисту як нешкідливих, так і троянських програм.

Adware.SspSdk.1.origin, Adware.AdPush.36.origin, Adware.Adpush.16510, Adware.Adpush.6547, Adware.Myteam.2.origin – Програмні модулі, що вбудовуються в Android-програми та призначені для показу нав'язливої реклами на мобільних пристроях. Залежно від сімейства та модифікації вони можуть демонструвати рекламу в повноекранному режимі, блокуючи вікна інших програм, виводити різні повідомлення, створювати ярлики та завантажувати веб-сайти.

Загрози в Google Play

Серед виявлених у каталозі Google Play шкідливих програм були чергові трояни, призначені для викрадення логінів і паролів від облікових записів Facebook. Вони поширювалися під виглядом корисного програмного забезпечення: фото- та відеоредакторів Pix Photo Motion Edit 2021, Collage Maker – Mirror Effect Editor та Video Maker with Music, а також VPN-клієнтів Kangaroo VPN, S-VPN Proxy та Lightning VPN.

Окрім того, вірусні аналітики виявили нові модифікації небезпечних шкідливих програм із сімейства Android.Joker, що підписують користувачів на платні мобільні послуги та здатні завантажувати та виконувати довільний код. Трояни поширювалися під виглядом програм Color Call Flash Alert on Call і Apply Flasher, які повідомляють про вхідні дзвінки та повідомлення.

Також фахівці виявили шкідливі програми Android.Proxy.29 і Android.Proxy.41.origin, що поширювалися під виглядом програм Mobile Battery Saver та Optimizer для оптимізації роботи Android-пристроїв. Насправді це були трояни, що перетворювали пристрої жертв на проксі-сервери для переадресації трафіку зловмисників.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365