В октябре утроилось число потенциально опасных программ под Android

Антивирусные продукты Dr.Web для Android в октябре выявили на защищаемых устройствах на 12,36% больше угроз, чем месяцем ранее. Согласно статистике детектирований, число вредоносных программ увеличилось на 9,08%, нежелательных – на 6%, а потенциально опасных – на 197,24%. Количество обнаруженных рекламных приложений при этом снизилось на 1,51%.

Практически троекратный рост числа потенциально опасных программ в статистике обнаружений обусловлен распространением приложений, защищенных специализированной утилитой Tool.Obfuscapk.1. Она применяется для обфускации исходного кода и может использоваться не только добросовестными разработчиками, но и вирусописателями, которые пытаются защитить троянские программы от обнаружения антивирусами.

В каталоге Google Play специалисты «Доктор Веб» обнаружили множество новых троянов семейства Android.FakeApp, которые распространялись под видом программ-справочников, якобы предназначенных для помощи в получении налоговых вычетов и социальных компенсаций. В действительности они загружали мошеннические веб-сайты, с помощью которых злоумышленники могли украсть у пользователей конфиденциальную информацию и деньги.

Другая вредоносная программа из Google Play получила имя Android.HiddenAds.2314. Это троян, предназначенный для показа навязчивой рекламы. Он распространялся под видом графического редактора.

Наиболее распространенные вредоносные программы октября, согласно статистике антивирусных продуктов Dr.Web для Android:

• Android.Triada.510.origin, Android.Triada.541.origin, Android.Triada.4795 – многофункциональные трояны, выполняющие разнообразные вредоносные действия. Относятся к семейству троянских приложений, проникающих в процессы всех работающих программ. Различные представители этого семейства могут встречаться в прошивках Android-устройств, куда злоумышленники внедряют их на этапе производства. Кроме того, некоторые их модификации могут эксплуатировать уязвимости, чтобы получить доступ к защищенным системным файлам и директориям;
• Android.Click.348.origin – вредоносное приложение, которое самостоятельно загружает веб-сайты, нажимает на рекламные баннеры и переходит по ссылкам. Может распространяться под видом безобидных программ, не вызывая подозрений у пользователей;
• Android.RemoteCode.6122 – вредоносная программа, которая загружает и выполняет произвольный код. В зависимости от модификации она также может загружать различные веб-сайты, переходить по ссылкам, нажимать на рекламные баннеры, подписывать пользователей на платные услуги и выполнять другие действия.

Самые распространенные нежелательные программы октября под Android:

• Program.FreeAndroidSpy.1.origin, Program.Reptilicus.7.origin, Program.Mrecorder.1.origin – приложения, которые следят за владельцами Android-устройств и могут использоваться для кибершпионажа. Они способны контролировать местоположение устройств, собирать данные об SMS-переписке, беседах в социальных сетях, копировать документы, фотографии и видео, выполнять прослушивание телефонных звонков и окружения и т.п.
• Program.FakeAntiVirus.2.origin – детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии;
• Program.CreditSpy.2 – детектирование программ, предназначенных для присвоения кредитного рейтинга на основании персональных данных пользователей. Такие приложения загружают на удаленный сервер SMS-сообщения, информацию о контактах из телефонной книги, историю вызовов, а также другие сведения.

Наиболее распространенные потенциально опасные программы:

• Tool.Obfuscapk.1 – детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами;
• Tool.SilentInstaller.6.origin, Tool.SilentInstaller.13.origin, Tool.SilentInstaller.14.origin – потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему;
• Tool.Packer.1.origin – специализированная утилита-упаковщик, предназначенная для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может быть использована для защиты как безобидных, так и троянских программ.

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты. Adware.Adpush.36.origin, Adware.SspSdk.1.origin, Adware.Adpush.6547, Adware.Myteam.2.origin, Adware.Toofan.1.origin.

В октябре специалисты «Доктор Веб» выявили в каталоге Google Play семнадцать новых модификаций троянов семейства Android.FakeApp, которые распространялись под видом безобидных приложений, таких как справочники. Большинство из них злоумышленники вновь выдавали за программы, якобы предназначенные для проверки наличия социальных компенсаций и помощи в получении возврата налогов. По классификации антивируса Dr.Web они получили имена Android.FakeApp.208, Android.FakeApp.209, Android.FakeApp.210, Android.FakeApp.212, Android.FakeApp.213, Android.FakeApp.214, Android.FakeApp.215 и Android.FakeApp.216.

Еще одна модификация представляла собой поддельную программу спортивной тематики и была добавлена в вирусную базу как Android.FakeApp.211.

Однако настоящая и единственная их функция – загрузка мошеннических веб-сайтов. В общей сложности эти трояны скачали свыше 105 тыс. владельцев Android-устройств.

При запуске вредоносные приложения загружают сайты, где потенциальной жертве предлагается указать персональные данные якобы для проверки доступных денежных компенсаций. После того как компенсация «найдена», у пользователя запрашивается дополнительная информация, а затем ему предлагается оплатить налог или пошлину за перевод «возвращаемых» денег. Если владелец устройства соглашается на это, злоумышленники узнают не только его конфиденциальные данные (например, имя, фамилия, номер телефона и адрес электронной почты), но и реквизиты банковской карты с секретным CVV2-кодом. При этом жертва мошенничества естественно не получает никаких обещанных компенсаций.

Другой выявленный троян принадлежал семейству вредоносных приложений Android.HiddenAds и был добавлен в вирусную базу Dr.Web как Android.HiddenAds.2314. Он распространялся под видом программы для редактирования изображений. При запуске троян скрывает свой значок из списка ПО в меню главного экрана, чтобы в дальнейшем его было сложнее обнаружить и удалить с устройства. Затем он начинает показывать рекламу, которая демонстрируется поверх окон других приложений и интерфейса операционной системы, мешая нормальному использованию устройства.