Мобильные угрозы

Статистика мобильных угроз

В третьем квартале 2016 г. "Лабораторией Касперского" было обнаружено 1 520 931 вредоносных установочных пакетов – это в 2,3 раза меньше, чем в предыдущем квартале (рис. 1).

В рейтинге обнаруженных в третьем квартале 2016 г. детектируемых объектов для мобильных устройств лидируют программы типа RiskTool – легальные приложения, которые потенциально опасны для пользователей. Их доля за квартал продолжила расти – с 45,1% до 55,8%, т.е. в 1,2 раза. Напомним, что во втором квартале доля программ этого типа выросла в 1,5 раза.

Из-за большого количества программ типа RiskTool и значительного увеличения их доли в общем потоке детектируемых объектов процент практически всех остальных типов программ уменьшился, причем даже в тех случаях, когда количество обнаруженных программ выросло по сравнению с предыдущим кварталом.

Больше всего в этом квартале снизилась доля Trojan-Ransom – в 2,4 раза, с 5,72% до 2,37%. Это обусловлено уменьшением активности семейства мобильных вымогателей Trojan-Ransom.AndroidOS.Fusob, о чем мы подробнее расскажем ниже.

При этом мы зафиксировали незначительный, но все же рост доли Trojan-Banker – с 1,88% до 1,98%.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ (таб. 1) не входят потенциально опасные или нежелательные программы, такие как RiskTool и рекламные программы.

Первое место в рейтинге занимает вердикт Dangerous Object.Multi.Generic (78,46%), используемый для вредоносных программ, обнаруженных с помощью облачных технологий. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

В третьем квартале 2016 г. в TOP 20 попали семнадцать троянцев, которые используют рекламу в качестве основного средства монетизации (выделены в таблице синим цветом). Их цель – доставить пользователю как можно больше рекламы различными способами, в том числе за счет установки новых рекламных программ, зачастую скрытно. Эти троянцы могут воспользоваться правами суперпользователя для того, чтобы скрыться в системной папке, удалить откуда их будет очень сложно.

Используя права суперпользователя на устройстве, троянцы могут делать незаметно от пользователя очень много разных вещей, в том числе устанавливать различные программы из официального магазина приложений Google Play Store, включая платные.

Стоит отметить, что троянцы семейства Ztorg, которые заняли четыре строки в TOP 20, часто распространяются через официальный магазин приложений Google Play Store. С конца 2015 г. мы зарегистрировали более 10 подобных случаев (в том числе распространение под видом гида для игры Pokemon GO). Несколько раз у троянца было более 100 000 установок, а один раз – более 500 000.

Кроме того, в рейтинг попали два представителя семейства мобильных банкеров Trojan-Banker.AndroidOS.Svpeng. Как мы уже писали выше, Svpeng.q стал самым популярным зловредом в третьем квартале 2016 г. Такой популярности злоумышленникам удалось добиться благодаря распространению троянца через рекламную сеть AdSense, которой пользуется большое количество сайтов в Рунете.

География мобильных угроз

В третьем квартале первое место занял Бангладеш (табл. 2) – в нем практически 36% пользователей хотя бы раз в течение квартала сталкивались с мобильными зловредами. Китай же, занимавший первое место подобных рейтингов в течение предыдущих двух кварталов, спустился на четвертое.

Во всех странах этого списка, за исключением Китая, популярны примерно одни и те же мобильные детектируемые объекты – рекламные троянцы, попавшие в TOP 20 мобильных вредоносных программ, в основном относящиеся к семействам Ztorg, Iop, Hiddad и Triada. В Китае тоже популярны рекламные троянцы, но других семейств – в основном Backdoor. AndroidOS.GinMaster и Back-door.AndroidOS.Fakengry.

Россия (12,1%) в этом рейтинге заняла 24-е место, Франция (6,7%) – 52-е. США (5,3%) оказались на 63-й строчке, Италия (5,1%) – на 65-й, Германия (4,9%) – на 68-й, Великобритания (4,7%) – на 71-й. Самые безопасные страны по доле атакованных пользователей: Австрия (3,3%), Хорватия (3,1%) и Япония (1,7%).

Pokemon GO: популярен и у пользователей, и у злоумышленников

Одним из знаковых событий этого лета стал выход игры Pokemon GO. Злоумышленники, конечно же, не могли оставить без внимания популярность новинки и старались использовать ее для своих целей. Чаще всего они добавляли вредоносный код в оригинальную игру и распространяли вредоносное приложение через сторонние магазины. Таким образом распространялся, например, банковский троянец Trojan-Banker.AndroidOS.Tordow, использующий уязвимости в системе для получения прав суперпользователя на устройстве. Обладая правами суперпользователя, этот троянец защищается от удаления, кроме того, он может воровать сохраненные пароли из браузеров.

Но самым громким случаем использования популярности Pokemon GO для заражения мобильных устройств пользователей стало размещение злоумышленниками гида для этой игры¹ в официальном магазине приложений Google Play Store. Это приложения на самом деле оказалось рекламным троянцем, способным получить на устройстве права суперпользователя, эксплуатируя уязвимости в системе.

Впоследствии экспертам "Лаборатории Касперского" удалось обнаружить еще две модификации этого троянца (рис. 3), которые были размещены в магазине Google Play под видом разных приложений. Один из них, выдававший себя за эквалайзер, по данным Google Play имел от 100 000 до 500 000 установок.

Интересно, что для продвижения троянца злоумышленники выбрали в том числе компанию, которая платит пользователям за установку рекламируемых приложений (рис. 4).

По правилам этой компании она не сотрудничает с пользователями, на устройстве которых есть права суперпользователя. Таким образом, пытаясь немного подзаработать, пользователь не только заражает свое устройство троянцем, но и не получает деньги, т.к. после заражения на устройстве появляются права суперпользователя.

Реклама с троянцем

Самым популярным мобильным троянцем в третьем квартале 2016 г. стал Trojan-Banker.AndroidOS.Svpeng.q. За квартал количество атакованных им пользователей выросло практически в 8 раз.

Более 97% атакованных Svpeng пользователей находились в России. Такой популярности троянца злоумышленникам удалось добиться, рекламируя его через рекламную сеть Google AdSense ². Это одна из самых популярных рекламных сетей в Рунете, для показа пользователям таргетированной рекламы ею пользуются много известных и популярных сайтов. Оплатить и зарегистрировать свое рекламное объявление в этой сети может любой желающий, что и проделали злоумышленники. Только вместе с рекламой они разместили в AdSense троянца. В результате при посещении пользователем страницы с их рекламным объявлением на его устройство загружался Svpeng.

Обход защитных механизмов Android 6

В начале 2016 г. активно развивалось семейство банковских троянцев Trojan-Banker.AndroidOS.Asacub, которое обходило некоторые ограничения системы. Банкеры продолжают эволюционировать, и здесь стоит отметить семейство банковских троянцев Trojan-Banker.AndroidOS.Gugi, которые научились обходить некоторые защитные механизмы, появившиеся в Android 6, обманывая пользователя. Во-первых, троянец запрашивает права на перекрытие других приложений, а во-вторых, воспользовавшись предоставленным ранее правом, вынуждает пользователя дать ему права на работу с SMS и на совершение звонков.

Троянец-вымогатель в официальном магазине приложений Google Play

Популярные у злоумышленников угрозы – вымогатели и шифровальщики – давно перекинулись с ПК и рабочих компьютеров на мобильные платформы, и более того, в третьем квартале эксперты "Лаборатории Касперского" зафиксировали распространение мобильного троянца-вымогателя Trojan-Ransom.AndroidOS.Pletor.d через официальный магазин приложений Google Play. Троянец выдавал себя за приложение для обслуживания устройства, в задачи которого входили очистка от ненужных данных, ускорение работы устройства и даже антивирусная защита (рис.5).

На самом же деле троянец проверял страну устройства, и если это была не Россия или Украина, то запрашивал права администратора устройства и обращался к серверу за командами. Несмотря на то, что ранние модификации этого троянца шифровали данные³ пользователя, данная модификация не имеет такой функциональности – троянец блокирует работу устройства, открыв свое окно поверх всех открытых окон на устройстве, и вымогает деньги за разблокировку.

Мобильные банковские троянцы

С 2014 г. мы наблюдаем планомерное увеличение количества атак финансового вредоносного ПО на платформу Android. Хакеры постепенно переключаются с самой популярной Windows на "Зеленого робота". Так, если в первом полугодии 2014 г. только 22% атак были направлены на Android, то за аналогичные три месяца этого года уже 72%. Кстати, именно в 2016 г. количество атак финансововых зловредов на мобильные гаджеты впервые превысило количество атак на компьютеры в РФ.

За третий квартал этого года "Лабораторией Касперского" было обнаружено 30 167 установочных пакетов мобильных банковских троянцев (рис. 6), что в 1,1 раза больше, чем в прошлом квартале.

Самым популярным мобильным банковским троянцем в этом квартале стал Trojan-Banker.AndroidOS.Svpeng.q благодаря активному распространению через рекламную сеть AdSense. Более половины пользователей, столкнувшихся в этом квартале с мобильными банковскими троянцами, столкнулись с Trojan-Banker.AndroidOS.Svpeng.q. В третьем квартале троянец постоянно наращивал темпы распространения – в сентябре мы зарегистрировали практически в 8 раз больше атакованных пользователей, чем их было в июне (рис. 7).

Более 97% атакованных пользователей находились в России. Это семейство мобильных банковских троянцев использует фишинговые окна для кражи данных кредитной карточки и логина-пароля от онлайн-банкинга. Кроме того, злоумышленники воруют деньги посредством SMS-сервисов, в том числе мобильного банкинга.

В третьем квартале 2016 г. в этом рейтинге первое место заняла Россия (3,12%), где по сравнению со вторым кварталом практически удвоилась доля пользователей, атакованных мобильными банковскими троянцами.

Австралия (1,42%), как и в предыдущем квартале, заняла второе место в рейтинге, большая часть атак в этой стране пришлась на представителей семейств Trojan-Banker.Androi-dOS.Acecard и Trojan-Banker.AndroidOS.Marcher.

Самыми распространяемыми мобильными банковскими троянцами в третьем квартале 2016 года стали представители семейств Svpeng, Faketoken, Regon, Asacub, Gugi и Grapereh. Отметим, что семейство Trojan-Banker.AndroidOS.Gugi в этом квартале научилось обходить некоторые защитные механизмы Android c помощью обмана пользователей.

Мобильные троянцы-вымогатели

В третьем квартале 2016 г. эксперты "Лаборатории Касперского" обнаружили 37 150 установочных пакетов мобильных троянцев-вымогателей (рис. 8).

Резкий рост количества установочных пакетов мобильных вымогателей в первом и втором кварталах 2016 г. был обусловлен активным распространением троянцев семейства Trojan-Ransom.Androi-dOS.Fusob. В первом квартале 2016 г. на это семейство пришлось боле 96% обнаруженных установочных пакетов мобильных зловредов типа Trojan-Ransom, во втором квартале их доля составила 85%. В третьем же квартале их доля составила уже 73% (рис. 9).

Это семейство атаковало максимальное количество пользователей в марте 2016 г., с тех пор количество атакованных пользователей уменьшается, причем сильнее всего в Германии.

Несмотря на это, самым популярным троянцем-вымогателем в третьем квартале все равно стал Trojan-Ran-som.AndroidOS.Fusob.h. С ним столкнулись более 53% пользователей, атакованных мобильными вымогателями. После запуска этот троянец запрашивает права администратора, собирает информацию об устройстве, в том числе GPS-координаты и историю звонков, и загружает ее на сервер злоумышленников. После чего он может получить команду на блокировку устройства.

Во всех странах из этого TOP 10, кроме Казахстана, наиболее популярно семейство Fusob. В США, помимо Fusob, достаточно популярно семейство Trojan-Ran-som.AndroidOS.Svpeng. Это семейство троянцев-вымогателей появилось в 2014 г. как модификация семейства мобильных банкеров Trojan-Banker.AndroidOS.Svpeng. Эти троянцы-вымогатели обычно требуют $100–500 за разблокировку устройства.

В Казахстане основную угрозу для пользователей представляют троянцы-вымогатели семейства Small. Это достаточно простой троянец-вымогатель, который перекрывает своим окном все остальные окна на устройстве, таким образом блокируя его работу. За разблокировку злоумышленники обычно требуют от $10.