О мобильных угрозах

Серый кардинал Baohuo. Android-бэкдор захватывает учетные записи Telegram, получая над ними полный контроль

Thu, 23 Oct 2025 12:15:33 GMT

23 октября 2025 года

Компания «Доктор Веб» выявила опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных злоумышленниками версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные данные, включая логин и пароль пользователя, а также историю переписки, это ВПО обладает рядом уникальных особенностей. Например, чтобы предотвратить свое обнаружение и скрыть факт компрометации учетной записи, Android.Backdoor.Baohuo.1.origin умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, он может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, также скрывая эти действия. Фактически с его помощью злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Киберпреступники управляют бэкдором в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам наших специалистов общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000.

Распространение Android.Backdoor.Baohuo.1.origin началось в середине 2024 года, о чем свидетельствуют найденные при его анализе более ранние модификации. Основным способом доставки бэкдора на целевые устройства является реклама внутри мобильных приложений. Потенциальным жертвам демонстрируются объявления, в которых предлагается установить мессенджер Telegram X. При нажатии на баннер пользователи перенаправляются на вредоносные сайты, с которых и происходит загрузка троянского APK.

Эти сайты оформлены в стиле магазина приложений, а сам мессенджер позиционируется на них как площадка для удобного поиска партнера для общения и свиданий. Об этом говорят как баннеры с наложенным на них рекламным текстом о «бесплатных видеочатах» и с приглашениями «поговорить» (например, под видом скриншотов окна видеовызова), так и сочиненные злоумышленниками отзывы якобы довольных пользователей. Отметим, что на веб-страницах предусмотрена возможность выбора языка оформления, однако сами изображения при этом не меняются.

Один из вредоносных сайтов, с которых загружается троянская версия Telegram X. Потенциальным жертвам предлагается установить программу, где согласно «отзывам», легко найти партнера для общения и свиданий

В настоящее время киберпреступники подготовили типовые шаблоны с баннерами только для двух языков: португальского с ориентиром на пользователей из Бразилии, а также индонезийского. Таким образом, жители Бразилии и Индонезии являются главной целью для атакующих. В то же время нельзя исключать, что со временем интерес злоумышленников распространится и на пользователей из других стран.

Изучение сетевой инфраструктуры атакующих позволило определить масштаб их деятельности. В среднем вирусные аналитики «Доктор Веб» наблюдают порядка 20 000 активных подключений Android.Backdoor.Baohuo.1.origin. При этом общее число зараженных устройств превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Страны с наибольшим числом устройств, зараженных Android.Backdoor.Baohuo.1.origin (по данным антивирусной лаборатории «Доктор Веб»)

Однако Android.Backdoor.Baohuo.1.origin распространяется не только через вредоносные сайты: наши специалисты обнаружили его и в сторонних каталогах Android-приложений — например, APKPure, ApkSum и AndroidP. При этом в магазине APKPure он размещен от имени официального разработчика мессенджера, несмотря на то, что цифровые подписи оригинала и троянской модификации отличаются. Мы уведомили онлайн-площадки, в которых были найдены троянские версии Telegram X.

Модифицированный Telegram X с внедренным Android.Backdoor.Baohuo.1.origin распространялся в APKPure от имени настоящего разработчика мессенджера

Антивирусная лаборатория «Доктор Веб» выявила несколько разновидностей Android.Backdoor.Baohuo.1.origin, которые условно можно разделить на 3 основные группы модификаций Telegram X:

версии, в которых злоумышленники встроили бэкдор в основной исполняемый DEX-файл мессенджера;
версии, в которых бэкдор в виде патча динамически внедряется в исполняемый DEX-файл при помощи утилиты LSPatch;
версии, в которых бэкдор находится в отдельном DEX-файле в каталоге с ресурсами программы и загружается динамически.

Независимо от типа модификации Android.Backdoor.Baohuo.1.origin инициализируется при запуске самого мессенджера. Тот остается работоспособным и для пользователей выглядит как обычная программа. Однако в действительности злоумышленники через бэкдор полностью его контролируют и даже могут изменять логику его работы.

Когда киберпреступникам необходимо выполнить действие, которое не требует вмешательства в основную функциональность программы, используются заранее подготовленные «зеркала» необходимых методов приложения. Например, с их помощью могут отображаться фишинговые сообщения в окнах, которые внешне не будут отличаться от настоящих окон Telegram X.

Методы — это отдельные блоки кода в структуре Android-приложений, которые отвечают за выполнение тех или иных задач.

Если же действие не является стандартным для программы, то используется фреймворк Xposed, который непосредственно меняет ту или иную функциональность мессенджера через динамическую модификацию методов. В частности, с его помощью скрываются определенные чаты и авторизованные устройства, а также перехватывается содержимое буфера обмена.

Основное отличие ранних версий вредоносного приложения от актуальных — в организации управления трояном. В старых модификациях связь со злоумышленниками и получение от них заданий реализованы традиционным способом — через C2-сервер. Однако со временем вирусописатели добавили в Android.Backdoor.Baohuo.1.origin возможность отправки дополнительных команд через базу данных Redis, расширив тем самым его функциональность и обеспечив двумя независимыми каналами управления. При этом они предусмотрели дублирование новых команд и через обычный C2-сервер на случай, если база окажется недоступной. Это первый известный факт применения Redis для управления вредоносным ПО для Android.

Во время запуска Android.Backdoor.Baohuo.1.origin соединяется с начальным C2-сервером для загрузки конфигурации, которая среди прочего содержит данные для подключения к Redis. Через эту базу данных злоумышленники не только отправляют определенные команды вредоносному приложению, но и обновляют настройки трояна. В том числе они назначают адрес текущего C2-сервера, а также NPS-сервера. Последний вирусописатели используют для подключения зараженных устройств к своей внутренней сети (интранету) и превращения их в прокси для выхода в интернет.

Android.Backdoor.Baohuo.1.origin периодически связывается с C2-сервером через API-вызовы и может получать следующие задания:

загрузить на C2-сервер входящие СМС и контакты из телефонной книги зараженного устройства;
отправить на сервер содержимое буфера обмена при сворачивании мессенджера и возвращении в его окно;
получить от C2-сервера интернет-адреса для демонстрации рекламы, а также адрес сервера для скачивания обновления трояна в виде исполняемого DEX-файла;
получить ключи шифрования, которые используются при отправке некоторых данных на C2-сервер — например, содержимого буфера обмена;
запросить группу команд на сбор информации об установленных на устройстве приложениях, истории сообщений, контактах из телефонной книги устройства и об устройствах, на которых выполнен вход в Telegram (запрос выполняется с интервалом в 30 минут);
запросить у C2-сервера ссылку для скачивания обновления Telegram X;
запросить у C2-сервера конфигурацию, которая сохраняется в виде JSON-файла;
запросить информацию о базе данных Redis;
загрузить на C2-сервер информацию об устройстве при каждой сетевой активности мессенджера;
получить с C2-сервера список ботов, которые затем добавляются в список контактов Telegram;
каждые 3 минуты передавать на сервер информацию о текущих разрешениях приложения, состоянии устройства (включен ли или выключен экран, активно ли приложение), а также номер мобильного телефона с именем и паролем от учетной записи Telegram;
каждую минуту запрашивать команды в формате, аналогичном командам от базы данных Redis.

Для получения команд через Redis Android.Backdoor.Baohuo.1.origin подключается к соответствующему серверу злоумышленников, где регистрирует свой подканал — к нему в дальнейшем подключаются киберпреступники. Они публикуют в нем задания, которые бэкдор затем исполняет. Вредоносная программа может получать следующие команды:

создать черный список чатов, которые не будут отображаться пользователю в окне Telegram X;
скрыть от пользователя заданные устройства в списке авторизованных для его учетной записи;
заблокировать на заданное время отображение уведомлений от чатов из созданного черного списка;
показать окно с информацией об обновлении приложения Telegram X — при нажатии на него пользователь перенаправляется на заданный сайт;
отправить на C2-сервер информацию обо всех установленных приложениях;
сбросить на зараженном устройстве текущую сессию авторизации пользователя в Telegram;
показать окно с информацией об обновлении приложения Telegram X, где пользователю предлагается установить APK-файл (если файл отсутствует, троян предварительно скачивает его);
убрать значок Telegram Premium в интерфейсе приложения у текущего пользователя;
загрузить на C2-сервер информацию из баз данных Telegram X, в которых хранится история чатов, сообщения и другие конфиденциальные данные;
подписать пользователя на заданный Telegram-канал;
покинуть заданный Telegram-канал;
вступить от лица пользователя в Telegram-чат по указанной ссылке;
получить список устройств, на которых выполнена авторизация в Telegram;
запросить получение токена аутентификации пользователя и передать его на С2-сервер.

Отметим, что перехват данных из буфера обмена, когда пользователь сворачивает мессенджер и снова возвращается в его окно, позволяет реализовывать различные сценарии кражи конфиденциальных данных. Например, жертва может скопировать пароль или мнемоническую фразу для входа в криптокошелек, текст важного документа для отправки бизнес-партнерам по почте и т. д., а троян перехватит оставшиеся в буфере данные и передаст злоумышленникам.

Dr.Web Security Space для мобильных устройств успешно обнаруживает и удаляет известные версии бэкдора Android.Backdoor.Baohuo.1.origin, поэтому для наших пользователей он опасности не представляет.

Подробнее об Android.Backdoor.Baohuo.1.origin
Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности для мобильных устройств в III квартале 2025 года

Wed, 01 Oct 2025 02:00:00 GMT

1 октября 2025 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в III квартале 2025 года наибольшее распространение получили трояны Android.MobiDash, которые показывают навязчивую рекламу. По сравнению с прошлым периодом наблюдения они обнаруживались на защищаемых устройствах на 18,19% чаще.

На второе место опустились рекламные трояны Android.HiddenAds, активность которых снижается второй квартал подряд. В течение последних трех месяцев пользователи сталкивались с ними на 71,85% реже. Эти вредоносные приложения скрывают свои значки, чтобы их было сложнее обнаружить и удалить, и демонстрируют рекламу, в том числе полноэкранные видеоролики.

На третьем месте вновь расположились вредоносные программы-подделки Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. Число их детектирований снизилось на 7,49%. Такие трояны вместо заявленной функциональности часто загружают различные сайты — например, мошеннические и вредоносные, а также сайты онлайн-казино и букмекерских контор.

Самыми распространенными банковскими троянами остались представители семейства Android.Banker, несмотря на снижение активности на 38,88%. Злоумышленники используют их для получения нелегального доступа к банковским счетам и похищения денег. Эти трояны могут демонстрировать фишинговые окна для кражи логинов и паролей, имитировать внешний вид настоящих программ «банк-клиент», перехватывать СМС для получения одноразовых кодов и т. д.

За ними расположились трояны Android.BankBot, которые детектировались на 18,91% чаще. Они также пытаются получить доступ к учетным записям онлайн-банка пользователей, перехватывая коды подтверждения. При этом данные банковские трояны могут выполнять различные команды киберпреступников, а некоторые из них позволяют дистанционно управлять зараженными устройствами.

Замыкают тройку лидеров представители семейства Android.SpyMax, основанные на исходном коде трояна-шпиона SpyNote. Они детектировались на 17,25% реже, чем во II квартале. Эти вредоносные программы обладают широким набором вредоносных функций, в том числе позволяют дистанционно управлять устройствами.

В августе мы сообщили о кампании по распространению многофункционального бэкдора Android.Backdoor.916.origin, которого киберпреступники используют для кражи конфиденциальных данных и слежки за пользователями Android-устройств. Злоумышленники отправляли потенциальным жертвам сообщения в различных мессенджерах, предлагая установить «антивирус» из прикрепленного APK-файла. Антивирусная лаборатория «Доктор Веб» обнаружила первые версии этой вредоносной программы еще в январе 2025 года и с тех пор продолжает отслеживать ее развитие. По оценкам наших экспертов, бэкдор применяется в таргетированных атаках и не предназначен для массового распространения. Основной целью киберпреступников являются представители российского бизнеса.

В течение III квартала в каталоге Google Play распространялось множество вредоносных и нежелательных приложений, которые суммарно были установлены свыше 1 459 000 раз. Среди них — десятки троянов Android.Joker, подписывающих жертв на платные услуги, а также программы-подделки Android.FakeApp. Кроме того, наши вирусные аналитики выявили очередную программу, которая якобы позволяла конвертировать виртуальные награды в настоящие деньги.

Главные тенденции III квартала

Рекламные трояны Android.MobiDash стали самыми распространенными угрозами
Продолжилось снижение активности рекламных троянов Android.HiddenAds
Возросло число атак банковских троянов семейства Android.BankBot
Снизилась активность банковских троянов Android.Banker и Android.SpyMax
Киберпреступники использовали многофункционального бэкдора Android.Backdoor.916.origin для атак на представителей российского бизнеса
В каталоге Google Play распространялось множество вредоносных программ

По данным Dr.Web Security Space для мобильных устройств

Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Click.1812: Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Android.HiddenAds.673.origin: Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Triada.5847: Детектирование упаковщика для троянов семейства Android.Triada, предназначенного для их защиты от анализа и обнаружения. Чаще всего злоумышленники используют его совместно с вредоносными модами мессенджера Telegram, в которые непосредственно встроены эти трояны.

Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.5
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin: Приложение, позволяющее вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.2.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.AdPush.3.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Youmi.4: Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.

Угрозы в Google Play

В III квартале 2025 года антивирусная лаборатория «Доктор Веб» зафиксировала в каталоге Google Play свыше 50 троянов семейства Android.Joker, которые подписывают пользователей на платные услуги. Они распространялись под видом различного ПО, включая мессенджеры, всевозможные системные утилиты, редакторы изображений, программы для фотосъемки, работы с документами и т. д.

Один из троянов скрывался в программе для оптимизации работы системы Clean Boost (Android.Joker.2412), другой — в приложении Convert Text to PDF (Android.Joker.2422) для преобразования текста в PDF-документы

Кроме того, наши специалисты обнаружили очередные программы-подделки Android.FakeApp, используемые в мошеннических схемах. Как и прежде, некоторые из них киберпреступники выдавали за финансовые приложения — справочники, обучающие пособия, ПО для доступа к инвестиционным сервисам. Эти подделки загружали мошеннические сайты. Другие троянские программы Android.FakeApp распространялись под видом игр и при определенных условиях вместо обещанной функциональности загружали сайты букмекеров и онлайн-казино.

Примеры троянов Android.FakeApp, замаскированных под приложения финансовой тематики. Android.FakeApp.1889 предлагал пользователям проверить финансовую грамотность, а Android.FakeApp.1890 — развивать финансовое мышление

Также наши эксперты обнаружили нежелательную программу Program.FakeMoney.16, которая распространялась в виде приложения Zeus Jackpot Mania. Пользователи этого ПО получали виртуальные награды, которые затем якобы могли конвертировать в настоящие деньги и вывести из приложения.

Program.FakeMoney.16 в каталоге Google Play

Для «вывода» денег программа запрашивала ряд данных, однако никаких выплат жертвы в итоге не получали.

Program.FakeMoney.16 просит указать полное имя пользователя и сведения об учетной записи банка

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности для мобильных устройств во II квартале 2025 года

Tue, 01 Jul 2025 05:00:00 GMT

1 июля 2025 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, во II квартале 2025 года самыми распространенными вредоносными программами вновь стали рекламные трояны различных семейств. Наибольшая активность наблюдалась со стороны представителей группы Android.HiddenAds несмотря на то, что пользователи сталкивались с ними на 8,62% реже. Следом расположились рекламные трояны Android.MobiDash, число атак с их участием увеличилось на 11,17%. Вредоносные программы Android.FakeApp, которые применяются в различных мошеннических схемах, замыкают тройку лидеров — они детектировались на защищаемых устройствах на 25,17% реже.

Отмечался рост активности банковских троянов Android.Banker — на 73,15% по сравнению с предыдущим кварталом. В то же время ряд других семейств детектировался реже; например, Android.BankBot — на 37,19%, а Android.SpyMax — на 19,14%.

В апреле наши вирусные аналитики сообщили о выявленной масштабной кампании по краже криптовалют у владельцев Android-смартфонов. В ее рамках злоумышленники внедрили трояна Android.Clipper.31 в прошивку ряда бюджетных моделей, скрыв его в модифицированной версии приложения WhatsApp. Эта вредоносная программа перехватывает отправляемые и получаемые в мессенджере сообщения, ищет в них адреса криптокошельков Tron и Ethereum и заменяет их адресами, которые принадлежат мошенникам. При этом троян скрывает подмену, и пользователи зараженных устройств видят в таких сообщениях «правильные» кошельки. Кроме того, Android.Clipper.31 отправляет на удаленный сервер все изображения форматов jpg, png и jpeg с целью поиска в них мнемонических фраз для криптокошельков жертв.

В этом же месяце мы рассказали о трояне-шпионе, нацеленном на российских военнослужащих. Вредоносная программа Android.Spy.1292.origin скрывалась в одной из модифицированных версий картографического ПО Alpine Quest. Она распространялась как через принадлежащий злоумышленникам поддельный Telegram-канал приложения, так и через один из российских каталогов Android-приложений. Android.Spy.1292.origin передавал атакующим различные конфиденциальные данные. Среди них — учетные записи пользователя, его номер мобильного телефона, контакты из телефонной книги, сведения о геолокации устройства, а также о хранящихся на нем файлах. По команде злоумышленников троян мог похищать заданные файлы. В частности, вирусописателей интересовали конфиденциальные документы, передаваемые через популярные мессенджеры, а также файл журнала локаций программы Alpine Quest.

Вместе с тем за прошедший период наблюдения вирусная лаборатория компании «Доктор Веб» выявила очередные угрозы в каталоге Google Play. Среди них были различные трояны, а также нежелательное рекламное ПО.

Главные тенденции II квартала

Снизилась активность рекламных троянов Android.HiddenAds
Увеличилась активность рекламных троянов Android.MobiDash
Банковские трояны Android.Banker детектировались на защищаемых устройствах чаще, чем в предыдущем квартале
Снизилось число атак семейств банковских троянов Android.BankBot и Android.SpyMax
В прошивках ряда бюджетных моделей Android-смартфонов обнаружен троян для кражи криптовалют
Злоумышленники распространяли трояна, который шпионил за российскими военнослужащими
Очередные угрозы были выявлены в каталоге Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.4213: Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.

Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.NPMod.3
Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Tool.SilentInstaller.14.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.AdPush.3.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.Jiubang.1: Нежелательное рекламное ПО для Android-устройств, которое при установке приложений демонстрирует баннер с рекомендуемыми к установке программами.

Угрозы в Google Play

В течение II квартала 2025 года вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play несколько десятков угроз, включая разнообразные программы-подделки Android.FakeApp. Эти трояны вновь активно распространялись под видом приложений финансовой тематики и вместо обещанной функциональности могли загружать мошеннические сайты.

Android.FakeApp.1863 и Android.FakeApp.1859 — примеры обнаруженных троянов. Первый скрывался в программе TPAO и был нацелен на турецких пользователей, которым предлагалось «легко управлять своими депозитами и доходами». Второго злоумышленники выдавали за «помощник по финансовым вопросам» Quantum MindPro, который был рассчитан на франкоговорящую аудиторию

Другим популярным прикрытием для таких программ-подделок остаются игры. При определенных условиях вместо игровой функциональности они загружают сайты онлайн-казино и букмекерских контор.

Android.FakeApp.1840 (Pino Bounce) — одна из поддельных игр, которая могла загружать сайт онлайн-казино

Вместе с тем наши специалисты выявили новое нежелательное рекламное ПО Adware.Adpush.21912. Оно скрывалось в программе с информационными материалами о криптовалютах Coin News Promax. Adware.Adpush.21912 демонстрирует уведомления, при нажатии на которые в WebView загружается заданная управляющим сервером ссылка.

Индикаторы компрометации

Вот и поговорили: что связывает сомнительного качества Android-смартфоны, WhatsApp и кражу криптовалюты?

Mon, 14 Apr 2025 01:00:00 GMT

14 апреля 2025 года

С каждым годом криптовалюты становятся все более привычным методом оплаты. По данным на 2023 год в развитых странах примерно 20% населения когда-либо использовали такие средства платежа, а в развивающихся странах, где банковский сектор не отвечает потребностям населения, число пользователей криптовалют достигает еще больших значений. В рейтингах принятия криптовалют по количеству пользователей Россия находится в первой десятке стран. Анонимность и быстрота платежей, глобальный доступ и низкие комиссии за переводы являются основными преимуществами, которые привлекают рядовых пользователей. А для мошенников особый интерес представляют необратимость транзакций, отсутствие регуляции и недостаток знаний у пользователей ввиду относительной новизны криптовалютной технологии, что позволяет реализовывать самые разнообразные схемы незаконного обогащения.

С июня 2024 года в вирусную лабораторию «Доктор Веб» начали поступать сообщения от наших клиентов, которые установили антивирус Dr.Web Security Space на свежеприобретенные телефоны с ОС Android. При сканировании системного раздела прошивки было выявлено подозрительное приложение, замаскированное под мессенджер WhatsApp (принадлежит компании Meta, признанной экстремистской организацией и запрещенной в РФ). В ходе исследования, проведенного нашими аналитиками, было установлено, что эти случаи — не единичные: они свидетельствуют о мошеннической цепочке в рамках кампании по краже криптовалют методом клиппинга.

Клиппинг — это кража информации путем перехвата и/или подмены данных, которые пользователь копирует в буфер обмена. Наиболее часто клипперы нацелены на поиск в буфере обмена последовательностей символов, соответствующих адресам криптокошельков. В среднем такие строки содержат от 25 до 42 символов. Для удобства работы с такими данными пользователи обычно используют стандартные операции «копировать» и «вставить». Клиппер может воспользоваться этим, перехватив содержимое буфера обмена и незаметно подменив все адреса криптовалютных кошельков на те, которые принадлежат киберпреступникам.

Использование мессенджеров, троянизированных клипперами для кражи финансовой информации, не является новой тактикой для хакеров. Одна из подобных кампаний была выявлена еще в 2023 году. Тогда группа злоумышленников использовала ряд легитимных площадок, таких как Youtube, для распространения ссылок на вредоносные приложения Telegram и WhatsApp. Ссылки размещались в описаниях к видео. Основной целевой аудиторией были китайские пользователи, которые не имеют доступа к иностранным мессенджерам. А поскольку для обхода блокировок они используют ряд ухищрений, в частности скачивание программ с неофициальных сайтов, то такая кампания получила довольно внушительный размах.

Теперь злоумышленники смогли выйти на новый уровень и получить доступ к цепочке поставок ряда китайских производителей смартфонов на базе ОС Android. Именно про такие смартфоны и поступили сообщения в вирусную лабораторию «Доктор Веб». Мошеннические приложения были обнаружены непосредственно в составе предустановленного на телефоне ПО: вредоносный код был добавлен к мессенджеру WhatsApp.

Отметим, что в большинстве случаев скомпрометированные устройства были представлены в нижнем ценовом диапазоне и имели названия, созвучные с моделями известных брендов: S23 Ultra, Note 13 Pro, P70 Ultra и так далее. При этом их технические характеристики были далеки от заявленных. Дело в том, что в состав прошивки входило скрытое приложение, позволяющее с легкостью изменить всю отображаемую техническую информацию об устройстве не только в системном меню, но и в отчетах таких популярных приложений, как AIDA64 и CPU-Z. Кроме того, несмотря на то, что в разделе «Об устройстве» было заявлено об установленной последней версии Android 14, на самом деле все устройства работали под управлением одного и того же билда Android 12. Треть указанных ниже моделей выпускается под брендом SHOWJI. Производителей остальных моделей нам идентифицировать не удалось.

SHOWJI S19 Pro	Note 30i	Camon 20
SHOWJI Note 13 Pro	S23 Ultra	P70 Ultra
SHOWJI X100S Pro	S18 Pro	M14 Ultra
SHOWJI Reno12 Pro	6 Pro	S24 Ultra

Модели смартфонов со встроенным вредоносным ПО, приобретенные нашими пользователями

Изображения из карточек товаров

Скриншот программы для подделывания технических характеристик и результат ее работы

Более достоверные результаты при изучении технических характеристик предоставляет приложение DevCheck. В большинстве случаев оно точно определяет параметры устройства, даже если производитель пытается ввести потребителя в заблуждение.

Троянизированное приложение WhatsApp было создано с помощью инструмента LSPatch. Этот фреймворк позволяет изменять поведение основного приложения, не вмешиваясь в его код, а загружать для этого дополнительные программные модули. В данном случае мошенники разместили в папке assets вредоносный модуль com.whatsHook.apk, выполняющий следующие функции.

Перехват обновления приложения. Теперь вместо проверки обновлений по адресу hxxps://www.whatsapp[.]com/android/current/WhatsApp[.]apk происходит обращение к одному из серверов злоумышленников, например, hххps://apk-download[.]pro/download/whatsapp[.]apk. Это позволяет сохранять троянизированность приложения и вносить в его работу необходимые мошенникам изменения.

Метод, перехватывающий обращения к легитимному адресу обновлений

Класс, который передает поддельный адрес обновлений

Поиск строк в принимаемых и отправляемых сообщениях, соответствующих шаблонам адресов кошельков для криптовалют Tron (строка из 34 символов, начинается с T) и Ethereum (строка из 42 символов, начинается с 0x) и их подмена на адреса злоумышленников. Такая базовая функциональность клиппера была расширена, и теперь факт подмены адреса криптокошелька не виден жертве. В случае исходящего сообщения на скомпрометированном устройстве жертве демонстрируется корректный адрес ее собственного кошелька, а получателю сообщения отправляется адрес кошелька мошенников. При получении же входящего сообщения в чате собеседнику виден адрес отправленного им кошелька, а на устройстве жертвы входящий адрес подменяется на адрес кошелька хакеров. Адреса кошельков мошенников меняются при каждой итерации кампании, но в троян вшиты и резервные адреса ("TN7pfenJ1ePpjoPFaeu46pxjT9rhYDqW66", "0x673dB7Ed16A13Aa137d39401a085892D5e1f0fCA"), которые могут использоваться, если по каким-то причинам связь с С2-сервером не может быть установлена. Дополнительно троян отправляет на сервер злоумышленников все сообщения, отправляемые в мессенджере.

Парсер, выполняющий поиск адресов кошельков Tron

Парсер, выполняющий поиск адресов кошельков Ethereum

Поиск и отправка на сервер злоумышленников всех изображений в форматах jpg, png и jpeg в следующих папках:

DCIM	DOWNLOADS
PICTURES	DOCUMENTS
ALARMS	SCREENSHOTS

Это делается для поиска так называемых мнемонических фраз для криптокошельков, представляющих собой набор из 12–24 слов в определенной последовательности. Такая фраза демонстрируется однократно при создании кошелька и многие пользователи просто делают ее скриншот, а не записывают на отдельный носитель. Такие фразы позволяют восстановить доступ к кошельку, если пользователь забыл пароль. Для злоумышленников получение таких данных означает возможность сразу же вывести все деньги с криптокошелька.

Пример мнемонической фразы для восстановления доступа к криптокошельку. Слова необходимо вводить в соответствии с нумерацией

Отправляет информацию об устройстве: производитель, модель, языковые настройки и имя троянизированного приложения.

В вирусной базе Dr.Web этот троян получил отдельное название Shibai из-за строки Log.e("", "-------------------SHIBAI-释放------------"), содержащейся в его коде. Можно предположить, что это является отсылкой к названию одной из криптомонет.

Следует отметить, что данная кампания является очень масштабной. Аналогичным образом мошенники модифицировали порядка 40 приложений. Среди них — уже упомянутые нами WhatsApp и Telegram, а также другие мессенджеры, сканеры QR-кодов и т. д. Но в основном вмешательству подверглись популярные приложения криптокошельков (Mathwallet, Trust Wallet и другие). Всего было обнаружено более 60 С2-серверов, а для распространения вредоносных приложений задействованы порядка 30 доменов. Также нам удалось получить некоторые сведения о финансовых успехах троянописателей. На одном из отслеживаемых нами кошельков были замечены поступления за два года в размере более миллиона долларов. На другом нашлось ещё полмиллиона. Остальные кошельки (примерно 20 штук) хранили суммы до 100 тысяч долларов. Полную картину о доходности этой кампании получить невозможно, так как адреса кошельков получаются с сервера злоумышленников и каждый раз могут быть разными.

Один из наиболее доходных кошельков злоумышленников

Для защиты от подобных атак вирусные аналитики «Доктор Веб» рекомендуют установить антивирус Dr.Web Security Space для мобильных устройств, не приобретать смартфоны с характеристиками, явно несоответствующими своей цене, скачивать приложения только из доверенных источников, таких как Google Play, Rustore и AppGallery, а также не хранить скриншоты с мнемоническими фразами, паролями и ключами на устройстве в незашифрованном виде.

Подробнее о Tool.LSPatch.1

Подробнее о Android.Clipper.31

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности для мобильных устройств в I квартале 2025 года

Thu, 27 Mar 2025 00:00:00 GMT

27 марта 2025 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2025 года рекламные трояны Android.HiddenAds остались наиболее распространенными вредоносными программами для ОС Android. При этом по сравнению с IV кварталом прошлого года они обнаруживались на защищаемых устройствах более чем в 2 раза чаще. Второе место вновь досталось вредоносным приложениям Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах; их активность возросла почти на 8%. Третьими стали рекламные трояны семейства Android.MobiDash — число их детектирований возросло почти в 5 раз.

Похожая динамика наблюдалась и среди многих банковских троянов. Так, был зафиксирован рост числа атак представителей семейств Android.BankBot и Android.Banker — на 20,68% и 151,71% соответственно. В то же время трояны Android.SpyMax, активность которых росла практически в течение всего 2024 года, детектировались на 41,94% реже, чем кварталом ранее.

В течение последних 3 месяцев специалисты «Доктор Веб» выявили десятки новых угроз в каталоге Google Play. Наряду с традиционно большим количеством троянов Android.FakeApp наша вирусная лаборатория зафиксировала там вредоносные программы для кражи криптовалют, а также очередные трояны, демонстрирующие навязчивую рекламу.

ГЛАВНЫЕ ТЕНДЕНЦИИ I КВАРТАЛА

Рост активности рекламных троянов
Увеличение числа атак банкеров Android.BankBot и Android.Banker
Снижение активности троянов-шпионов Android.SpyMax
В Google Play появилось множество новых вредоносных приложений

По данным Dr.Web Security Space для мобильных устройств

Android.HiddenAds.657.origin
Android.HiddenAds.655.origin
Android.HiddenAds.4214: Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeMoney.11
Program.FakeMoney.14: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Tool.SilentInstaller.14.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.AdPush.3.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Угрозы в Google Play

В I квартале 2025 года вирусная лаборатория компании «Доктор Веб» выявила в Google Play несколько десятков вредоносных приложений. Среди них — различные модификации троянов Android.HiddenAds.4213 и Android.HiddenAds.4215, которые скрывают свое присутствие на зараженных устройствах и начинают демонстрировать рекламу поверх других программ и интерфейса операционной системы. Они скрывались в приложениях для фото- и видеосъемки с различными эффектами, фоторедакторах, сборнике изображений и дневнике женского здоровья.

Рекламные трояны Android.HiddenAds, скрывающиеся в программах Time Shift Cam и Fusion Collage Editor

Также наши специалисты обнаружили вредоносные программы Android.CoinSteal.202, Android.CoinSteal.203 и Android.CoinSteal.206, предназначенные для кражи криптовалют и распространявшиеся под видом официального ПО блокчейн-платформ Raydium и Aerodrome Finance, а также криптобиржи Dydx.

Программы Raydium и Dydx Exchange — трояны для кражи криптовалют

При запуске вредоносные приложения предлагают потенциальным жертвам ввести мнемоническую фразу (seed-фразу) якобы для подключения криптокошелька, но на самом деле вводимые данные передаются злоумышленникам. Чтобы окончательно ввести пользователей в заблуждение, формы для ввода мнемонических фраз могут быть замаскированы под запросы от прочих криптоплатформ. Как показано на примере ниже, Android.CoinSteal.206 продемонстрировал фишинговую форму якобы от имени криптобиржи PancakeSwap.

Вместе с тем в Google Play вновь распространялись программы-подделки Android.FakeApp. Многие из них мошенники выдавали за приложения финансовой тематики, включая обучающие пособия, инструменты для доступа к инвестиционным сервисам, программы для учета личных финансов. Они загружали различные фишинговые сайты, в том числе используемые злоумышленниками для сбора персональных данных.

Примеры вредоносных программ Android.FakeApp, распространявшихся под видом финансового ПО: «Умные Деньги» — Android.FakeApp.1803, Economic Union — Android.FakeApp.1777

Другие трояны Android.FakeApp при определенных условиях загружали сайты букмекеров и онлайн-казино. Такие варианты вредоносных программ распространялись под видом всевозможных игр и прочего ПО — например, тренажера для скоростного набора текста и пособия по рисованию. Среди них были в том числе новые модификации трояна Android.FakeApp.1669.

Примеры вредоносных программ-подделок, которые вместо обещанной функциональности могли загружать сайты онлайн-казино и букмекерских контор

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2024 год

Thu, 30 Jan 2025 00:00:00 GMT

30 января 2025 года

В 2024 году самыми распространенными Android-угрозами вновь стали рекламные трояны. При этом по сравнению с годом ранее возросла активность мошеннического ПО, троянов-вымогателей, кликеров и банковских троянов. Среди последних большее распространение по сравнению с 2023 годом получили более простые банковские трояны, которые похищают только учетные данные для входа в онлайн-банк и коды подтверждений из СМС.

Среди нежелательных программ наибольшую активность проявили приложения, предлагающие пользователям выполнять различные задания за виртуальные вознаграждения, которые затем якобы можно перевести в реальные деньги. Самыми детектируемыми потенциально опасными программами стали утилиты, позволяющие запускать Android-приложения без их установки. А наиболее активным рекламным ПО оказались специальным образом модифицированные версии мессенджера WhatsApp, в функции которых внедрен код для загрузки рекламных ссылок.

В течение года вирусные аналитики компании «Доктор Веб» обнаружили сотни новых угроз в каталоге Google Play, которые суммарно были загружены свыше 26 700 000 раз. Среди них были вредоносные программы, в том числе троян-шпион, а также нежелательные и рекламные приложения.

Наши специалисты также выявили новую атаку на ТВ-приставки на базе Android — около 1 300 000 устройств пострадали от бэкдора, который заражал системную область и по команде злоумышленников мог скачивать и устанавливать стороннее ПО.

Кроме того, вирусные аналитики «Доктор Веб» отмечали рост популярности ряда техник, направленных на усложнение анализа вредоносных Android-программ и обхода их детектирования антивирусами. Они включали различные манипуляции с форматом ZIP-архивов (формат ZIP является основой для APK-файлов Android-приложений), манипуляции с файлом конфигурации программ AndroidManifest.xml и другие. Чаще всего эти приемы встречались в банковских троянах.

ТЕНДЕНЦИИ ПРОШЕДШЕГО ГОДА

Демонстрирующие рекламу вредоносные программы остались наиболее распространенными угрозами
Рост активности банковских троянов
Киберпреступники стали чаще использовать простые банковские трояны Android.Banker, которые похищают только данные для входа в учетные записи онлайн-банка, а также проверочные коды из СМС
Злоумышленники стали чаще прибегать к манипуляции форматом APK-приложений и их структурных компонентов для обхода детектирования и усложнения анализа вредоносных программ
Рост числа детектирований троянов-вымогателей Android.Locker и троянов-кликеров Android.Click
Появление множества новых угроз в каталоге Google Play

Наиболее интересные события 2024 года

В мае прошлого года эксперты компании «Доктор Веб» рассказали о трояне-кликере Android.Click.414.origin, найденном в приложении для управления секс-игрушками и в ПО для отслеживания физической активности. Обе программы распространялись через каталог Google Play и суммарно были установлены более 1 500 000 раз. Android.Click.414.origin имел модульную архитектуру и с помощью своих компонентов выполнял определенные задачи. Так, троян незаметно открывал рекламные сайты и совершал на них различные действия. Например, он мог прокручивать содержимое страниц, вводить текст в формы, отключать звук на веб-страницах и создавать их скриншоты для анализа содержимого и последующего выполнения кликов на нужных областях. Кроме того, Android.Click.414.origin передавал на управляющий сервер подробную информацию о зараженном устройстве. При этом кликер целенаправленно не атаковал определенных пользователей — он не запускался на устройствах, где был установлен китайский язык интерфейса.

Некоторые версии программ Love Spouse и QRunning скрывали трояна Android.Click.414.origin

В сентябре наши специалисты раскрыли детали анализа случаев заражения ТВ-приставок на базе Android бэкдором Android.Vo1d. Эта модульная вредоносная программа проникла почти на 1 300 000 устройств пользователей из 197 стран. Она помещала свои компоненты в системную область и по команде злоумышленников могла скрытно загружать и устанавливать стороннее ПО.

Страны с наибольшим числом выявленных ТВ-приставок, зараженных бэкдором Android.Vo1d

Уже в ноябре наши вирусные аналитики на примере трояна Android.FakeApp.1669 рассказали о том, как злоумышленники используют DNS-протокол для скрытой связи вредоносных программ с управляющими серверами. Android.FakeApp.1669 является довольно примитивным трояном, задача которого сводится к загрузке заданных сайтов. От большинства похожих угроз он отличается тем, что адрес целевых сайтов он получает из TXT-записи вредоносного DNS-сервера, для чего использует модифицированный код открытой библиотеки dnsjava. При этом Android.FakeApp.1669 проявляет себя только при подключении к интернету через определенных провайдеров — в остальных случаях он работает как безобидное ПО.

Пример TXT-записи целевого домена, которую DNS-сервер отдал при запросе через Linux-утилиту dig при анализе одной из модификаций Android.FakeApp.1669

Статистика

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в 2024 году наиболее распространенными угрозами стали вредоносные программы, на долю которых пришлось 74,67% всех случаев обнаружения. За ними расположились рекламные приложения с долей 10,96%. Третье место с показателем 10,55% заняли потенциально опасные программы. Четвертыми по распространенности стали нежелательные программы — пользователи сталкивались с ними в 3,82% случаев.

Вредоносные приложения

Самыми распространенными вредоносными программами для Android вновь стали рекламные трояны семейства Android.HiddenAds. За прошедший год их доля в общем объеме выявленных антивирусом Dr.Web вредоносных приложений увеличилась на 0,34 п. п. и составила 31,95% детектирований.

Среди представителей этого семейства наибольшую активность проявил Android.HiddenAds.3956 (15,10% детектирований семейства и 4,84% от общего числа детектирований вредоносного ПО). Это один из множества вариантов вредоносной программы Android.HiddenAds.1994, с которой пользователи сталкиваются на протяжении уже нескольких лет. Версия Android.HiddenAds.3956 наряду с другими модификациями появилась в 2023 году и по нашим прогнозам могла занять лидирующие позиции в семействе, что в итоге и произошло. В 2024 также получили распространение его новые варианты Android.HiddenAds.3980, Android.HiddenAds.3989, Android.HiddenAds.3994, Android.HiddenAds.655.origin, Android.HiddenAds.657.origin и ряд других.

При этом заметным также стало подсемейство троянов Android.HiddenAds.Aegis. В отличие от большинства других вредоносных программ Android.HiddenAds, представители этой группы обладают способностью автозапуска и некоторыми другими особенностями. Чаще всего на защищаемых антивирусом Dr.Web устройствах обнаруживались модификации Android.HiddenAds.Aegis.1, Android.HiddenAds.Aegis.4.origin, Android.HiddenAds.Aegis.7.origin и Android.HiddenAds.Aegis.1.origin.

Вторыми наиболее распространенными вредоносными программами стали трояны семейства Android.FakeApp, которые злоумышленники применяют при реализации различных мошеннических схем. В минувшем году на них пришлось 18,28% всех детектирований вредоносного ПО, что на 16,45 п. п. больше, чем годом ранее. Чаще всего такие трояны загружают нежелательные сайты, предназначенные для фишинг-атак и онлайн-мошенничества.

На третьем месте с долей 11,52% (снижение на 16,7 п. п. по сравнению с 2023 годом) расположились трояны Android.Spy, которые обладают шпионской функциональностью. Как и годом ранее, самым распространенным представителем семейства стал Android.Spy.5106 — на него пришлось 5,95% детектирований вредоносных программ.

В 2024 году наблюдалась разнонаправленная тенденция в распространении вредоносного ПО, которое предназначено для загрузки и установки других программ и способно выполнять произвольный код. Так, по сравнению с годом ранее доля загрузчиков Android.DownLoader сократилась на 0,49 п. п. до 1,69%, доля троянов Android.Mobifun снизилась на 0,15 п. п. до 0,10%, а троянов Android.Xiny — на 0,14 п. п. до 0,13%. При этом чаще детектировались трояны Android.Triada (2,74% случаев, рост на 0,6 п. п.) и Android.RemoteCode (3,78% случаев, рост на 0,95 п. п.).

Доля защищенных программными упаковщиками вредоносных приложений Android.Packed снизилась с 7,98% до 5,49%, практически вернувшись к показателю 2022 года. Также с 10,06% до 5,38% снизилось количество атак с участием рекламных троянов Android.MobiDash. В то же время несколько увеличилось число детектирований троянов-вымогателей Android.Locker (с 1,15% до 1,60%) и троянов Android.Proxy (с 0,57% до 0,81%). Последние позволяют использовать зараженные Android-устройства для перенаправления через них сетевого трафика злоумышленников. Кроме того, заметно возросла активность вредоносных программ Android.Click, способных открывать рекламные сайты и выполнять клики на веб-страницах (рост с 0,82% до 3,56%).

Десять наиболее часто детектируемых вредоносных приложений в 2024 году:

Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Spy.5106: Детектирование одного из вариантов троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.3956
Android.HiddenAds.3851
Android.HiddenAds.655.origin
Android.HiddenAds.3994
Android.HiddenAds.657.origin: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Click.1751: Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.
Android.HiddenAds.Aegis.1: Троянская программа, которая скрывает свое присутствие на Android-устройствах и показывает надоедливую рекламу. Она относится к подсемейству, которое отличается от других представителей семейства Android.HiddenAds рядом признаков. Например, такие трояны способны самостоятельно запускаться после установки. Кроме того, в них реализован механизм, позволяющий их сервисам оставаться постоянно запущенными. В ряде случаев в них также могут быть задействованы скрытые функции ОС Android.
Android.MobiDash.7815: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Нежелательное ПО

Самой часто детектируемой нежелательной программой в 2024 году стала Program.FakeMoney.11. На нее пришлось более половины — 52,10% — от общего числа выявленного на защищаемых устройствах нежелательного ПО. Она принадлежит к классу приложений, которые предлагают пользователям заработать на выполнении различных заданий, но в итоге не выплачивают никаких реальных вознаграждений.

Программы, которые антивирус Dr.Web детектирует как Program.CloudInject.1, расположились на втором месте с долей 19,21% (рост на 9,75 п. п. по сравнению с годом ранее). Такие приложения проходят модификацию через облачный сервис CloudInject — к ним добавляются опасные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Приложения Program.FakeAntiVirus.1 второй год подряд снижают активность — они стали третьими по распространенности с показателем 10,07%, что на 9,35 п. п. меньше, чем в 2023. Эти программы имитируют работу антивирусов, обнаруживают несуществующие угрозы и предлагают владельцам Android-устройств купить полную версию для «исправления» якобы выявленных проблем.

В течение года пользователи сталкивались с различными программами для наблюдения и контроля активности. Такое ПО может использоваться для сбора данных как с согласия владельцев устройств, так и без их ведома — во втором случае они фактически превращаются в шпионские инструменты. Наиболее часто на защищаемых Dr.Web устройствах обнаруживались программы для мониторинга Program.TrackView.1.origin (2,40% случаев), Program.SecretVideoRecorder.1.origin (2,03% случаев), Program.wSpy.3.origin (0,98% случаев), Program.SecretVideoRecorder.2.origin (0,90% случаев), Program.Reptilicus.8.origin (0,64% случаев), Program.wSpy.1.origin (0,39% случаев) и Program.MonitorMinor.11 (0,38% случаев).

Кроме того, распространение получили Android-программы Program.Opensite.2.origin, задачей которых является загрузка заданных сайтов и демонстрация рекламы. Их доля составила 0,60% детектирований нежелательного ПО.

Десять наиболее часто детектируемых нежелательных приложений в 2024 году:

Program.FakeMoney.11
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты им не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.Reptilicus.8.origin: Приложение, позволяющее следить за владельцами Android-устройств. Оно способно контролировать местоположение устройства, собирать данные об СМС-переписке и беседах в социальных сетях, прослушивать телефонные звонки и окружение, создавать снимки экрана, отслеживать вводимую на клавиатуре информацию, копировать файлы с устройства и выполнять другие действия.
Program.Opensite.2.origin: Детектирование однотипных Android-программ, задачей которых является загрузка заданных сайтов и демонстрация рекламы. Такие приложения часто маскируются под другое ПО. Например, существуют модификации, которые распространяются под видом видеоплеера YouTube. Они загружают настоящий сайт сервиса и отображают рекламные баннеры с помощью подключенных рекламных SDK.

Потенциально опасные программы

Утилиты Tool.SilentInstaller, которые позволяют запускать Android-приложения без их установки, в минувшем году сохранили лидирующие позиции по числу детектирований потенциально опасного ПО. Суммарно на них пришлось более трети всех выявленных программ этого типа. Чаще всего на устройствах встречались модификации Tool.SilentInstaller.17.origin (16,17%), Tool.SilentInstaller.14.origin (9,80%), Tool.SilentInstaller.7.origin (3,25%) и Tool.SilentInstaller.6.origin (2,99%).

Другими распространенными потенциально опасными программами стали приложения, модифицированные при помощи утилиты NP Manager. Эта утилита встраивает в целевое ПО специальный модуль, который позволяет обходить проверку цифровой подписи после выполненной модификации. Антивирус Dr.Web детектирует такие программы как различные варианты семейства Tool.NPMod. Среди них наиболее часто выявлялись вариации Tool.NPMod.1. За год они значительно укрепили свои позиции: на их долю пришлось 16,49% детектирований потенциально опасных приложений, что на 11,68 п. п. большое, чем в 2023. При этом доля модифицированного утилитой NP Manager ПО, которое детектируется другой вирусной записью — Tool.NPMod.2, — составила 7,92%. В результате суммарно представители этого семейства были ответственны почти за четверть всех детектирований потенциально опасных программ.

Среди лидеров также оказались приложения, защищенные упаковщиком Tool.Packer.1.origin — они обнаруживались в 13,17% случаев, что на 12,38 п. п. больше по сравнению с годом ранее. Кроме того, с 3,10% до 3,93% возросло количество детектирований Tool.Androlua.1.origin. Это фреймворк, позволяющий модифицировать установленные Android-программы и исполнять Lua-скрипты, которые потенциально могут быть вредоносными.

Вместе с тем активность одного из лидеров 2023 года, семейства утилит Tool.LuckyPatcher, наоборот, несколько снизилась — с 14,02% до 8,16%. Эти утилиты позволяют модифицировать Android-программы с добавлением в них загружаемых из интернета скриптов. Реже встречались и программы, защищенные утилитой-обфускатором Tool.Obfuscapk (снижение с 3,22% до 1,05%), а также упаковщиком Tool.ApkProtector (снижение с 10,14% до 3,39%).

Десять наиболее распространенных потенциально опасных приложений, обнаруженных на Android-устройствах в 2024 году:

Tool.NPMod.1
Tool.NPMod.2: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Tool.Packer.3.origin: Детектирование Android-программ, код которых зашифрован и обфусцирован утилитой NP Manager.

Рекламные приложения

Наиболее распространенным рекламным ПО в 2024 году стало новое семейство программ Adware.ModAd — на него пришлось 47,45% детектирований. Лидеры предыдущего года, представители семейства Adware.Adpush, оказались на втором месте с долей 14,76% (снижение числа детектирований на 21,06 п. п.). На третьем месте с показателем 8,68% расположилось еще одного новое семейство рекламных приложений Adware.Basement.

Распространение также получили семейства Adware.Airpush (доля снизилась с 8,59% до 4,35%), Adware.Fictus (снижение с 4,41% до 3,29%), Adware.Leadbolt (снижение с 4,37% до 2,26%), Adware.ShareInstall (снижение с 5,04% до 1,71%). Занимавшие в 2023 году второе место рекламные программы Adware.MagicPush значительно снизили активность и не попали в первую десятку, переместившись сразу на одиннадцатую позицию с показателем 1,19% (снижение на 8,39 п. п.).

Десять наиболее распространенных рекламных приложений, обнаруженных на Android-устройствах в 2024 году:

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.Youmi.4: Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.
Adware.Inmobi.1: Детектирование некоторых версий рекламного SDK Inmobi, способных совершать телефонные звонки и добавлять события в календарь Android-устройств.

Угрозы в Google Play

В 2024 году вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 200 угроз с более чем 26 700 000 суммарных загрузок. Помимо трояна Android.Click.414.origin среди них было множество других — например, рекламные трояны Android.HiddenAds. Они распространялись под видом самого разнообразного ПО: фоторедакторов, сканеров штрих-кодов, сборников картинок и даже «противоугонной» сигнализации для защиты смартфона от чужих рук. Такие трояны скрывают свои значки после установки и начинают показывать агрессивную рекламу, которая перекрывает интерфейс системы и других программ и мешает нормально пользоваться устройством.

Примеры рекламных троянов, обнаруженных в Google Play в 2024 году. Android.HiddenAds.4013 скрывался в фоторедакторе Cool Fix Photo Enhancer, Android.HiddenAds.4034 — в сборнике изображений Cool Darkness Wallpaper, Android.HiddenAds.4025 — в программе для распознавания штрих-кодов QR Code Assistant, а Android.HiddenAds.656.origin — в программе-сигнализации Warning Sound GBD

Наши специалисты также выявили различные троянские программы, которые злоумышленники защитили сложным программным упаковщиком.

В приложении Lie Detector Fun Prank скрывался троян Android.Packed.57156, а в программе Speaker Dust and Water Cleaner — троян Android.Packed.57159, защищенные упаковщиком

Другими найденными вредоносными программами стали представители семейства Android.FakeApp, которые используются в различных мошеннических схемах. Основная задача большинства таких троянов — открыть заданную ссылку, при этом при определенных условиях они также могут работать и как заявленное ПО. Многие из них распространялись под видом различных финансовых программ (например, справочников и обучающих пособий, калькуляторов доходности, приложений для доступа к биржевой торговле, инструментов для ведения домашней бухгалтерии), записных книжек, дневников, программ для участия в викторинах и опросах и прочих. Они загружали мошеннические сайты инвестиционной тематики.

Примеры троянов Android.FakeApp, которые загружали ссылки на мошеннические сайты: Android.FakeApp.1681 (SenseStrategy), Android.FakeApp.1708 (QuntFinanzas)

Часть программ-подделок Android.FakeApp распространялись под видом всевозможных игр. Многие из них также могли предоставлять заявленную функциональность, но их главной задачей была загрузка сайтов онлайн-казино и букмекеров.

Примеры выдаваемых за игры троянов Android.FakeApp, которые загружали ссылки на сайты букмекеров и онлайн-казино: Android.FakeApp.1622 (3D Card Merge Game), Android.FakeApp.1630 (Crazy Lucky Candy)

Некоторые трояны этого семейства были вновь замаскированы под приложения для поиска работы. Такие программы-подделки загружают поддельные списки вакансий и предлагают пользователям составить «резюме», предоставив персональные данные. В других случаях трояны могут предложить потенциальным жертвам связаться с «работодателем» через мессенджер. На самом деле потенциальные жертвы напишут преступникам, которые попытаются заманить их в ту или иную мошенническую схему.

Примеры троянов Android.FakeApp, которые мошенники выдавали за программы для поиска работы: Android.FakeApp.1627 (Aimer), Android.FakeApp.1703 (FreeEarn)

Кроме того, в Google Play были обнаружены очередные троянские приложения, подписывающие пользователей на платные услуги. Одним из них был Android.Subscription.22 — он распространялся под видом фоторедактора InstaPhoto Editor.

Троян Android.Subscription.22, предназначенный для подписки пользователей на платные услуги

Другими такими троянами были представители родственных семейств Android.Joker и Android.Harly, имеющих модульную архитектуру. Первые способны скачивать вспомогательные компоненты из интернета, а вторые отличаются тем, что обычно хранят необходимые модули в зашифрованном виде среде своих ресурсов.

Примеры программ, которые подписывали жертв на платные услуги. Android.Joker.2280 скрывался в приложении с гороскопами My Horoscope, а Android.Harly.87 — в игре BlockBuster

Помимо вредоносных программ специалисты «Доктор Веб» обнаружили в Google Play новое нежелательное ПО, среди которого были различные модификации Program.FakeMoney.11 и Program.FakeMoney.14. Эти программы относятся к семейству приложений, которые предлагают пользователям за виртуальные вознаграждения выполнять различные задания (зачастую просматривать рекламу). Вознаграждения в дальнейшем якобы можно конвертировать в настоящие деньги или призы, но для вывода «заработанного» от пользователя требуется накопить определенную сумму. Однако даже в случае успеха реальных выплат он в итоге не получает.

Один из вариантов Program.FakeMoney.11 распространялся в виде игры Copper Boom, а Program.FakeMoney.14 был представлен игрой Merge Party

Кроме того, в течение года в Google Play наши вирусные аналитики выявляли новые рекламные программы. В их числе были приложения и игры со встроенным рекламным модулем Adware.StrawAd, способным демонстрировать объявления от различных поставщиков услуг.

Примеры игр с рекламным модулем Adware.StrawAd: Crazy Sandwich Runner (Adware.StrawAd.1), Poppy Punch Playtime (Adware.StrawAd.3), Finger Heart Matching (Adware.StrawAd.6), Toimon Battle Playground (Adware.StrawAd.9)

В Google Play также распространялись рекламные приложения Adware.Basement, объявления от которых часто ведут на вредоносные и мошеннические сайты. Примечательно, что это семейство имеет общую кодовую базу с нежелательными программами Program.FakeMoney.11.

Примеры нежелательных рекламных программ Adware.Basement: Lie Detector: Lie Prank Test, TapAlarm:Don't touch my phone и Magic Voice Changer — Adware.Basement.1, Auto Clicker:Tap Auto — Adware.Basement.2

Банковские трояны

По данным статистики детектирований Dr.Web Security Space для мобильных устройств в 2024 году доля банковских троянов от общего числа зафиксированных вредоносных программ составила 6,29%, что на 2,71 п. п. больше, чем годом ранее. С января их активность планомерно снижалась, но c середины весны количество атак вновь стало расти. В течение III квартала их активность оставалась практически неизменной, после чего продолжила увеличиваться, достигнув годового максимума в ноябре.

В 2024 году широкое распространение вновь получили известные семейства банковских троянов. Среди них — вредоносные программы Coper, Hydra (Android.BankBot.1048.origin, Android.BankBot.563.origin), Ermac (Android.BankBot.1015.origin, Android.BankBot.15017), Alien (Android.BankBot.745.origin, Android.BankBot.1078.origin), Anubis (Android.BankBot.670.origin). Кроме того, наблюдались атаки с использованием семейств Cerberus (Android.BankBot.11404), GodFather (Android.BankBot.GodFather.3, Android.BankBot.GodFather.14.origin) и Zanubis (Android.BankBot.Zanubis.7.origin).

В течение года злоумышленники активно распространяли троянов-шпионов Android.SpyMax, которые обладают широким набором вредоносных функций, в том числе возможностью удаленно управлять зараженными устройствами. Они широко применяются и в качестве банковских троянов. Это семейство изначально включало многофункционального RAT-трояна SpyNote (RAT — Remote Administration Trojan, троян удаленного доступа). Однако после утечки его исходного кода на его основе стали появляться всевозможные модификации — например, CraxsRAT и G700 RAT. Статистика детектирований Dr.Web Security Space для мобильных устройств показывает, что представители этого семейства активизировались во второй половине 2023 года, и с тех пор число их детектирований продолжало расти практически каждый месяц. Данная тенденция пока сохраняется.

Трояны Android.SpyMax нацелены на пользователей по всему миру. В минувшем году они были замечены в том числе в многочисленных атаках на российских пользователей — 46,23% детектирований семейства пришлось именно на данную аудиторию. Также эти вредоносные программы наиболее активно распространялись среди бразильских (35,46% детектирований) и турецких (5,80% детектирований) владельцев Android-устройств.

Примечательно, что распространение этих вредоносных программ в России в основном происходит не при помощи спама или классических вариантов фишинга, а в ходе одного из этапов телефонного мошенничества. Вначале звонящие потенциальной жертве злоумышленники традиционно пытаются убедить ее в том, что являются сотрудниками банка или правоохранительных органов. Они информируют о якобы возникшей проблеме — попытке кражи денег с банковского счета или незапланированном оформлении кредита, либо, наоборот, сообщают «хорошие новости» о якобы полагающихся выплатах от государства. Когда мошенники понимают, что пользователь им поверил, они побуждают его установить «обновление антивируса», «банковское приложение» или иную программу — например, для «обеспечения безопасной транзакции». В такой программе на самом деле скрывается троян Android.SpyMax.

Пользователи из России в 2024 году также сталкивались с семействами банкеров Falcon (Android.BankBot.988.origin, Android.Banker.5703) и Mamont (Android.Banker.637.origin, Android.Banker.712.origin). Кроме того, были отмечены атаки банковских троянов Android.Banker.791.origin и Android.Banker.829.origin на владельцев Android-устройств из России и Узбекистана, а также банкера Android.Banker.802.origin на пользователей России, Азербайджана и Узбекистана. Целью трояна Android.Banker.757.origin были пользователи из России, Узбекистана, Таджикистана и Казахстана.

Наши специалисты вновь фиксировали атаки троянов MoqHao (Android.Banker.367.origin, Android.Banker.430.origin, Android.Banker.470.origin, Android.Banker.593.origin), нацеленных на пользователей из многих стран, включая государства Юго-Восточной Азии и Азиатско-Тихоокеанского региона. На эту же аудиторию были направлены атаки и других троянов. Например, южнокорейские владельцы Android-устройств сталкивались с семействами Fakecalls (Android.BankBot.919.origin, Android.BankBot.14423, Android.Banker.5297), IOBot (Android.BankBot.IOBot.1.origin) и Wroba (Android.Banker.360.origin). Прочие модификации Wroba (Android.BankBot.907.origin, Android.BankBot.1128.origin) атаковали пользователей из Японии.

Жителям Китая в числе прочих угрожал троян Android.Banker.480.origin, а вьетнамским пользователям — Android.BankBot.1111.origin. В то же время злоумышленники применяли троянов TgToxic (Android.BankBot.TgToxic.1) для атак на клиентов кредитных организаций Индонезии, Таиланда и Тайваня, а трояна GoldDigger (Android.BankBot.GoldDigger.3) — на пользователей из Таиланда и Вьетнама.

Вновь были зафиксированы атаки на иранских пользователей — те сталкивались с такими банкерами как Android.Banker.709.origin, Android.Banker.5292, Android.Banker.777.origin, Android.BankBot.1106.origin и рядом других. А в атаках на турецких клиентов банков наряду с другими троянами были также отмечены представители семейства Tambir (Android.BankBot.1104.origin, Android.BankBot.1099.origin, Android.BankBot.1117.origin).

Среди индийских владельцев Android-устройств распространение получили банкеры Android.Banker.797.origin, Android.Banker.817.origin и Android.Banker.5435 — они маскировались под ПО, якобы имеющее отношение к кредитным организациям Airtel Payments Bank, PM KISAN и IndusInd Bank. Кроме того, сохранилась активность банковских троянов Rewardsteal (Android.Banker.719.origin, Android.Banker.5147, Android.Banker.5443) основной целю которых являются индийские клиенты банков Axis bank, HDFC Bank, SBI, ICICI Bank, RBL bank и Citi bank.

В странах Латинской Америки вновь была отмечена активность троянов PixPirate (Android.BankBot.1026.origin), которые атакуют клиентов бразильских банков.

На европейскиих пользователей, в частности, были нацелены трояны Anatsa (Android.BankBot.Anatsa.1.origin) и Copybara (Android.BankBot.15140, Android.BankBot.1100.origin). Последние преимущественно атакуют жителей Италии, Великобритании и Испании.

В течение 2024 года вирусные аналитики «Доктор Веб» фиксировали рост популярности некоторых методов защиты вредоносных Android-программ — преимущественно банковских троянов — от анализа и детектирования. В частности, злоумышленники выполняли различные манипуляции с форматом ZIP — основой APK-файлов. В результате многие инструменты статического анализа, которые применяют стандартные алгоритмы работы с ZIP-архивами, оказываются неспособны корректно обработать такие «поврежденные» файлы. В то же время трояны воспринимаются операционной системой Android как обычные программы, корректно устанавливаются и работают.

Одной из распространенных техник стала манипуляция с полями compression method и compressed size в структуре заголовка локального файла внутри APK. Злоумышленники намеренно указывают неверные значения полей compressed size и uncompressed size (сжатый размер и размер без сжатия), либо записывают некорректный или несуществующий метод сжатия в поле compression method. В другом варианте для архива может быть указан метод без сжатия, при этом поля заголовков compressed size и uncompressed size не будут совпадать, хотя должны.

Другой популярный метод — использование некорректных данных о диске в записи ECDR (End of Central Directory Record, конец записи центрального каталога) и CD (Central Directory, заголовок файла центрального каталога — здесь находятся данные о файлах и параметрах архива). Оба эти параметра для цельного архива должны совпадать, но киберпреступники могут указывать для них различные значения, как будто это не цельный, а мультиархив.

Распространенной также была техника, когда в заголовках локальных файлов некоторых файлов в архиве указывается флаг, означающий, что эти файлы зашифрованы. В действительности они не зашифрованы, но из-за этого архив при анализе считывается некорректно.

Вместе с манипуляцией структурой APK-файлов вирусописатели также использовали другие способы — например, модификацию конфигурационного файла Android-приложений AndroidManifest.xml. В частности, они добавляли мусорные байты b'\x00' в структуру атрибутов файла, из-за чего тот считывается некорректно.

Перспективы и тенденции

Прошедший год показал, что киберпреступники по-прежнему активно обогащаются за счет владельцев Android-устройств. Их основными инструментами остаются рекламные и банковские трояны, вредоносные приложения со шпионской функциональностью, а также мошенническое ПО. В этой связи в 2025 году стоит ожидать появления новых угроз такого типа.

Несмотря на предпринимаемые шаги для повышения безопасности Google Play, этот каталог все еще остается одним из источников распространения Android-угроз. Поэтому нельзя исключать появления в нем новых вредоносных и нежелательных приложений.

Выявленный в минувшем году очередной случай заражения ТВ-приставок с ОС Android говорит о том, что вирусописатели используют самые разные векторы атак. Вполне возможно, что злоумышленники не только вновь обратят свой взор на такие устройства, но и продолжат искать другие потенциальные цели среди разнообразия Android-гаджетов.

Не исключено, что вирусописатели продолжат активно внедрять новые способы обхода анализа и детектирования вредоносных программ.

Специалисты компании «Доктор Веб» продолжают следить за развитием «мобильных» киберугроз и обеспечивать защиту наших пользователей. Чтобы повысить свою безопасность, установите антивирус Dr.Web для мобильных устройств, который поможет в борьбе с вредоносными, нежелательными и другими опасными программами, мошенниками и прочими угрозами.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности для мобильных устройств в IV квартале 2024 года

Thu, 26 Dec 2024 13:43:41 GMT

26 декабря 2024 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2024 года наиболее распространенными вредоносными программами стали рекламные трояны Android.HiddenAds. За ними расположились используемые в мошеннических целях вредоносные приложения Android.FakeApp. Тройку лидеров замыкали трояны Android.Siggen с различной вредоносной функциональностью.

В течение квартала вирусные аналитики компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них были многочисленные трояны Android.FakeApp, а также вредоносные программы семейств Android.Subscription и Android.Joker, которые подписывали пользователей на платные услуги. Были зафиксированы очередные рекламные трояны Android.HiddenAds. Кроме того, злоумышленники распространяли вредоносные приложения, защищенные сложным упаковщиком.

ГЛАВНЫЕ ТЕНДЕНЦИИ IV КВАРТАЛА

Высокая активность рекламных троянов Android.HiddenAds и мошеннических программ Android.FakeApp
Распространение множества вредоносных приложений через каталог Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.655.origin
Android.HiddenAds.657.origin: Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Packed.57083: Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.
Android.Click.1751: Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.

Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.AdPush.3.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Угрозы в Google Play

В IV квартале 2024 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 60 различных вредоносных приложений, большинство из которых — трояны семейства Android.FakeApp. Часть из них распространялась под видом программ финансовой тематики, справочников и обучающих пособий, а также прочего ПО — дневников, записных книжек и т. п. Их основной задачей была загрузка мошеннических сайтов.

Программы QuntFinanzas и Trading News, которые в числе прочих многочисленных троянов Android.FakeApp загружали мошеннические сайты

Другие трояны Android.FakeApp злоумышленники выдавали за игры. Они могли загружать сайты онлайн-казино и букмекеров.

Bowl Water и Playful Petal Pursuit — примеры игр с троянской функциональностью

Вместе с тем наши специалисты обнаружили новые варианты трояна Android.FakeApp.1669, который скрывался под маской разнообразных приложений и также мог загружать сайты онлайн-казино. Android.FakeApp.1669 интересен тем, что получает адрес целевого сайта из TXT-файла вредоносного DNS-сервера. При этом он проявляет себя только при подключении к интернету через определенных провайдеров.

Примеры новых модификаций трояна Android.FakeApp.1669. Программу WordCount мошенники выдавали за текстовую утилиту, а программа Split it: Checks and Tips должна была помочь посетителям кафе и ресторанов с оплатой счетов и расчетом чаевых.

Среди найденных в Google Play угроз было несколько новых представителей семейства рекламных троянов Android.HiddenAds, которые скрывают свое присутствие на зараженных устройствах.

Фоторедактор Cool Fix Photo Enhancer скрывал рекламного трояна Android.HiddenAds.4013

Кроме того, были зафиксированы трояны, защищенные сложным программным упаковщиком — например, Android.Packed.57156, Android.Packed.57157 и Android.Packed.57159.

Приложения Lie Detector Fun Prank и Speaker Dust and Water Cleaner — трояны, защищенные упаковщиком

Также наши специалисты обнаружили вредоносную программу Android.Subscription.22, предназначенную для подписки пользователей на платные услуги.

Вместо редактирования фотографий приложение InstaPhoto Editor подписывало пользователей на платную услугу

При этом злоумышленники вновь распространяли троянов семейства Android.Joker, которые тоже подписывали жертв на платные сервисы.

СМС-мессенджер Smart Messages и сторонняя клавиатура Cool Keyboard пытались незаметно подписать жертв на платную услугу

Индикаторы компрометации

Вредоносные приложения в Google Play: как злоумышленники используют DNS-протокол для скрытой связи троянов с управляющими серверами

Mon, 11 Nov 2024 14:27:07 GMT

11 ноября 2024 года

Задачей многих троянов Android.FakeApp является переход по ссылкам на различные сайты, и с технической точки зрения такие вредоносные программы довольно примитивны. При запуске они получают команду на открытие заданного веб-адреса, в результате чего установившие их пользователи вместо ожидаемой программы или игры видят на экранах своих устройств содержимое нежелательного сайта. Однако иногда среди таких подделок все же встречаются примечательные образцы — такие как Android.FakeApp.1669. От большинства подобных угроз он отличается использованием модифицированной библиотеки dnsjava, с помощью которой получает конфигурацию с вредоносного DNS-сервера, содержащую целевую ссылку. При этом такая конфигурация поступает ему только при подключении к интернету через определенных провайдеров — например, мобильного интернета. В иных же случаях троян никак себя не проявляет.

Android.FakeApp.1669 представлен большим числом модификаций, которые под видом тех или иных приложений распространяются в том числе через каталог Google Play. Так, известные в настоящий момент варианты трояна были загружены из официального электронного магазина ОС Android по меньшей мере 2 160 000 раз.

Примеры программ, в которых скрывался Android.FakeApp.1669

Ниже перечислены варианты Android.FakeApp.1669, которые вирусные аналитики «Доктор Веб» выявили в Google Play. Наши специалисты обнаружили больше троянских программ, но часть из них в этом магазине приложений уже отсутствует.

Название приложения	Число загрузок
Split it: Checks and Tips	1 000 000+
FlashPage parser	500 000+
BeYummy - your cookbook	100 000+
Memogen	100 000+
Display Moving Message	100 000+
WordCount	100 000+
Goal Achievement Planner	100 000+
DualText Compare	100 000+
Travel Memo	100 000+ (удалена)
DessertDreams Recipes	50 000+
Score Time	10 000+

При запуске Android.FakeApp.1669 выполняет DNS-запрос к управляющему серверу для получения TXT-записи, ассоциированной с именем целевого домена. В свою очередь, сервер отдает эту запись трояну, только если зараженное устройство подключено к Сети через целевых провайдеров, среди которых — провайдеры мобильного интернета. Такие TXT-записи обычно содержат сведения о домене и некоторую другую техническую информацию, однако в случае с Android.FakeApp.1669 в ней находится закодированная конфигурация для вредоносной программы.

Для отправки DNS-запросов Android.FakeApp.1669 использует модифицированный код Open Source-библиотеки dnsjava.

Все модификации трояна привязаны к конкретным доменным именам, что позволяет DNS-серверу передавать каждой из них свою конфигурацию. Более того, имена субдоменов целевых доменов уникальны для каждого зараженного устройства. В них закодированы данные об устройстве, в том числе чувствительные:

модель и бренд устройства;
размеры экрана;
идентификатор (состоит из двух чисел: первое — время установки троянского приложения, второе — случайное число);
заряжается ли батарея и каков текущий процент ее заряда;
включены ли настройки разработчика.

Например, вариант Android.FakeApp.1669, который скрывается в приложении Goal Achievement Planner, при анализе запросил у сервера TXT-запись для домена 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com., вариант из программы Split it: Checks and Tips — запись для домена 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital., а вариант из DessertDreams Recipes — для домена 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com..

Для расшифровки содержимого этих TXT-записей необходимо выполнить следующие шаги:

перевернуть строку;
декодировать Base64;
разжать gzip;
разбить на строки по символу ÷.

В результате получатся данные следующего вида (пример ниже относится к TXT-записи для приложения Goal Achievement Planner):

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

В них содержится ссылка, которую троян загружает в WebView внутри своего окна поверх основного интерфейса. Эта ссылка ведет на сайт, запускающий длинную цепочку перенаправлений, в конце которой оказывается сайт онлайн-казино. В результате Android.FakeApp.1669 фактически превращается в веб-приложение, которое демонстрирует содержимое загруженного веб-сайта, а не ту функциональность, которая заявлена на странице приложения в Google Play.

Вредоносная программа вместо ожидаемой функциональности отобразила содержимое загруженного сайта онлайн-казино

В то же время, когда трояну доступно интернет-соединение не через целевых поставщиков (а также в офлайн-режиме), он работает как обещанная программа — при условии, если создатели той или иной модификации предусмотрели какую-либо функциональность на такой случай.

Троян не получил конфигурацию от управляющего сервера и запустился как обычная программа

Dr.Web Security Space для мобильных устройств успешно детектирует и удаляет все известные модификации Android.FakeApp.1669, поэтому для наших пользователей этот троян опасности не представляет.

Индикаторы компрометации

Подробнее об Android.FakeApp.1669

«Доктор Веб»: обзор вирусной активности для мобильных устройств в III квартале 2024 года

Tue, 01 Oct 2024 11:07:03 GMT

1 октября 2024 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в III квартале 2024 года на защищаемых устройствах наиболее часто обнаруживались вредоносные приложения Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. На втором месте расположились рекламные трояны Android.HiddenAds. Третьими оказались представители семейства Android.Siggen — это программы, обладающие различной вредоносной функциональностью, которые сложно отнести к какому-либо конкретному семейству.

В августе специалисты «Доктор Веб» обнаружили бэкдор Android.Vo1d, который заразил почти 1 300 000 ТВ-приставок с ОС Android у пользователей из 197 стран. Эта вредоносная программа помещает свои компоненты в системную область устройств и по команде злоумышленников способна незаметно загружать и устанавливать различные приложения.

Вместе с тем наши вирусные аналитики вновь выявили угрозы в каталоге Google Play. Среди них было множество новых программ-подделок, а также сразу несколько рекламных троянов.

ГЛАВНЫЕ ТЕНДЕНЦИИ III КВАРТАЛА

Бэкдор Android.Vo1d заразил более миллиона ТВ-приставок
Высокая активность вредоносных программ Android.FakeApp, применяемых в мошеннических целях
Высокая активность рекламных троянов Android.HiddenAds
Появление новых вредоносных программ в каталоге Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.3994: Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7815
Android.MobiDash.7813: Троянские программы, показывающие надоедливую рекламу. Они представляют собой программные модули, которые разработчики ПО встраивают в приложения.
Android.Click.1751: Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.

Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты им не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.SilentInstaller.17.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.NPMod.1
Tool.NPMod.2: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Угрозы в Google Play

В III квартале 2024 года вирусные аналитики «Доктор Веб» продолжили выявлять угрозы в каталоге Google Play. Среди них было множество новых вредоносных программ-подделок Android.FakeApp, которые распространялись под видом самого разнообразного ПО. Часть из них злоумышленники вновь выдавали за программы финансовой тематики — приложения для инвестирования, обучающие пособия по финансам, вариации домашних бухгалтерий и т. п. Некоторые из них действительно предоставляли заявленную функциональность, однако их основная задача — загрузить мошеннические сайты. На них потенциальным жертвам обещают легкий и быстрый заработок через инвестиции в акции, торговлю сырьевыми товарами, криптовалютой и т. п. Пользователям под видом доступа к «услуге» предлагается зарегистрировать учетную запись или оформить заявку для участия, указав персональные данные.

Примечательно, что один из троянов Android.FakeApp злоумышленники выдавали за программу для онлайн-знакомств и общения, однако он тоже загружал мошеннический сайт с «инвестициями».

Другие трояны Android.FakeApp в очередной раз распространялись под видом игр. При определенных условиях они загружали сайты онлайн-казино и букмекеров.

Среди программ-подделок наши специалисты выявили и новые варианты троянов, маскирующихся под инструменты для поиска работы. Такие вредоносные программы загружают поддельные списки вакансий и предлагают потенциальным жертвам через мессенджер связаться с «работодателем» (который на самом деле является мошенником) или составить «резюме», указав персональные данные.

Вирусные аналитики «Доктор Веб» также обнаружили в Google Play очередные трояны семейства Android.HiddenAds, которые скрывают свои значки в меню главного экрана и начинают показывать надоедливую рекламу. Они маскировались под приложения различных типов — сборники изображений, фоторедакторы, сканеры штрих-кодов.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности для мобильных устройств во II квартале 2024 года

Mon, 01 Jul 2024 12:01:11 GMT

1 июля 2024 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, во II квартале 2024 года на защищаемых устройствах наиболее часто выявлялись рекламные троянские программы Android.HiddenAds. Вторыми по распространенности стали вредоносные приложения Android.FakeApp, которые злоумышленники применяют при реализации различных мошеннических схем. Основная доля детектирований этого семейства пришлась на трояна Android.FakeApp.1600, которого наши специалисты обнаружили в конце мая. Он распространяется через вредоносные сайты, с которых скачивается под видом игрового приложения. Однако на самом деле эта подделка при запуске загружает прописанный в ее настройках веб-сайт — в известных модификациях им является сайт онлайн-казино. Его посетителям предлагается сыграть в игру вида «колесо удачи», но при попытке сделать это они перенаправляются на страницу с формой регистрации. Высокие показатели по числу детектирований этой вредоносной программы можно объяснить тем, что для ее продвижения злоумышленники используют в том числе рекламу в других приложениях. При нажатии на такое объявление пользователи попадают на соответствующий вредоносный сайт, с которого происходит загрузка трояна. Третьими по распространенности стали обладающие шпионской функциональностью трояны Android.Spy.

В течение II квартала вирусная лаборатория компании «Доктор Веб» выявила очередные угрозы в каталоге Google Play. Среди них — разнообразные вредоносные программы-подделки Android.FakeApp, а также нежелательная программа Program.FakeMoney.11, якобы позволяющая конвертировать виртуальные награды в настоящие деньги и выводить их из приложения. Кроме того, злоумышленники в очередной раз распространяли через Google Play трояна, который подписывает жертв на платные услуги.

ГЛАВНЫЕ ТЕНДЕНЦИИ II КВАРТАЛА

Рекламные троянские программы Android.HiddenAds остаются наиболее активными Android-угрозами
Появление очередных угроз в каталоге Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106: Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.NPMod.1
Tool.NPMod.2: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты, например ― онлайн-казино и букмекеров, сайты для взрослых.
Adware.AdPush.39.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

Во втором квартале 2024 года вирусная лаборатория компании «Доктор Веб» вновь выявила в каталоге Google Play троянские приложения из семейства Android.FakeApp. Часть из них распространялась под видом программ финансовой тематики, а также приложений для участия в опросах и викторинах:

Они могли загружать мошеннические сайты, на которых потенциальным жертвам якобы от имени известных кредитных организаций и нефтегазовых компаний предлагалось пройти финансовое обучение или стать инвесторами. Для доступа к тому или иному «сервису» от пользователей требовалось ответить на несколько вопросов, после чего указать персональные данные.

Другие трояны Android.FakeApp скрывались во всевозможных играх. При определенных условиях вместо заявленной функциональности они загружали сайты букмекеров и онлайн-казино.

Еще одна троянская программа семейства Android.FakeApp — Android.FakeApp.1607 — скрывалась в программе — сборнике изображений. Она действительно предоставляла заявленную функциональность, но вместо этого тоже могла загружать сайты онлайн-казино.

Несколько представителей семейства Android.FakeApp (Android.FakeApp.1605 и Android.FakeApp.1606) злоумышленники выдавали за программы для поиска работы. Эти трояны загружают поддельные списки вакансий, где предлагается связаться с «работодателем» через интернет-мессенджеры (например, Telegram), либо отправить «резюме», предоставив персональные данные. После привлечения внимания потенциальных жертв мошенники, пытаясь украсть деньги, могут заманивать пользователей в различные сомнительные схемы заработка.

Наши специалисты также выявили в Google Play еще одну нежелательную программу, принадлежащую семейству Program.FakeMoney. Такие приложения предлагают пользователям выполнять различные задания и получать виртуальные награды, которые в дальнейшем якобы возможно вывести в виде реальных денег. На самом деле они вводят владельцев Android-устройств в заблуждение, поскольку никаких выплат не происходит. Цель таких программ — стимулировать пользователей как можно дольше оставаться внутри них и показывать им рекламу, которая приносит прибыль разработчикам.

Выявленная программа (Program.FakeMoney.11) представляет собой вариант беспроигрышного «однорукого бандита», за игру в который и за просмотр рекламы внутри приложения пользователям начисляются виртуальные награды. При попытке вывести «заработанные» деньги программа максимально отдаляет эту возможность, устанавливая все новые условия. Если же пользователь в итоге «успешно» подаст заявку на вывод, он окажется в некой очереди на рассмотрение, состоящей из нескольких тысяч других «претендентов».

Кроме того, в каталоге Google Play распространялась очередная троянская программа семейства Android.Harly — Android.Harly.87. Вредоносные приложения этого семейства подписывают жертв на платные услуги.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности для мобильных устройств в феврале 2024 года

Mon, 01 Apr 2024 06:00:00 GMT

1 апреля 2024 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в феврале 2024 года значительно возросла активность рекламных троянских программ из семейства Android.HiddenAds ― на 73,26% по сравнению с январем. В то же время пользователи на 58,85% реже сталкивались с другим семейством рекламных троянов, Android.MobiDash.

Активность банковских троянов различных семейств снизилась на 18,77%, а шпионских троянских приложений Android.Spy ― на 27,33%. При этом число детектирований вредоносных программ-вымогателей Android.Locker увеличилось на 29,85%.

ГЛАВНЫЕ ТЕНДЕНЦИИ ФЕВРАЛЯ

Значительный рост активности рекламных троянских программ семейства Android.HiddenAds
Снижение числа атак банковских троянов и шпионских вредоносных приложений
Увеличение числа детектирований вредоносных программ-вымогателей на защищаемых устройствах

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3956
Android.HiddenAds.3851: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106: Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.Aegis.1
Android.HiddenAds.Aegis.4.origin: Троянские программы, которые скрывают свое присутствие на Android-устройствах и показывают надоедливую рекламу. Они отличаются от других представителей семейства Android.HiddenAds рядом признаков. Например, эти трояны способны самостоятельно запускаться после установки. Кроме того, в них реализован механизм, позволяющий их сервисам оставаться постоянно запущенными. В ряде случаев в них также могут быть задействованы скрытые функции ОС Android.

Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты, например ― онлайн-казино и букмекеров, сайты для взрослых.
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности для мобильных устройств в январе 2024 года

Fri, 29 Mar 2024 03:00:00 GMT

29 марта 2024 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в январе 2024 года пользователи чаще всего сталкивались с рекламными троянскими приложениями Android.HiddenAds. По сравнению с декабрем 2023 года они выявлялись на защищаемых устройствах на 54,45% чаще. При этом активность другого популярного семейства рекламных троянских программ, Android.MobiDash, практически не изменилась, увеличившись всего на 0,9%.

Число атак банковских троянов различных семейств возросло на 17,04%, шпионских троянских программ Android.Spy ― на 11,16%, а вредоносных программ-вымогателей Android.Locker ― на незначительные 0,92%.

Вместе с тем наши специалисты выявили очередные угрозы в каталоге Google Play. Среди них ― новое семейство нежелательных рекламных модулей Adware.StrawAd, а также троянские программы семейства Android.FakeApp. Последние злоумышленники используют для реализации всевозможных мошеннических схем.

ГЛАВНЫЕ ТЕНДЕНЦИИ ЯНВАРЯ

Рекламные троянские программы Android.HiddenAds остались лидерами по числу детектирований на защищаемых устройствах
Возросла активность многих семейств вредоносных Android-приложений
В каталоге Google Play были выявлены очередные угрозы

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3851
Android.HiddenAds.3831: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106
Android.Spy.4498: Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.MobiDash.7805: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.StrawAd.1: Детектирование Android-приложений, в которые встроен нежелательный рекламный модуль Adware.StrawAd.1.origin. При разблокировке экрана Android-устройств этот модуль показывает объявления от различных поставщиков рекламных услуг.
Adware.AdPush.39.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.

Угрозы в Google Play

В начале января 2024 года вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play ряд игр со встроенной в них нежелательной рекламной платформой Adware.StrawAd.1.origin:

Crazy Sandwich Runner
Purple Shaker Master
Poppy Punch Playtime, Meme Cat Killer
Toiletmon Camera Playtime
Finger Heart Matching
Toilet Monster Defense
Toilet Camera Battle
Toimon Battle Playground

Эта платформа представляет собой специализированный программный модуль, который в зашифрованном виде хранится в каталоге с ресурсами программ-носителей. При разблокировке экрана он может показывать объявления от различных поставщиков рекламных услуг. Антивирус Dr.Web детектирует приложения с Adware.StrawAd.1.origin как представителей семейства Adware.StrawAd.

Также в течение января наши специалисты обнаружили ряд вредоносных программ-подделок из семейства Android.FakeApp. Так, троян Android.FakeApp.1579 скрывался в приложении Pleasant Collection, которое маскировалось под программу для чтения комиксов.

Его единственной задачей, однако, была загрузка мошеннических интернет-ресурсов. Среди них могли быть сайты, якобы позволяющие получить доступ к тем или иным играм, в том числе ― категории «для взрослых». Пример одного из них показан ниже.

В данном случае потенциальной жертве перед «началом» игры предлагалось ответить на несколько вопросов, после чего указать персональные данные, а затем и данные банковской карты ― якобы для проверки возраста.

Среди выявленных представителей семейства Android.FakeApp вновь оказались и программы, распространявшиеся под видом игр. Они были добавлены в вирусную базу антивируса Dr.Web как Android.FakeApp.1573, Android.FakeApp.1574, Android.FakeApp.1575, Android.FakeApp.1577 и Android.FakeApp.32.origin.

При определенных условиях такие подделки могли загружать сайты онлайн-казино и букмекерских контор. Пример их работы в качестве игр:

Пример одного из загруженных ими сайтов:

Загрузка сайтов онлайн-казино и букмекеров была задачей и нескольких других троянов. Так, Android.FakeApp.1576 скрывался в программе для обучения макияжу Contour Casino Glam и в инструменте для создания мемов Fortune Meme Studio. А Android.FakeApp.1578 располагался в приложении-фонарике с именем Lucky Flash Casino Light.

После установки они работали как безобидные приложения, но через некоторое время могли начать загружать целевые сайты.

Кроме того, злоумышленники распространяли различные варианты троянов Android.FakeApp.1564 и Android.FakeApp.1580 под видом финансовых приложений, справочников, программ для участия в опросах и другого ПО.

Эти программы-подделки загружали мошеннические сайты финансовой тематики, на которых потенциальным жертвам якобы от имени известных компаний предлагались различные услуги. Например, пользователи «могли» стать инвесторами или повысить свою финансовую грамотность. Для «доступа» к той или иной услуге от них требовалось пройти опрос и зарегистрировать учетную запись, указав персональные данные.

Примеры загружаемых сайтов:

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

«Доктор Веб»: обзор вирусной активности для мобильных устройств в декабре 2023 года

Tue, 30 Jan 2024 01:00:00 GMT

30 января 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в декабре 2023 года наиболее активными вредоносными приложениями вновь стали рекламные троянские программы Android.HiddenAds. Однако пользователи сталкивались с ними на 53,89% реже по сравнению с месяцем ранее. Кроме того, снизилось число атак банковских троянских программ и шпионских приложений ― на 0,88% и 10,83% соответственно.

В течение последнего месяца минувшего года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play очередные вредоносные программы-подделки из семейства Android.FakeApp, применяемые в различных мошеннических схемах. Также наши специалисты выявили очередные сайты, через которые злоумышленники распространяли поддельные приложения криптокошельков.

ГЛАВНЫЕ ТЕНДЕНЦИИ ДЕКАБРЯ

На защищаемых устройствах чаще всего обнаруживались рекламные троянские программы из семейства Android.HiddenAds
Снизилась активность банковских троянов и вредоносных приложений-шпионов
В каталоге Google Play были выявлены новые вредоносные программы
Продолжили выявляться сайты, распространяющие фальшивые приложения криптокошельков для устройств под управлением как ОС Android, так и iOS

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106: Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.3831
Android.HiddenAds.3851: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7805: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.Click.1751: Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.

Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.ApkProtector.16.origin: Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Угрозы в Google Play

В декабре 2023 года специалисты компании «Доктор Веб» обнаружили в каталоге Google Play новые троянские программы из семейства Android.FakeApp. Например, Android.FakeApp.1564 злоумышленники распространяли под видом приложения, позволяющего вести учет долгов. Троян Android.FakeApp.1563 скрывался в программе для прохождения опросов. А Android.FakeApp.1569 мошенники выдавали за инструмент, помогающий повысить продуктивность и выработать полезные привычки.

Все эти программы-подделки загружали мошеннические сайты финансовой тематики, которые копировали дизайн настоящих сайтов банков, новостных агентств и других известных организаций. Кроме того, в их оформлении использовались соответствующие названия и логотипы. На таких мошеннических интернет-ресурсах пользователям предлагалось стать инвесторами, пройти обучение финансовой грамотности, получить финансовую помощь и т. д. При этом требовалось указать персональные данные ― якобы для регистрации учетной записи и получения доступа к соответствующим сервисам.

Примеры загружаемых троянами поддельных сайтов:

А вредоносные приложения Android.FakeApp.1566, Android.FakeApp.1567 и Android.FakeApp.1568 распространялись под видом игр:

Вместо запуска игр они могли загружать сайты букмекеров и онлайн-казино, как показано на примере ниже.

Работа одной из этих троянских программ в игровом режиме:

Один из загруженных ей сайтов:

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

«Доктор Веб»: обзор вирусной активности для мобильных устройств в ноябре 2023 года

Thu, 21 Dec 2023 16:22:50 GMT

21 декабря 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в ноябре 2023 года пользователи реже сталкивались с рекламными троянскими приложениями семейств Android.HiddenAds и Android.MobiDash. Активность первых снизилась на четверть (25,03%), вторых — более чем на треть (35,87%). Кроме того, на защищаемых устройствах реже обнаруживались банковские трояны и вредоносные программы-шпионы — на 3,53% и 17,10% соответственно.

Вместе с тем злоумышленники вновь распространяли вредоносные программы через каталог Google Play. Наши специалисты выявили в нем более двух десятков троянских программ семейства Android.FakeApp, используемых в мошеннических целях, а также очередного трояна, подписывающего владельцев Android-устройств на платные услуги.

ГЛАВНЫЕ ТЕНДЕНЦИИ НОЯБРЯ

Снижение активности рекламных троянских программ
Снижение активности банковских троянов и вредоносных приложений-шпионов
Распространение новых вредоносных программ через каталог Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3831
Android.HiddenAds.3697: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7805: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.Spy.5106: Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.Spy.5864: С помощью этой вирусной записи антивирус Dr.Web обнаруживает троянскую программу, которая скрывается в ряде сторонних модификаций мессенджера WhatsApp. Злоумышленники используют эту вредоносную программу для слежки за пользователями. Например, они могут искать файлы на устройствах жертв и загружать их на удаленный сервер, собирать данные из телефонной книги, получать информацию о зараженном устройстве, выполнять аудиозапись окружения с целью прослушивания и т. д.

Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.AdPush.36.origin
Adware.AdPush.39.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В ноябре вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play очередные вредоносные программы из семейства Android.FakeApp. Некоторые из них распространялись под видом программ финансовой тематики — обучающих и справочных приложений, домашних бухгалтерий, инструментов для доступа к инвестиционным сервисам и т. п. Среди них — Android.FakeApp.1497, Android.FakeApp.1498, Android.FakeApp.1499, Android.FakeApp.1526, Android.FakeApp.1527 и Android.FakeApp.1536. Их основной задачей является загрузка мошеннических сайтов, где пользователям предлагается стать инвесторами. Для этого те должны указать свои персональные данные.

Еще одна программа-подделка, Android.FakeApp.1496, скрывалась в приложении-справочнике с доступом к правовой информации. Она могла загружать сайт, через который жертвы мошенников в сфере инвестиций якобы могли получить правовую помощь и вернуть утраченные деньги.

Сайт, который загружала эта троянская программа, представлен ниже. Посетитель должен ответить на несколько вопросов, после чего заполнить форму для «получения бесплатной «консультации с юристом».

Другие программы-подделки злоумышленники вновь выдавали за игры. Например, Android.FakeApp.1494, Android.FakeApp.1503, Android.FakeApp.1504, Android.FakeApp.1533 и Android.FakeApp.1534. В ряде случаев они действительно работают как игры, однако их основная функция — загрузка сайтов онлайн-казино и букмекерских контор.

Примеры работы этих троянов в качестве игр:

Пример загруженного одним из них букмекерского сайта:

Также наши специалисты обнаружили очередную вредоносную программу, предназначенную для подключения пользователей к платным сервисам. Злоумышленники распространяли ее под видом приложения Air Swipes для управления Android-устройствами при помощи жестов.

При запуске этот троян загружает сайт партнерского сервиса, через который оформляется подписка:

Если жертва запускает программу при отключенном доступе в интернет или если целевой сайт недоступен, программа выдает себя за обещанное приложение, но никакой полезной функциональности не предоставляет, сообщая об ошибке. Антивирус Dr.Web детектирует это троянское приложение как Android.Subscription.21.

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2023 года

Wed, 22 Nov 2023 10:52:03 GMT

22 ноября 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в октябре 2023 года наиболее часто на защищаемых устройствах обнаруживались рекламные трояны семейства Android.HiddenAds. По сравнению с прошлым месяцем их активность возросла на 46,16%. Количество атак вторых по распространенности рекламных троянов семейства Android.MobiDash также увеличилось — на 7,07%. Кроме того, пользователи чаще сталкивались со шпионскими вредоносными приложениями и банковскими троянами — на 18,27% и 10,73% соответственно.

В течение октября специалисты компании «Доктор Веб» выявили очередные угрозы в каталоге Google Play. Среди них — десятки разнообразных программ-подделок семейства Android.FakeApp, которые злоумышленники используют в мошеннических целях, а также троянские приложения Android.Proxy.4gproxy, превращающие Android-устройства в прокси-серверы.

ГЛАВНЫЕ ТЕНДЕНЦИИ ОКТЯБРЯ

Рост активности рекламных троянских программ
Рост активности шпионских и банковских троянских программ
Появление множества новых вредоносных приложений в каталоге Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3831
Android.HiddenAds.3697: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.4498
Android.Spy.5106: Детектирование различных вариантов троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.MobiDash.7804: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.WAppBomber.1.origin: Android-утилита для массовой рассылки сообщений в мессенждере WhatsApp. Для работы ей требуется доступ к списку контактов из телефонной книги пользователя.

Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.MagicPush.1: Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы отображается реклама.
Adware.AdPush.39.origin
Adware.AdPush.36.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В октябре 2023 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 50 вредоносных приложений. Среди них — трояны Android.Proxy.4gproxy.1, Android.Proxy.4gproxy.2, Android.Proxy.4gproxy.3 и Android.Proxy.4gproxy.4, которые превращали зараженные устройства в прокси-серверы и незаметно передавали через них сторонний трафик. Различные модификации первого трояна распространялись под видом игры Photo Puzzle, программы Sleepify для борьбы с бессонницей и инструмента Rizzo The AI chatbot для работы с чат-ботом. Второй скрывался в приложении для просмотра прогноза погоды Premium Weather Pro. Третий был внедрен в программу — записную книжку Turbo Notes. Четвертого злоумышленники распространяли под видом приложения Draw E для создания изображений при помощи нейросети.

В эти вредоносные программы интегрирована утилита 4gproxy (детектируется Dr.Web как Tool.4gproxy), которая позволяет использовать Android-устройства в качестве прокси-сервера. Сама по себе она не является вредоносной и может применяться в безобидных целях. Однако в случае с указанными троянами работа с прокси выполняется без участия пользователей и их явного согласия.

Вместе с тем наши специалисты выявили десятки новых троянских программ семейства Android.FakeApp, часть которых вновь распространялась под видом финансовых приложений (например, Android.FakeApp.1459, Android.FakeApp.1460, Android.FakeApp.1461, Android.FakeApp.1462, Android.FakeApp.1472, Android.FakeApp.1474 и Android.FakeApp.1485). Их главная задача — загрузка мошеннических веб-сайтов, на которых потенциальным жертвам предлагается стать инвесторами. Злоумышленники запрашивают у пользователей персональные данные и приглашают их вложить деньги в якобы выгодные финансовые проекты или инструменты.

Прочие программы-подделки (Android.FakeApp.1433, Android.FakeApp.1444, Android.FakeApp.1450, Android.FakeApp.1451, Android.FakeApp.1455, Android.FakeApp.1457, Android.FakeApp.1476 и другие) в очередной раз были замаскированы под различные игры. При определенных условиях вместо запуска игр они загружали сайты онлайн-казино или букмекеров.

Примеры работы этих троянских приложений в качестве игр:

Примеры загружаемых ими сайтов онлайн-казино и букмекерских контор:

Аналогичную задачу выполнял и троян Android.FakeApp.1478 — он скрывался в программе для чтения новостей и публикаций спортивной тематики и мог загружать сайты букмекеров.

Кроме того, были обнаружены новые троянские программы, якобы помогающие владельцам Android-устройств найти работу. Одна из них называлась Rixx (Android.FakeApp.1468), другая — Catalogue (Android.FakeApp.1471). При запуске эти вредоносные приложения демонстрируют поддельный список вакансий. Когда потенциальные жертвы пытаются откликнуться на одно из объявлений, им предлагается указать персональные данные в специальной форме или связаться с «работодателем» через мессенджеры — например, WhatsApp или Telegram.

Ниже представлен пример работы одной из этих вредоносных программ. Троян демонстрирует фишинговую форму под видом окна для составления резюме или предлагает обратиться к «работодателю» через мессенджер.

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2023 года

Thu, 26 Oct 2023 13:32:26 GMT

26 октября 2023 года

В начале сентября Компания «Доктор Веб» опубликовала исследование Android.Pandora.2 — бэкдора, создающего ботнет из зараженных устройств и способного по команде злоумышленников проводить DDoS-атаки. А в середине месяца наши специалисты рассказали о вредоносных приложениях семейства Android.Spy.Lydia. Это многофункциональные трояны-шпионы, нацеленные на иранских пользователей. Представители семейства маскируются под финансовую платформу для онлайн-торговли и по команде атакующих способны выполнять различные вредоносные действия. Например, перехватывать и отправлять СМС, собирать сведения о контактах в телефонной книге, похищать содержимое буфера обмена, загружать фишинговые сайты и т. д. Трояны Android.Spy.Lydia могут применяться во всевозможных мошеннических схемах и использоваться для кражи персональных данных. Кроме того, с их помощью злоумышленники могут похищать деньги своих жертв.

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в сентябре 2023 года активность вредоносных приложений снизилась по сравнению с предыдущим месяцем. Например, рекламные троянские приложения семейств Android.HiddenAds и Android.MobiDash обнаруживались на защищаемых устройствах на 11,73% и 26,30% меньше соответственно. Количество атак шпионских троянских программ уменьшилось на 25,11%, программ-вымогателей Android.Locker — на 10,52%, а банковских троянов — на 4,51%. В то же время владельцы Android-устройств сталкивались с нежелательными рекламными программами на 14,32% чаще.

В течение сентября в каталоге Google Play было выявлено множество новых угроз. Среди них — троянские программы семейства Android.FakeApp, применяемые в различных мошеннических схемах, вредоносные программы семейства Android.Joker, которые подписывают жертв на платные услуги, а также рекламные троянские приложения Android.HiddenAds.

ГЛАВНЫЕ ТЕНДЕНЦИИ СЕНТЯБРЯ

Снижение активности вредоносных программ
Появление новых вредоносных приложений в каталоге Google Play

Мобильная угроза месяца

В сентябре компания «Доктор Веб» представила подробности анализа вредоносной программы Android.Pandora.2, которая нацелена преимущественно на испаноязычных пользователей. Первые случаи атак с ее участием были зафиксированы в марте 2023 года.

Это троянское приложение заражает смарт-телевизоры и приставки с Android TV, попадая на них через скомпрометированные версии прошивок, а также при установке троянских версий программ для нелегального просмотра видео онлайн.

Основная функция Android.Pandora.2 — проведение по команде злоумышленников DDoS-атак различных типов. Кроме того, эта вредоносная программа может выполнять ряд других действий, например — устанавливать собственные обновления и заменять системный файл hosts.

Исследование вирусных аналитиков «Доктор Веб» показало, что при создании этого трояна вирусописатели использовали наработки авторов Linux.Mirai, взяв за основу часть его кода. Последний с 2016 года широко применяется для заражения IoT-устройств (устройств «интернета вещей») и выполнения DDoS-атак на различные веб-сайты.

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3697: Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106: Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.Packed.57083: Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.
Android.Pandora.17: Детектирование вредоносных приложений, скачивающих и устанавливающих троянскую программу-бэкдор Android.Pandora.2. Такие загрузчики злоумышленники часто встраивают в приложения для Smart TV, ориентированные на испаноязычных пользователей.
Android.MobiDash.7804: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации у пользователя появляется возможность дистанционного управлять этими программами — блокировать их, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Packer.3.origin: Детектирование Android-программ, код которых зашифрован и обфусцирован утилитой NP Manager.
Tool.ApkProtector.16.origin: Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.MagicPush.1: Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы отображается реклама.
Adware.AdPush.39.origin
Adware.AdPush.36.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В сентябре 2023 года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество новых вредоносных приложений. Среди них — троянские программы, демонстрировавшие навязчивую рекламу. Злоумышленники распространяли их под видом игр Agent Shooter (Android.HiddenAds.3781), Rainbow Stretch (Android.HiddenAds.3785), Rubber Punch 3D (Android.HiddenAds.3786) и Super Skibydi Killer (Android.HiddenAds.3787). После установки на Android-устройства эти трояны пытались скрыться от пользователей. Для этого они подменяли свои значки, расположенные на домашнем экране, прозрачной версией и заменяли их названия на пустые. Кроме того, они могли притвориться браузером Google Chrome, заменяя значки соответствующей копией. Когда пользователи нажимают на такой значок, троянские программы запускают браузер и сами продолжают работать в фоновом режиме. Это позволяет троянам стать менее заметными и снижает вероятность их преждевременного удаления. Кроме того, если работа вредоносных программ будет остановлена, пользователи перезапустят их, думая, что запускают браузер.

Также наши специалисты выявили очередные программы-подделки из семейства Android.FakeApp. Некоторые из них (Android.FakeApp.1429, Android.FakeApp.1430, Android.FakeApp.1432, Android.FakeApp.1434, Android.FakeApp.1435 и другие) распространялись под видом финансовых программ. Например, приложений для биржевой торговли, справочников и обучающих пособий по инвестированию, домашних бухгалтерий и других. На самом деле их основной задачей была загрузка мошеннических сайтов, на которых потенциальным жертвам предлагалось стать «инвесторами».

Другие программы-подделки (например, Android.FakeApp.1433, Android.FakeApp.1436, Android.FakeApp.1437, Android.FakeApp.1438, Android.FakeApp.1439 и Android.FakeApp.1440) злоумышленники выдавали за всевозможные игровые приложения. В ряде случаев те действительно могли работать как игры, но их главной функцией являлась загрузка сайтов онлайн-казино.

Примеры работы этих вредоносных программ в режиме игры:

Примеры загружаемых ими сайтов онлайн-казино:

Вместе с тем в каталоге Google Play были обнаружены очередные троянские программы семейства Android.Joker, которые подписывали владельцев Android-устройств на платные услуги. Один из них скрывался в приложении с коллекцией изображений Beauty Wallpaper HD, по классификации компании «Доктор Веб» он получил имя Android.Joker.2216. Другой распространялся под видом онлайн-мессенджера Love Emoji Messenger и был добавлен в вирусную базу Dr.Web как Android.Joker.2217.

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2023 года

Wed, 27 Sep 2023 03:00:00 GMT

27 сентября 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в августе 2023 года среди наиболее распространенных вредоносных программ вновь оказались рекламные троянские приложения семейств Android.MobiDash и Android.HiddenAds. При этом по сравнению с предыдущим месяцем первые обнаруживались на 72,23% чаще, в то время как активность вторых снизилась на 8,87%.

Количество шпионских троянских программ и программ-вымогателей, выявленных на защищаемых устройствах, снизилось на 13,88% и 18,14% соответственно. Вместе с тем пользователи на 2,13% чаще, чем в июле, сталкивались с банковскими троянскими приложениями.

В августе в каталоге Google Play была обнаружена очередная вредоносная программа.

ГЛАВНЫЕ ТЕНДЕНЦИИ АВГУСТА

Значительный рост активности рекламных троянских программ Android.MobiDash
Снижение активности рекламных троянских программ Android.HiddenAds
Снижение активности троянов-шпионов и программ-вымогателей
Рост числа атак банковских троянских приложений

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3697: Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106: Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.MobiDash.7802: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.Packed.57083: Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.
Android.Pandora.7: Детектирование вредоносных приложений, скачивающих и устанавливающих троянскую программу-бэкдор Android.Pandora.2. Такие загрузчики злоумышленники часто встраивают в приложения для Smart TV, ориентированные на испаноязычных пользователей.

Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.7
Program.FakeMoney.8: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.wSpy.1.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.ApkProtector.16.origin: Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.

Adware.AdPush.39.origin
Adware.AdPush.36.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.
Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.MagicPush.1: Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы пользователь видит рекламу.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В августе 2023 года в каталоге Google Play была обнаружена троянская программа Android.HiddenAds.3766. Она распространялась под видом приложения — сборника изображений Exquisite Wallpaper Collection. Однако ее основная функция — демонстрация нежелательной рекламы. При этом Android.HiddenAds.3766 пытается скрыться от пользователя. Троян заменяет свой значок на домашнем экране прозрачной версией, а также меняет его название на пустое. В ряде случаев вместо этого вредоносная программа может заменить его копией значка браузера Google Chrome, при нажатии на который запустится не вредоносное приложение, а непосредственно браузер.

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

Искусство манипуляции: мошенники крадут деньги с помощью ПО для удаленного администрирования мобильных устройств

Fri, 22 Sep 2023 17:30:01 GMT

22 сентября 2023 года

Компания «Доктор Веб» информирует об участившихся случаях мошенничества с применением программ для удаленного доступа к рабочему столу. Наибольшей популярностью у злоумышленников пользуется программа RustDesk.

В связи с недавними утечками фрагментов баз данных целого ряда банков у мошенников появился доступ к персональным данным клиентов. Эти данные злоумышленники используют для того, чтобы войти в доверие к своим жертвам. Представляясь сотрудниками поддержки банка, преступники сообщают о том, что на счете жертвы замечена подозрительная активность, которая может привести к потере денег. И чтобы воспрепятствовать краже, якобы следует установить на устройство «защитную» программу. Злоумышленники предлагают перейти в магазин приложений и набрать в поисковой строке запросы типа «поддержка Сбербанка», «поддержка ВТБ» и т. п.

Источник: nakopi-deneg.ru

На самом деле до недавнего времени в топе выдачи Google Play по таким поисковым фразам находились программы типа AweSun Remote Desktop, RustDesk Remote Desktop, Удаленный рабочий стол AnyDesk. Такая ситуация обусловлена тем, что система ранжирования приложений в Google Play учитывает то, какое приложение выбирают пользователи, вводя тот или иной поисковый запрос. И чем больше людей, ищущих приложение по ключевым словам «поддержка имя_банка», совершит ошибку и перейдет по ссылке на приложение для удаленного администрирования, тем больше Google Play будет рекомендовать такую программу пользователям.

Следует отметить, что сами по себе программы для удаленного управления не являются вредоносными. Проблема возникает, когда их применяют для совершения противоправных действий.

После установки приложения мошенники просят жертву сообщить им уникальный идентификатор, а затем берут устройство под свой полный контроль. Доступ к устройству позволяет им совершать платежи и переводы со счета жертвы. При этом доказательство взлома и отзыв платежного поручения в такой ситуации будут невозможны, так как с точки зрения банка с системой платежей взаимодействует именно устройство клиента.

В настоящий момент компания Google сняла приложение RustDesk с публикации в магазине Google Play. Вследствие этого злоумышленники перевели свою деятельность за пределы площадки — теперь для реализации схемы мошенничества с удаленным управлением они используют сайты — например, hххps://помощникбанков[.]рф.

На таких сайтах потенциальным жертвам предлагается скачать уже знакомое нам приложение RustDesk. В некоторых случаях для большей убедительности в скачиваемых приложениях заменены названия и иконка на соответствующие тому или иному банку. Дополнительное психологическое воздействие оказывает и раздел с отзывами «довольных пользователей».

Антивирус Dr.Web детектирует приложение RustDesk как Tool.RustDesk.1.origin, а модифицированные приложения определяются как Android.FakeApp.1426. Для дополнительной безопасности компонент URL-фильтр блокирует доступ к сайтам злоумышленников, не позволяя пользователям стать жертвой обмана.

Компания «Доктор Веб» напоминает:

Проявляйте бдительность, отвечая на звонки от банков и других организаций.
Никогда не устанавливайте на свои устройства программы по чьей-то просьбе.
Никому не сообщайте коды из СМС или push-уведомлений.
Не разговаривайте с «сотрудниками банков». Если вам сообщают о несанкционированном списании средств с вашего счета — кладите трубку. Если хотите удостовериться, что все в порядке — перезвоните в банк самостоятельно по номеру, указанному на вашей карте.

Подробнее о Tool.RustDesk.1.origin

Подробнее о Android.FakeApp.1426

Индикаторы компрометации:

помощникбанков[.]рф
поддержкабанка[.]рф
поддержка-банка[.]рф
цбподдержка[.]рф
поддержкацб[.]рф
24поддержка[.]рф

sha1:2fcee98226ef238e5daa589fb338f387121880c6
sha1:f28cb04a56d645067815d91d079b060089dbe9fe
sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
sha1:535ecea51c63d3184981db61b3c0f472cda10092
sha1:ee406a21dcb4fe02feb514b9c17175ee95625213

«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2023 года

Fri, 15 Sep 2023 03:00:00 GMT

15 сентября 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в июле 2023 года пользователи сталкивались с рекламными троянскими программами семейства Android.HiddenAds на 33,48% чаще, чем в июне. При этом рекламные троянские программы семейства Android.MobiDash обнаруживались реже на 24,11%. По сравнению с предыдущим месяцем число атак шпионских троянских программ снизилось на 2,81%. В то же время активность банковских троянов увеличилась на 2,31%, а программам-вымогателей семейства Android.Locker — на 8,53%.

В каталоге Google Play были обнаружены новые угрозы. Среди них — троянская программа, с помощью которой злоумышленники пытались похитить у владельцев Android-устройств криптовалюту, а также очередные вредоносные приложения, подписывавшие жертв на платные услуги.

ГЛАВНЫЕ ТЕНДЕНЦИИ ИЮЛЯ

Рост активности рекламных троянских программ Android.HiddenAds
Снижение активности рекламных троянских программ Android.MobiDash
Рост активности банковских троянов и программ-вымогателей
Новые угрозы в каталоге Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3697: Троянская программа для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106: Троянская программа, представляющая собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.Packed.57083: Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.
Android.Pandora.7
Android.Pandora.5: Детектирование вредоносных приложений, скачивающих и устанавливающих троянскую программу-бэкдор Android.Pandora.2. Такие загрузчики злоумышленники часто встраивают в приложения для Smart TV, ориентированные на испаноязычных пользователей.

Program.FakeMoney.7
Program.FakeMoney.8: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Они имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.SnoopPhone.1.origin: Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение и выполнять аудиозапись окружения.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут пытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.ApkProtector.16.origin: Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.
Tool.Packer.3.origin: Детектирование Android-программ, код которых зашифрован и обфусцирован утилитой NP Manager.

Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.Airpush.7.origin: Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.MagicPush.3: Рекламный модуль, встраиваемый в Android-приложения. Он демонстрирует всплывающие баннеры поверх интерфейса операционной системы, когда эти программы не используются. Такие баннеры содержат вводящую в заблуждение информацию. Чаще всего в них сообщается о якобы обнаруженных подозрительных файлах, либо говорится о необходимости заблокировать спам или оптимизировать энергопотребление устройства. Для этого пользователю предлагается зайти в соответствующее приложение, в которое встроен один из этих модулей. При открытии программы пользователь видит рекламу.
Adware.AdPush.39.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.

Угрозы в Google Play

В июле 2023 года вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play троянскую программу Android.CoinSteal.105, предназначенную для кражи криптовалют. Злоумышленники пытались выдать ее за официальное приложение криптобиржи P2B, P2B official, распространяя под схожим именем — P2B Trade: Realize The P2Pb2b.

На следующем изображении слева представлен скриншот настоящей программы, справа — троянского приложения.

При этом подделку продвигали криптоблогеры, в результате чего число ее установок оказалось вдвое больше, чем у оригинала.

При запуске этот троян открывает в WebView заданный злоумышленниками сайт системы распределения трафика, с которого выполняется цепочка перенаправлений на другие ресурсы. На текущий момент троян загружает официальный сайт криптобиржи https://p2pb2b.com, однако целевыми потенциально могут быть и другие веб-сайты — мошеннические, содержащие рекламу и т. д.

После загрузки сайта криптобиржи Android.CoinSteal.105 внедряет в него JS-скрипты, с помощью которых подменяет адреса криптокошельков, вводимые пользователями для вывода криптовалют.

Кроме того, киберпреступники вновь распространяли через Google Play вредоносные программы, которые подписывали владельцев Android-устройств на платные услуги. Одной из них была троянская программа Android.Harly.80, скрывавшаяся в интерактивном приложении Desktop Pets – Lulu, которое предназначено для взаимодействия с виртуальным домашним питомцем.

Другие относились к семейству Android.Joker и были добавлены в вирусную базу Dr.Web как Android.Joker.2170, Android.Joker.2171 и Android.Joker.2176. Первый был встроен в программу Cool Charging Animation для отображения информации о зарядке батареи на экране блокировки. Второй скрывался в программе Smart Counter, предназначенной для записи действий и отслеживания хороших и плохих привычек. Третий распространялся под видом сборника изображений 4K HD Wallpaper для смены оформления фона домашнего экрана.

Индикаторы компрометации

Ваш Android нуждается в защите.

Используйте Dr.Web

Первый российский антивирус для Android
Более 140 миллионов скачиваний только с Google Play
Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

Трояны семейства Android.Spy.Lydia маскируются под иранскую платформу для онлайн-трейдинга

Wed, 13 Sep 2023 12:18:50 GMT

13 сентября 2023 года

Компания «Доктор Веб» выявила новые версии троянов семейства Android.Spy.Lydia, которые выполняют ряд шпионских функций на зараженных устройствах с ОС Android, а также предоставляют злоумышленникам возможность удаленного управления с целью кражи персональной информации и денег. При этом трояны имеют защитный механизм, который проверяет, не запускаются ли они в эмуляторе или на тестовом устройстве. В таких случаях они прекращают работу.

Трояны распространяются через вредоносные сайты, маскирующиеся под финансовые организации — например, онлайн-биржи, основной аудиторией которых, по замыслу мошенников, призваны стать жители Ирана. Пример такого сайта — hxxp[:]//biuy.are-eg[.]com/dashbord.

Здесь потенциальной жертве предлагается ввести персональные данные: фамилию, имя, отчество, номер мобильного телефона, а также национальный идентификационный номер. После ввода запрашиваемой информации устройство открывает страницу hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php, на которой сообщается, что для доступа к торгам необходимо скачать и установить специальное программное обеспечение. Однако после нажатия на кнопку загрузки вместо ожидаемой благонадежной программы жертве отправляется одна из модификаций трояна Android.Spy.Lydia.1.

При запуске троян запрашивает с сайта hxxp[:]//teuoi[.]com ссылку на фишинговый сайт, который затем отображается на экране устройства посредством компонента WebView без запуска браузера. Полученная нами версия вредоносной программы открывала следующий URL: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php.

Фишинговая веб-страница, загруженная WebView, показана на скриншоте ниже:

Это форма для ввода национального идентификационного номера, на который впоследствии будет выполняться «выплата дивидендов». На этом шаге троян отправляет на управляющий сервер свой уникальный идентификатор и информацию об успешном заражении устройства.

После заражения троян подключается к удаленному хосту ws[:]//httpiamaloneqs[.]xyz:80 по протоколу WebSocket и ожидает поступления команд, которые отправляются всем зараженным устройствам одновременно. При этом каждая команда снабжена идентификатором того устройства, которому она адресована. На скриншоте ниже показаны команды, отправленные C&C-сервером ботнету.

Трояны семейства Android.Spy.Lydia способны выполнять следующие функции:

собирать информацию об установленных приложениях,
скрывать или показывать свой значок в списке приложений на домашнем экране,
выключать звук на устройстве,
передавать содержимое входящих СМС на сервер или на указанный номер,
передавать на сервер содержимое буфера обмена,
отправлять СМС произвольного содержания на заданные номера,
передавать на сервер список контактов из телефонной книги,
добавлять новые контакты в телефонную книгу,
загружать заданные веб-сайты посредством компонента WebView.

Такие возможности позволяют злоумышленникам использовать это семейство троянов для перехвата СМС-сообщений, определения того, какими банковскими приложениями пользуется потенциальная жертва, и совершения мошеннических действий с банковскими счетами. Например, киберпреступники могут читать СМС от банков, чтобы узнать подробности о балансе счета и совершенных покупках, что позволяет им в дальнейшем с легкостью войти в доверие к пользователю. Также, используя технологию A2P (отправка СМС из приложений) и уязвимости протокола пересылки СМС, мошенники могут отправлять поддельные сообщения от имени банков, запрашивая выполнение каких-либо действий, что ставит безопасность банковских счетов под угрозу. Прочитав переписку жертвы, скамеры могут представиться кем-то из знакомых и попросить перевести деньги «в долг», помочь оплатить какой-то счет и т. п. Наконец, эти трояны позволяют обходить двухфакторную аутентификацию, предоставляя злоумышленникам полный доступ к банковскому счету после кражи соответствующих учетных данных.

К сожалению, такой тип атак резко набирает популярность: по данным Банка России число незаконных транзакций во втором квартале 2023 года выросло на 28,5%. За это время злоумышленникам удалось похитить 3,6 миллиарда рублей.

Компания «Доктор Веб» напоминает об опасности скачивания программного обеспечения из сомнительных источников, а также о необходимости проявлять осмотрительность при внезапных звонках или получении сообщений от банков и других организаций. Кроме того, мы настоятельно рекомендуем установить на устройство антивирус.

Антивирус Dr.Web Security Space для Android выявляет и обезвреживает троянов семейства Android.Spy.Lydia, защищая устройства наших пользователей, значительно затрудняя кражу личной информации и денег.

Индикаторы компрометации

Подробнее о Android.Spy.Lydia.1