Przegląd malware dla urządzeń mobilnych według Doctor Web – maj 2017

31 maja 2017

Doctor Web prezentuje swój przegląd malware dla urządzeń mobilnych odnotowanego w maju 2017. W zeszłym miesiącu wykryto w Google Play kilka nowych trojanów dla Androida. Jeden z nich pobierał aplikacje z Sieci i wykradał poufne informacje. Kolejny pobierał i uruchamiał dodatkowe moduły programowe i wyświetlał denerwujące reklamy. Również w maju cyberprzestępcy dystrybuowali trojana bankowego który wykradał pieniądze z kont użytkowników.

Mobilne zagrożenie miesiąca

Z początkiem maja wykryto w Google Play wirusa Android.RemoteCode.28. Był on wbudowany w odtwarzacz audio. Pobierał on inne aplikacje z Internetu i współdzielił z serwerem kontrolno-zarządzającym informacje o zainfekowanym urządzeniu i dane o zainstalowanym oprogramowaniu.

Cechy Android.RemoteCode.28:

• Główna złośliwa funkcjonalność trojana leży w jego dodatkowym, zaszyfrowanym module;
• Android.RemoteCode.28 rozpoczyna swoją złośliwą aktywność tylko 8 godzin po swoim uruchomieniu;
• Trojan sprawdza czy na urządzeniu obecne są narzędzia do emulowania i debugowania i w przypadku ich wykrycia kończy ich działanie.

Najpopularniejsze wirusy na podstawie statystyk zebranych przez Dr.Web dla Androida

• Android.HiddenAds.83.origin
• Android.HiddenAds.76.origin
• Android.HiddenAds.68.origin

Trojany zaprojektowane do wyświetlania niepożądanych reklam na urządzeniach mobilnych. Są dystrybuowane pod płaszczykiem popularnych aplikacji przez inne złośliwe programy, które, w niektórych przypadkach, w skrycie instalują je w katalogu systemowym.

• Android.Sprovider.9

Trojan dla Androida zaprojektowany do wyświetlania reklam na pasku statusowym i do pobierania oraz instalowania innych, w tym złośliwych, aplikacji.

• Android.Triada.264.origin

Wielokomponentowy trojan realizujący różne złośliwe funkcje.

• Adware.Jiubang.1
• Adware.Batmobi.2.origin
• Adware.Leadbolt.12.origin
• Adware.Airpush.31.origin
• Adware.Appsad.1

Niepożądane moduły programowe wbudowywane w aplikacje dla Androida i zaprojektowane do wyświetlania denerwujących reklam na urządzeniach mobilnych.

Trojany w Google Play

W połowie maja wykryto w Google Play aplikacje z osadzonym w nich trojanem Android.Spy.308.origin. W szczególności były one dystrybuowane przez dewelopera o nazwie Sumifi Dev. To nie jest pierwszy raz, gdy złośliwy program przeniknął do oficjalnego katalogu z oprogramowaniem dla Androida. Doctor Web opisał jeden z takich incydentów w lipcu 2016. Po wykryciu Android.Spy.308.origin developer zaktualizował zainfekowane aplikacje i usunął komponent trojana. Obecnie nie stanowią już one żadnego zagrożenia.

Android.Spy.308.origin wyświetla denerwujące reklamy oraz w skrycie pobiera i uruchamia dodatkowe moduły programowe. Dodatkowo trojan wykrada poufne informacje i wysyła je na serwer kontrolno-zarządzający.

Trojany bankowe

W maju cyberprzestępcy wykorzystali wiadomości MMS do dystrybucji trojanów bankowych takich jak Android.BankBot.186.origin. Użytkownicy odbierali też wiadomości SMS zawierające link prowadzący do fałszywej strony www. Z tego miejsca pobierany był na urządzenia mobilne złośliwy plik APK.

Android.BankBot.186.origin zachęca użytkownika do udzielenia mu uprawnień administracyjnych w celu utrudnienia usunięcia go z systemu. Próbuje również zastąpić standardową aplikację do obsługi wiadomości SMS. Jest to konieczne do ominięcia podsystemu bezpieczeństwa nowych wersji Androida i umożliwia wysyłanie i przechwytywanie wiadomości. Następnie trojan sprawdza saldo konta bankowego i w skrycie przesyła pieniądze na rachunek cyberprzestępców.

Złośliwe programy dla urządzeń mobilnych z Androidem wciąż stanowią poważne zagrożenie. Trojany mogą być rozpowszechniane nie tylko poprzez złośliwe strony www, ale i poprzez oficjalny katalog z aplikacjami w Google Play. Doctor Web zaleca użytkownikom smartfonów i tabletów zainstalowanie Dr.Web dla Androida w celu zabezpieczenia ich przed niebezpiecznym i niepożądanym oprogramowaniem.