Przegląd aktywności malware wykrytego na urządzeniach mobilnych w listopadzie 2017 według Doctor Web

30 listopada 2017

W listopadzie wykryto w Google Play wiele nowych złośliwych aplikacji.

Na początku listopada specjaliści d/s bezpieczeństwa wykryli trojana górniczego wykorzystującego moc obliczeniową urządzeń mobilnych do wydobywania kryptowaluty. Później specjaliści wykryli trojany SMS zapisujące użytkowników do płatnych usług. W połowie listopada specjaliści Doctor Web wykryli złośliwy program, który pobierał dodatkowe moduły trojana. Te moduły ładowały strony www i naciskały na reklamy i linki. Oprócz tego w Google Play rozprzestrzeniał się trojan zaprojektowany do pobierania różnych aplikacji. Co więcej, w tym katalogu wykryto również nowe trojany bankowe. Te wykryte tym razem były zaprojektowane do wykradania prywatnych informacji i pieniędzy z kont bankowych użytkowników.

Mobilne zagrożenie miesiąca

W listopadzie specjaliści d/s bezpieczeństwa Doctor Web wykryli w Google Play dziewięć aplikacji zawierających trojana Android.RemoteCode.106.origin. Sumarycznie te aplikacje zostały pobrane co najmniej 2370000 razy. Tuż po uruchomieniu, Android.RemoteCode.106.origin pobiera i uruchamia dodatkowe złośliwe moduły. Są one używane do automatycznego ładowania stron www określonych przez serwer zarządzający i naciskania bannerów reklamowych oraz linków w przeglądanych stronach www. Aby uzyskać więcej szczegółów o Android.RemoteCode.106.origin, zajrzyj do artykułu na naszej stronie www.

Najpopularniejsze zagrożenia na podstawie statystyk zabranych przez Dr.Web dla Androida

Android.HiddenAds.238

Trojany zaprojektowane do wyświetlania na urządzeniach mobilnych niechcianych reklam.

Android.Triada.63

Android.Triada.152

Trojan realizujący różne złośliwe funkcje.

Android.DownLoader.653.origin

Trojan pobierający inne złośliwe programy.

Android.Click.171.origin

Trojan, który okresowo odwołuje się do określonych stron www i może być używany do zwiększania ich popularności i śledzenia linków reklamowych.

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Adviator.6.origin

Adware.Airpush.31.origin

Adware.SalmonAds.1.origin

Niepożądane moduły programowe wbudowane w aplikacje dla Androida i zaprojektowane do wyświetlania denerwujących reklam na urządzeniach mobilnych.

Trojan górniczy

Na początku listopada wykryto w Google Play trojana Android.CoinMine.3. Używa on mocy obliczeniowej urządzeń mobilnych z Androidem do wydobywania kryptowaluty Monero. To malware ukrywało się w aplikacji nazwanej XCOOEEP, zaprojektowanej do dostępu do czatu on line o nazwie Club Cooee.

W oknie WebView, niewidocznym dla użytkownika, Android.CoinMine.3 ładuje stronę www zawierającą skrypt górniczy uruchamiany automatycznie. Intensywny proces wydobywczy może powodować odczuwalne zmniejszenie wydajności i przegrzewanie się zainfekowanych urządzeń mobilnych, a ich baterie będą rozładowywane w o wiele szybszym tempie.

Trojany SMS

W zeszłym miesiącu pomiędzy różnymi złośliwymi aplikacjami wykryto kilka trojanów SMS dystrybuowanych poprzez Google Play. Były one wbudowane w aplikacje Secret Notepad, Delicate Keyblard i Super Emotion i wykrywane przez Dr.Web jako Android.SmsSend.23371, Android.SmsSend.23373 i Android.SmsSend.23374. Te złośliwe programy próbują wysyłać kosztowne wiadomości i zapisywać numery użytkowników do niepożądanych usług.

Trojan typu downloader

W listopadzie wykryto w Google Play nową wersję trojana Android.DownLoader.658.origin. Zarządzany przez cyberprzestępców, oferuje użytkownikom urządzeń mobilnych możliwość pobrania i instalacji różnych aplikacji. Może również niezależnie pobierać oprogramowanie. Cechy Android.DownLoader.658.origin to:

• wbudowany w niegroźne aplikacje;
• aktywuje złośliwe funkcjonalności tylko jeśli spełnione jest kilka warunków (na przykład, jeśli nie został uruchomiony w emulatorze lub gdy funkcje dla deweloperów w urządzeniu mobilnym są wyłączone);
• wyświetla powiadomienia proponujące użytkownikom pobranie i zainstalowanie kilku programów;
• aby zapobiec wykryciu i analizie kodu, autorzy trojana użyli specjalnego programu pakującego, wykrywanego przez Dr. Web jako Android.Packed.1.

Trojany bankowe

W zeszłym miesiącu wykryto w Google Play trojana Android.Banker.202.origin. Był on ukryty w niegroźnych aplikacjach. Uruchomiony wypakowywał kilka złośliwych komponentów z swojego folderu z zasobami i uruchamiał złośliwy program Android.Banker.1426. Ten trojan pobierał z serwera zarządzającego trojana bankowego dla Androida z rodziny Android.BankBot. Z kolei ten złośliwy program został zaprojektowany do wykradania loginów, poświadczeń i innych poufnych informacji.

Podobny schemat został użyty w wielu trojanach z rodziny Android.Banker, które również zostały wykryte w listopadzie w katalogu Google Play. Rozpakowywały one i uruchamiały ukryty złośliwy komponent, który również mógł wypakowywać zasoby ze swojego pliku i uruchamiać komponent innego trojana. Z kolei ten drugi trojan pobierał jednego z trojanów bankowych ze zdalnej lokacji i próbował go zainstalować.

Wykrycie dużej liczby złośliwych aplikacji w Google Play wskazuje, że cyberprzestępcy wciąż szukają nowych sposobów ominięcia mechanizmów ochronnych tego serwisu. Doctor Web zaleca posiadaczom smartfonów i tabletów zainstalowanie Dr.Web dla Androida w celu ochrony ich urządzeń mobilnych przed trojanami i innymi niepożądanymi programami.