5 maja 2015
Główne trendy i wydarzenia w kwietniu 2015:
- Dystrybucja Android.Toorch.1.origin - bardzo groźnego Trojana zdolnego do pozyskania uprawnień root'a i skrytej instalacji oraz usuwania różnych aplikacji
- wykrycie w Google Play aplikacji z agresywnym modułem reklamowym
- wysoka aktywność Trojanów bankowych
Liczba wpisów do bazy wirusów Dr.Web dotycząca złośliwych i niepożądanych programów dla Androida wyniosła w kwietniu 7971 pozycji, wobec 7103 odnotowanych miesiąc wcześniej (wzrost o 12,22%).
Mobilne zagrożenie miesiąca
W zeszłym miesiącu analitycy bezpieczeństwa Doctor Web przebadali wirusa Android.Toorch.1.origin, będącego bardzo groźnym Trojanem zdolnym do skrytego pobierania, instalowania i usuwania aplikacji, jak i wyświetlania denerwujących reklam na ekranach zainfekowanych urządzeń.
Lista funkcjonalności Trojana obejmuje:
- dystrybucję pod płaszczykiem niegroźnej aplikacji latarki, która, w rzeczywistości, przeprowadza złośliwe funkcje wymienione powyżej
- wysyłanie cyberprzestępcom poufnych danych, włączając koordynaty GPS zainfekowanego urządzenia
- uzyskanie uprawnień root'a i przeprowadzanie ukrytej instalacji i usuwania aplikacji określonych w poleceniach otrzymanych od cyberprzestępców
- dodawanie innych złośliwych komponentów do katalogu systemowego
- opcjonalne wyświetlanie denerwujących reklam
Jeśli Android.Toorch.1.origin zostanie wykryty na urządzeniu, usilnie zalecamy uruchomienie pełnego skanowania systemu w programach Dr.Web dla Android w celu wykrycia dodatkowych modułów Trojana. Aby na stałe usunąć wszystkie moduły zainstalowane przez malware, zalecamy pobranie, zainstalowanie i uruchomienie specjalnego narzędzia opracowanego przez ekspertów Doctor Web (link do niego znajdą Państwo w artykule naszej poprzedniej notce na ten temat).
Agresywne moduły reklamowe
W kwietniu 2015 w Google Play wykryto aplikacje zawierające agresywne moduły reklamowe, włączając Adware.MobiDash.2.origin. Analitycy bezpieczeństwa Doctor Web wykryli kilka takich aplikacji, które w sumie były pobrane i zainstalowane ponad 2,5 mln razy. Adware.MobiDash.2.origin jest używany przez producentów darmowego oprogramowania do "spieniężania" ich aplikacji i tym samym wyświetlania różnych reklam.
Aplikacja potrafi wykonywać następujące niepożądane działania:
- wyświetlać na ekranie urządzenia mobilnego różne reklamy, które mogą pojawiać się u góry innych okien
- ładować strony reklamowe w przeglądarce
- pokazywać reklamy i inne wiadomości na pasku stanu
Warto wspomnieć, że liczba zarejestrowanego w bazach wirusów Dr.Web adware powiększyła się z 123 sztuk w marcu 2015 do 144 sztuk w kwietniu, co stanowi wzrost o 17,1%.
Trojany bankowe
Kwiecień odznaczył się również wysoką aktywnością Trojanów bankowych atakujących urządzenia z Androidem i stanowiących zagrożenie dla użytkowników na całym świecie. W szczególności (po raz kolejny) cyberprzestępcy użyli spamu SMS do dystrybucji Trojanów bankowych w Korei Południowej. Wiadomości zawierały link do pobrania jednej z kilku złośliwych aplikacji. Analitycy bezpieczeństwa Doctor Web zarejestrowali ponad 80 takich mailingów. Rozkłady użytych przez nich tytułów wiadomości i złośliwych aplikacji przedstawiają poniższe diagramy:
Вредоносные приложения, задействованные в данных атаках:
Trzy najpopularniejsze z rozpowszechnianych malware to:
-
Trojan bankowy zaprojektowany do instalowania i uruchamiania na zainfekowanym urządzeniu innego malware, włączając Trojany bankowe. Może być dystrybuowany pod płaszczykiem popularnej przeglądarki lub innego legalnego programu.
-
Trojan bankowy wykradający informacje autentykacyjne używane przez klientów niektórych południowokoreańskich organizacji finansowych. Gdy dojdzie do uruchomienia jednej z popularnych aplikacji bankowych, Trojan podmienia jej interfejs na "fałszywkę" proszącą użytkownika o podanie wszystkich poufnych danych niezbędnych do uzyskania kontroli nad jego rachunkiem bankowym. Wprowadzone dane są przekazywane cyberprzestępcom. Pod pretekstem zapisania użytkownika do usługi bankowej następuje próba instalacji złośliwego programu Android.Banker.32.origin.
-
Trojan zaprojektowany do dystrybuowania i instalowania na urządzeniach mobilnych innego malware, włączając w to różne Trojany bankowe. Jest rozpowszechniany głównie w Korei Południowej.
W ostatnim miesiącu analitycy bezpieczeństwa zarejestrowali również wysoką aktywność Trojanów bankowych z rodziny Android.BankBot, atakujących klientów organizacji kredytowych na całym świecie. Na początku miesiąca cyberprzestępcy zostali aresztowani, jakkolwiek dystrybucja tego malware jest kontynuowana przez innych twórców wirusów.
Warto dodać, że do marca 2015 do bazy wirusów Dr.Web trafiły 94 wpisy dotyczące rodziny Android.BankBot, a w kwietniu 2015 było ich 110, co stanowi wzrost o 17,02%.
Wiele Trojanów Android.BankBot potrafi zarówno wykradać pieniądze z kont użytkowników, jak i blokować działanie popularnych antywirusów, co czyni te złośliwe programy wysoce niebezpiecznymi. Eksperci Doctor Web opublikowali specjalną aktualizację do swoich produktów antywirusowych chroniących urządzenia z systemem Android. Wspomniana aktualizacja dostarcza mechanizm pozwalający na odparcie tych ataków, dlatego użytkownicy Dr.Web dla Android i Dr.Web dla Android Light są objęci niezawodną ochroną przed tym zagrożeniem.