Przegląd malware dla urządzeń mobilnych według Doctor Web – maj 2017
31 maja 2017
Doctor Web prezentuje swój przegląd malware dla urządzeń mobilnych odnotowanego w maju 2017. W zeszłym miesiącu wykryto w Google Play kilka nowych trojanów dla Androida. Jeden z nich pobierał aplikacje z Sieci i wykradał poufne informacje. Kolejny pobierał i uruchamiał dodatkowe moduły programowe i wyświetlał denerwujące reklamy. Również w maju cyberprzestępcy dystrybuowali trojana bankowego który wykradał pieniądze z kont użytkowników.
Główne trendy maja
- Wykrycie trojanów w Google Play
- Dystrybucja trojana bankowego dla Androida
Mobilne zagrożenie miesiąca
Z początkiem maja wykryto w Google Play wirusa Android.RemoteCode.28. Był on wbudowany w odtwarzacz audio. Pobierał on inne aplikacje z Internetu i współdzielił z serwerem kontrolno-zarządzającym informacje o zainfekowanym urządzeniu i dane o zainstalowanym oprogramowaniu.
Cechy Android.RemoteCode.28:
- Główna złośliwa funkcjonalność trojana leży w jego dodatkowym, zaszyfrowanym module;
- Android.RemoteCode.28 rozpoczyna swoją złośliwą aktywność tylko 8 godzin po swoim uruchomieniu;
- Trojan sprawdza czy na urządzeniu obecne są narzędzia do emulowania i debugowania i w przypadku ich wykrycia kończy ich działanie.
Najpopularniejsze wirusy na podstawie statystyk zebranych przez Dr.Web dla Androida
- Android.HiddenAds.83.origin
- Android.HiddenAds.76.origin
- Android.HiddenAds.68.origin
- Trojany zaprojektowane do wyświetlania niepożądanych reklam na urządzeniach mobilnych. Są dystrybuowane pod płaszczykiem popularnych aplikacji przez inne złośliwe programy, które, w niektórych przypadkach, w skrycie instalują je w katalogu systemowym.
- Android.Sprovider.9
- Trojan dla Androida zaprojektowany do wyświetlania reklam na pasku statusowym i do pobierania oraz instalowania innych, w tym złośliwych, aplikacji.
- Android.Triada.264.origin
- Wielokomponentowy trojan realizujący różne złośliwe funkcje.
- Adware.Jiubang.1
- Adware.Batmobi.2.origin
- Adware.Leadbolt.12.origin
- Adware.Airpush.31.origin
- Adware.Appsad.1
- Niepożądane moduły programowe wbudowywane w aplikacje dla Androida i zaprojektowane do wyświetlania denerwujących reklam na urządzeniach mobilnych.
Trojany w Google Play
W połowie maja wykryto w Google Play aplikacje z osadzonym w nich trojanem Android.Spy.308.origin. W szczególności były one dystrybuowane przez dewelopera o nazwie Sumifi Dev. To nie jest pierwszy raz, gdy złośliwy program przeniknął do oficjalnego katalogu z oprogramowaniem dla Androida. Doctor Web opisał jeden z takich incydentów w lipcu 2016. Po wykryciu Android.Spy.308.origin developer zaktualizował zainfekowane aplikacje i usunął komponent trojana. Obecnie nie stanowią już one żadnego zagrożenia.
Android.Spy.308.origin wyświetla denerwujące reklamy oraz w skrycie pobiera i uruchamia dodatkowe moduły programowe. Dodatkowo trojan wykrada poufne informacje i wysyła je na serwer kontrolno-zarządzający.
Trojany bankowe
W maju cyberprzestępcy wykorzystali wiadomości MMS do dystrybucji trojanów bankowych takich jak Android.BankBot.186.origin. Użytkownicy odbierali też wiadomości SMS zawierające link prowadzący do fałszywej strony www. Z tego miejsca pobierany był na urządzenia mobilne złośliwy plik APK.
Android.BankBot.186.origin zachęca użytkownika do udzielenia mu uprawnień administracyjnych w celu utrudnienia usunięcia go z systemu. Próbuje również zastąpić standardową aplikację do obsługi wiadomości SMS. Jest to konieczne do ominięcia podsystemu bezpieczeństwa nowych wersji Androida i umożliwia wysyłanie i przechwytywanie wiadomości. Następnie trojan sprawdza saldo konta bankowego i w skrycie przesyła pieniądze na rachunek cyberprzestępców.
Złośliwe programy dla urządzeń mobilnych z Androidem wciąż stanowią poważne zagrożenie. Trojany mogą być rozpowszechniane nie tylko poprzez złośliwe strony www, ale i poprzez oficjalny katalog z aplikacjami w Google Play. Doctor Web zaleca użytkownikom smartfonów i tabletów zainstalowanie Dr.Web dla Androida w celu zabezpieczenia ich przed niebezpiecznym i niepożądanym oprogramowaniem.