Получение незаконного заработка в 2021 г. оставалось одним из приоритетов для киберпреступников, по наблюдениям аналитиков «Доктор Веб». Так, среди наиболее распространенных Android-угроз вновь оказались трояны, демонстрирующие рекламу, всевозможные загрузчики и установщики ПО, а также трояны, способные скачивать и запускать произвольный код. Банковские трояны также представляли серьезную угрозу, при этом их активность существенно возросла. Кроме того, пользователи часто сталкивались с различными рекламными приложениями.
В течение года специалисты компании зафиксировали множество угроз в Google Play. Среди них – опасные трояны, подписывавшие жертв на платные услуги, программы-подделки, применяемые в различных мошеннических схемах, трояны-стилеры, похищавшие конфиденциальную информацию, а также рекламные приложения.
При этом злоумышленники искали новые пути заражения и осваивали для собственной экспансии новые площадки. Так, в каталоге AppGallery были найдены первые вредоносные приложения, а одна из версий программы APKPure оказалась заражена трояном-загрузчиком. Кроме того, вирусописатели продолжили применять специализированные инструменты, позволяющие более эффективно заражать Android-устройства. Среди них – всевозможные упаковщики, обфускаторы и утилиты для запуска программ без их установки.
Как и годом ранее, киберпреступники не обошли вниманием проблему пандемии Covid-19. Так, они распространяли всевозможных троянов под видом полезных программ.
Согласно статистике детектирований антивирусных продуктов Dr.Web для Android, в 2021 г. на долю вредоносных программ пришлось 83,94% от всех угроз, выявленных на защищаемых устройствах. На втором месте по распространенности вновь расположились рекламные приложения и специализированные рекламные модули, встраиваемые в игры и другое ПО, – их доля составила 10,64%. Третье место с долей в 4,67% сохранилось за потенциально опасными программами. Нежелательное ПО осталось на четвертом месте – оно обнаруживалось на устройствах в 0,75% случаев.
По сравнению с 2020 г., расстановка сил в стане вредоносного ПО несколько изменилась. Так, на первый план вышли троянские приложения семейства Android.HiddenAds, известного с 2016 г. Они опасны тем, что демонстрируют надоедливую рекламу – баннеры и видеоролики, которая часто перекрывает окна других программ и даже интерфейс операционной системы, мешая нормальной работе с Android-устройствами. При этом такие вредоносные приложения «прячутся» от пользователей – например, скрывают свои значки с главного экрана. Число атак с их участием увеличилось на 6,7%, при этом на их долю пришлось 23,59% детектирований всех вредоносных приложений. Таким образом, почти каждый четвертый троян, с которым сталкивались пользователи в минувшем году, был представителем этого семейства-ветерана, что делает его одной из наиболее распространенных в настоящее время Android-угроз.
Анализ статистики показал, что самой активной модификацией семейства стал троян Android.HiddenAds.1994 (12,19% атак). При этом в октябре специалисты обнаружили его новую версию, Android.HiddenAds.3018. Ее особенность – в том, что вирусописатели присваивают распространяемым копиям трояна имена программных пакетов настоящих приложений из Google Play. Такая тактика может применяться, например, для обхода механизмов проверки приложений на Android-устройствах или интернет-ресурсах, через которые эти приложения распространяются. С момента появления обновленная модификация постепенно стала доминировать над предшественницей, активность которой снижалась.
Несколько сдали позиции вредоносные приложения, основная задача которых – загрузка другого ПО, а также выполнение произвольного кода. Тем не менее, они по-прежнему остаются одними из самых активных и серьезных Android-угроз. К ним относятся многочисленные представители семейств Android.RemoteCode (15,79% детектирований вредоносного ПО), Android.Triada (15,43%), Android.DownLoader (6,36%), Android.Mobifun (3,02%), Android.Xiny (1,84%) и др. Все они также помогают вирусописателям зарабатывать деньги. Например, через участие в различных партнерских программах и реализацию всевозможных преступных схем – монетизацию трафика накруткой счетчиков загрузок и установкой игр и приложений, подписку пользователей на платные мобильные услуги, распространение других троянов и т.д.
В числе наиболее распространенных вредоносных приложений остались и трояны-кликеры из семейства Android.Click (10,52% детектирований), которые также являются инструментами нелегального заработка. Они способны имитировать действия пользователей – например, загружать сайты с рекламой, нажимать на баннеры, переходить по ссылкам, автоматически подписывать на платные сервисы и выполнять другие вредоносные действия.
В 2021 г. больше половины (55,71%) выявленных на Android-устройствах нежелательных приложений составили программы семейства Program.FakeAntiVirus. Это почти в 3,5 раза больше, чем годом ранее. Такие программы имитируют работу антивирусов, обнаруживают несуществующие угрозы и предлагают купить свои полные версии – якобы для лечения заражения и исправления проблем.
Кроме того, антивирусные продукты Dr.Web для Android вновь детектировали множество специализированных программ, позволяющих контролировать активность пользователей, собирать информацию о них, а также дистанционно управлять устройствами.
Наиболее распространенными потенциально опасными программами снова стали специализированные утилиты, позволяющие запускать Android-приложения без их установки. Среди них – различные представители семейства Tool.SilentInstaller. Они уверенно заняли первое место по числу обнаружений на устройствах пользователей с результатом в 79,51% от общего выявленных программ, несущих потенциальный риск. Это на 53,28% больше, чем годом ранее.
Кроме того, актуальным остается использование злоумышленниками всевозможных обфускаторов и программ-упаковщиков. С их помощью вирусописатели пытаются защитить вредоносные приложения от анализа специалистами по информационной безопасности и детектирования антивирусами. Приложения, защищенные такими утилитами, обнаруживались на Android-устройствах в 14,16% случаев.
Третьими по числу обнаружений стали утилиты, позволяющие получать root-полномочия. Такие инструменты могут работать в связке с троянскими приложениями, позволяя им, например, заражать системный каталог Android-устройств. На долю таких утилит пришлось 2,59% детектирований потенциально опасного ПО.
Среди рекламного ПО наиболее часто на устройствах пользователей детектировались приложения с модулями, которые демонстрировали уведомления и диалоговые окна, а также загружали и предлагали пользователям установить различные игры и программы. Кроме того, распространенными вновь стали встроенные в приложения модули, которые демонстрировали баннеры с рекламой вне этих программ.
Adware.SspSdk.1.origin, Adware.AdPush.36.origin, Adware.MyTeam.2.origin и т.д. – рекламные модули, которые разработчики встраивают в свои приложения для их монетизации. Такие модули показывают надоедливые уведомления, баннеры и видеорекламу и т.п. Кроме того, они могут собирать конфиденциальную информацию и передавать ее на удаленный сервер.
Среди угроз, выявленных в каталоге Google Play в 2021 г., было множество троянов, принадлежащих к семейству Android.Joker. Они опасны тем, что способны загружать и исполнять произвольный код, а также автоматически подписывать пользователей на платные мобильные услуги. Эти трояны распространялись под видом самых разных приложений – фото- и видеоредакторов, музыкальных плееров, мессенджеров, программ для работы с документами и заботы о здоровье, переводчиков, утилит для оптимизации работы системы и других. При этом они выполняли заявленные функции, чтобы потенциальные жертвы не заподозрили в них угрозу. В течение года вирусные аналитики выявили в Google Play более 40 неизвестных ранее модификаций таких вредоносных приложений, число установок которых превысило 1,25 млн.
Другой массированной угрозой стали вредоносные приложения-подделки из семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. Такие трояны тоже распространяются под видом полезных и безобидных программ, но на самом деле не выполняют заявленных функций. Основные задачи большинства из них – обмануть пользователей и заманить их на мошеннические сайты, а также выудить как можно больше конфиденциальных данных. Специалисты обнаружили сотни таких троянов, которые загрузили свыше 1,7 млн. пользователей.
Применялись и другие схемы. Например, некоторые трояны Android.FakeApp распространялись под видом приложений, которые злоумышленники выдавали за безобидные программы разнообразной тематики. Среди них – справочники о моде, животных, природе, различные гороскопы. Другие распространялись под видом ПО с информацией о болезнях и способах их лечения. При запуске программ потенциальные жертвы неожиданно для себя попадали на сомнительные и откровенно мошеннические сайты «онлайн-знакомств», где для привлечения внимания часто имитировалось общение с реальными людьми, а пользователям предлагалось пройти регистрацию, иногда платную. Во втором случае жертвы попадали на сайты, рекламирующие некие чудо-лекарства, которые им «посчастливилось» застать в наличии и приобрести якобы по очень выгодной цене.
Распространялись приложения-подделки и под видом программ, якобы предоставлявших доступ к скидкам, акционным и бонусным картам, а также подаркам от известных магазинов и компаний. Для большей убедительности в них использовалась символика и названия соответствующих брендов – производителей электроники, АЗС и торговых сетей.
В 2021 г. число обнаруженных на Android-устройствах банковских троянов увеличилось на 43,74% по сравнению с предыдущим годом. На их многочисленные модификации пришлось 5,4% детектирований всех вредоносных программ. Пик распространения Android-банкеров пришелся на начало весны, после чего интенсивность их атак постепенно снижалась с небольшим повышением активности в августе и сентябре.
Возросшая активность этих вредоносных приложений во многом обусловлена появлением множества новых семейств. Например, в начале января стал распространяться банковский троян Oscorp, а в июле в вирусную базу Dr.Web были добавлены записи для детектирования трояна S.O.V.A. Тогда же стало известно о семействах Coper и Abere. Последний интересен тем, что управляется через Telegram-боты. Уже в октябре пользователям стали угрожать различные модификации трояна SharkBot.
Кроме того, злоумышленники распространяли банкеров Anatsa и Flubot. Несмотря на то, что их первые модификации появились в конце 2020 г., основная их активность пришлась именно на последние 12 месяцев.
Вместе с тем оставались активными и старые семейства, такие как Anubis, Ginp, Gustuff, Medusa, Hydra, Brata и Alien. При этом появлялись и новые «потомки» трояна Cerberus, основанные на его исходном коде, который попал в открытый доступ в конце лета 2020 г. Одним из них был банкер Ermac, начавший свои атаки в июле.