Мой Антивирус

Главные веяния года

• Очередные случаи проникновения троянских так будто ненужных программ в каталог гугл Play
• Попытки вирусописателей усложнить обнаружение вредных программ
• Атаки Android-банкеров на покупателей кредитных организаций по всему миру
• Использование троянцами особых полномочий ОС Android для полуавтоматического исполнения вредных действий
• Распространение троянцев-клиперов, подменяющих гостиница электронных кошельков в буфере обмена

Наиболее небезинтересные события

В начале лета эксперты по информационной безопасности зафиксировали распространение троянца-майнера Android.CoinMine.15, заражавшего «умные» телевизоры, роутеры, телеприставки так будто остальные устройства под управлением ОС Android. Он проникал на оснащение с применением отладчика ADB (Android Device Bridge). Для этого Android.CoinMine.15 случайным образом генерировал айпишника так будто пробовал примкнуть к открытому порту 5555. В случае успеха троянец ставил на дешевое конструкция свою копию друг с дружкой со вспомогательными файлами, между коих были так будто приложения-майнеры для добычи криптовалюты Monero (XMR).

В марте фирма «Доктор Веб» поведала о новеньком случае обнаружения троянца Android.Triada.231 в прошивках наиболее 40 моделей Android-смартфонов так будто планшетов. Неустановленные преступники встроили Android.Triada.231 в одну из системных библиотек на уровне начального кода, на тот момент уже будто остальные представители семейства Android.Triada традиционно распространяются будто еденичные приложения. Троянец внедряется в системный процесс Zygote, серьезный за старт программ. В итоге Android.Triada.231 заражает остальные процессы так будто умножать тайно делать вредные воздействия – например, загружать, становить так будто выручать ПО без участия пользователя. наиболее доскональные познания о проведенном специалистами «Доктор Веб» расследовании этого случая доступны в надлежащем информационном материале.

Злоумышленники шабаш почаще пользуются всевозможные методы, дозволяющие понизить возможность обнаружения вредных так будто ненужных программ. В 2018 году данная желание сохранилась. одинакий из пользующихся популярностью методик понизить заметность — применение приложений-загрузчиков. Благодаря им же троянцы так будто другое опасное ПО подольше остаются за пределами поля зрения антивирусов так будто вызывают абсолютно кончено меньше подозрений у вероятных жертв. С поддержкой подобных загрузчиков киберпреступники имеют абсолютно кончено шансы разносить вредное ПО всевозможного своего рода – скажем троянцев-шпионов.

В апреле в каталоге гугл Play был обнаружен загрузчик Android.DownLoader.3557, какой-нибудь скачивал на устройства так будто под общим общим общим общим обликом принципиальных плагинов предлагал юзерам учредить вредные программы Android.Spy.443.origin так будто Android.Spy.444.origin. Они выслеживали месторасположение зараженного смартфона либо планшета, приобретали информацию обо любых доступных файлах, могли пересылать злодеям бумаги жертвы, отправлять так будто бондить СМС-сообщения, таскать заданные из телефонной книги, заносить видео, слушать сфера при поддержки вмонтированного в конструкция микрофона, перехватывать телефонные зазвонисты так будто исполнять остальные действия.

В августе в гугл Play был обнаружен загрузчик Android.DownLoader.784.origin, скачивавший троянца, предназначенного для кибершпионажа. Он приобрел имя Android.Spy.409.origin. Вирусописатели распространяли Android.DownLoader.784.origin под общим общим общим общим обликом приложения Zee Player, которое разрешало хоронить хранящиеся в памяти мобильных устройств фотографии так будто видео. Программа была целиком работоспособной, отчего у жертв злоумышленников перестать было факторов подозревать который-нибудь подвох.

Однако шабаш почаще троянцы-загрузчики используются для распространения Android-банкеров. В июле в гугл Play был обнаружен Android.DownLoader.753.origin, коего вирусописатели выдавали за финансовые приложения. кой-какие из них для заглавной убедительности взаправду делали заявленные функции. Android.DownLoader.753.origin скачивал так будто пробовал учредить самых разных банковских троянцев, похищавших секретные данные.

Позднее было выявлено чуть подобных вредных программ, кои ещё пробрались в гугл Play. Одна из них приобрела имя Android.DownLoader.768.origin — киберпреступники распространяли ее под общим общим общим общим обликом официального ПО корпорации Shell. Другая, добавленная в вирусную основание Dr.Web будто Android.DownLoader.772.origin, скрывалась под маской нужных утилит. Оба троянца ещё применялось для скачивания так будто инсталляции Android-банкеров.

Загрузчики используются для инфецирования мобильных устройств так будто иным вредным ПО. В октябре вирусные аналитики обнаружили в каталоге гугл Play троянца Android.DownLoader.818.origin, распространявшегося под общим общим общим общим обликом VPN-клиента. потом эксперты «Доктор Веб» выявили чуть его модификаций, кои скрывались в фальшивых играх так будто получили имена Android.DownLoader.819.origin так будто Android.DownLoader.828.origin. Они предназначались для инсталляции маркетинговых троянцев.

Все большее распространение приобретают многокомпонентные вредные приложения. любой из них модулей отвечает за исполнение конкретных функций, будто дозволяет злодеям при необходимости расширять полномочия троянцев. перестать считая того, экий приспособление работы на зараженных мобильных устройствах снижает возможность выявления угрозы. Вирусописатели способны оперативно обновлять эти плагины так будто добавлять к ним новые, оставляя главного троянца с наименьшим набором функций так будто делая его гораздо заметным.

Подобный «комбайн» эксперты «Доктор Веб» заприметили в феврале — он приобрел имя Android.RemoteCode.127.origin. Троянец, коего установили свыше 4 500 000 пользователей, неприметно скачивал так будто запускал вредные модули, выполнявшие всевозможные действия. одинакий из исследованных плагинов Android.RemoteCode.127.origin загружал личное обновление, сокрытое в обычном, на 1-ый взгляд, изображении. экий методика маскировки вредных объектов популярен будто стеганография. Он знаком специалистам по информационной безопасности уже давно, впрочем используется вирусописателями редко.

После расшифровки так будто пуска модуль скачивал ещё одно изображение, в котором скрывался прочий плагин, загружавший так будто запускавший троянца Android.Click.221.origin. Тот неприметно раскрывал веб-сайты так будто надавливал на расположенные на них составляющие — ссылки так будто баннеры, — накручивая счетчики посещений так будто зарабатывая монета за маркетинговые «клики».

Примеры изображений с зашифрованными в них модулями Android.RemoteCode.127.origin:

Подробнее об данном троянце рассказано в новостном материале на нашем сайте.

Android.RemoteCode.152.origin — ещё одинакий многокомпонентный троянец, даровитый загружать так будто делать любой код. Его установили наиболее 6 500 000 пользователей. данная вредная программа неприметно скачивала так будто запускала запасные модули, между коих были маркетинговые плагины. С них поддержкой троянец созидал невидимые баннеры с объявлениями так будто надавливал на них, принося вирусописателям прибыль.

В августе аналитики «Доктор Веб» изучили троянца-клипера Android.Clipper.1.origin, а уж уж уж уж уж уж уж ещё его трансформацию Android.Clipper.2.origin. данная вредная программа заменяла в буфере обмена гостиница электронных кошельков платежных систем «Яндекс.Деньги», Qiwi так будто Webmoney (R так будто Z), а уж уж уж уж уж уж уж ещё криптовалют Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH так будто Blackcoin. Вирусописатели распространяли троянца под общим общим общим общим обликом популярных так будто безвредных приложений.

При копировании гостиница электронного кошелька в буфер обмена Android.Clipper.1.origin перехватывал его так будто передавал на управляющий сервер. В отклик вредная программа приобретала информацию о номере кошелька злоумышленников, на какой-нибудь троянец подменял номер в буфере обмена. В результате, коли юзер перестать замечал подмену, он переводил монета на счет киберпреступников. исчерпывающая оповещение об Android.Clipper.1.origin доступна в новостной публикации на медиа-сайте корпорации «Доктор Веб».

Вирусная меблировка в сегменте мобильных устройств

Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, в 2018 году на Android-устройствах почаще простите обнаруживались маркетинговые троянцы, вредные программы, скачивающие опасное так будто нежелательное ПО, а уж уж уж уж уж уж уж ещё троянцы, выполняющие по команде злоумышленников всевозможные действия.

Android.Backdoor.682.origin

Троянец, выполняющий по команде киберпреступников вредные действия.

Android.Mobifun.4

Представители семейства троянцев, специализированных для показа назойливой рекламы.

Android.HiddenAds

Представители семейства троянцев, специализированных для показа назойливой рекламы.

Android.DownLoader.573.origin

Вредоносная программа, выполняющая загрузку данных вирусописателями приложений.

Android.Packed.15893

Детектирование троянцев, защищенных программным упаковщиком.

Android.Xiny.197

Троянец, главная задачка коего — загрузка так будто удаление приложений.

Android.Altamob.1.origin

Вредоносная программа, выполняющая загрузку данных вирусописателями приложений.

Среди ненужных так будто потенциально небезопасных приложений, найденных на Android-устройствах в направление года, самыми всераспространенными оказались модули, показывающие рекламу. перестать считая того, на смартфонах так будто планшетах детектировались программы, предназначенные для загрузки так будто инсталляции всевозможного ПО.

Adware.Zeus.1

Adware.Altamob.1.origin

Adware.Jiubang

Adware.Adtiming.1.origin

Adware.Adpush.601

Adware.SalmonAds.3.origin

Adware.Gexin.2.origin

Нежелательные модули, кои разработчики ПО так будто вирусописатели встраивают в приложения для показа враждебной рекламы.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Потенциально небезопасные программы, предназначенные для загрузки так будто инсталляции остальных приложений.

Банковские троянцы

Банковские троянцы насколько так как раньше воображают нешуточную угроза для хозяев мобильных устройств. Эти вредные приложения похищают логины так будто пароли доступа к учетным записям покупателей кредитных организаций, информацию о банковских картах так будто остальные секретные данные, кои имеют абсолютно кончено шансы быть использован для кражи денег. В направление крайних 12 месяцев антивирусные продовольствие Dr.Web для Android обнаруживали подобных троянцев на смартфонах так будто планшетах свыше 110 000 раз. Динамика детектирования Android-банкеров показана на надлежащем графике:

Когда в конце 2016 лета создатели банковского троянца Android.BankBot.149.origin выпустили его начальный код, эксперты корпорации «Доктор Веб» спрогнозировали появление большого колличества вредных программ, созданных на его основе. Это догадка выяснилось верным: вирусописатели интенсивно приступили к производству подобных банкеров, синхронно совершенствуя них так будто добавляя новейшие функции. Одним из подобных троянцев, кои преступники распространяли в 2018 году, был Android.BankBot.250.origin, а уж уж уж уж уж уж уж ещё его освеженная так будто ещё наиболее небезопасная версия Android.BankBot.325.origin. данный банкер, популярный под именованием Anubis, появляется функциональным вредным приложением. Оно перестать всего ворует секретные заданные так будто монета пользователей, впрочем так будто способно делать бездна команд. перестать считая того, с его поддержкой киберпреступники имеют абсолютно кончено шансы приобретать дистанционный доступ к зараженным устройствам, применяя Android.BankBot.325.origin будто утилиту удаленного администрирования. С деталями изучения этого троянца можно ознакомиться в надлежащем материале на нашем сайте.

В марте эксперты «Доктор Веб» обнаружили в гугл Play троянца Android.BankBot.344.origin, скрывавшегося в приложении под наименованием «ВСЕБАНКИ – шабаш банки в одном месте». преступники выдавали его за всепригодное приложение для работы с системами онлайн-банкинга нескольких отечественных кредитных организаций.

При запуске Android.BankBot.344.origin предлагал вероятной жертве поместиться в уже существующую банковскую учетную запись, указав логин так будто пароль, либо зарегистрироваться, предоставив познания о банковской карте. Вводимая оповещение передавалась кибержуликам, засим чего те могли стащить монета со скомпрометированного счета.

Осенью вирусные аналитики исследовали банкера Android.Banker.2876, какой-нибудь ещё разносился сквозь каталог гугл Play так будто штурмовал покупателей кредитных учреждений Испании, Франции так будто Германии. Он демонстрировал фишинговое окно так будто предлагал вероятной жертве показать ее номер телефона, засим чего передавал его вирусописателям. засим Android.Banker.2876 начинал перехватывать СМС-сообщения так будто высылал них содержимое злоумышленникам. Благодаря данному те могли приобретать разовые коды доказательства финансовых операций так будто бондить монета пользователей.

Вскоре наши эксперты выявили в гугл Play троянца Android.BankBot.495.origin, предназначенного для юзеров из Бразилии. Android.BankBot.495.origin использовал особые полномочия ОС Android. С них поддержкой он считывал содержимое окон работающих приложений, передавал злодеям секретные данные, а уж уж уж уж уж уж уж ещё независимо надавливал на клавиши так будто заведовал атакованными программами. перестать считая того, троянец демонстрировал жульнические окна, в коих запрашивал логины, пароли, гостиница кредитных карт так будто другую тайную информацию.

Мошенничество

Проводя жульнические кампании, киберпреступники шабаш почаще пользуются вредные программы для мобильных Android-устройств. В 2018 году было выявлено бездна подобных троянцев. Об одном из них — Android.Click.245.origin — фирма «Доктор Веб» рассказывала в апреле. Он разносился под общим общим общим общим обликом популярных приложений, впрочем занимался всего загрузкой жульнических веб-страниц. На них вероятным жертвам предлагалось скачать то либо другое ПО, указав для этого номер мобильного телефона. засим ввода гостиница жертве приходило СМС-сообщение с кодом подтверждения, какой-нибудь был якобы нужен для окончания загрузки приложения. впрочем вводя приобретенный код на сайте, юзер подписывался на платную услугу. коли же хозяин зараженного устройства был включен к вебу сквозь мобильную сеть, при нажатии на фальшивую кнопочку загрузки оформление дорогостоящей услуги происходило автоматично с применением технологии Wap-Click. образчик подобных сайтов показан ниже:

На протяжении лета наши эксперты обнаруживали в гугл Play так будто остальных троянцев, могущих по команде управляющего сервера загружать всевозможные веб-страницы. между них были Android.Click.415, Android.Click.416, Android.Click.417, Android.Click.246.origin, Android.Click.248.origin, Android.Click.458 так будто пробор других. Они ещё распространялись под общим общим общим общим обликом нужных программ — сборников рецептов, самых разных пособий, голосовых помощников, игр так будто в том числе букмекерских приложений.

Кроме того, преступники интенсивно распространяли Android-троянцев семейства Android.FakeApp, кои загружали жульнические веб-сайты с опубликованными на них фальшивыми опросами. юзерам предлагалось отозваться на чуть элементарных вопросов, за будто кибержулики обещали солидное валютное вознаграждение. Для получения оплаты от вероятной жертвы требовалось реализовать какой-то проверочный либо прочею платеж. впрочем засим перевода средств плутам хозяин зараженного устройства перестать приобретал никаких денег.

В направление лета вирусные аналитики заприметили 10-ки жульнических приложений Android.FakeApp так будто Android.Click, кои в общей сложности установили перестать гораздо 85 000 хозяев Android-смартфонов так будто планшетов. наиболее подробно о кое-каких из этих троянцев фирма «Доктор Веб» рассказывала в отдельном информационном материале.

Перспективы так будто тенденции

В надлежащем году юзеры мобильных устройств ещё столкнутся с атаками банковских троянцев, а уж уж уж уж уж уж уж вирусописатели продолжат улучшать них функционал. полностью вероятно, будто шабаш большее численность Android-банкеров полноте останавливаться всепригодными вредоносными программами, могущими делать размашистый диапазон задач.

Возрастет численность жульнических приложений так будто маркетинговых троянцев. ещё вирусописатели перестать оставят попыток заслужить на добыче криптовалют, применяя вычислительные мощности Android-устройств. невозможно выкидывать очередных случаев инфецирования прошивок.

Киберпреступники будут улучшать способы обхода антивирусов, интегрированных в операционную систему Android новеньких ограничений так будто защитных механизмов. перестать исключено появление руткитов так будто троянцев, могущих обходить эти барьеры. реально появление вредных программ с новенькими принципами работы так будто методами получения секретной информации. Например, применение датчиков мобильного устройства так будто слежение за движениями око для получения инфы о набираемом тексте. перестать считая того, в новеньких вредных приложениях преступники имеют абсолютно кончено шансы использовать способы машинного обучения так будто остальные способы искусственного интеллекта.