Отчеты о вредоносном ПО

Отчет о работе KSN: мобильные программы-вымогатели в 2014-2016 годах

Эволюция угрозы и ее будущее

Часть 1. Программы-вымогатели для ПК в 2014-2016 годах

 Полная PDF-версия отчета (англ.)

Статистика

Мобильные программы-вымогатели не привлекают такого же внимания СМИ, как программы-вымогатели для персональных компьютеров. Тем не менее, их активность тоже усилилась за тот период, который мы рассматриваем в отчете, особенно во второй его половине.

Отчет о работе KSN: мобильные программы-вымогатели в 2014-2016 годах

Число пользователей, столкнувшихся с мобильными программами-вымогателями хотя бы один раз с апреля 2014 г. по март 2016 г.

С апреля 2014 г. по март 2015 г. защитные решения «Лаборатории Касперского» для Android защитили от мобильных программ-вымогателей 35 413 пользователей. В следующем рассматриваемом в отчете году это число было почти в четыре раза больше – 136 532 пользователей. Отношение числа пользователей, подвергшихся атакам со стороны программ-вымогателей, к общему числу пользователей, устройства которых были атакованы вредоносным ПО, также выросло – с 2,04% в 2014-2015 гг. до 4,63% в 2015-2016 гг. Несмотря на то что рост здесь менее значительный, чем в случае программ-вымогателей для ПК, он достаточно серьезный, чтобы служить подтверждением пугающей тенденции.

Основные группировки, стоящие за мобильными программами-вымогателями

Эксперты «Лаборатории Касперского» определили несколько семейств мобильных программ-вымогателей, с которыми наиболее часто сталкивались пользователи наших продуктов в течение периода, охватываемого настоящим отчетом. В 2014-2015 гг. это были Pletor, Fusob, Svpeng и Small. В 2015-2016 гг. Svpeng значительно снизил свою активность, и на его долю пришлась незначительная часть атакованных пользователей.

Svpeng, который изначально был банковской вредоносной программой, в 2014-2015 году был изменен своими создателями, получив функционал блокирования зараженного устройства. С этого момента мы отслеживаем обе версии Svpeng: и банковскую, и имеющую функции программы-вымогателя. Популярность ветви с функционалом вымогателя заметно выросла в 2014-2015 гг.: на ее долю пришлось 5,64% всех пользователей, атакованных с применением какого-либо вредоносного ПО.

Ситуация изменилась в течение второго периода, когда вымогатель опустился до нижних строчек рейтинга 30 ведущих угроз. При этом банковская ветвь Svpeng возобновила активность. Вероятно, это означает, что создатели вредоносной программы просто потеряли интерес к разработке программы-вымогателя и решили сосредоточится на функционале банкера.

Примерно то же произошло и с Pletor, который называют первой мобильной программой-вымогателем. Считается, что Pletor был создан авторами известного банковского троянца Acecard. В 2014-2015 гг. на его долю пришлась достаточно заметная часть пользователей, атакованных с использованием программ-вымогателей, но к 2015-2016 гг. он пропал из верхних строчек рейтингов, оставив на «рынке» лишь три крупных семейства программ-вымогателей.

Отчет о работе KSN: мобильные программы-вымогатели в 2014-2016 годах

Распределение долей общего числа атакованных пользователей между наиболее активными семействами мобильных программ-вымогателей в 2014-2015 гг. (левая диаграмма) и 2015-2016 гг. (правая диаграмма).

Еще одним важным феноменом, который наблюдался в течение периода, охватываемого настоящим отчетом, стало соперничество между двумя крупными семействами программ-вымогателей – Small и Fusob. В 2014-2015 гг. семейство Small занимало лидирующие позиции, по крайней мере исходя из процента от общего числа атакованных пользователей. На долю этого семейства приходилось 69,11% всех пользователей, хотя бы раз столкнувшихся с мобильными программами-вымогателями. Однако годом позже семейство Fusob перехватило лидерство с 56,25% пользователей. При этом семейство Small осталось вторым в рейтинге с 37,23% атакованных пользователей. Вероятно, авторы вредоносных программ семейств Svpeng, Pletor, Small и Fusob продают их другим киберпреступникам или распространяют через партнерские сети – все четыре семейства претерпели множество изменений. Но наиболее значительным изменениям, по-видимому, подверглись, Small и Fusob, что ясно отражает статистика.

В отличие от программ-вымогателей для ПК, которые уже достаточно хорошо исследованы экспертами разных компаний, включая «Лабораторию Касперского», их мобильные аналоги еще не изучены достаточно глубоко. Чтобы исправить ситуацию, мы предлагаем краткое описание наиболее распространенных и опасных образцов мобильных программ-вымогателей по состоянию на апрель 2016 года.

Более подробную информацию об эволюции программ-вымогателей вы можете найти в полной версии отчета.

Отчет о работе KSN: мобильные программы-вымогатели в 2014-2016 годах

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике