Отчеты о вредоносном ПО

Развитие информационных угроз в третьем квартале 2021 года. Мобильная статистика

Представленная статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

По данным Kaspersky Security Network, в третьем квартале 2021 года:

  • Предотвращено 9 599 519 атак вредоносного, рекламного и нежелательного мобильного ПО.
  • Наибольшую долю от всех обнаруженных угроз для мобильных устройств — 65,84%— составили потенциально нежелательные программы (RiskTool).
  • Было обнаружено 676 190 вредоносных установочных пакетов, из которых
    • 12 097 пакетов относились к мобильным банковским троянцам;
    • 6 157 пакетов оказались мобильными троянцами-вымогателями.

Особенности квартала

В отчетном периоде активность злоумышленников несколько снизилась по сравнению с предыдущим кварталом, если судить по количеству атак на мобильные устройства – 9,6 млн в третьем квартале 2021 года. Мы не видели новые массовые кампании по распространению какого-то определённого семейства мобильных зловредов, не было и других заметных информационных поводов, как в начале пандемии COVID-19.

Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q1 2020 — Q3 2021 (скачать)

Однако вместе с этим третий квартал принёс немало интересных находок. Так, в одну из модифицированных сборок Whatsapp – FMWhatsapp версии 16.80.0 – вместе с рекламным SDK попал троянец Triada. Популярность сборок Whatsapp с дополнительными возможностями обеспечила этому троянцу пятое место в нашем TOP мобильных вредоносных программ.

В третьем квартале появились новые семейства троянцев, распространяющиеся через Google Play. К уже известным нам Trojan.AndroidOS.Jocker и Trojan.AndroidOS.MobOk, оформляющим на пользователя платные подписки, и Trojan-Dropper.AndroidOS.Necro, который загружает с сервера злоумышленников полезную нагрузку, добавились еще два. Первое – это разновидности скамерских приложений Trojan.AndroidOS.Fakeapp, эксплуатирующие тему социальных выплат и выманивающие деньги у пользователя, второе – это активно растущее семейство Trojan-PSW.AndroidOS.Facestealer, крадущее учетные данные от аккаунтов Facebook.

Развивались и мобильные банковские троянцы – так, семейство Trojan-Banker.AndroidOS.Fakecalls, атакующее пользователей в Корее, использовало любопытный трюк: если пользователь пытается позвонить в банк, то реальный звонок сбрасывается, а жертве включаются аудиозаписи с заготовленными ответами оператора, хранящиеся в теле троянца.

Статистика мобильных угроз

В третьем квартале 2021 года «Лабораторией Касперского» было обнаружено 676 190 вредоносных установочных пакетов, что на 209 915 пакетов меньше, чем в предыдущем квартале, и на 445 128 меньше, чем в третьем квартале 2020 года.

Количество обнаруженных вредоносных установочных пакетов, Q3 2020 — Q3 2021 (скачать)

Распределение детектируемых мобильных программ по типам

Распределение новых детектируемых мобильных программ по типам, Q2 и Q3 2021 (скачать)

Среди всех обнаруженных в третьем квартале 2021 года угроз две трети составили потенциально нежелательные приложения RiskTool (65,84%), чья доля выросла на 27,37 п.п. Подавляющее большинство — 91,02% — обнаруженных приложений этого типа принадлежали семейству SMSreg.

Второе место заняли рекламные приложения (adware), их доля составила 21,51%, что на 12,58 п.п. меньше по сравнению с предыдущим кварталом. Наиболее часто мы обнаруживали объекты семейств AdWare.AndroidOS.FakeAdBlocker (34,29% от всех обнаруженных угроз данного класса), AdWare.AndroidOS.HiddenAd (30,66%) и AdWare.AndroidOS. MobiDash (8,81%).

На третьем месте расположились различные троянцы (2,79%), их доля уменьшилась на 13,69 пп. Наибольший вклад внесли объекты семейства Boogr (48,88%), Piom (11,04%) и Hiddad (7,52%).

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и Adware.

Вердикт %*
1 DangerousObject.Multi.Generic 33,02
2 Trojan-SMS.AndroidOS.Agent.ado 6,87
3 Trojan.AndroidOS.Whatreg.b 4,41
4 Trojan.AndroidOS.Triada.dq 3,85
5 Trojan.AndroidOS.Triada.ef 3,71
6 Trojan.AndroidOS.Hiddad.gx 3,70
7 DangerousObject.AndroidOS.GenericML 3,68
8 Trojan.AndroidOS.Agent.vz 3,63
9 Trojan-Downloader.AndroidOS.Necro.d 3,56
10 Trojan-Dropper.AndroidOS.Hqwar.bk 3,43
11 Trojan-SMS.AndroidOS.Fakeapp.b 3,35
12 Trojan.AndroidOS.MobOk.ad 3,13
13 Trojan.AndroidOS.Triada.el 2,76
14 Trojan-Downloader.AndroidOS.Agent.kx 2,21
15 Trojan-Dropper.AndroidOS.Hqwar.gen 1,74
16 Trojan-Downloader.AndroidOS.Gapac.e 1,71
17 Trojan-Dropper.AndroidOS.Agent.rp 1,66
18 Exploit.AndroidOS.Lotoor.be 1,66
19 Trojan.AndroidOS.Fakeapp.dn 1,64
20 Trojan-SMS.AndroidOS.Prizmes.a 1,53

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».

Первую десятку в TOP 20 за третий квартал составляют угрозы, уже встречавшиеся ранее в наших рейтингах.

Первое место традиционно занял вердикт DangerousObject.Multi.Generic (33,02%), который мы используем для вредоносных программ, обнаруженных с помощью облачных технологий. Они работают, когда в антивирусных базах еще нет данных для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

Троянец Trojan-SMS.AndroidOS.Agent.ado, отправляющий SMS на короткие премиальные номера, переместился с третьего места на второе (6,87%).

На третье место поднялся зловред Trojan.AndroidOS.Whatreg.b (4,41%), позволяющий злоумышленникам регистрировать новые аккаунты в мессенджере Whatsapp на номер телефона жертвы для использования по своему усмотрению.

Троянцы семейства Triada заняли в рейтинге четвёртое, пятое и тринадцатое места. Эти зловреды используются для скачивания и запуска на зараженном устройстве других вредоносных программ. У жертв Triada часто встречаются уже упомянутый выше Trojan.AndroidOS.Whatreg.b, а также Trojan-Downloader.AndroidOS.Necro.d (девятое место, 3,56%), Trojan-Downloader.AndroidOS.Gapac.e (шестнадцатое место, 1,71%) и Trojan-Dropper.AndroidOS.Agent.rp (семнадцатое место, 1,66%), являющиеся, по-видимому, частью одной кампании.

На шестую позицию поднялся зловред Trojan.AndroidOS.Hiddad.gx (3,70%), демонстрирующий пользователям навязчивую рекламу.

Седьмое место занял вердикт DangerousObject.AndroidOS.GenericML (3,68%). Такие вердикты получают файлы, признанные вредоносными нашими системами, основанными на машинном обучении.

На восьмое место опустился зловред Trojan.AndroidOS.Agent.vz (3,63%), как и Triada, являющийся звеном цепочки заражений различными троянцами.

Десятое и пятнадцатое места заняли представители семейства Trojan-Dropper.AndroidOS.Hqwar – дроппера, использующегося для распаковки и запуска на устройстве жертвы различных банковских троянцев.

Одиннадцатое место занял новичок рейтинга – Trojan-SMS.AndroidOS.Fakeapp.b (3,35%). Этот мобильный зловред способен отправлять SMS и звонить на заданные номера, демонстрировать рекламу, а также скрывать свою иконку на устройстве. Большинство атакованных этим троянцем пользователей – из России.

На двенадцатое место опустился представитель семейства Trojan.AndroidOS.MobOk.ad (3,13%), подписывающий пользователя на платные услуги.

На четырнадцатое место поднялся троянец Trojan-Downloader.AndroidOS.Agent.kx (2,21%), подгружающий рекламные приложения.

На восемнадцатом месте оказался Exploit.AndroidOS.Lotoor.be (1,66%) – эксплойт, использующийся для повышения привилегий на устройстве до суперпользователя. Представители этого семейства встречаются в связке с другими распространенными зловредами, такими как Triada и Necro.

Ещё один новый зловред в нашем рейтинге – Trojan.AndroidOS.Fakeapp.dn (1,64%) – занял девятнадцатую строку. Это скамерское приложение, эксплуатирующее тему социальных выплат и открывающее мошеннические страницы, предлагающие пользователю для получения денег ввести личные данные и оплатить взнос.

Замыкает TOP 20 троянец Trojan-SMS.AndroidOS.Prizmes.a (1,53%), предустановленный на некоторых моделях Android-устройств под видом приложения Sound Recorder. Зловред отправляет на заданные номера SMS с описанием происходящих на устройстве событий (например, сообщает о включении смартфона).

География мобильных угроз

TOP 10 стран по доле пользователей, атакованных мобильными угрозами

Страна* %**
1 Иран 20,14
2 Саудовская Аравия 17,84
3 Китай 17,07
4 Алжир 16,73
5 Индия 15,33
6 Малайзия 13,63
7 Эквадор 11,52
8 Бразилия 11,15
9 Бангладеш 10,81
10 Нигерия 10,81

* Из рейтинга мы исключили страны, где количество пользователей мобильных защитных решений «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, атакованных в стране, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в стране.

В третьем квартале 2021 года лидеры рейтинга по доле заражения среди стран не изменились по сравнению с прошлым кварталом, равно как не изменились и наиболее популярные угрозы в этих странах. Первое место занял Иран (20,14%), в котором чаще других угроз мы детектировали назойливые рекламные модули семейств AdWare.AndroidOS.Notifyer и AdWare.AndroidOS.Fyben.

На втором месте Саудовская Аравия (17,84%), где пользователи чаще всего сталкивались с рекламными приложениями семейств AdWare.AndroidOS.HiddenAd и AdWare.AndroidOS.FakeAdBlocker.

На третьем месте Китай (17,07%), в этой стране наибольшее распространение получил троянец Trojan.AndroidOS.Najin.a.

Мобильные банковские троянцы

За отчетный период мы обнаружили 12 097 установочных пакетов мобильных банковских троянцев, что на 12507 меньше, чем во втором квартале 2021 года, и на 22813 меньше, чем годом ранее, в третьем квартале 2020 года.

Наибольший вклад внесли создатели троянцев семейств Trojan-Banker.AndroidOS.Agent (46,72% от всех обнаруженных банковских троянцев), Trojan-Banker.AndroidOS.Bian (16,18%) и Trojan-Banker.AndroidOS.Anubis (8,20%).

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q3 2020 – Q3 2021 (скачать)

ТОР 10 мобильных банкеров

Вердикт %*
1 Trojan-Banker.AndroidOS.Anubis.t 16,77
2 Trojan-Banker.AndroidOS.Svpeng.q 11,17
3 Trojan-Banker.AndroidOS.Bian.f 9,08
4 Trojan-Banker.AndroidOS.Agent.eq 6,83
5 Trojan-Banker.AndroidOS.Asacub.ce 6,22
6 Trojan-Banker.AndroidOS.Agent.ep 5,17
7 Trojan-Banker.AndroidOS.Hqwar.t 3,53
8 Trojan-Banker.AndroidOS.Agent.cf 3,05
9 Trojan-Banker.AndroidOS.Bian.h 2,83
10 Trojan-Banker.AndroidOS.Svpeng.t 2,81

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».

В третьем квартале 2021 года на первом месте в нашем ТОР мобильных банкеров оказался троянец семейства Anubis – Trojan-Banker.AndroidOS.Anubis.t (16,77%). На втором (11,17%) и десятом (2,81%) местах расположились банкеры семейства Svpeng. На третьем (9,08%) и девятом (2,83%) местах – банкеры семейства Bian.

TOP 10 стран по доле пользователей, атакованных мобильными банковскими троянцами

Страна* %**
1 Испания 1,02
2 Австрия 0,44
3 Хорватия 0,43
4 Германия 0,33
5 Япония 0,26
6 Турция 0,22
7 Португалия 0,20
8 Норвегия 0,20
9 Китай 0,18
10 Швейцария 0,14

* Из рейтинга мы исключили страны, где количество пользователей мобильных защитных решений «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля в стране уникальных пользователей, атакованных мобильными банковскими троянцами, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в этой стране.

В третьем квартале 2021 года первое месте по доле уникальных пользователей, атакованных мобильными финансовыми угрозами, заняла Испания (1,02%). Чаще всего в этой стране мы детектировали банкер Trojan-Banker.AndroidOS.Bian.h (33,55% от всех обнаруженных банковских троянцев). Второе место у Австрии (0,44%), где с огромным отрывом лидировал другой представитель семейства Bian – Trojan-Banker.AndroidOS.Bian.f (96,02%). На третьем месте Хорватия (0,43%), где также чаще всего встречался банкер Bian.f (97,59%).

Мобильные троянцы-вымогатели

В третьем квартале 2021 года мы обнаружили 6 157 установочных пакетов мобильных троянцев-вымогателей. Это на 2534 пакета больше показателя предыдущего квартала и на 635 больше, чем в третьем квартале 2020 года.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского», Q3 2020 – Q3 2021 (скачать)

ТОР 10 мобильных вымогателей

Вердикт %*
1 Trojan-Ransom.AndroidOS.Pigetrl.a 51,00
2 Trojan-Ransom.AndroidOS.Rkor.ax 10,43
3 Trojan-Ransom.AndroidOS.Rkor.bb 8,58
4 Trojan-Ransom.AndroidOS.Rkor.az 5,31
5 Trojan-Ransom.AndroidOS.Rkor.bc 4,64
6 Trojan-Ransom.AndroidOS.Rkor.ay 4,49
7 Trojan-Ransom.AndroidOS.Small.as 3,92
8 Trojan-Ransom.AndroidOS.Rkor.ba 2,30
9 Trojan-Ransom.AndroidOS.Rkor.au 1,72
10 Trojan-Ransom.AndroidOS.Rkor.aw 1,41

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных троянцами-вымогателями пользователей мобильных решений «Лаборатории Касперского».

Как и в предыдущем квартале, в отчетном периоде лидирующую позицию среди троянцев-вымогателей занял Trojan-Ransom.AndroidOS.Pigetrl.a – 51% от всех атакованных вымогателями пользователей. Большинство атак (92%) этого троянца осуществлялись на пользователей в России.

TOP 10 стран по доле пользователей, атакованных мобильными троянцами-вымогателями

Страна* %**
1 Казахстан 0,57
2 Швеция 0,22
3 Киргизстан 0,21
4 Марокко 0,06
5 Китай 0,06
6 Саудовская Аравия 0,05
7 Узбекистан 0,04
8 Алжир 0,04
9 Пакистан 0,02
10 Египет 0,02

* Из рейтинга мы исключили страны, где количество пользователей мобильных решений «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля в стране уникальных пользователей, атакованных мобильными троянцами-вымогателями, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в стране.

Лидеры среди стран по числу атакованных мобильными троянцами-вымогателями пользователей не изменились со второго квартала: Казахстан (0,57%), Швеция (0,22%) и Киргизия (0,21%). Во всех трех странах пользователи чаще всего сталкивались с троянцами семейства Trojan-Ransom.AndroidOS.Rkor.

Развитие информационных угроз в третьем квартале 2021 года. Мобильная статистика

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике