Отчеты о вредоносном ПО

Развитие информационных угроз в третьем квартале 2022 года. Мобильная статистика

Представленная статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

По данным Kaspersky Security Network, в третьем квартале 2022 года:

  • Предотвращено 5 623 670 атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
  • Самой распространенной угрозой для мобильных устройств стали дропперы (Trojan-Dropper) — 26,28% от всех обнаруженных угроз.
  • Было обнаружено 438 035 вредоносных установочных пакетов, из которых
    • 35 060 пакетов относились к мобильным банковским троянцам;
    • 2310 пакетов — к мобильным троянцам-вымогателям.

Особенности квартала

Судя по количеству атак на мобильные устройства, в третьем квартале 2022 года активность злоумышленников стабилизировалась после постепенного снижения в предыдущих кварталах. Всего за три месяца решения «Лаборатории Касперского» предотвратили 5,6 миллиона атак, совершенных с использованием вредоносного, рекламного или нежелательного мобильного ПО.

Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q1 2021 — Q3 2022 (скачать)

Примечательная находка квартала — очередной троянец Triada, обнаруженный внутри модифицированной сборки WhatsApp. Одна из отличительных особенностей этого зловреда в том, что он распространялся через рекламу в популярном приложении Snaptube, а также через внутренний магазин приложения Vidmate. Троянец расшифровывает и запускает на устройстве полезную нагрузку, которая, в свою очередь, скачивает и запускает дополнительные вредоносные модули. Эти модули могут показывать рекламу, оформлять на пользователя платные подписки, а также скачивать и запускать другие вредоносные модули. Помимо этого, троянец крадет различные ключи легитимного приложения WhatsApp, что может привести к перехвату контроля над аккаунтом пользователя.

Другое семейство зловредов, которое распространяется через официальные каналы, — подписочные троянцы Harly. Они размещаются в Google Play под видом легитимных приложений, а после установки оформляют на пользователя платные подписки без его ведома. С 2020 года мы обнаружили более 200 вредоносных приложений этого семейства, а общее число их установок на момент написания отчета превысило 5 миллионов.

Одно из последних обнаруженных приложений семейства Harly в Google Play, установленное более 50 000 раз

Одно из последних обнаруженных приложений семейства Harly в Google Play, установленное более 50 000 раз

В Google Play продолжают появляться и банковские троянцы — например, новые версии троянца-загрузчика, скачивающего и запускающего Sharkbot.

Несмотря на общее снижение количества атак на мобильные устройства, мы видим, что злоумышленники стали использовать все более хитрые уловки для того, чтобы доставить зловред на устройство пользователя.

Статистика мобильных угроз

В третьем квартале 2022 года «Лаборатория Касперского» обнаружила 438 035 вредоносных установочных пакетов, что на 32 351 пакет больше, чем в предыдущем квартале, и на 238 155 меньше, чем в третьем квартале 2021 года.

Количество обнаруженных вредоносных установочных пакетов, Q3 2021 — Q3 2022 (скачать)

Распределение детектируемых мобильных программ по типам

Распределение новых детектируемых мобильных программ по типам, Q2 и Q3 2022 (скачать)

На первое место среди всех обнаруженных в третьем квартале угроз вышел тип Trojan-Dropper, чья доля составила 26,28%, что на 22,15 п. п. больше, чем в предыдущем квартале. Почти половину от всех обнаруженных угроз данного типа составили объекты семейства Ingopack (45,33%). Далее следуют дропперы банковских троянцев из семейств Wroba (41,24%) и Hqwar (5,98%).

Предыдущий лидер рейтинга — рекламные приложения AdWare — переместился на второе место с долей в 22,78% от всех обнаруженных угроз, что на 2,5 п. п. меньше, чем в предыдущем квартале. Четверть от всех обнаруженных угроз данного класса составили объекты семейства Adlo (25,64%).

На третьем месте расположились различные троянцы (тип Trojan) с долей в 16,01%, что на 4,48 п. п. меньше по сравнению с предыдущим кварталом. Половину от всех обнаруженных угроз данного класса составили объекты семейства Boogr (50,16%).

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и Adware.

Вердикт %*
1 DangerousObject.Multi.Generic 22,58
2 Trojan.AndroidOS.Generic 14,59
3 Trojan-Spy.AndroidOS.Agent.aas 8,51
4 Trojan-SMS.AndroidOS.Fakeapp.d 6,95
5 Trojan.AndroidOS.GriftHorse.l 5,57
6 Trojan-Dropper.AndroidOS.Hqwar.hd 2,94
7 DangerousObject.AndroidOS.GenericML 2,90
8 Trojan-Dropper.AndroidOS.Wroba.o 2,46
9 Trojan-Dropper.AndroidOS.Agent.sl 2,21
10 Trojan-Downloader.AndroidOS.Necro.d 1,93
11 Trojan-Dropper.AndroidOS.Agent.rv 1,84
12 Trojan-Banker.AndroidOS.Bian.h 1,71
13 Trojan-Downloader.AndroidOS.Agent.kx 1,69
14 Trojan-Dropper.AndroidOS.Hqwar.hc 1,66
15 Trojan.AndroidOS.Hiddad.hh 1,52
16 Trojan.AndroidOS.GriftHorse.ah 1,45
17 Trojan-SMS.AndroidOS.Agent.ado 1,41
18 Trojan-Dropper.AndroidOS.Hqwar.gen 1,39
19 Trojan-Dropper.AndroidOS.Triada.az 1,35
20 Trojan.AndroidOS.Soceng.f 1,33

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».

Обе верхние позиции заняли вердикты DangerousObject.Multi.Generic (22,58%) и Trojan.AndroidOS.Generic (14,59%), которые мы используем для вредоносных программ, обнаруженных с помощью облачных технологий. Они работают, когда в антивирусных базах еще нет данных для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

На третье место с пятого поднялся троянец Trojan-Spy.AndroidOS.Agent.aas (8,51%) — модификация WhatsApp со шпионским модулем. Trojan-SMS.AndroidOS.Fakeapp.d опустился со второго места на четвертое (6,95%). Этот зловред может отправлять SMS и звонить на заданные номера, демонстрировать рекламу, а также скрывать свою иконку на устройстве. Представители семейства Trojan.AndroidOS.GriftHorse, подписывающие пользователя на платные SMS-сервисы, заняли пятое и шестнадцатое места.

Зловреды семейства Trojan-Dropper.AndroidOS.Hqwar для распаковки и запуска на устройстве различных банковских троянцев заняли шестое, четырнадцатое и восемнадцатое места. Вместе они атаковали почти 6% от всех столкнувшихся с вредоносным ПО пользователей.

Седьмое место сохранил вердикт DangerousObject.AndroidOS.GenericML (2,90%). Его получают файлы, которые наши системы, основанные на машинном обучении, признали вредоносными. Восьмое место занял Trojan-Dropper.AndroidOS.Wroba.o (2,46%) — дроппер, распаковывающий и запускающий на устройстве банковский троянец кампании Roaming Mantis. В основном атакует пользователей из Японии и Франции. Еще один дроппер банковских троянцев — Trojan-Dropper.AndroidOS.Agent.sl (2,21%) — опустился на девятое место.

На десятое место с шестнадцатого поднялся троянец Trojan-Downloader.AndroidOS.Necro.d (1,93%), использующийся для скачивания и запуска на зараженном устройстве других вредоносных программ. Одиннадцатую позицию занял Trojan-Dropper.AndroidOS.Agent.rv (1,84%) — дроппер, распаковывающий и запускающий на устройстве различные вредоносные программы.

На двенадцатой строчке рейтинга появился банковский троянец Trojan-Banker.AndroidOS.Bian.h (1,71%). На тринадцатое место с двадцатого поднялся зловред Trojan-Downloader.AndroidOS.Agent.kx (1,69%), подгружающий рекламные приложения. Пятнадцатое место занял рекламный троянец Trojan.AndroidOS.Hiddad.hh (1,52%), атакующий преимущественно пользователей из России, Казахстана и Украины.

Троянец Trojan-SMS.AndroidOS.Agent.ado, отправляющий SMS на короткие премиальные номера, остался на семнадцатом месте (1,41%). Девятнадцатое место занял Trojan-Dropper.AndroidOS.Triada.az (1,35%) — зловред, расшифровывающий и запускающий свою полезную нагрузку, которая может показывать рекламу на экране блокировки, открывать вкладки браузера, собирать информацию об устройстве и загружать другой вредоносный код.

На последнее место рейтинга с тринадцатого опустился троянец Trojan.AndroidOS.Soceng.f (1,33%). Этот зловред рассылает SMS по списку контактов, удаляет файлы с карты памяти и перекрывает своим окном популярные приложения.

География мобильных угроз

TOP 10 стран и территорий по доле пользователей, атакованных мобильными угрозами

Страны и территории* %**
1 Иран 81,37
2 Йемен 18,91
3 Саудовская Аравия 12,68
4 Оман 11,99
5 Алжир 11,93
6 Кения 11,42
7 Нигерия 10,72
8 Индия 10,65
9 Египет 9,39
10 Эквадор 8,66

* Из рейтинга мы исключили страны и территории, где количество пользователей мобильных защитных решений «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, атакованных в стране, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в стране.

В третьем квартале 2022 года лидеры рейтинга по доле заражения среди стран не поменялись, и наиболее популярные угрозы в этих регионах остались такими же.

На первом месте — Иран с рекордными 81,37%; здесь, как и прежде, чаще всего встречались назойливые рекламные модули семейств AdWare.AndroidOS.Notifyer и AdWare.AndroidOS.Fyben. Второе место по-прежнему занимает Йемен (18,91%), где пользователей чаще других атаковал шпион Trojan-Spy.AndroidOS.Agent.aas. Замыкает первую тройку Саудовская Аравия (12,68%), где пользователи чаще всего сталкивались с рекламными приложениями семейств AdWare.AndroidOS.Adlo и AdWare.AndroidOS.Fyben.

Мобильные банковские троянцы

Число обнаруженных установочных пакетов мобильных банковских троянцев уменьшилось относительно прошлого квартала: за отчетный период мы обнаружили 35 060 пакетов, это на 20 554 меньше, чем во втором квартале 2022 года, и на 22 963 больше, чем годом ранее в третьем квартале 2021 года.

Две трети от обнаруженных установочных пакетов банковских троянцев составили представители семейства Trojan-Banker.AndroidOS.Bray (66,20%). На втором месте — Trojan-Banker.AndroidOS.Bian (5,46%), на третьем — Trojan-Banker.AndroidOS.Fakecalls (4,59%).

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q3 2021 — Q3 2022 (скачать)

ТОР 10 мобильных банкеров

Вердикт %*
1 Trojan-Banker.AndroidOS.Bian.h 29,61
2 Trojan-Banker.AndroidOS.Anubis.t 10,67
3 Trojan-Banker.AndroidOS.Svpeng.q 7,72
4 Trojan-Banker.AndroidOS.Gustuff.d 5,35
5 Trojan-Banker.AndroidOS.Asacub.ce 4,18
6 Trojan-Banker.AndroidOS.Agent.eq 3,94
7 Trojan-Banker.AndroidOS.Agent.ep 3,21
8 Trojan-Banker.AndroidOS.Agent.cf 2,51
9 Trojan-Banker.AndroidOS.Faketoken.z 2,12
10 Trojan-Banker.AndroidOS.Hqwar.t 2,08

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».

Тройка лидеров по числу атакованных пользователей не изменилась с прошлого квартала.

География мобильных банкеров

TOP 10 стран и территорий по доле пользователей, атакованных мобильными банковскими троянцами

Страны и территории* %**
1 Саудовская Аравия 1,36
2 Испания 1,05
3 Австралия 0,79
4 Турция 0,41
5 Швейцария 0,20
6 Япония 0,11
7 Франция 0,08
8 Колумбия 0,08
9 Южная Корея 0,07
10 Италия 0,04

* Из рейтинга мы исключили страны и территории, где количество пользователей мобильных защитных решений «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля в стране уникальных пользователей, атакованных мобильными банковскими троянцами, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в этой стране.

В третьем квартале 2022 года по доле уникальных пользователей, столкнувшихся с мобильными финансовыми угрозами, лидирует Саудовская Аравия (1,36%). Более 99% атак в этой стране были связаны с троянцем Trojan-Banker.AndroidOS.Bian.h. На второе место опустилась Испания (1,05%), где 93,46% атак произошло с применением того же зловреда. На третьей позиции осталась Австралия (0,79%), где в 98,27% атак участвовал Trojan-Banker.AndroidOS.Gustuff.d.

Мобильные троянцы-вымогатели

В третьем квартале 2022 года мы обнаружили 2310 установочных пакетов мобильных троянцев-вымогателей, это на 1511 меньше показателя предыдущего квартала и на 3847 меньше, чем в третьем квартале 2021 года.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского», Q3 2021 — Q3 2022 (скачать)

ТОР 10 мобильных вымогателей

Вердикт %*
1 Trojan-Ransom.AndroidOS.Pigetrl.a 58,73
2 Trojan-Ransom.AndroidOS.Small.as 4,52
3 Trojan-Ransom.AndroidOS.Rkor.cw 4,17
4 Trojan-Ransom.AndroidOS.Rkor.cl 1,92
5 Trojan-Ransom.AndroidOS.Fusob.h 1,92
6 Trojan-Ransom.AndroidOS.Rkor.cm 1,60
7 Trojan-Ransom.AndroidOS.Rkor.da 1,60
8 Trojan-Ransom.AndroidOS.Rkor.bi 1,60
9 Trojan-Ransom.AndroidOS.Rkor.cx 1,57
10 Trojan-Ransom.AndroidOS.Small.ce 1,32

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных троянцами-вымогателями пользователей мобильных решений «Лаборатории Касперского».

География мобильных вымогателей

TOP 10 стран и территорий по доле пользователей, атакованных мобильными троянцами-вымогателями

Страны и территории* %**
1 Йемен 0,28
2 Казахстан 0,15
3 Саудовская Аравия 0,02
4 Иордан 0,02
5 Швейцария 0,02
6 Азербайджан 0,01
7 Киргизстан 0,01
8 Египет 0,01
9 Иран 0,01
10 Алжир 0,01

* Из рейтинга мы исключили страны и территории, где количество пользователей мобильных решений «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля в стране/территории уникальных пользователей, атакованных мобильными троянцами-вымогателями, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в стране.

Лидерами среди стран по числу атакованных мобильными троянцами-вымогателями пользователей в третьем квартале стали Йемен (0,28%), Казахстан (0,15%) и Саудовская Аравия (0,02%). При этом в Йемене и Саудовской Аравии пользователи чаще всего сталкивались с троянцем Trojan-Ransom.AndroidOS.Pigetrl.a, а в Казахстане — с представителями семейства Trojan-Ransom.AndroidOS.Rkor.

Развитие информационных угроз в третьем квартале 2022 года. Мобильная статистика

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике