Отчеты о вредоносном ПО

Развитие информационных угроз в первом квартале 2023 года. Мобильная статистика

Представленная статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

По данным Kaspersky Security Network, в первом квартале 2023 года:

  • Предотвращено 4 948 522 атаки с использованием вредоносного, рекламного или нежелательного мобильного ПО.
  • Самой распространенной угрозой для мобильных устройств стало рекламное ПО (AdWare), на долю которого пришлось 34,8% всех обнаруженных угроз.
  • Было обнаружено 307 529 вредоносных установочных пакетов, из которых
    • 57 601 пакет относился к мобильным банковским троянцам;
    • 1767 пакетов — к мобильным троянцам-вымогателям.

Особенности квартала

В первом квартале 2023 года количество атак на мобильные устройства с использованием вредоносного, рекламного или нежелательного ПО незначительно снизилось относительно предыдущего отчетного периода. Тем не менее мобильные решения «Лаборатории Касперского» предотвратили за этот период более 4,9 млн атак.

Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q3 2021 — Q1 2023 (скачать)

В первом квартале мы обнаружили в магазине Google Play несколько мобильных фоторедакторов, которые помимо рекламируемых функций содержали дроппер, скрытый внутри сильно обфусцированной библиотеки. Полезная нагрузка дроппера оформляла на пользователя платные подписки и перехватывала его уведомления.

Находке мы присвоили вердикт Trojan.AndroidOS.Subscriber.aj и сообщили о ней разработчикам Google Play, которые удалили приложения из магазина. Новые файлы этого троянца решения «Лаборатории Касперского» детектируют как Trojan.AndroidOS.Fleckpe.

Также в первом квартале мы встретили Trojan.AndroidOS.Bithief.f — вредоносную модификацию мессенджера Skype, которая похищает криптовалюту жертвы. Троянец мониторит буфер обмена на устройстве пользователя и, если находит в нем адрес криптокошелька, то отправляет его на свой С&C. В ответ зловред получает адрес кошелька злоумышленника и подменяет скопированные данные. В результате не очень внимательный пользователь после вставки кошелька из буфера обмена переводит криптовалюту совсем не тому, кому хотел.

Статистика мобильных угроз

После заметного снижения числа вредоносных установочных пакетов в четвертом квартале прошлого кода, связанного с уменьшением активности Trojan-Dropper.AndroidOS.Ingopack, в первом квартале мы наблюдали небольшой рост числа образцов нового вредоносного ПО.

Количество обнаруженных вредоносных установочных пакетов, Q1 2022 — Q1 2023 (скачать)

Распределение детектируемых мобильных программ по типам

Распределение новых детектируемых мобильных программ по типам, Q4 2022 и Q1 2023 (скачать)

На первое место по числу обнаруженных установочных пакетов снова вернулось рекламное ПО (34,8%). Наиболее распространенными в первом квартале семействами стали MobiDash (22,5%), HiddenAd (21,9%) и Adlo (12,4%).

Доля пользователей, столкнувшихся с угрозой определенного типа, от всех атакованных пользователей мобильных продуктов, Q4 2022 и Q1 2023 (скачать)

Если смотреть на долю атакованных пользователей, в первом квартале возросла активность мобильных троянцев. Это связано преимущественно с вредоносным ПО, которое наши решения детектируют как Trojan.AndroidOS.Fakemoney.v и Trojan.AndroidOS.Adinstall.l. Первое представляет собой поддельное приложение для инвестиций, которое собирает платежные данные жертвы. Второе – предустановленное на некоторых устройствах ПО, способное скачивать и запускать произвольный (как правило, рекламный) код.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и AdWare.

Вердикт %* Q4 2022 %* Q1 2023 Разница в п. п. Изменение позиции
1 DangerousObject.Multi.Generic 16,52 13,27 -3,24
2 Trojan-Spy.AndroidOS.Agent.acq 4,29 8,60 +4,31 +5
3 Trojan.AndroidOS.Boogr.gsh 6,92 8,39 +1,47 +1
4 Trojan.AndroidOS.Fakemoney.v 1,13 7,48 +6,35 +19
5 Trojan.AndroidOS.GriftHorse.l 8,29 6,13 -2,17 -3
6 Trojan.AndroidOS.Generic 7,68 5,95 -1,73 -3
7 Trojan-Dropper.AndroidOS.Hqwar.hd 3,06 4,54 +1,49 +2
8 Trojan-Downloader.AndroidOS.Agent.mh 0,00 3,68 +3,68
9 Trojan-Spy.AndroidOS.Agent.aas 6,18 3,64 -2,53 -3
10 DangerousObject.AndroidOS.GenericML 2,37 3,46 +1,10
11 Trojan.AndroidOS.Adinstall.l 0,28 3,36 +3,08
12 Trojan-Dropper.AndroidOS.Agent.sl 3,50 2,10 -1,40 -4
13 Trojan.AndroidOS.Fakemoney.u 0,67 1,64 +0,97 +25
14 Trojan-Banker.AndroidOS.Bian.h 1,43 1,52 +0,10 +3
15 Trojan-Dropper.AndroidOS.Hqwar.gen 1,25 1,47 +0,22 +6
16 Trojan-Downloader.AndroidOS.Agent.kx 1,53 1,43 -0,10 -3
17 Trojan-SMS.AndroidOS.Fakeapp.d 6,43 1,32 -5,11 -12
18 Trojan.AndroidOS.Piom.auar 0,00 1,06 +1,06
19 Trojan-Dropper.AndroidOS.Wroba.o 1,51 1,03 -0,47 -4
20 Trojan-Dropper.AndroidOS.Hqwar.gf 0,14 0,98 +0,84

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».

Верхнюю позицию привычно занимает вердикт DangerousObject.Multi.Generic (13,27%), который используется при детектировании различных не связанных между собой вредоносных программ облачными технологиями. На второе место поднялся Trojan-Spy.AndroidOS.Agent.acq (8,60%) — неофициальная вредоносная модификация WhatsApp, которая скрытно следит за уведомлениями пользователя.

На третьем месте расположился Trojan.AndroidOS.Boogr.gsh (8,39%) — собирательный вердикт для различных вредоносных программ, обнаруженных с помощью технологий машинного обучения. Этот вердикт — аналог DangerousObject.AndroidOS.GenericML (3,46%), но, в отличие от последнего, получен не через облачные сервисы, а при анализе схожего файла в инфраструктуре «Лаборатории Касперского».

Далее идет упомянутое в предыдущем разделе поддельное приложение для инвестиций Trojan.AndroidOS.Fakemoney.v (7,48%) и неоднократно описанный в предыдущих отчетах подписочный троян Trojan.AndroidOS.GriftHorse.l (6,13%).

Региональное вредоносное ПО

В этом разделе мы опишем мобильное вредоносное ПО, нацеленное преимущественно на жителей определенных стран.

Вердикт Страна* %**
Trojan-Banker.AndroidOS.Banbra.aa Бразилия 99,43
Trojan-Spy.AndroidOS.SmsThief.td Индонезия 99,08
Trojan-Banker.AndroidOS.Bray.n Япония 99,07
Trojan-Banker.AndroidOS.Banbra.ac Бразилия 98,85
Trojan-Banker.AndroidOS.Agent.la Турция 98,62
Trojan.AndroidOS.Hiddapp.da Иран 97,82
Trojan.AndroidOS.Hiddapp.bk Иран 96,95
Trojan.AndroidOS.GriftHorse.ai Казахстан 96,26
Trojan-Dropper.AndroidOS.Hqwar.hc Турция 95,93
Trojan.AndroidOS.FakeGram.a Иран 95,73
Trojan-SMS.AndroidOS.Agent.adr Иран 95,07
Trojan.AndroidOS.Hiddapp.bn Иран 95,01
Trojan.AndroidOS.Piom.aiuj Иран 90,33
Trojan-Banker.AndroidOS.Cebruser.san Турция 88,28
Trojan.AndroidOS.Hiddapp.cg Иран 88,25
Backdoor.AndroidOS.Basdoor.c Иран 86,44
Trojan-Dropper.AndroidOS.Wroba.o Япония 83,80

* Страна с наибольшей активностью зловреда.
** Доля уникальных пользователей, столкнувшихся с данным зловредом в указанной стране, от всех атакованных этим же зловредом пользователей мобильных решений «Лаборатории Касперского».

В первом квартале пользователей в Бразилии продолжили атаковать зловреды из семейства Banbra. Это банковские троянцы, которые активно используют «Специальные возможности» (Accessibility) для взаимодействия с приложениями на устройстве.

В Индонезии пользователи столкнулись с кампанией по распространению SMS-шпионов SmsThief.td, маскирующихся под государственные сервисы, системные приложения или магазины.

В Японии активно действовали банковские троянцы Wroba, про которые мы неоднократно писали, а также мобильный зловред Bray, который распространяется под видом полезных приложений, например программ для блокировки нежелательных звонков.

На турецких пользователей в первом квартале были нацелены, во-первых, несколько банковских троянцев, среди них — довольно примитивный троянец Agent.la и широко известный зловред Cebruser. Во-вторых, активный в Турции дроппер Hqwar, который, как правило, также используется для доставки различных банковских зловредов.

Иранские пользователи сталкивались со скрытыми и трудноудаляемыми приложениями Hiddapp, а также с зловредами семейства FakeGram — сторонними клиентами для Telegram, которые автоматически оформляют нежелательные подписки на каналы.

Деятельность одной из модификаций троянца-подписчика GriftHorse мы фиксировали преимущественно в Казахстане. Атаковать пользователей из определенной страны логично для этого семейства, ведь для оформления нежелательных подписок используются фишинговые текстовые описания сервисов, которые нужно адаптировать к языку конкретной страны.

Мобильные банковские троянцы

Количество установочных пакетов банковских троянцев снова начало расти и в первом квартале 2023 года превысило 57 тысяч.

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q1 2022 — Q1 2023 (скачать)

ТОР 10 мобильных банкеров

Вердикт %* Q4 2022 %* Q1 2023 Разница в п. п. Изменение позиции
1 Trojan-Banker.AndroidOS.Bian.h 29,90 30,81 0,91
2 Trojan-Banker.AndroidOS.Faketoken.pac 6,31 10,15 3,84
3 Trojan-Banker.AndroidOS.Agent.eq 4,59 5,51 0,92 +1
4 Trojan-Banker.AndroidOS.Agent.ep 3,57 4,40 0,84 +2
5 Trojan-Banker.AndroidOS.Svpeng.q 5,71 4,05 -1,66 -2
6 Trojan-Banker.AndroidOS.Banbra.aa 1,80 3,72 1,92 +6
7 Trojan-Banker.AndroidOS.Agent.la 0,16 3,08 2,92 +85
8 Trojan-Banker.AndroidOS.Banbra.ac 0,57 2,46 1,89 +23
9 Trojan-Banker.AndroidOS.Asacub.ce 3,46 2,17 -1,29 -1
10 Trojan-Banker.AndroidOS.Agent.cf 1,63 1,91 0,28 +5

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».

В этом квартале относительно предыдущего заметно большую активность стали проявлять упомянутые ранее мобильные зловреды Agent.la (3,08%) и Banbra (2,46%), которые в прошлом квартале не попали даже в ТОР 10 по популярности у злоумышленников.

Мобильные троянцы-вымогатели

После снижения числа мобильных вымогателей в 2022 году, оно остается небольшим. По всей видимости, эта ниша стала менее привлекательна для мошенников.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского», Q1 2022 — Q1 2023 (скачать)

ТОР 10 мобильных вымогателей

Вердикт %* Q4 2022 %* Q1 2023 Разница в п. п. Изменение позиции
1 Trojan-Ransom.AndroidOS.Pigetrl.a 54.61 62.22 7.60
2 Trojan-Ransom.AndroidOS.Small.as 5.42 3.65 -1.77
3 Trojan-Ransom.AndroidOS.Rkor.dl 0.00 2.23 2.23
4 Trojan-Ransom.AndroidOS.Congur.y 1.00 1.78 0.78 +19
5 Trojan-Ransom.AndroidOS.Agent.bw 2.19 1.60 -0.59 -1
6 Trojan-Ransom.AndroidOS.Fusob.h 2.04 1.55 -0.49 +1
7 Trojan-Ransom.AndroidOS.Rkor.pac 1.19 1.50 0.32 +9
8 Trojan-Ransom.AndroidOS.Rkor.di 0.62 1.46 0.84 +30
9 Trojan-Ransom.AndroidOS.Rkor.bi 1.62 1.46 -0.16 +2
10 Trojan-Ransom.AndroidOS.Small.o 2.14 1.32 -0.82 -4

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных троянцами-вымогателями пользователей мобильных решений «Лаборатории Касперского».

Картина распределения мобильных вымогателей между кварталами поменялась слабо. Львиную долю угроз по-прежнему составляет Pigetrl (62,22%), следом идет Small.as (3,65%) и различные модификации Rkor.

Развитие информационных угроз в первом квартале 2023 года. Мобильная статистика

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике