Развитие информационных угроз в первом квартале 2024 года. Мобильная статистика

Развитие информационных угроз в первом квартале 2024 года
Развитие информационных угроз в первом квартале 2024 года. Мобильная статистика
Развитие информационных угроз в первом квартале 2024 года. Статистика по ПК

Цифры квартала

По данным Kaspersky Security Network, в первом квартале 2024 года:

• Предотвращено 10,1 миллиона атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
• Самой распространенной угрозой для мобильных устройств стало рекламное ПО — 46% от общего числа обнаруженных угроз.
• Было обнаружено более 389 тысяч вредоносных установочных пакетов, из которых:
  • 11 729 пакетов относились к мобильным банковским троянцам;
  • 1990 пакетов — к мобильным троянцам-вымогателям.

Особенности квартала

Число атак на мобильные устройства с использованием вредоносного, рекламного или нежелательного ПО выросло относительно аналогичного периода прошлого года, хотя и незначительно снизилось по сравнению с четвертым кварталом, и достигло 10 100 510.

Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q3 2022 — Q1 2024 (скачать)

Стремительный рост общего числа атак в период со второго по четвертый квартал 2023 года связан преимущественно с ростом активности рекламного ПО и троянцев, которая увеличилась приблизительно в два раза в абсолютных числах за этот период. Однако и другие типы вредоносных и нежелательных приложений нарастили свою активность, поэтому распределение угроз по типам показало менее драматические изменения.

В первом квартале продолжился рост числа атак с использованием модификаций WhatsApp. Например, мы нашли Trojan-Spy.AndroidOS.Agent.ahu — это троянец в WhatsApp-моде, который похищает зашифрованные базы данных мессенджера, а также ключи для их расшифровки. Другая вредоносная модификация WhatsApp, Trojan-Downloader.AndroidOS.Agent.ms, способна скачивать и устанавливать произвольные приложения. Согласно нашей статистике, этот троянец был предустановлен на некоторых устройствах.

Также мы обнаружили примечательный банковский троянец, атакующий пользователей в Корее. При установке он показывает сообщение о том, что приложение недоступно и якобы будет удалено:

Уведомление SoumniBot о том, что приложение недоступно

На самом деле приложение скрывает свою иконку и продолжает работать в фоновом режиме, похищая SMS, контакты, фотографии и даже цифровые сертификаты онлайн-банкинга. Помимо этого, в целях сокрытия вредоносного кода и усложнения анализа мошенники использовали множество ошибок и недоработок в коде ОС Android, отвечающем за парсинг пакета приложения. Таким образом они создали файлы, которые успешно устанавливаются на устройство, но на которых «ломаются» многие доступные инструменты анализа, включая официальные утилиты Google.

Статистика мобильных угроз

Число обнаруженных образцов вредоносного и нежелательного ПО для Android снизилось в четвертом квартале 2023 года и вновь выросло в первом квартале 2024-го, составив 389 178 установочных пакетов.

Количество обнаруженных вредоносных и нежелательных установочных пакетов, Q1 2023 — Q1 2024 (скачать)

Распределение найденных пакетов по типам в целом не претерпело значительных изменений, однако заметно (на 8,76 п. п.) выросло число троянцев-дропперов. Резкий рост их доли в основном связан с активностью семейства Wroba, которое обычно используется для доставки банковских троянцев в странах Азиатско-Тихоокеанского региона.

Распределение детектируемых мобильных программ по типам, Q4 2023* и Q1 2024 (скачать)

* Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.

Самыми распространенными угрозами при этом остались рекламное ПО (46,16%) и нежелательные приложения типа RiskTool (21,27%). Наиболее многочисленными семействами рекламного ПО стали BrowserAd (28,5% от общего числа рекламных приложений), Adlo (15,3%) и HiddenAd (12,65%).

Доля* пользователей, атакованных определенным типом вредоносных или нежелательных программ, от всех атакованных пользователей мобильных продуктов «Лаборатории Касперского» (скачать)

* Сумма может быть больше 100%, если одни и те же пользователи столкнулись с несколькими типами атак.

Больше всего пользователей атаковали рекламные семейства HiddenAd (60,5%), Adlo (17,5%) и TimeWaste (7,5%). При этом упомянутый в предыдущем отчете рекламный троянец Triada, распространяющийся в модах WhatsApp, занимает всё большую долю атак среди вредоносных программ типа Trojan (35,7%).

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и рекламное ПО.

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».

Обобщенный облачный вердикт DangerousObject.Multi.Generic уступил первое место в рейтинге самых распространенных вредоносных приложений модификации WhatsApp Trojan.AndroidOS.Triada.fd. Следом идет троянец Fakemoney, выманивающий у пользователей персональные данные, обещая взамен легкий заработок. Интересно также, что в топ попал предустановленный на некоторых устройствах троянец Dwphon, который собирает личные данные владельца устройства и может загружать произвольные приложения без ведома пользователя.

Региональное вредоносное ПО

В этом разделе мы описываем вредоносное ПО, концентрирующее свою активность в определенных странах.

* Страна с наибольшей активностью вредоносной программы.
** Доля уникальных пользователей, столкнувшихся с данной модификацией троянца в указанной стране, от всех атакованных этой же модификацией пользователей мобильных решений «Лаборатории Касперского».

Турцию продолжают наводнять различные вариации банковских троянцев. В частности, пользователей этой страны атакует Trojan-Banker.AndroidOS.Agent.nw — троянец, открывающий VNC-доступ к устройству. Он базируется на библиотеке droidVNC-NG с открытым исходным кодом. Tambir также предоставляет злоумышленникам VNC-доступ. Кроме того, он имеет функции кейлоггера, кражи SMS, контактов и списка приложений, а также отправки SMS. Помимо VNC-бэкдоров, мы отмечаем сосредоточенность в Турции атак BrowBot, основная функциональность которого заключается в краже SMS. Piom же представляет собой собирательный вердикт, создаваемый для различного вредоносного ПО в рамках работы наших автоматизированных систем. Конкретно в Турции за этим вердиктом скрываются отдельные модификации уже известного банковского троянца Godfather.

В Индонезии активны троянцы, похищающие SMS: SmsThief.vb и UdangaSteal.b. Их часто рассылают жертвам под видом приглашений на свадьбу.

В Бразилии заметно распространение приложений FakePay, визуально имитирующих оплату, но не производящих ее. В отличие от многих других троянцев, такие приложения пользователи, как правило, сами намеренно загружают на свои устройства, чтобы обманывать продавцов в магазинах, принимающих оплату переводом. Банковский троянец BRats также по-прежнему распространяется преимущественно в Бразилии.

Пользователи в Таиланде столкнулись с троянцем EvilInst, который распространяется под видом игр, но на деле просто открывает сайт со взломанными играми и отправляет платные SMS.

Мобильные банковские троянцы

Количество новых уникальных установочных пакетов банковских троянцев остается на низких уровнях.

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q1 2023 — Q1 2024 (скачать)

Тем не менее общее число атак Trojan-Banker продолжает расти, и в структуре распределения вредоносных и нежелательных программ по числу затронутых пользователей Trojan-Banker даже поднялись на одну строчку.

TOP 10 мобильных банкеров

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».

Мобильные троянцы-вымогатели

После всплеска в четвертом квартале 2023 года, вызванного появлением большого количества вымогателей семейства Rasket, число установочных пакетов вымогателей вернулось на привычный уровень на фоне уменьшения активности Rasket. Троянцы Rasket основаны на скриптах Tasker, которые придуманы для автоматизации рутинных действий на устройстве, однако обладают функциональностью, достаточной для написания вымогателя.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского», Q1 2023 — Q1 2024 (скачать)

В распределении атак между наиболее активными образцами отражается та же динамика: после резкого взлета — до 74% от всех атак вымогателей — доля троянца Rasket в первом квартале снизилась практически вдвое.