Отчеты о вредоносном ПО

Развитие информационных угроз во втором квартале 2021 года. Мобильная статистика

Представленная статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

По данным Kaspersky Security Network, во втором квартале 2021 года:

  • Предотвращено 14 465 672 атаки вредоносного, рекламного и нежелательного ПО.
  • Наибольшую долю от всех обнаруженных угроз — 38,48% — составили потенциально нежелательные программы (RiskTool).
  • Было обнаружено 886 105 вредоносных установочных пакетов, из которых
  • 24 604 пакета относились к мобильным банковским троянцам;
  • 3 623 пакета оказались мобильными троянцами-вымогателями.

Особенности квартала

С тех пор как на рынке появились устройства на Android версии 1.6 Donut, положившие начало доминированию этой операционной системы на рынке, безопасность самой Android изменилась очень сильно. В частности, в системе появилась защита Google Play Protect, а приложения сильно ограничили в правах — все разрешения и доступы они должны запрашивать у пользователя в явном виде. Кроме того, подсистему безопасности вынесли в отдельный обновляемый компонент, независимый от производителя устройства. Однако и у версии 1.6, и у современной Android 11 есть одна общая черта, которая существенно снижает безопасность ОС — это возможность установки приложения из сторонних источников. Это замечательная штука с позиции дружелюбия ОС по отношению к пользователю — я сам пользуюсь ей едва ли не каждый день, — но с позиции безопасности это настоящее «окно возможностей» для злоумышленников всех мастей. Она же является причиной существования многочисленных сторонних площадок, где размещены приложения для Android. Ассортимент у таких площадок самый разнообразный, от клонов популярных приложений до вредоносных программ различных типов. Однако опасность может представлять не только площадка, но и клиент для работы с ней, который подгружает и устанавливает приложения в систему по аналогии с официальным клиентом Google Play.

Во втором квартале 2021 года мы обнаружили, что жертвой киберпреступников стало популярное приложение APKPure. Его разработчик встроил в программу непроверенный рекламный модуль, который устанавливал вредоносные приложения в систему без ведома пользователей. Иначе говоря, вместе с SDK в программу попал троянец-дроппер. Дальнейшие действия этого зловреда зависели от версии ОС Android, в которую он попал: пользователи современных версий могли «отделаться» навязчивой рекламой и подписками, тогда как владельцев старых устройств ждали различные угрозы, например мобильный троянец xHelper.

В завершение обзора хочу представить картину детектов мобильных угроз у пользователей мобильных защитных решений «Лаборатории Касперского».

Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q2 2020 — Q2 2021 (скачать)

Как видите, мобильные угрозы не думают сдавать позиции, количество атак остается стабильно высоким: во втором квартале количество атак вредоносного, рекламного и нежелательного ПО превысило отметку в 14,4 млн.

Статистика мобильных угроз

Во втором квартале 2021 года «Лабораторией Касперского» было обнаружено 886 105 вредоносных установочных пакетов, что на 565 555 пакетов меньше, чем в предыдущем квартале, и на 359 789 меньше, чем во втором квартале 2020 года.

Количество обнаруженных вредоносных установочных пакетов, Q2 2020 — Q2 2021 (скачать)

Распределение детектируемых мобильных программ по типам

Распределение новых детектируемых мобильных программ по типам, Q1 и Q2 2021 (скачать)

Среди всех обнаруженных во втором квартале 2021 года угроз треть составили RiskTool (38,48%) — потенциально нежелательные программы, их доля резко выросла на 23,04 п.п. за счет падения рекламного ПО. Подавляющее большинство (93,52%) обнаруженных приложений этого типа относились к семейству SMSreg.

Второе место заняли рекламные приложения (34,10%), это на 27,33 п.п. меньше по сравнению с предыдущим кварталом. Наибольший вклад внесли объекты семейств Ewind (52,38% от всех обнаруженных угроз данного типа), HiddenAd (18,11%) и FakeAdBlocker (13,56%).

Замыкают первую «тройку» различные троянцы (16,48%), их доля увеличилась на 8,21 п.п. Здесь отличились объекты семейств Mobtes (84,89%), Boogr (7,71%) и Plangton (1,53%).

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и Adware.

Вердикт %*
1 DangerousObject.Multi.Generic 39,94
2 Trojan-Spy.AndroidOS.SmsThief.po 10,03
3 Trojan-SMS.AndroidOS.Agent.ado 5,68
4 DangerousObject.AndroidOS.GenericML 4,29
5 Trojan.AndroidOS.Agent.vz 3,85
6 Trojan-Dropper.AndroidOS.Agent.rp 3,56
7 Trojan.AndroidOS.Triada.el 3,33
8 Trojan-Downloader.AndroidOS.Necro.d 3,21
9 Trojan.AndroidOS.Triada.ef 3,09
10 Trojan.AndroidOS.MobOk.ad 3,01
11 Trojan-Dropper.AndroidOS.Hqwar.bk 2,81
12 Trojan.AndroidOS.Hiddad.gx 2,77
13 Trojan.AndroidOS.Whatreg.b 2,51
14 Trojan-Dropper.AndroidOS.Triada.ap 2,51
15 Trojan-Downloader.AndroidOS.Gapac.d 2,37
16 Trojan-Dropper.AndroidOS.Hqwar.cf 1,90
17 Trojan-Downloader.AndroidOS.Agent.kx 1,90
18 Trojan.AndroidOS.Triada.dq 1,89
19 Trojan-Banker.AndroidOS.Svpeng.t 1,88
20 HackTool.AndroidOS.Wifikill.c 1,86

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».

Первое место в ТОР 20 за второй квартал традиционно занял вердикт DangerousObject.Multi.Generic (39,94%), который мы используем для вредоносных программ, обнаруженных с помощью облачных технологий. Они работают, когда в антивирусных базах еще нет данных для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

Второе место занял троянец Trojan-Spy.AndroidOS.SmsThief.po (10,03%), его основной функцией является слежение за входящими SMS и отправка перехваченных данных на сервер злоумышленников. Технически зловред представляет собой «матрешку», в которой роль внешнего слоя играет троянец-дроппер, а зашифрованный DEX-файл самого SmsThief.po лежит глубоко в недрах APK-дистрибутива. Чаще всего этот троянец атаковал пользователей в России.

Замыкает первую тройку Trojan-SMS.AndroidOS.Agent.ado (5,68%), этот зловред отправляет SMS на короткие премиальные номера и таким образом опустошает мобильный счет жертвы. Чтобы атака прошла успешно, троянец ждет подтверждающий код (Advice of charge) от провайдера и отправляет на него ответ. Как и в случае с предыдущим зловредом, Agent.ado чаще других атакует пользователей из России.

Четвертое место занял DangerousObject.AndroidOS.GenericML (4,29%). Такие вердикты получают файлы, признанные вредоносными нашими системами, основанными на машинном обучении.

На пятой позиции расположился Trojan.AndroidOS.Agent.vz (3,85%), который скачивает полезную нагрузку, являясь при этом полезной нагрузкой другого зловреда. Такие цепочки злоумышленники используют для надежного закрепления на устройстве — даже если жертва удалит одно из звеньев цепи, другое быстро обеспечит повторное заражение.

На шестом месте еще одна «матрешка», Trojan-Dropper.AndroidOS.Agent.rp (3,56%). Внешним слоем является Java-код, который обращается к нативной библиотеке с целью расшифровать DEX-файл, лежащий рядом в ресурсах APK-файла. На нижнем слое встречается вторая ступень атаки – это зловред, который мы детектируем как Trojan-Downloader.AndroidOS.Agent.ki. Судя по нашей телеметрии, у пользователей с Agent.rp также встречаются объекты Trojan-Dropper.AndroidOS.Triada.ap (2,51%, 14-е место в нашем рейтинге), Trojan.AndroidOS.Whatreg.b (2,51%, 13-е место) и Trojan-Downloader.AndroidOS.Necro.d (3,21%, 8-е место). Весьма вероятно, что во втором квартале 2021 года все эти троянцы были частью одной кампании и звеньями одной цепочки заражения. Сюда же стоит отнести другие объекты семейства Trojan.AndroidOS.Triada: седьмая, девятая и восемнадцатая позиции рейтинга.

Завершает наш ТОР 10 Trojan.AndroidOS.MobOk.ad (3,01%), его основной задачей является подключение жертве платных мобильных услуг. Мобильных пользователей из России зловреды семейства MobOk пытались атаковать чаще, чем пользователей из других стран.

Одиннадцатое и шестнадцатое места во втором квартале остались за представителями семейства Trojan-Banker.AndroidOS.Hqwar. Число известных нам объектов этого семейства только растет, и на момент написания отчета составляет 370 744 файла.

Двенадцатое место за Trojan.AndroidOS.Hiddad.gx (2,77%), задачей которого является демонстрация рекламных баннеров, обеспечение постоянного присутствия на устройстве и сокрытие иконки из панели приложений.

Пятнадцатое место за Trojan-Downloader.AndroidOS.Gapac.d 2,37%, этот троянец также является частью цепочки заражения, и суть его в скачке других модулей.

Семнадцатую позицию во втором квартале занимал Trojan-Downloader.AndroidOS.Agent.kx (1,90%). Троянец распространяется как часть легитимного ПО, а основной его задачей является подгрузка рекламных приложений.

На девятнадцатом месте хорошо известный банковский троянец Svpeng (1,88%), о котором мы неоднократно писали.

Последней в нашем ТОР 20 стала утилита HackTool.AndroidOS.Wifikill.c, задачей которой является осуществление DOS-атак на абонентов сети Wi-Fi. Таким образом злоумышленники провоцируют жертву на повторные подключения к той же сети Wi-Fi, чтобы попытаться перехватить рукопожатие и осуществить MitM-атаку.

География мобильных угроз

TOP 10 стран по доле пользователей, атакованных мобильными угрозами

Страна* %**
1 Иран 23,79
2 Саудовская Аравия 23,09
3 Китай 18,97
4 Алжир 18,47
5 Индия 16,68
6 Марокко 12,97
7 Малайзия 12,81
8 Нигерия 11,76
9 Эквадор 11,54
10 Бангладеш 11,31

* Из рейтинга мы исключили страны, где количество пользователей мобильных защитных решений «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, атакованных в стране, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в стране.

Во втором квартале 2021 года первое место по доле заражения среди стран занял Иран (23,79%), где из всех угроз чаще других встречались назойливые рекламные модули семейств AdWare.AndroidOS.Notifyer и AdWare.AndroidOS.Fyben.

На втором месте Саудовская Аравия (23,09%). В этой стране пользователи также чаще всего сталкивались с рекламными приложениями, но уже семейств AdWare.AndroidOS.HiddenAd и AdWare.AndroidOS.FakeAdBlocker.

Завершает первую тройку Китай (18,97%), где наиболее распространенными угрозами стали потенциально нежелательные приложения семейств RiskTool.AndroidOS.SmsPay и RiskTool.AndroidOS.Wapron. Оба семейства угроз ориентированы на мошенничество с мобильным счетом жертвы, в первом случае это могут быть игры, в которых используется серая схема монетизации через SMS, во втором случае за якобы просмотр порно приложение отправит SMS. Так же в ТОP угроз в Китае попал троянец Trojan.AndroidOS.Najin.a.

Мобильные банковские троянцы

За отчетный период мы обнаружили 24 604 установочных пакета мобильных банковских троянцев. Это на 710 меньше, чем в первом квартале 2021 года, и на 16 801 меньше, чем годом ранее во втором квартале 2020 года.

Наибольший вклад в статистику внесли создатели троянцев семейства Trojan-Banker.AndroidOS.Agent — 66,23% от всех обнаруженных банковских троянцев. Помимо этой угрозы, отличились семейства Trojan-Banker.AndroidOS.Gustuff (8,19%) и Trojan-Banker.AndroidOS.Anubis (6,86%). Интересно, что последний является чуть ли не самым опасным финансовым троянцем, но при этом, судя по нашей телеметрии, он не очень распространен в «дикой природе».

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q1 и Q2 2021 (скачать)

ТОР 10 мобильных банкеров

Вердикт %*
1 Trojan-Banker.AndroidOS.Svpeng.t 20,90
2 Trojan-Banker.AndroidOS.Agent.eq 19,46
3 Trojan-Banker.AndroidOS.Svpeng.q 8,92
4 Trojan-Banker.AndroidOS.Anubis.t 7,26
5 Trojan-Banker.AndroidOS.Asacub.ce 5,44
6 Trojan-Banker.AndroidOS.Agent.ep 3,08
7 Trojan-Banker.AndroidOS.Hqwar.t 3,03
8 Trojan-Banker.AndroidOS.Agent.cf 2,43
9 Trojan-Banker.AndroidOS.Regon.p 2,40
10 Trojan-Banker.AndroidOS.Asacub.ar 2,33

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».

TOP 10 стран по доле пользователей, атакованных мобильными банковскими троянцами

Страна* %**
1 Япония 1,62
2 Испания 0,76
3 Франция 0,71
4 Турция 0,64
5 Австралия 0,50
6 Норвегия 0,26
7 Южная Корея 0,23
8 Италия 0,20
9 Финляндия 0,16
10 Бельгия 0,15

* Из рейтинга мы исключили страны, где количество пользователей мобильных защитных решений «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля в стране уникальных пользователей, атакованных мобильными банковскими троянцами, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в этой стране.

Во втором квартале 2021 года первое месте по доле уникальных пользователей, атакованных мобильными финансовыми угрозами, заняла Япония (1,62%). Чаще всего в этой стране мы детектировали Trojan-Banker.AndroidOS.Agent.eq (99% от общего количества мобильных финансовых атак).

Второе место с заметным отрывом заняла Испания (0,76%), где чаще других финансовых зловредов встречались Trojan-Banker.AndroidOS.Regon.p (71,38%), Trojan-Banker.AndroidOS.Agent.io (19,15%) и Trojan-Banker.AndroidOS.Cebruser.d (3,75%).

На третьем месте Франция (0,71%), в этой стране тоже был распространен Trojan-Banker.AndroidOS.Agent.eq (98,75%).

Мобильные троянцы-вымогатели

Во втором квартале 2021 года мы обнаружили 3623 установочных пакета мобильных троянцев-вымогателей. Это на 27 больше показателя предыдущего квартала и на 182 меньше, чем во втором квартале 2020 года.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского», Q1 и Q2 2021 (скачать)

ТОР 10 мобильных вымогателей

Вердикт %*
1 Trojan-Ransom.AndroidOS.Pigetrl.a 66,96%
2 Trojan-Ransom.AndroidOS.Rkor.an 4,65%
3 Trojan-Ransom.AndroidOS.Small.as 3,85%
4 Trojan-Ransom.AndroidOS.Fusob.h 2,34%
5 Trojan-Ransom.AndroidOS.Rkor.au 2,29%
6 Trojan-Ransom.AndroidOS.Rkor.as 2,20%
7 Trojan-Ransom.AndroidOS.Rkor.aw 2,11%
8 Trojan-Ransom.AndroidOS.Small.ce 1,17%
9 Trojan-Ransom.AndroidOS.Rkor.at 1,02%
10 Trojan-Ransom.AndroidOS.Soobek.a 1,00%

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных троянцами-вымогателями пользователей мобильных решений «Лаборатории Касперского».

TOP 10 стран по доле пользователей, атакованных мобильными троянцами-вымогателями

Страна* %**
1 Казахстан 0,37
2 Швеция 0,12
3 Киргизия 0,10
4 Китай 0,09
5 Узбекистан 0,07
6 Саудовская Аравия 0,06
7 Марокко 0,04
8 Пакистан 0,03
9 Литва 0,03
10 США 0,03

* Из рейтинга мы исключили страны, где количество пользователей мобильных решений «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля в стране уникальных пользователей, атакованных мобильными троянцами-вымогателями, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в стране.

Лидерами по числу атакованных мобильными троянцами-вымогателями пользователей стали Казахстан (0,37%), Швеция (0,12%) и Киргизия (0,10%). При этом в Казахстане и Швеции пользователи чаще всего сталкивались с троянцами семейства Trojan-Ransom.AndroidOS.Rkor. В Киргизии, помимо Rkor, был распространен Trojan-Ransom.AndroidOS.Pigetrl.a.

Развитие информационных угроз во втором квартале 2021 года. Мобильная статистика

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике