Отчеты о вредоносном ПО

Развитие информационных угроз во втором квартале 2023 года. Мобильная статистика

Представленная статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

По данным Kaspersky Security Network, во втором квартале 2023 года:

  • Предотвращено 5 704 599 атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
  • Самой распространенной угрозой для мобильных устройств стало потенциально нежелательное ПО (RiskTool), на долю которого пришлось 30,8% всех обнаруженных угроз.
  • Было обнаружено 370 327 вредоносных установочных пакетов, из которых
    • 59 167 пакетов относилось к мобильным банковским троянцам;
    • 1318 пакетов — к мобильным троянцам-вымогателям.

Особенности квартала

Число атак с использованием вредоносного, рекламного или нежелательного ПО на мобильные устройства во втором квартале 2023 года снова стало увеличиваться. Всего за этот период продуктами «Лаборатории Касперского» было предотвращено 5,7 млн атак.

Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q4 2021 — Q2 2023 (скачать)

В этом квартале мы обнаружили новый вымогатель Rasket, созданный с помощью утилиты для автоматизации действий на устройстве.

Также мы обнаружили Trojan-Banker.AndroidOS.FakeShop.b — зловред отображал веб-страницу популярного азиатского магазина и внедрял в нее JavaScript-код для кражи данных банковской карты при оплате покупки.

Среди других необычных находок квартала отметим размещенное в Google Play приложение для просмотра кино, содержащее майнер криптовалюты. Этот зловред получил от нас вердикт Trojan.AndroidOS.Miner.f.

Статистика мобильных угроз

В четвертом квартале прошлого кода мы наблюдали заметное снижение числа вредоносных установочных пакетов, связанное с уменьшением активности Trojan-Dropper.AndroidOS.Ingopack. В первом квартале 2023 года произошел небольшой рост числа образцов нового вредоносного ПО, который продолжился и во втором квартале.

Количество обнаруженных вредоносных установочных пакетов, Q2 2022 — Q2 2023 (скачать)

Распределение детектируемых мобильных программ по типам

Распределение новых детектируемых мобильных программ по типам, Q1 2023 и Q2 2023 (скачать)

На первом месте в отчетном периоде оказались нежелательные программы типа RiskTool (30,79%), значительную долю этой угрозы составили обфусцированные файлы Robtes. Среди рекламного ПО (22,69%) верхние позиции по числу пакетов по-прежнему удерживают семейства MobiDash (30,7%), Adlo (20,6%) и HiddenAd (10,8%).

Доля пользователей, столкнувшихся с угрозой определенного типа, от всех атакованных пользователей мобильных продуктов, Q1 2023 и Q2 2023 (скачать)

Распределение позиций не изменилось с прошлого квартала. Пакеты RiskTool (9,45%), несмотря на их огромное абсолютное количество, по-прежнему не так распространены среди пользователей, как рекламное ПО (62,65%). Среди вредоносного ПО типа Trojan высокую активность проявляют различные модификации подписочных троянцев GriftHorse и поддельные приложения для инвестиций Fakemoney.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и AdWare.

Вердикт %* Q1 2023 %* Q2 2023 Разница в п. п. Изменение позиции
1 DangerousObject.Multi.Generic. 13,27 16,79 +3,52 0
2 Trojan.AndroidOS.Boogr.gsh 8,39 10,05 +1,66 +1
3 Trojan.AndroidOS.GriftHorse.l 6,13 8,38 +2,26 +2
4 Trojan.AndroidOS.Generic. 5,95 6,56 +0,61 +2
5 Trojan-Spy.AndroidOS.Agent.acq 8,60 6,10 -2,51 -3
6 Trojan.AndroidOS.Fakemoney.v 7,48 5,34 -2,14 -2
7 Trojan-Spy.AndroidOS.Agent.aas 3,64 3,65 +0,01 +2
8 DangerousObject.AndroidOS.GenericML. 3,46 3,14 -0,33 +2
9 Trojan-Dropper.AndroidOS.Badpack.g 0,00 2,96 +2,96
10 Trojan-Dropper.AndroidOS.Hqwar.hd 4,54 2,33 -2,21 -3
11 Trojan-Dropper.AndroidOS.Hqwar.bk 0,51 2,17 +1,65 +26
12 Trojan.AndroidOS.Fakemoney.x 0,00 2,02 +2,02
13 Trojan.AndroidOS.Fakeapp.ez 0,72 1,73 +1,01 +13
14 Trojan-Downloader.AndroidOS.Agent.mh 3,68 1,72 -1,96 -6
15 Trojan-Dropper.AndroidOS.Hqwar.hq 0,00 1,66 +1,66
16 Trojan-Banker.AndroidOS.Bian.h 1,52 1,64 +0,12 -2
17 Trojan-Dropper.AndroidOS.Hqwar.gen 1,47 1,61 +0,14 -2
18 Trojan.AndroidOS.Fakemoney.u 1,64 1,55 -0,09 -5
19 Trojan-Downloader.AndroidOS.Triada.al 0,65 1,55 +0,90 +10
20 Trojan.AndroidOS.GriftHorse.ah 0,63 1,54 +0,92 +12

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».

Обобщенный облачный вердикт DangerousObject.Multi.Generic (16,79%) привычно занял первую позицию в отчетном периоде. Часто встречавшийся в прошлом квартале Trojan-Spy.AndroidOS.Agent.acq (6,10%) — вредоносная модификация WhatsApp — потерял три позиции, на его место поднялся собирательный вердикт технологий машинного обучения Trojan.AndroidOS.Boogr.gsh (10,05%). Его облачный вариант DangerousObject.AndroidOS.GenericML (3,14%) также поднялся на две позиции относительно прошлого квартала. Помимо этого, в ТОР 20 часто встречающихся у пользователей вредоносных приложений входят представители упомянутых в предыдущем разделе семейств GriftHorse и Fakemoney.

Региональное вредоносное ПО

В этом разделе мы опишем мобильное вредоносное ПО, нацеленное преимущественно на жителей определенных стран.

Вердикт Страна* %**
Trojan-SMS.AndroidOS.Fakeapp.g Таиланд 99,00
Trojan-Banker.AndroidOS.Agent.la Турция 98,62
Trojan-Banker.AndroidOS.BRats.b Бразилия 98,33
Trojan-Spy.AndroidOS.SmsThief.tw Индонезия 98,03
Trojan-Spy.AndroidOS.SmsEye.b Индонезия 97,22
Trojan-Banker.AndroidOS.Agent.lc Индонезия 96,99
Trojan.AndroidOS.Hiddapp.da Иран 96,46
Trojan-SMS.AndroidOS.Agent.adr Иран 95,96
HackTool.AndroidOS.Cardemu.a Бразилия 95,47
Trojan-Spy.AndroidOS.SmsThief.td Индонезия 94,76
Trojan.AndroidOS.Hiddapp.bn Иран 94,75
Trojan-Dropper.AndroidOS.Hqwar.hc Турция 94,65
Trojan-Spy.AndroidOS.SmsThief.tt Иран 94,61
Trojan.AndroidOS.Hiddapp.cg Иран 90,26
Trojan.AndroidOS.FakeGram.a Иран 88,89
Trojan-Banker.AndroidOS.Agent.cf Турция 88,61
Trojan-Dropper.AndroidOS.Wroba.o Япония 82,96

* Страна с наибольшей активностью зловреда.
** Доля уникальных пользователей, столкнувшихся с данным зловредом в указанной стране, от всех атакованных этим же зловредом пользователей мобильных решений «Лаборатории Касперского».

С троянцем Fakeapp.g чаще всех сталкивались пользователи из Таиланда. Зловред распространяется под видом модификаций для игр, но на деле просто отправляет SMS-сообщения на премиум-номера, списывая деньги со счета.

Пользователи в Бразилии сталкивались с банковским троянцем Brats, вариантом Banbra из прошлого отчета. Также была замечена активность приложений Cardemu, позволяющих эмулировать банковские карты, что порой используется в мошеннических схемах с платежными терминалами в этой стране.

В Индонезии продолжилась кампания SMS-шпионов SmsThief, маскирующихся под государственные сервисы, системные приложения или магазины. Также в Индонезии замечена активность OpenSource-шпиона SmsEye.

Активность дроппера Wroba по-прежнему сконцентрирована в Японии.

Турецких пользователей снова таргетируют несколько банковских троянцев: Agent.la, Agent.cf и дроппер банковских троянцев Hqwar.

В Иране активно действуют трудноудаляемые приложения Hiddapp, а также вредоносные сторонние клиенты для Телеграм — FakeGram.

Очередная модификация GriftHorse сконцентрировала свою деятельность в России. Также в России через Telegram распространяется примитивное вредоносное приложение Soceng под самоназванием «самый мощный вирус», которое удаляет файлы на карте памяти и рассылает SMS о «взломе» устройства по контакт-листу жертвы.

Мобильные банковские троянцы

Во втором квартале 2023 года количество установочных пакетов банковских троянцев продолжило рост и составило более 59 тыс.

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q2 2022 — Q2 2023 (скачать)

ТОР 10 мобильных банкеров

Вердикт %* Q1 2023 %* Q2 2023 Разница в п. п. Изменение позиции
1 Trojan-Banker.AndroidOS.Bian.h 30,81 29,33 -1,48 0
2 Trojan-Banker.AndroidOS.Agent.eq 5,51 13,05 +7,54 +1
3 Trojan-Banker.AndroidOS.Agent.cf 1,91 11,45 +9,54 +7
4 Trojan-Banker.AndroidOS.Faketoken.pac 10,15 8,49 -1,66 -2
5 Trojan-Banker.AndroidOS.Gustuff.d 1,26 2,68 +1,43 +11
6 Trojan-Banker.AndroidOS.BRats.b 1,16 2,68 +1,51 +12
7 Trojan-Banker.AndroidOS.Svpeng.q 4,05 2,40 -1,65 -2
8 Trojan-Banker.AndroidOS.Asacub.bo 0,02 2,09 +2,07 +217
9 Trojan-Banker.AndroidOS.Agent.ep 4,40 1,77 -2,63 -5
10 Trojan-Banker.AndroidOS.Agent.lc 0,48 1,70 +1,22 +27

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».

В этом квартале относительно предыдущего пользователи чаще сталкивались с Agent.ch и старыми троянцами Gustuff и Asacub.

Мобильные троянцы-вымогатели

Несмотря на появление в этом квартале вымогателя Rasket, общее число вымогателей продолжило снижаться.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского», Q2 2022 — Q2 2023 (скачать)

ТОР 10 мобильных вымогателей

Вердикт %* Q1 2023 %* Q2 2023 Разница в п. п. Изменение позиции
1 Trojan-Ransom.AndroidOS.Pigetrl.a 62,22 47,55 -14,67 0
2 Trojan-Ransom.AndroidOS.Rasket.a 0,00 5,60 +5,60
3 Trojan-Ransom.AndroidOS.Congur.y 1,78 4,56 +2,78 +1
4 Trojan-Ransom.AndroidOS.Small.as 3,65 3,02 -0,62 -2
5 Trojan-Ransom.AndroidOS.Rkor.dq 0,00 2,93 +2,93
6 Trojan-Ransom.AndroidOS.Congur.cw 0,55 2,73 +2,18 +27
7 Trojan-Ransom.AndroidOS.Svpeng.ac 0,64 2,38 +1,74 +21
8 Trojan-Ransom.AndroidOS.Congur.ap 0,14 2,33 +2,19 +87
9 Trojan-Ransom.AndroidOS.Rkor.dt 0,00 1,98 +1,98
10 Trojan-Ransom.AndroidOS.Rkor.dx 0,00 1,69 +1,69

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных троянцами-вымогателями пользователей мобильных решений «Лаборатории Касперского».

Новый троянец Rasket.a (5,60%) сразу занял вторую позицию по числу атак среди других зловредов этого же типа. В остальном список семейств не претерпел значительных изменений, однако изменился список наиболее часто встречающихся модификаций в рамках семейств.

Развитие информационных угроз во втором квартале 2023 года. Мобильная статистика

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике