Отчеты о вредоносном ПО

Развитие информационных угроз во втором квартале 2024 года. Мобильная статистика

Цифры квартала

Вот какие данные приводит Kaspersky Security Network во втором квартале 2024 года.

  • Предотвращено 7,7 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
  • Самой распространенной угрозой для мобильных устройств стали программы класса RiskTool — 41% от всех обнаруженных угроз.
  • Было обнаружено 367 418 вредоносных установочных пакетов, из которых:
    • 13 013 пакетов относились к мобильным банковским троянцам;
    • 1392 пакета — к мобильным троянцам-вымогателям.

Особенности квартала

Число атак с использованием вредоносного, рекламного или нежелательного ПО на мобильные устройства выросло относительного аналогичного периода прошлого года, однако по сравнению с первым кварталом текущего года снизилось — было обнаружено 7 697 975 атак.

Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q4 2022 — Q2 2024 (скачать)

Снижение обусловлено резким уменьшением активности рекламных приложений, в первую очередь разнообразного скрытого ПО семейства AdWare.AndroidOS.HiddenAd, открывающего рекламные объявления.

В апреле этого года были обнаружены новые версии шпиона Mandrake. Эти приложения распространялись через Google Play и использовали продвинутые методы сокрытия вредоносной функциональности: прятали опасный код в обфусцированную нативную библиотеку, применяли технику закрепления сертификатов для обнаружения попыток отследить сетевой трафик приложений и применяли огромный набор методов проверки запуска в эмулированной среде, такой как песочницы.

Одно из приложений Mandrake в Google Play

Одно из приложений Mandrake в Google Play

Также во втором квартале был найден нацеленный на пользователей в Корее банковский троянец IOBot. Для установки дополнительного компонента зловреда с функциональностью VNC-бэкдора авторы этого троянца применяют технику обхода защиты Android от выдачи расширенных прав скачанным из неофициальных источников приложениям.

Статистика мобильных угроз

Число образцов вредоносного ПО для Android снизилось по сравнению с предыдущим кварталом и достигло уровня аналогичного периода в 2023 году, составив 367 418 установочных пакетов.

Количество обнаруженных вредоносных установочных пакетов, Q2 2023 — Q2 2024 (скачать)

Отмечаются новые тенденции в распределении детектируемых пакетов Adware и RiskTool: число первых значительно снизилось, а вторых — выросло. В остальном количество обнаружений сохраняется преимущественно на прежнем уровне.

Распределение детектируемых мобильных программ по типам, Q1* — Q2 2024 (скачать)

*Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.

Среди Adware резко уменьшилось количество рекламных приложений HiddenAd, BrowserAd и Adlo; при этом выросло число приложений RiskTool.AndroidOS.Fakapp, распространяемых под видом порнографических материалов. Эти приложения собирают и отправляют на сервер информацию об устройстве, после чего открывают произвольные URL-адреса, которые приходят в ответе.

Доля* пользователей, атакованных определенным типом вредоносных или нежелательных программ, от всех атакованных пользователей мобильных продуктов «Лаборатории Касперского», Q1* — Q2 2024 (скачать)

*Сумма может быть больше 100%, если одни и те же пользователи столкнулись с несколькими типами атак.

Несмотря на значительное число установочных пакетов RiskTool.AndroidOS.Fakapp, количество реальных пользователей, столкнувшихся с этим семейством, не показало заметного роста. Иными словами, злоумышленники выпустили множество уникальных образцов, однако их распространение было ограничено.

Основные изменения в распределении доли атакованных пользователей связаны со снижением активности рекламного ПО HiddenAd и увеличением активности приложений класса RiskTool: Revpn и SpyLoan.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и Adware.

Вердикт Prev % New % Разница в п. п. Изменение позиции
DangerousObject.Multi.Generic 9,82 11,44 +1,61 +1
DangerousObject.AndroidOS.GenericML 3,83 7,56 +3,72 +6
Trojan.AndroidOS.Triada.ga 5,66 6,66 +1,00 +2
Trojan.AndroidOS.Fakemoney.v 8,60 6,60 -2,00 -1
Trojan.AndroidOS.Boogr.gsh 6,62 6,01 -0,61 -1
Trojan.AndroidOS.Triada.fd 10,38 5,89 -4,49 -5
Trojan.AndroidOS.Triada.gm 0,00 5,16 +5,16
Trojan-Downloader.AndroidOS.Dwphon.a 5,26 2,71 -2,55 -2
Trojan.AndroidOS.Generic 2,08 2,59 +0,51 +5
Trojan.AndroidOS.Triada.gn 0,00 2,23 +2,23
Trojan-Spy.AndroidOS.SpyNote.bz 3,52 1,97 -1,55 -2
Trojan-Dropper.AndroidOS.Agent.sm 2,09 1,75 -0,34 +1
Trojan.AndroidOS.Triada.gb 1,34 1,72 +0,37 +11
Trojan.AndroidOS.Fakemoney.bj 4,26 1,47 -2,79 -7
Trojan-Dropper.AndroidOS.Badpack.g 1,87 1,40 -0,47 +1
Trojan.AndroidOS.Triada.ex 2,42 1,37 -1,05 -5
Trojan-Banker.AndroidOS.Mamont.aq 0,00 1,36 +1,36
Trojan-Downloader.AndroidOS.Agent.ms 1,39 1,34 -0,05 +5
Trojan.AndroidOS.Triada.gh 0,00 1,31 +1,31
Trojan-Downloader.AndroidOS.Agent.mm 2,12 1,29 -0,83 -8

Обобщенный облачный вердикт DangerousObject.Multi.Generic вернулся на первое место, также вверх поднялся вердикт технологий облачного ИИ DangerousObject.AndroidOS.GenericML. В топ снова попали троянец Fakemoney, выманивающий персональные данные под видом легкого заработка, предустановленный троянец Dwphon и модифицированные версии WhatsApp со встроенными модулями Triada. С последними также связан Trojan-Downloader.AndroidOS.Agent.ms.

Заметную популярность получил банковский троянец Mamont, использующий доступ к SMS для кражи денежных средств.

Региональное вредоносное ПО

В этом разделе мы описываем вредоносное ПО, концентрирующее свою активность в определенных странах.

Вердикт Страна* %**
Backdoor.AndroidOS.Tambir.a Турция 99,51
Trojan-Banker.AndroidOS.BrowBot.q Турция 99,30
Trojan-Banker.AndroidOS.BrowBot.a Турция 98,88
Backdoor.AndroidOS.Tambir.d Турция 98,24
Trojan-Banker.AndroidOS.Rewardsteal.dn Индия 98,18
Trojan-Banker.AndroidOS.UdangaSteal.k Индия 97,44
HackTool.AndroidOS.FakePay.c Бразилия 97,43
Trojan-Banker.AndroidOS.Rewardsteal.c Индия 97,03
Trojan-Banker.AndroidOS.Agent.ox Индия 96,97
Trojan-Spy.AndroidOS.SmsThief.wk Индия 96,92
Trojan-Banker.AndroidOS.Rewardsteal.n Индия 96,74
Trojan-Banker.AndroidOS.UdangaSteal.f Индонезия 96,40
Backdoor.AndroidOS.Tambir.b Турция 96,20
Trojan-Dropper.AndroidOS.Hqwar.hc Турция 96,19
Trojan-Banker.AndroidOS.Agent.pp Индия 95,97
Trojan-Banker.AndroidOS.UdangaSteal.b Индонезия 95,23
Trojan-Dropper.AndroidOS.Agent.sm Турция 95,11
Trojan-SMS.AndroidOS.EvilInst.f Таиланд 95,05
Trojan-SMS.AndroidOS.EvilInst.b Таиланд 94,64
Trojan-Spy.AndroidOS.SmsThief.vb Индонезия 94,57
Trojan-Banker.AndroidOS.Coper.b Турция 94,31

*Страна с наибольшей активностью вредоносной программы.
**Доля уникальных пользователей, столкнувшихся с конкретной модификацией троянца в указанной стране, от всех атакованных этой же модификацией пользователей мобильных решений «Лаборатории Касперского».

Пользователи в Турции продолжают сталкиваться с атаками банковских троянцев. При этом список орудующих в стране зловредов не поменялся: VNC-бэкдор Tambir, ворующий SMS троянец BrowBot и упаковщики банковских троянцев Hqwar уже упоминались в предыдущих отчетах.

В Индонезии по-прежнему наиболее сосредоточены троянцы UdangaSteal, похищающие SMS. Они часто рассылаются жертвам под видом приглашений на свадьбу. Также аналогично прошлому кварталу, в Бразилии заметно распространение имитирующих оплату приложений FakePay, а в Таиланде пользователи сталкиваются с троянцем EvilInst, отправляющим платные SMS.

В топ попало большое количество семейств, сосредоточенных в Индии. Rewardsteal под видом раздачи денег похищает банковские данные, SmsThief.wk и Agent.ox воруют SMS.

Мобильные банковские троянцы

Количество новых уникальных установочных пакетов банковских троянцев продолжает находиться на одном уровне уже третий квартал подряд.

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q2 2023 — Q2 2024 (скачать)

Общее число атак Trojan-Banker все еще продолжает расти, то есть каждый новый выпущенный злоумышленниками банковский троянец все активнее используется в атаках.

TOP 10 мобильных банкеров

Вердикт Prev % New % Разница в п. п. Изменение позиции
Trojan-Banker.AndroidOS.Mamont.aq 0,00 14,13 +14,13
Trojan-Banker.AndroidOS.UdangaSteal.b 7,00 10,10 +3,10 +3
Trojan-Banker.AndroidOS.Bian.h 10,21 7,46 -2,76 0
Trojan-Banker.AndroidOS.GodFather.m 0,97 6,41 +5,44 +20
Trojan-Banker.AndroidOS.Faketoken.z 1,39 5,17 +3,79 +14
Trojan-Banker.AndroidOS.Mamont.am 0,00 5,12 +5,12
Trojan-Banker.AndroidOS.Mamont.o 4,58 5,00 +0,42 -1
Trojan-Banker.AndroidOS.Agent.pp 0,00 4,59 +4,59
Trojan-Banker.AndroidOS.Agent.eq 13,39 4,51 -8,88 -8
Trojan-Banker.AndroidOS.Svpeng.aj 0,95 3,74 +2,79 +15

Мобильные троянцы-вымогатели

Число установочных пакетов вымогателей снизилось по сравнению с первым кварталом 2024 года и находится примерно на том же уровне, что и год назад.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского», Q2 2023 — Q2 2024 (скачать)

В распределении атак вымогатели Rasket и Rkor покинули топ, а Pigetrl опустился вниз. Остальные семейства в топе при этом ощутимо нарастили свою активность, причем не только в процентах, но и в абсолютных значениях.

Вердикт Prev % New % Разница в п. п. Изменение позиции
Trojan-Ransom.AndroidOS.Svpeng.ac 11,17 52,56 +41,39 +3
Trojan-Ransom.AndroidOS.Congur.cw 10,96 52,41 +41,45 +3
Trojan-Ransom.AndroidOS.Small.cj 10,49 49,76 +39,26 +3
Trojan-Ransom.AndroidOS.Congur.ap 6,66 41,52 +34,86 +3
Trojan-Ransom.AndroidOS.Svpeng.ah 6,03 35,62 +29,59 +4
Trojan-Ransom.AndroidOS.Congur.bf 4,15 32,98 +28,83 +5
Trojan-Ransom.AndroidOS.Svpeng.snt 5,72 25,72 +20,00 +3
Trojan-Ransom.AndroidOS.Svpeng.ad 3,42 24,79 +21,37 +4
Trojan-Ransom.AndroidOS.Svpeng.ab 3,32 24,60 +21,28 +5
Trojan-Ransom.AndroidOS.Pigetrl.a 15,56 12,70 -2,86 -8

Развитие информационных угроз во втором квартале 2024 года. Мобильная статистика

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике