Отчеты о вредоносном ПО

Развитие информационных угроз в третьем квартале 2023 года. Мобильная статистика

Представленная статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

По данным Kaspersky Security Network, в третьем квартале 2023 года:

  • Предотвращено 8 346 169 атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
  • Самой распространенной угрозой для мобильных устройств стало рекламное ПО (adware), на долю которого пришлось 52% всех обнаруженных угроз.
  • Было обнаружено 438 962 вредоносных установочных пакета, из которых
    • 21 674 пакета относилось к мобильным банковским троянцам;
    • 1855 пакетов — к мобильным троянцам-вымогателям.

Особенности квартала

Число атак с использованием вредоносного, рекламного или нежелательного ПО на мобильные устройства в третьем квартале продолжило увеличиваться. Всего продукты «Лаборатории Касперского» предотвратили более 8,3 млн атак.

Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q1 2022 — Q3 2023 (скачать)

В этом квартале мы обнаружили в магазине Google Play вредоносное приложение, которому присвоили вердикт Trojan-Downloader.AndroidOS.Banker.aj.

Это приложение маскировалось под программу для просмотра PDF-файлов, но на деле загружало на устройство банковский троянец Trojan-Banker.AndroidOS.Coper.a.

Другая наша находка в Google Play — шпионская модификация мессенджера Telegram, которая способна похищать сообщения пользователя.

Также в третьем квартале злоумышленники стали активно использовать для кражи средств модифицированный клиент удаленного доступа, замаскированный под приложение техподдержки банка. За отчетный период было предотвращено более 3 тыс. атак с использованием таких приложений.

Наконец, еще одна находка квартала — шпионское ПО Trojan-Spy.AndroidOS.Agent.afd. Зловред привлек наше внимание нестандартным подходом к разработке: практически все вредоносное ПО для Android пишется на Java, иногда — на C/C++, однако разработчики этого зловреда решили использовать фреймворк .NET. Этот кроссплатформенный фреймворк очень популярен в ОС Windows, однако крайне редко используется для написания вредоносного ПО для Android.

Статистика мобильных угроз

Продолжился рост числа образцов нового вредоносного ПО, их количество вернулось на уровень третьего квартала прошлого года.

Количество обнаруженных вредоносных установочных пакетов, Q3 2022 — Q3 2023 (скачать)

Распределение детектируемых мобильных программ по типам*

Распределение новых детектируемых мобильных программ по типам, Q2 2023 и Q3 2023 (скачать)

* Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.

На первых местах рейтинга привычно сменяют друг друга рекламное (AdWare) и потенциально нежелательное ПО (RiskTool). Среди рекламных программ верхнюю строчку снова занимает семейство MobiDash, которое нарастило относительную долю до 55%. Далее идут обобщенные вердикты различной рекламы Dnotua (10,8%) и HiddenAd (4,3%).

Доля пользователей, столкнувшихся с угрозой определенного типа, от всех атакованных пользователей мобильных продуктов, Q2 2023 и Q3 2023 (скачать)

Угрозы типа RiskTool (6,83%) сместились на одну позицию вниз в рейтинге по доле атакованных пользователей, уступив место вредоносным программам типа Trojan (24,66%), а первое место продолжает удерживать рекламное ПО (63,66%). Среди троянцев высокую активность поддерживают многократно описанные ранее GriftHorse и Fakemoney, однако в этом квартале первое место занимает рекламный троянец Triada (23,5%) в модах WhatsApp.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и AdWare.

Вердикт %* Q2 2023 %* Q3 2023 Разница в п. п. Изменение позиции
1 DangerousObject.Multi.Generic 16,79 14,98 -1,81 0
2 Trojan.AndroidOS.Triada.et 0,52 12,16 +11,64 +39
3 Trojan.AndroidOS.GriftHorse.l 8,38 10,89 +2,51 0
4 Trojan.AndroidOS.Fakemoney.v 5,34 9,67 +4,33 +2
5 Trojan.AndroidOS.Boogr.gsh 10,05 7,05 -3,00 -3
6 Trojan-Dropper.AndroidOS.Badpack.g 2,96 4,67 +1,71 +3
7 Trojan.AndroidOS.Generic 6,56 3,94 -2,62 -3
8 Trojan-Dropper.AndroidOS.Agent.uc 0,00 3,39 +3,39
9 Trojan-Dropper.AndroidOS.Hqwar.bk 2,17 3,01 +0,84 +2
10 Trojan.AndroidOS.Triada.ex 0,00 2,97 +2,97
11 Trojan.AndroidOS.Fakeapp.ft 0,00 2,93 +2,93
12 DangerousObject.AndroidOS.GenericML 3,14 2,03 -1,11 -4
13 Trojan.AndroidOS.Piom.aypd 0,00 1,64 +1,64
14 Trojan-Spy.AndroidOS.Agent.acq 6,10 1,36 -4,74 -9
15 Trojan.AndroidOS.Fakemoney.x 2,02 1,31 -0,71 -3
16 Trojan-Banker.AndroidOS.Agent.eq 0,73 1,27 +0,54 +11
17 Trojan.AndroidOS.GriftHorse.al 0,00 1,07 +1,07
18 Trojan.AndroidOS.GriftHorse.ah 1,54 1,07 -0,48 +2
19 Trojan-Downloader.AndroidOS.Agent.mh 1,72 1,00 -0,73 -5
20 Trojan-Dropper.AndroidOS.Agent.ub 0,00 0,89 +0,89

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».

Обобщенный облачный вердикт DangerousObject.Multi.Generic (14,98%) в третьем квартале сохранил за собой первую строчку. На вторую вышла вредоносная модификация WhatsApp с вердиктом Trojan.AndroidOS.Triada.et (12,16%), следом идут GriftHorse и Fakemoney, стабильно попадающие в ТОР 20 уже несколько кварталов подряд. За собирательным вердиктом технологий машинного обучения Trojan.AndroidOS.Boogr.gsh (7,05%) расположился Trojan-Dropper.AndroidOS.Badpack.g (4,67%) — упаковщик, обычно используемый для доставки банковских зловредов.

Региональное вредоносное ПО

В этом разделе мы перечислим мобильное вредоносное ПО, нацеленное преимущественно на жителей определенных стран.

Вердикт Страна* %**
Trojan-Banker.AndroidOS.GodFather.i Турция 100,00
Trojan-Banker.AndroidOS.BRats.b Бразилия 99,59
Trojan-Banker.AndroidOS.Agent.la Турция 98,65
Trojan-Banker.AndroidOS.GodFather.h Турция 98,62
Trojan.AndroidOS.Piom.axdh Турция 98,42
Trojan-Banker.AndroidOS.GodFather.m Турция 98,30
Trojan-Banker.AndroidOS.Agent.lc Индонезия 98,21
Trojan-Spy.AndroidOS.SmsThief.vb Индонезия 97,95
Trojan-Spy.AndroidOS.SmsEye.b Индонезия 97,65
Trojan-Banker.AndroidOS.Agent.lw Азербайджан 96,98
Trojan-Spy.AndroidOS.SmsThief.tt Иран 96,70
Trojan-Spy.AndroidOS.SmsThief.tw Индонезия 96,57
Trojan-Dropper.AndroidOS.Hqwar.hc Турция 94,76
Trojan-Spy.AndroidOS.SmsThief.de Индонезия 94,23
Trojan.AndroidOS.Hiddapp.bn Иран 94,00
Trojan-Dropper.AndroidOS.Agent.sm Турция 88,15
Trojan-Spy.AndroidOS.FakeApp.an Турция 82,71

* Страна с наибольшей активностью зловреда.
** Доля уникальных пользователей, столкнувшихся с данным зловредом в указанной стране, от всех атакованных этим же зловредом пользователей мобильных решений «Лаборатории Касперского».

Если говорить об атаках, сосредоточенных в конкретной стране, то в третьем квартале больше всего таких атак было нацелено на жителей Турции. Среди актуальных для них угроз преобладали банковские троянцы. Здесь встречался Trojan-Banker.AndroidOS.GodFather, предоставляющий злоумышленнику возможность удаленного доступа к устройству, а также похищающий SMS-сообщения Trojan-Banker.AndroidOS.Agent.la. Упаковщики Trojan-Dropper.AndroidOS.Agent.sm и Trojan-Dropper.AndroidOS.Hqwar.hc также используются для «доставки» банкеров пользователю.

На пользователях в Бразилии по-прежнему сосредоточены атаки банковского троянца Brats, а новых жертв в Индонезии разыскивают различные модификации SMS-шпионов. Также интересна некоторая, пусть и не абсолютная, концентрация зловреда Trojan.AndroidOS.Thamera.u в Индии. Этот троянец используется для превращения устройства в прокси для регистрации аккаунтов в социальных сетях.

Мобильные банковские троянцы

В третьем квартале 2023 года количество новых установочных пакетов банковских троянцев резко упало до 21 тыс.

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q3 2022 — Q3 2023 (скачать)

ТОР 10 мобильных банкеров

Вердикт %* Q2 2023 %* Q3 2023 Разница в п. п. Изменение позиции
1 Trojan-Banker.AndroidOS.Agent.eq 13,05 28,95 +15,90 +1
2 Trojan-Banker.AndroidOS.Bian.h 29,33 18,23 -11,10 -1
3 Trojan-Banker.AndroidOS.Agent.ma 0,00 5,68 +5,68 -3
4 Trojan-Banker.AndroidOS.Agent.cf 11,45 5,15 -6,29 -1
5 Trojan-Banker.AndroidOS.Agent.la 1,39 4,58 +3,19 +7
6 Trojan-Banker.AndroidOS.Anubis.ab 0,00 2,42 +2,42
7 Trojan-Banker.AndroidOS.Faketoken.pac 8,49 2,40 -6,09 -3
8 Trojan-Banker.AndroidOS.Svpeng.q 2,40 2,06 -0,34 -1
9 Trojan-Banker.AndroidOS.GodFather.i 0,00 1,55 +1,55
10 Trojan-Banker.AndroidOS.GodFather.h 0,00 1,50 +1,50

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».

Несмотря на падение количества уникальных установочных пакетов, общее число атак зловредов типа Trojan-Banker даже несколько выросло. Иными словами, одни и те же файлы стали чаще использоваться повторно для совершения атак на других пользователей.

Мобильные троянцы-вымогатели

В третьем квартале число новых установочных пакетов вымогателей незначительно изменилось по сравнению с предыдущим кварталом.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского», Q3 2022 — Q3 2023 (скачать)

ТОР 10 мобильных вымогателей

Вердикт %* Q2 2023 %* Q3 2023 Разница в п. п. Изменение позиции
1 Trojan-Ransom.AndroidOS.Rasket.a 5,60 32,44 +26,84 +1
2 Trojan-Ransom.AndroidOS.Pigetrl.a 47,55 25,27 -22,27 -1
3 Trojan-Ransom.AndroidOS.Rkor.eg 0,35 10,56 +10,21 +59
4 Trojan-Ransom.AndroidOS.Rkor.ef 1,04 6,77 +5,73 +18
5 Trojan-Ransom.AndroidOS.Rkor.eh 0,00 1,61 +1,61
6 Trojan-Ransom.AndroidOS.Congur.cw 2,73 1,56 -1,17 0
7 Trojan-Ransom.AndroidOS.Small.as 3,02 1,51 -1,52 -3
8 Trojan-Ransom.AndroidOS.Congur.y 4,56 1,40 -3,16 -5
9 Trojan-Ransom.AndroidOS.Small.cj 0,94 1,32 +0,38 +16
10 Trojan-Ransom.AndroidOS.Agent.bw 1,44 1,27 -0,17 +4

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных троянцами-вымогателями пользователей мобильных решений «Лаборатории Касперского».

Троянец Rasket.a (32,44%) резко вышел на первое место по числу атак среди других зловредов такого же типа. Остальные строчки рейтинга привычно занимают различные модификации Pigetrl, Rkor, Congur и Small.

Развитие информационных угроз в третьем квартале 2023 года. Мобильная статистика

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике