Авторы
Представленная статистика получена на основе анализа уведомлений о срабатывании продуктов «Лаборатории Касперского» на устройствах пользователей, давших согласие на передачу статистических данных в Kaspersky Security Network. Данные за предыдущие годы могут отличаться от опубликованных ранее в связи с ретроспективным пересмотром и уточнением методики подсчета в 2023 году.
Цифры года
По данным Kaspersky Security Network, в 2023 году:
- Наши решения предотвратили почти 33,8 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
- Самой распространенной угрозой для мобильных устройств стало рекламное ПО (AdWare) — 40,8% от всех обнаруженных угроз.
- Было обнаружено более 1,3 млн вредоносных установочных пакетов, из них почти 154 тысячи относились к мобильным банковским троянцам.
Особенности года
Число атак на мобильные устройства с использованием вредоносного, рекламного или нежелательного ПО слегка снизилось в феврале, а затем уверенно увеличивалось до конца 2023 года. Всего продукты «Лаборатории Касперского» за год предотвратили 33 790 599 атак.
Количество атак на пользователей мобильных решений «Лаборатории Касперского», 2021–2023 гг. (скачать)
Вредоносное ПО продолжало время от времени проникать в Google Play. Например, в 2023 году мы обнаружили в магазине вредоносное приложение Trojan.AndroidOS.Agent.wr, маскирующееся под файловый менеджер:
Приложение расшифровывало и запускало код, реализующий функциональность обратного прокси (reverse proxy) и показывающий рекламу.
Также и Google Play, и сторонние магазины наводнили поддельные приложения для инвестиций, которые применяли методы социальной инженерии для выуживания из пользователей их личных данных. В первую очередь их интересовали номера телефонов и ФИО, которые впоследствии пополняли базы данных телефонных мошенников.
Помимо этого, в 2023 году мы обнаружили вредоносные модификации для популярных мессенджеров WhatsApp и Telegram, похищавшие данные пользователей.
Статистика мобильных угроз
Число новых уникальных установочных пакетов вредоносного и нежелательного ПО несколько снизилось по сравнению с прошлым годом и составило 1 315 405 пакетов.
Распределение найденных пакетов по типам
Распределение детектируемых мобильных программ по типам, 2022 и 2023 гг. (скачать)
Рекламное ПО (AdWare) и потенциально опасные программы (RiskTool), как обычно, занимают верхние позиции. Самым популярным семейством рекламного ПО в 2023 году было MobiDash (35,2%), за ним следуют Adlo (9,4%) и HiddenAd (9%).
Доля пользователей, атакованных определенным типом вредоносного или нежелательного ПО, от всех атакованных пользователей мобильных продуктов «Лаборатории Касперского»*, 2022 и 2023 гг. (скачать)
* Сумма может быть больше 100%, если одни и те же пользователи столкнулись с несколькими типами атак.
Значительно уменьшилась активность вредоносного ПО типа Trojan-SMS, которое потеряло сразу шесть позиций относительно прошлого года. Рекламные приложения, наоборот, нарастили свою активность на устройствах пользователей.
TOP 20 мобильных вредоносных программ
В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и AdWare.
| Вердикт | %* 2022 | %* 2023 | Разница в п. п. | Изменение позиции | |
| 1 | DangerousObject.Multi.Generic. | 16,63 | 14,82 | – 1,81 | 0 |
| 2 | Trojan.AndroidOS.Fakemoney.v | 0,31 | 11,76 | +11,45 | +81 |
| 3 | Trojan.AndroidOS.Boogr.gsh | 5,70 | 6,81 | +1,11 | +2 |
| 4 | Trojan.AndroidOS.GriftHorse.l | 4,39 | 5,73 | +1,34 | +2 |
| 5 | Trojan.AndroidOS.Triada.et | 0,00 | 4,83 | +4,83 | |
| 6 | Trojan.AndroidOS.Generic. | 5,79 | 3,63 | – 2,16 | – 3 |
| 7 | Trojan.AndroidOS.Triada.ex | 0,00 | 3,31 | +3,31 | |
| 8 | Trojan-Spy.AndroidOS.Agent.acq | 1,18 | 3,22 | +2,04 | +16 |
| 9 | Trojan-Spy.AndroidOS.Agent.afq | 0,00 | 3,18 | +3,18 | |
| 10 | Trojan-Dropper.AndroidOS.Badpack.g | 0,00 | 2,75 | +2,75 | |
| 11 | DangerousObject.AndroidOS.GenericML. | 2,57 | 2,39 | – 0,18 | – 2 |
| 12 | Trojan-Dropper.AndroidOS.Agent.uc | 0,00 | 2,30 | +2,30 | |
| 13 | Trojan.AndroidOS.Piom.baiu | 0,00 | 2,09 | +2,09 | |
| 14 | Trojan-Dropper.AndroidOS.Hqwar.bk | 0,74 | 1,85 | +1,12 | +19 |
| 15 | Trojan.AndroidOS.Fakeapp.ft | 0,00 | 1,82 | +1,82 | |
| 16 | Trojan-Spy.AndroidOS.CanesSpy.a | 0,00 | 1,79 | +1,79 | |
| 17 | Backdoor.AndroidOS.Mirai.b | 0,00 | 1,78 | +1,78 | |
| 18 | Trojan-Spy.AndroidOS.Agent.aas | 5,74 | 1,66 | – 4,08 | – 14 |
| 19 | Trojan.AndroidOS.Triada.ey | 0,00 | 1,58 | +1,58 | |
| 20 | Trojan-Dropper.AndroidOS.Hqwar.hd | 1,59 | 1,46 | – 0,12 | – 6 |
* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».
В 2023 году в список самых распространенных вредоносных программ вошли многие семейства, которых не было в двадцатке предыдущего года.
Обобщенный облачный вердикт DangerousObject.Multi.Generic (14,82%), который покрывает вредоносные приложения разных семейств, ожидаемо сохраняет за собой первую строчку. Собирательный вердикт технологий машинного обучения Trojan.AndroidOS.Boogr.gsh (6,81%) также находится близко к верхним позициям.
Занявшие вторую строчку троянцы Trojan.AndroidOS.Fakemoney.v (11,76%) — это скам-приложения с тематикой инвестиций или выплат. Еще одна разновидность скам-приложений, Trojan.AndroidOS.GriftHorse.l (5,73%), оформляющая подписки под видом покупки планов похудения, расположилась чуть ниже, на четвертой строчке.
В TOP 20 угроз попало множество вредоносных модификаций WhatsApp: Trojan.AndroidOS.Triada.et (4,83%), Trojan.AndroidOS.Triada.ex (3,31%), а также Trojan-Spy.AndroidOS.CanesSpy.a (1,79%) и Trojan-Spy.AndroidOS.Agent.afq (3,18%).
Упаковщик для банковских троянцев Trojan-Dropper.AndroidOS.Badpack.g (2,75%) расположился на десятой строчке.
Также интересно попадание в рейтинг Trojan-Dropper.AndroidOS.Agent.uc (2,30%). Этот дроппер используется для скрытного развертывания собранного для Android бота Mirai и встречается преимущественно на умных телевизорах.
Региональное вредоносное ПО
В этом разделе мы описываем вредоносное ПО, атакующее по большей части пользователей в определенных странах.
| Вердикт | Страна* | %** |
| Trojan-Banker.AndroidOS.BrowBot.g | Турция | 100,00 |
| Trojan-Banker.AndroidOS.BrowBot.i | Турция | 99,54 |
| Trojan-Banker.AndroidOS.GodFather.i | Турция | 99,53 |
| Trojan.AndroidOS.Piom.bbfv | Турция | 99,44 |
| Trojan-Banker.AndroidOS.BrowBot.a | Турция | 99,40 |
| Trojan-Banker.AndroidOS.Banbra.aa | Бразилия | 99,35 |
| Trojan.AndroidOS.Piom.azgy | Бразилия | 99,21 |
| Trojan-Banker.AndroidOS.BRats.b | Бразилия | 99,11 |
| Trojan.AndroidOS.Piom.axdh | Турция | 98,86 |
| Trojan-Banker.AndroidOS.Sova.i | Турция | 98,83 |
| Trojan-Banker.AndroidOS.Banbra.ac | Бразилия | 98,80 |
| Trojan-Spy.AndroidOS.SmsThief.tp | Турция | 98,79 |
| Trojan.AndroidOS.Piom.azgh | Индия | 98,53 |
| Trojan-Banker.AndroidOS.GodFather.h | Турция | 98,51 |
| Trojan-SMS.AndroidOS.Fakeapp.e | Турция | 98,32 |
| Trojan-SMS.AndroidOS.Fakeapp.g | Таиланд | 98,27 |
| Trojan-Banker.AndroidOS.Rewardsteal.c | Индия | 98,13 |
| Trojan.AndroidOS.Piom.bbfw | Азербайджан | 98,04 |
| Trojan-Banker.AndroidOS.Bray.n | Япония | 97,94 |
| Trojan-Banker.AndroidOS.GodFather.d | Турция | 97,91 |
| Trojan-Banker.AndroidOS.Agent.lc | Индонезия | 97,78 |
| Trojan-Banker.AndroidOS.Agent.nd | Турция | 97,68 |
| Trojan-Spy.AndroidOS.SmsThief.vb | Индонезия | 97,58 |
| Backdoor.AndroidOS.Tambir.b | Турция | 97,57 |
| Trojan.AndroidOS.Hiddapp.da | Иран | 97,39 |
| Trojan-Banker.AndroidOS.GodFather.g | Турция | 97,18 |
| Trojan-Spy.AndroidOS.SmsThief.tw | Индонезия | 96,93 |
| Trojan-Banker.AndroidOS.Agent.la | Турция | 96,79 |
| Trojan-Spy.AndroidOS.SmsEye.b | Индонезия | 96,75 |
| Trojan-Banker.AndroidOS.GodFather.e | Турция | 96,41 |
* Страна с наибольшей активностью зловреда.
** Доля уникальных пользователей, столкнувшихся с данным зловредом в указанной стране, от всех атакованных этим же зловредом пользователей мобильных решений «Лаборатории Касперского».
Пользователи из Турции в 2023 году столкнулись с самым большим разнообразием угроз, сосредоточенных в одной стране. В их числе были разные модификации банковских троянцев BrowBot, GodFather и Sova, шпионы SmsThief.tp, SMS-троянцы Fakeapp.e и бэкдор Tambir. Последний предоставляет злоумышленникам VNC-доступ, имеет функции кейлоггера, кражи SMS, контактов и списка приложений, а также отправки SMS.
Несколько специализированных угроз действовало и в Бразилии: здесь были активны банковские троянцы Banbra и Brats, неоднократно упоминавшиеся в предыдущих отчетах.
Преимущественно в Индонезии распространялись шпионы SmsThief и SmsEye, а на пользователях из Таиланда специализировался Fakeapp.g — приложение, которое открывает сайт стороннего магазина приложений и параллельно шлет SMS на короткие номера.
Мобильные банковские троянцы
Количество новых установочных пакетов банковских троянцев немного снизилось относительно 2022 года и составило 153 682 пакета.
Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», 2020–2023 гг. (скачать)
TOP 10 мобильных банкеров
| Вердикт | %* 2022 | %* 2023 | Разница в п. п. | Изменение позиции |
| Trojan-Banker.AndroidOS.Bian.h | 23,78 | 22,22 | – 1,56 | 0 |
| Trojan-Banker.AndroidOS.Agent.eq | 3,46 | 20,95 | +17,50 | +6 |
| Trojan-Banker.AndroidOS.Faketoken.pac | 6,42 | 5,33 | – 1,09 | +1 |
| Trojan-Banker.AndroidOS.Agent.cf | 1,16 | 4,84 | +3,68 | +13 |
| Trojan-Banker.AndroidOS.Agent.ma | 0,00 | 3,74 | +3,74 | |
| Trojan-Banker.AndroidOS.Agent.la | 0,04 | 3,20 | +3,16 | |
| Trojan-Banker.AndroidOS.Anubis.ab | 0,00 | 3,00 | +3,00 | |
| Trojan-Banker.AndroidOS.Agent.lv | 0,00 | 1,81 | +1,81 | |
| Trojan-Banker.AndroidOS.Agent.ep | 4,17 | 1,74 | – 2,44 | – 4 |
| Trojan-Banker.AndroidOS.Mamont.c | 0,00 | 1,67 | +1,67 |
* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского»
Общее число атак банковских троянцев осталось на уровне предыдущего года, несмотря на некоторое уменьшение числа уникальных установочных пакетов. Это значит, что по сравнению с 2022 годом злоумышленники чаще повторно использовали одни и те же вредоносные приложения для атак на новых пользователей.
Мобильные троянцы-вымогатели
Число новых установочных пакетов вымогателей немного выросло относительно прошлого года — до 11 202.
Количество установочных пакетов мобильных вымогателей, обнаруженных «Лабораторией Касперского», 2020–2023 гг. (скачать)
TOP 10 мобильных троянцев-вымогателей
| Вердикт | %* 2022 | %* 2023 | Разница в п. п. | Изменение позиции |
| Trojan-Ransom.AndroidOS.Rasket.a | 0,00 | 52,39 | +52,39 | |
| Trojan-Ransom.AndroidOS.Pigetrl.a | 74,28 | 22,30 | –51,99 | –1 |
| Trojan-Ransom.AndroidOS.Rkor.eg | 0,00 | 5,13 | +5,13 | –3 |
| Trojan-Ransom.AndroidOS.Rkor.ef | 0,00 | 2,65 | +2,65 | –4 |
| Trojan-Ransom.AndroidOS.Congur.y | 0,41 | 1,13 | +0,72 | +33 |
| Trojan-Ransom.AndroidOS.Congur.cw | 0,93 | 1,00 | +0,07 | +5 |
| Trojan-Ransom.AndroidOS.Small.as | 1,80 | 0,94 | –0,86 | –4 |
| Trojan-Ransom.AndroidOS.Agent.bw | 0,72 | 0,86 | +0,14 | +11 |
| Trojan-Ransom.AndroidOS.Svpeng.ac | 0,86 | 0,73 | –0,12 | +5 |
| Trojan-Ransom.AndroidOS.Fusob.h | 1,03 | 0,67 | –0,35 | –2 |
* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных троянцами-вымогателями пользователей мобильных решений «Лаборатории Касперского».
Троянец Rasket (52,39%) вышел на первое место по числу атак среди других троянцев такого же типа, потеснив Pigertl (22,30%). Остальные строчки привычно занимают различные модификации давно активных троянцев Rkor, Congur, Small, Svpeng.
Заключение
После двух лет относительного затишья в 2023 году активность вредоносного и нежелательного ПО для Android пошла резко вверх, к концу года вернувшись на уровень начала 2021-го. При этом число уникальных установочных пакетов снизилось относительно 2022 года, что говорит о том, что злоумышленники значительно активнее, чем раньше, использовали одни и те же пакеты для заражения разных жертв. Большинство обнаруженных угроз в 2023 году были рекламными приложениями (AdWare).
Атакующие продолжили распространять вредоносные программы через официальные магазины приложений, такие как Google Play. Также мы неоднократно обнаруживали вредоносные модификации популярных мессенджеров.
Авторы
Мобильная вирусология 2023