Отчеты о вредоносном ПО

Мобильная вирусология 2022

Представленная статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры года

В 2022 году мобильные продукты и технологии «Лаборатории Касперского» обнаружили:

  • 1 661 743 вредоносных установочных пакета;
  • 196 476 новых мобильных банковских троянцев;
  • 10 543 новых мобильных троянца-вымогателя.

Тенденции года

Количество мобильных атак после снижения во второй половине 2021 года стабилизировалось и в течение всего 2022 года держалось примерно на одном уровне.

Динамика числа срабатываний мобильных защитных решений «Лаборатории Касперского», 2020–2022 гг. (скачать)

При этом злоумышленники продолжали использовать легитимные каналы для распространения зловредов.

Как и в 2021 году, в 2022-м мы нашли модифицированную сборку WhatsApp с вредоносным кодом внутри. Одна из отличительных особенностей этого зловреда в том, что он распространялся через рекламу в популярном приложении Snaptube, а также через внутренний магазин приложения Vidmate.

Злоумышленники продолжали распространять зловреды и через Google Play. В частности, в официальном магазине приложений в 2022 году неоднократно находили мобильные троянцы-подписчики, скрытно оформляющие подписки на платные сервисы от имени зараженных пользователей. Так, помимо уже известных семейств Jocker и MobOk, мы обнаружили новое семейство Harly, активное с 2020 года. За 2022 год зловреды этого семейства набрали суммарно более 2,6 млн установок из официального магазина. Также в минувшем году через Google Play активно распространялись различные мошеннические приложения, в частности, обещающие пользователю социальные выплаты или выгодные инвестиции в энергетическую отрасль.

Мобильные банковские троянцы не отставали. Несмотря на то что во втором квартале Европол ликвидировал инфраструктуру FluBot (он же Polph или Cabassous) — крупнейшего мобильного ботнета последних лет, пользователям приходилось оставаться начеку: в 2022 году в официальном магазине Google Play встречались загрузчики других семейств банковских троянцев, таких как Sharkbot, Anatsa/Teaban, Octo/Coper и Xenomorph, которые распространялись под видом полезных приложений. Например, на скриншоте ниже загрузчик зловреда Sharkbot имитирует файловый менеджер. Функциональность этого вида ПО позволяет приложению, не вызывая подозрений, запрашивать разрешение на установку дополнительных пакетов, которое нужно троянцу для работы.

Загрузчик банковского троянца Sharkbot в Google Play

Популярным вектором распространения мобильных угроз в 2022 году оставалась эксплуатация названий популярных игр: зловреды и нежелательные приложения имитируют пиратскую версию игры или читы. Чаще всего злоумышленники использовали в качестве приманки игры Minecraft, Roblox, Grand Theft Auto, PUBG и FIFA. Распространялись такие приложения преимущественно с помощью сомнительных веб-сайтов, групп в социальных сетях и других неофициальных ресурсов.

Статистика по мобильным угрозам

Количество установочных пакетов

В 2022 году мы обнаружили 1 661 743 вредоносных или нежелательных мобильных установочных пакета, что на 1 803 013 меньше, чем в предыдущем году. После роста в 2020 году количество детектируемых установочных пакетов постепенно идет на спад.

Количество обнаруженных установочных пакетов, 2019–2022 гг. (скачать)

Распределение детектируемых мобильных программ по типам

Распределение новых детектируемых мобильных программ по типам, 2021 и 2022 гг. (скачать)

В 2022 году на первое место по доле среди всех обнаруженных угроз вышли потенциально нежелательные приложения RiskTool (27,39%), потеснив предыдущего лидера рейтинга — рекламные приложения (24,05%). При этом по сравнению с 2021 годом доля RiskTool уменьшилась на 7,89 п. п., а доля рекламного ПО (Adware) — на 18,38 п. п.

На третьем месте расположились различные троянцы (тип Trojan, 15,56%). Их доля увеличилась на 6,7 п. п.

География мобильных угроз

TOP 10 стран по доле пользователей, атакованных мобильными угрозами категории Malware:

Страна* %**
1 Китай 17,70
2 Сирия 15,61
3 Иран 14,53
4 Йемен 14,39
5 Ирак 8,44
6 Саудовская Аравия 6,78
7 Кения 5,52
8 Швейцария 5,44
9 Пакистан 5,21
10 Танзания 5,15

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, атакованных в стране, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.

Лидером рейтинга по доле пользователей, атакованных мобильными зловредами, стал Китай: 17,70% пользователей подверглись атакам в этой стране. Из них 16,06% были атакованы зловредом Trojan.AndroidOS.Najin.a, который совершает вредоносные манипуляции с SMS.

В тройке лидеров также Сирия (15,61%) и Иран (14,53%), в этих странах пользователи чаще всего сталкивались с троянцем Trojan-Spy.AndroidOS.Agent.aas — модификацией популярного приложения WhatsApp, содержащей шпионский модуль.

Распределение атак по типам используемого ПО

Распределение атак по типам используемого ПО, 2022 г. (скачать)

Как и в предыдущие годы, в 2022 году больше всего атак на мобильных пользователей совершалось с использованием вредоносного ПО (67,78%). При этом доли атак с использованием рекламных приложений (Adware) и приложений класса RiskWare выросли: 26,91% (против 16,92% в 2021 году) и 5,31% (против 2,38% в 2021 году) соответственно.

Мобильное рекламное ПО

В 2022 году на первом месте среди рекламных приложений по количеству обнаруженных пакетов оказалось семейство Adlo (22,07%) — поддельные приложения без полезной функциональности, загружающие рекламу. Это семейство сместило предыдущего лидера рейтинга — семейство Ewind (16,46%) — на второе место.

TOP 10 семейств рекламных приложений, обнаруженных в 2022 году:

Название семейства %*
1 Adlo 22,07
2 Ewind 16,46
3 HiddenAd 15,02
4 MobiDash 11,30
5 Dnotua 5,08
6 FakeAdBlocker 5,02
7 Agent 4,02
8 Fyben 3,94
9 Notifyer 3,19
10 Dowgin 1,38

* Доля пакетов определенного семейства рекламного ПО от общего количества пакетов этого типа угроз.

Приложения класса RiskTool

Семейство SMSreg сохранило первое место в рейтинге по количеству обнаруженных приложений класса RiskTool: 36,47%. Приложения этого семейства совершают платежи (например, переводят деньги частным лицам или оплачивают подписки на мобильные сервисы) при помощи SMS, не сообщая пользователю об этом в явном виде.

TOP 10 семейств приложений класса RiskTool, обнаруженных в 2022 году:

Название семейства %*
1 SMSreg 36,47
2 Dnotua 26,19
3 Robtes 24,41
4 Resharer 2,67
5 Agent 2,39
6 SmsSend 1,29
7 SpyLoan 1,29
8 Skymobi 1,10
9 SmsPay 0,71
10 Wapron 0,66

* Доля пакетов определенного семейства RiskTool от общего количества пакетов этого типа угроз.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и рекламные приложения.

Вердикт %*
1 DangerousObject.Multi.Generic 18,97
2 Trojan-SMS.AndroidOS.Fakeapp.d 8,65
3 Trojan.AndroidOS.Generic 6,70
4 Trojan-Spy.AndroidOS.Agent.aas 6,01
5 Trojan.AndroidOS.Fakemoney.d 4,65
6 Trojan.AndroidOS.GriftHorse.l 4,32
7 Trojan-Dropper.AndroidOS.Agent.sl 3,22
8 DangerousObject.AndroidOS.GenericML 2,96
9 Trojan-SMS.AndroidOS.Fakeapp.c 2,37
10 Trojan.AndroidOS.Fakeapp.ed 2,19
11 Trojan.AndroidOS.GriftHorse.ah 2,00
12 Trojan-Downloader.AndroidOS.Agent.kx 1,72
13 Trojan.AndroidOS.Soceng.f 1,67
14 Trojan-Dropper.AndroidOS.Hqwar.hd 1,49
15 Trojan.AndroidOS.Fakeapp.dw 1,43
16 Trojan-Ransom.AndroidOS.Pigetrl.a 1,43
17 Trojan-Downloader.AndroidOS.Necro.d 1,40
18 Trojan-SMS.AndroidOS.Agent.ado 1,36
19 Trojan-Dropper.AndroidOS.Hqwar.gen 1,35
20 Trojan-Spy.AndroidOS.Agent.acq 1,34

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных пользователей мобильного антивируса «Лаборатории Касперского».

Среди зловредов первое и третье места заняли вердикты DangerousObject.Multi.Generic (18,97%) и Trojan.AndroidOS.Generic (6,70%), которые мы используем для вредоносных программ, обнаруженных с помощью облачных технологий. Они срабатывают, когда в антивирусных базах еще нет данных для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

Второе и девятое места заняли троянцы семейства Trojan-SMS.AndroidOS.Fakeapp (8,65% и 2,37%). Эти зловреды могут отправлять SMS и звонить на заданные номера, демонстрировать рекламу, а также скрывать свою иконку на устройстве.

Четвертое и двадцатое места заняли троянцы Trojan-Spy.AndroidOS.Agent.aas (6,01%) и Trojan-Spy.AndroidOS.Agent.acq (1,34%) — модификации WhatsApp со шпионским модулем.

Мошенническое приложение Trojan.AndroidOS.Fakemoney.d (4,65%), предлагающее пользователям якобы оформить заявку на получение социальных выплат, оказалось на пятом месте.

Представители семейства Trojan.AndroidOS.GriftHorse, подписывающие пользователя на платные SMS-сервисы, заняли шестое и одиннадцатое места (4,32% и 2%).

Седьмое место досталось дропперу банковских троянцев Trojan-Dropper.AndroidOS.Agent.sl (3,22%).

На восьмое место опустился вердикт DangerousObject.AndroidOS.GenericML (2,96%). Такие вердикты получают файлы, которые наши системы, основанные на машинном обучении, признают вредоносными.

Десятое место занял Trojan.AndroidOS.Fakeapp.ed (2,19%). Под этим вердиктом скрываются нацеленные на пользователей из России мошеннические приложения, с помощью которых якобы можно инвестировать в газовую отрасль.

На двенадцатое место поднялся троянец Trojan-Downloader.AndroidOS.Agent.kx (1,72%), распространяющийся как часть легитимного ПО и подгружающий рекламные приложения.

На тринадцатой позиции оказался троянец Trojan.AndroidOS.Soceng.f (1,67%), рассылающий SMS по списку контактов, удаляющий файлы с карты памяти и перекрывающий своим окном популярные приложения.

Зловреды семейства Trojan-Dropper.AndroidOS.Hqwar для распаковки и запуска на устройстве различных банковских троянцев заняли четырнадцатое и девятнадцатое места (1,49% и 1,35%).

На пятнадцатом месте Trojan.AndroidOS.Fakeapp.dw (1,43%) — под этим вердиктом собраны различные скамерские приложения, например предлагающие дополнительный заработок.

Шестнадцатую позицию занял троянец Trojan-Ransom.AndroidOS.Pigetrl.a (1,43%), который, в отличие от классических представителей класса Trojan-Ransom, не требует выкуп, а просто блокирует экран устройства и просит ввести код. При этом никаких инструкций о том, как его получить, троянец не дает, а сам код зашит в теле зловреда.

Троянец Trojan-Downloader.AndroidOS.Necro.d (1,4%) опустился на семнадцатое место. Этот зловред по команде злоумышленников может скачивать, устанавливать и запускать другие приложения.

На восемнадцатом месте находится Trojan-SMS.AndroidOS.Agent.ado (1,36%), отправляющий SMS на короткие премиальные номера.

Мобильные банковские троянцы

В 2022 году мы обнаружили 196 476 установочных пакетов мобильных банковских троянцев, что в два раза больше, чем в 2021 году, и является максимальным значением за последние шесть лет.

Две трети от всех обнаруженных банковских троянцев составили представители семейства Trojan-Banker.AndroidOS.Bray (66,40%), атакующего преимущественно пользователей из Японии. На втором месте семейство Trojan-Banker.AndroidOS.Fakecalls (8,27%), а Trojan-Banker.AndroidOS.Bian (3,25%) на третьем месте.

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», 2019–2022 гг. (скачать)

Хотя число вредоносных установочных пакетов в 2022 году увеличилось, количество атак мобильных банковских троянцев продолжает снижаться после резкого роста в 2020 году.

Количество атак мобильных банковских троянцев, 2021–2022 гг. (скачать)

TOP 10 мобильных банковских троянцев:

Вердикт %*
1 Trojan-Banker.AndroidOS.Bian.h 28,74
2 Trojan-Banker.AndroidOS.Anubis.t 11,50
3 Trojan-Banker.AndroidOS.Svpeng.q 5,50
4 Trojan-Banker.AndroidOS.Agent.ep 5,25
5 Trojan-Banker.AndroidOS.Agent.eq 4,51
6 Trojan-Banker.AndroidOS.Gustuff.d 3,88
7 Trojan-Banker.AndroidOS.Asacub.ce 3,54
8 Trojan-Banker.AndroidOS.Sova.g 2,72
9 Trojan-Banker.AndroidOS.Faketoken.z 2,01
10 Trojan-Banker.AndroidOS.Bray.f 1,71

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных банковскими угрозами пользователей мобильного антивируса «Лаборатории Касперского».

В 2022 году на первом месте среди банковских троянцев по количеству атакованных пользователей оказался троянец Trojan-Banker.AndroidOS.Bian.h (28,74%). Больше половины столкнувшихся с ним пользователей — из Испании.

TOP 10 стран по доле пользователей, атакованных мобильными банковскими троянцами:

Страна* %**
1 Испания 1,96
2 Саудовская Аравия 1,11
3 Австралия 1,09
4 Турция >0,99
5 Китай 0,73
6 Швейцария 0,48
7 Япония 0,30
8 Колумбия 0,19
9 Италия 0,17
10 Индия 0,16

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, атакованных мобильными банковскими троянцами, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в этой стране.

В 2022 году первое место по доле уникальных пользователей, атакованных мобильными финансовыми угрозами, заняла Испания (1,96%), где 85,90% затронутых пользователей столкнулись с вышеупомянутым Trojan-Banker.AndroidOS.Bian.h.

Второе место у Саудовской Аравии (1,11%) — также благодаря этому зловреду (Trojan-Banker.AndroidOS.Bian.h — 97,92%).

На третьем месте Австралия (1,09%), где почти 98% от столкнувшихся с банковскими троянцами пользователей были атакованы представителями семейства Trojan-Banker.AndroidOS.Gustuff.

Мобильные троянцы-вымогатели

В 2022 году мы обнаружили 10 543 установочных пакета мобильных троянцев-вымогателей, что на 6829 пакетов меньше показателя 2021 года.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского», 2019–2022 гг. (скачать)

Количество атак мобильных троянцев-вымогателей также продолжило идти на спад, который не прекращается с конца 2021 года.

Количество атак мобильных троянцев-вымогателей, 2021–2022 гг. (скачать)

Вердикт %*
1 Trojan-Ransom.AndroidOS.Pigetrl.a 75,10
2 Trojan-Ransom.AndroidOS.Rkor.br 3,70
3 Trojan-Ransom.AndroidOS.Small.as 1,81
4 Trojan-Ransom.AndroidOS.Rkor.bs 1,60
5 Trojan-Ransom.AndroidOS.Rkor.bi 1,48
6 Trojan-Ransom.AndroidOS.Rkor.bt 1,19
7 Trojan-Ransom.AndroidOS.Fusob.h 1,05
8 Trojan-Ransom.AndroidOS.Rkor.ch 0,99
9 Trojan-Ransom.AndroidOS.Rkor.bp 0,92
10 Trojan-Ransom.AndroidOS.Congur.cw 0,90

* Доля уникальных пользователей, атакованных данным зловредом, от всех атакованных троянцами-вымогателями пользователей мобильного антивируса «Лаборатории Касперского».

В 2022 году лидирующую позицию среди троянцев-вымогателей по-прежнему удерживает Trojan-Ransom.AndroidOS.Pigetrl.a, вошедший также в наш TOP 20 мобильных вредоносных программ — с ним столкнулись 75,10% от всех атакованных вымогателями пользователей. 92,74% атак этого троянца приходятся на Россию.

Второе место по популярности удерживают троянцы семейства Trojan-Ransom.AndroidOS.Rkor, блокирующие экран устройства и требующие заплатить штраф якобы за просмотр запрещенных материалов. Представители этого семейства заняли шесть позиций в TOP 10. 65,27% атакованных ими пользователей — из Казахстана.

TOP 10 стран по доле пользователей, атакованных мобильными троянцами-вымогателями:

Страна* %**
1 Китай 0,65
2 Йемен 0,49
3 Казахстан 0,36
4 Ирак 0,08
5 Азербайджан 0,05
6 Киргизия 0,05
7 Швейцария 0,04
8 Саудовская Аравия 0,04
9 Ливан 0,04
10 Египет 0,03

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, атакованных мобильными троянцами-вымогателями, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.

В 2022 году наибольшую долю атакованных мобильными троянцами-вымогателями пользователей мы наблюдали в Китае (0,65%), Йемене (0,49%) и Казахстане (0,36%).

В Китае пользователи чаще всего сталкивались с троянцем Trojan-Ransom.AndroidOS.Congur.y, в Йемене — с Trojan-Ransom.AndroidOS.Pigetrl.a, а в Казахстане — с Trojan-Ransom.AndroidOS.Rkor.br.

Заключение

После снижения активности злоумышленников во второй половине 2021 года в 2022 году ситуация стабилизировалась и количество атак держалось примерно на одном уровне. Однако злоумышленники продолжают совершенствовать как функциональность вредоносного ПО, так и используемые векторы распространения. Все больше зловредов распространяются через легитимные каналы — официальные магазины приложений или рекламу в популярных приложениях. Это относится как к мошенническим приложениям, так и к самым опасным мобильным банковским зловредам.

В 2022 году наибольшую долю среди новых обнаруженных угроз составили потенциально нежелательные приложения (RiskWare), потеснившие предыдущего лидера рейтинга — рекламное ПО. При этом, как и прежде, большинство атак совершается с использованием вредоносного ПО.

Мобильная вирусология 2022

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике