В начале апреля компания «Доктор Веб» рассказала об опасном троянце Android.InfectionAds.1, которого злоумышленники встраивают в изначально безобидные программы и распространяют через сторонние каталоги Android-приложений. Этот троянец эксплуатирует критические уязвимостей ОС Android, с использованием которых заражает apk-файлы (уязвимость CVE-2017-13156), а также самостоятельно устанавливает и удаляет программы (уязвимость CVE-2017-13315). Кроме того, Android.InfectionAds.1показывает надоедливые рекламные баннеры, мешающие нормальной работе с зараженными устройствами. Подробная информация об этом троянце доступна в нашей вирусной библиотеке.
В уходящем месяце пользователям Android-устройств вновь угрожали банковские троянцы. В конце апреля вирусные аналитики «Доктор Веб» обнаружили новые модификации вредоносной программы Android.Banker.180.origin. Они распространялись под видом ПО для отслеживания посылок (например, приложения под названием «佐川急便») и предназначались для японских пользователей. После запуска троянцы удаляют свой значок и скрываются от пользователя.
Эти модификации Android.Banker.180.origin контролируются через специально созданные страницы в социальной сети «ВКонтакте». На таких страницах в поле «Деятельность» («Activities») в зашифрованном виде располагается адрес одного из управляющих серверов банкера. Вредоносная программа ищет это поле с помощью регулярного выражения, расшифровывает адрес и подключается к серверу.
Эти версии троянца перехватывают и отправляют СМС-сообщения по команде злоумышленников, показывают фишинговые окна, способны выполнять телефонные звонки и прослушивать окружение с использованием микрофона зараженного устройства. Помимо этого, они могут управлять смартфонами и планшетами: самостоятельно включать Wi-Fi-модуль, устанавливать интернет-соединение через мобильную сеть, блокировать экран и т. д.
Кроме того, различных Android-банкеров скачивали на мобильные устройства обнаруженные в Google Play очередные загрузчики семейства Android.DownLoader, такие как Android.DownLoader.4303. Они распространялись под видом финансовых приложений.
Помимо загрузчиков в каталоге Google Play были выявлены и другие троянцы, такие как Android.Click.303.origin и Android.Click.304.origin. Они распространялись под видом безобидных приложений — игр и программ для просмотра телевизионных каналов. Вирусные аналитики «Доктор Веб» обнаружили 36 таких троянцев. Их загрузили свыше 151 000 пользователей.
Эти вредоносные программы открывают невидимую активность с несколькими элементами WebView, в одном из которых загружают веб-сайт для получения от него управляющих команд. В других WebView они могут загружать различные скрипты JavaScript и заданные злоумышленниками сайты, на которых симулируют действия пользователей. Там они переходят по ссылкам и рекламным баннерам, накручивая счетчики посещений и кликов. Кроме того, нажатием на специально сформированные кнопки на этих сайтах они могут подписывать владельцев мобильных устройств на платные услуги, если мобильные операторы жертв поддерживают технологию быстрых подписок Wap-Click. Для затруднения удаления троянцы скрывают свои значки из меню главного экрана операционной системы.
В конце месяца в вирусную базу Dr.Web были добавлены записи для детектирования троянцев Android.PWS.Instagram.4 и Android.PWS.Instagram.5. Киберпреступники распространяли их под видом полезных программ для пользователей Instagram — для накрутки «лайков» и числа подписчиков, а также для повышения безопасности учетной записи. При запуске троянцы запрашивали у потенциальных жертв их логин и пароль, которые затем передавались на сервер злоумышленников.
Среди прочих вредоносных приложений, угрожавших владельцам Android-смартфонов и планшетов в апреле, был троянец Android.FakeApp.2.origin. Он скрывался в программе, якобы предоставлявшей 25 ГБ бесплатного интернет-трафика абонентам индийского мобильного оператора Jio.
Для распространения среди большего числа пользователей троянец отправлял СМС-сообщения со ссылкой на страницу загрузки своей копии на номера абонентов из телефонной книги зараженного устройства. Основное предназначение Android.FakeApp.2.origin— показ рекламных баннеров.
Среди угрожающих владельцам Android-устройств троянцев встречаются самые разные вредоносные приложения, которые распространяются через веб-сайты и официальный каталог Google Play. Для защиты смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.
Источник: news.drweb.ru
Поделиться: |
|