В 2024 году среди самых распространенных угроз вновь оказались вредоносные программы, созданные с использованием скриптового языка AutoIt и распространяемые в составе другого вредоносного ПО для затруднения его обнаружения. Наблюдалась высокая активность рекламных троянов и различных вредоносных скриптов. В почтовом трафике чаще всего также детектировались вредоносные скрипты. Кроме того, посредством нежелательных писем распространялись всевозможные троянские программы, фишинговые документы и эксплойты, позволяющие выполнять произвольный код.

Среди мобильных угроз наибольшее распространение получили рекламные троянские программы, трояны-шпионы и нежелательное рекламное ПО. В течение года наблюдался рост активности мобильных банковских троянов. При этом наша вирусная лаборатория обнаружила сотни новых вредоносных и нежелательных программ в каталоге Google Play.

Интернет-аналитики отмечали высокую активность сетевых мошенников, арсенал которых пополнился новыми схемами обмана.

По сравнению с 2023 годом сократилось число обращений пользователей за расшифровкой файлов, пострадавших от действий троянов-энкодеров. Вместе с тем наши специалисты наблюдали множество событий, связанных с информационной безопасностью. В течение года компания «Доктор Веб» расследовала несколько таргетированных атак, выявила очередное заражение ТВ-приставок, работающих на базе ОС Android, а также отразила атаку на собственную инфраструктуру.

Наиболее интересные события 2024 года

В январе специалисты «Доктор Веб» сообщили о трояне-майнере Trojan.BtcMine.3767, скрытом в пиратских программах, которые распространялись через специально созданный Telegram-канал и ряд интернет-сайтов. Вредоносная программа заразила десятки тысяч Windows-компьютеров. Для закрепления в атакуемой системе она создавала в планировщике задачу на собственный автозапуск и добавляла себя в исключения антивируса Windows Defender. Затем она внедряла в процесс explorer.exe (Проводник Windows) компонент, непосредственно отвечавший за добычу криптовалюты. Trojan.BtcMine.3767 также позволял выполнять ряд других вредоносных действий — например, устанавливать бесфайловый руткит, блокировать доступ к сайтам и запрещать обновления операционной системы.

В марте наша компания опубликовала исследование целевой атаки на российское предприятие машиностроительного сектора. Расследование инцидента выявило многоступенчатый вектор заражения и использование злоумышленниками сразу нескольких вредоносных приложений. Наибольший интерес представлял бэкдор JS.BackDoor.60, через который проходило основное взаимодействие между атакующими и зараженным компьютером. Этот троян использует собственный фреймворк на языке JavaScript и состоит из основного тела и вспомогательных модулей. Он позволяет красть файлы с зараженных устройств, отслеживать вводимую на клавиатуре информацию, создавать скриншоты, загружать собственные обновления и расширять функциональность через загрузку новых модулей.

В мае вирусные аналитики «Доктор Веб» выявили трояна-кликера Android.Click.414.origin в приложении Love Spouse для управления игрушками для взрослых, а также приложении QRunning для отслеживания физической активности — оба распространялись через каталог Google Play. Android.Click.414.origin маскировался под компонент для сбора отладочной информации и был внедрен в несколько новых версий этих программ. Позднее разработчики Love Spouse выпустили обновленную версию, которая более не содержала трояна. Реакции авторов второй программы не последовало. Android.Click.414.origin имел модульную архитектуру и с помощью своих компонентов мог выполнять различные вредоносные действия: собирать данные о зараженном устройстве, скрытно загружать веб-страницы, показывать рекламу, выполнять клики и взаимодействовать с содержимым загружаемых страниц.

В июле мы рассказали о появлении Linux-версии известного трояна удаленного доступа TgRat, который используется для целевых атак на компьютеры. Новый вариант вредоносного приложения, получивший имя Linux.BackDoor.TgRat.2, был выявлен в ходе расследования инцидента информационной безопасности, с которым к нам обратился один из хостинг-провайдеров. Антивирус Dr.Web выявил подозрительный файл на сервере одного из его клиентов — им оказался дроппер бэкдора, который и устанавливал трояна. Злоумышленники управляли Linux.BackDoor.TgRat.2 через закрытую Telegram-группу, используя подключенный к ней Telegram-бот. С помощью мессенджера они могли скачивать из скомпрометированной системы файлы, делать снимки экрана, удалённо выполнять команды или загружать файлы на компьютер, используя вложения в чате.

В начале сентября на сайте компании «Доктор Веб» вышел материал, рассказывающий о несостоявшейся таргетированной атаке на крупное российское предприятие отрасли грузовых железнодорожных перевозок. Несколькими месяцами ранее сотрудники отдела информационной безопасности этой компании зафиксировали подозрительное электронное письмо с прикрепленным к нему файлом. Его изучение нашими вирусными аналитиками показало, что это замаскированный под pdf-документ Windows-ярлык с прописанными в нем параметрами запуска командного интерпретатора PowerShell. Открытие этого ярлыка должно было привести к многоступенчатому заражению целевой системы сразу несколькими вредоносными программами для кибершпионажа. Одной из них был Trojan.Siggen27.11306, эксплуатировавший уязвимость CVE-2024-6473 Яндекс Браузера к перехвату порядка поиска DLL (DLL Search Order Hijacking). Троян помещал в каталог установки браузера вредоносную dll-библиотеку с именем системного компонента Wldp.dll, отвечающего за обеспечение безопасности запуска приложений. Поскольку вредоносный файл находился в папке приложения, при запуске последнего троянской библиотеке вследствие уязвимости браузера отдавался больший приоритет, и та загружалась первой. Она также получала все разрешения самого браузера. Данная уязвимость в дальнейшем была исправлена.

Чуть позже наши специалисты рассказали об очередной атаке на ТВ-приставки на базе ОС Android. В кампании была задействована вредоносная программа Android.Vo1d, заразившая почти 1 300 000 устройств у пользователей из 197 стран. Это был модульный бэкдор, который помещал свои компоненты в системную область и по команде злоумышленников мог скрытно скачивать и запускать другие приложения.

Кроме того, в сентябре была зафиксирована целевая атака на ресурсы нашей компании. Специалисты «Доктор Веб» оперативно пресекли попытку навредить инфраструктуре, успешно отразив атаку. При этом никто из наших пользователей также не пострадал.

В октябре вирусные аналитики «Доктор Веб» проинформировали об обнаружении ряда новых вредоносных программ для ОС Linux. Их удалось выявить благодаря исследованию атак на устройства с установленной системой управления базами данных Redis, которая все чаще становится объектом внимания киберпреступников, эксплуатирующих в ней различные уязвимости. Среди обнаруженных угроз были бэкдоры, дропперы и новая модификация руткита, устанавливавшего на скомпрометированные устройства троян-майнер Skidmap. Этот майнер активен с 2019 года, а его основной целью являются корпоративные ресурсы — крупные серверы и облачные среды.

В этом же месяце наша вирусная лаборатория выявила масштабную кампанию по распространению вредоносных программ для добычи и кражи криптовалюты. От действий злоумышленников пострадали свыше 28 000 пользователей, большинство из них — в России. Трояны скрывались в пиратском ПО, для распространения которого использовались созданные на платформе GitHub мошеннические сайты. Кроме того, вирусописатели размещали ссылки на загрузку вредоносных приложений под размещенными на платформе YouTube видеороликами.

В ноябре наши специалисты выявили ряд новых вариантов троянской программы Android.FakeApp.1669, задачей которой является загрузка сайтов. В отличие от большинства других аналогичных вредоносных программ, Android.FakeApp.1669 получает адреса целевых сайтов из TXT-записи вредоносных DNS-серверов, для чего использует модифицированный код открытой библиотеки dnsjava. В то же время троян проявляет вредоносную активность только при подключении к интернету через определенных провайдеров. В других случаях он работает как безобидное ПО.

В конце 2024 года в процессе расследования обращения одного из наших клиентов специалисты вирусной лаборатории «Доктор Веб» выявили активную хакерскую кампанию, ориентированную главным образом на пользователей из Юго-Восточной Азии. В ходе атак киберпреступники применяли целый ряд вредоносных приложений, а также использовали методы и приемы, которые только набирают популярность в среде вирусописателей. Одним из них была эксплуатация технологии eBPF (extended Berkeley Packet Filter), созданной для расширенного контроля над сетевой подсистемой ОС Linux и работой процессов. Эта технология использовалась для маскировки вредоносной сетевой активности и процессов, сбора конфиденциальной информации, а также обхода сетевых экранов и систем обнаружения вторжений. Другой прием заключался в хранении настроек троянского ПО не на управляющем сервере, а на публичных площадках, таких как платформа GitHub и блоги. Третьей особенностью атак стало использование фреймворков постэксплуатации совместно с вредоносными приложениями. Хотя такие инструменты не являются вредоносными и применяются при аудите безопасности цифровых систем, их функциональность и наличие баз уязвимостей способно расширить возможности атакующих.

Вирусная обстановка

Согласно данным статистики детектирований антивируса Dr.Web, в 2024 году общее число обнаруженных угроз увеличилось на 26,20% по сравнению с 2023 годом. Число уникальных угроз возросло на 51,22%. Среди наиболее часто встречавшихся вредоносных программ были созданные на скриптовом языке AutoIt трояны, которые распространяются в составе другого вредоносного ПО для затруднения его обнаружения. Кроме того, пользователи сталкивались с различными вредоносными скриптами и рекламными троянами.

JS.Siggen5.44590

Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.

Trojan.AutoIt.1224

Trojan.AutoIt.1131

Trojan.AutoIt.1124

Trojan.AutoIt.1222

Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Trojan.StartPage1.62722

Вредоносная программа, подменяющая стартовую страницу в настройках браузера.

Trojan.BPlug.3814

Детектирование вредоносных компонентов браузерного расширения WinSafe. Эти компоненты представляют собой сценарии JavaScript, которые демонстрируют навязчивую рекламу в браузерах.

VBS.KeySender.6

Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.

BAT.AVKill.37

Компонент троянской программы Trojan.AutoIt.289. Этот скрипт запускает другие компоненты вредоносного ПО, устанавливает их в автозагрузку через планировщик задач Windows, а также добавляет их в исключения антивируса Windows Defender.

Trojan.Unsecure.7

Троян, блокирующий запуск антивирусного и прочего ПО через политики AppLocker в ОС Windows.

Среди почтовых угроз наибольшее распространение получили различные вредоносные скрипты и всевозможные троянские программы, такие как бэкдоры, загрузчики и дропперы вредоносного ПО, трояны со шпионской функциональностью, вредоносные приложения для добычи криптовалюты и прочие. Злоумышленники также рассылали фишинговые документы, часто представляющие собой поддельные формы авторизации на популярных сайтах. Кроме того, пользователи сталкивались с червями и вредоносными приложениями, которые эксплуатируют уязвимости в документах Microsoft Office.

JS.Siggen5.44590

Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

LNK.Starter.56

Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.

Win32.HLLW.Rendoc.3

Сетевой червь, распространяющийся в том числе через съемные носители информации.

Exploit.CVE-2018-0798.4

Эксплойт для использования уязвимостей в ПО Microsoft Office, позволяющий выполнить произвольный код.

Trojan.AutoIt.1122

Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Trojan.SpyBot.699

Многомодульный банковский троян. Позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и исполнять произвольный код.

VBS.BtcMine.13

VBS.BtcMine.12

Вредоносный сценарий на языке VBS, выполняющий скрытую добычу криптовалют.

Шифровальщики

По сравнению с 2023, в 2024 году в службу технической поддержки «Доктор Веб» поступило на 33,05% меньше запросов от пользователей, которые пострадали от троянских программ-шифровальщиков. Динамика регистрации запросов на расшифровку файлов представлена на диаграмме ниже:

Наиболее распространенные шифровальщики в 2024 году:

Trojan.Encoder.35534 (13,13% обращений пользователей)

Шифровальщик, также известный как Mimic. При поиске целевых файлов для шифрования троян использует библиотеку everything.dll легитимной программы Everything, предназначенной для мгновенного поиска файлов на Windows-компьютерах.

Trojan.Encoder.3953 (12,10% обращений пользователей)

Шифровальщик, имеющий несколько различных версий и модификаций. Для шифрования файлов применяет алгоритм AES-256 в режиме CBC.

Trojan.Encoder.26996 (7,44% обращений пользователей)

Шифровальщик, известный как STOP Ransomware. Он пытается получить приватный ключ с удаленного сервера, а в случае неудачи пользуется зашитым. Для шифрования файлов троян использует поточный алгоритм Salsa20.

Trojan.Encoder.35067 (2,21% обращений пользователей)

Шифровальщик, известный как Macop (один из вариантов этого трояна — Trojan.Encoder.30572). Обладает небольшим размером, порядка 30-40 Кбайт. Отчасти это обусловлено тем, что троян не несет с собой сторонних криптографических библиотек, а для шифрования и генерации ключей пользуется исключительно CryptoAPI-функциями. Для шифрования файлов применяет алгоритм AES-256, а сами ключи шифруются RSA-1024.

Trojan.Encoder.37369 (2,10% обращений пользователей)

Одна из множества модификаций вымогателя #Cylance ransomware. Для шифрования файлов использует алгоритм ChaCha12 со схемой обмена ключами на основе эллиптической кривой Curve25519 (X25519).

Сетевое мошенничество

В течение 2024 года интернет-аналитики компании «Доктор Веб» наблюдали высокую активность кибермошенников, использующих как уже ставшие традиционными, так и новые сценарии обмана пользователей. В российском сегменте интернета наибольшее распространение вновь получили схемы с применением мошеннических сайтов нескольких форматов. Одними из них были поддельные интернет-ресурсы онлайн-магазинов и социальных сетей с промоакциями и розыгрышами подарков якобы от их имени. Потенциальные жертвы на таких сайтах всегда «выигрывают», но для получения несуществующего приза от них требуют оплатить «комиссию».

Мошеннический сайт, якобы имеющий отношение к российскому интернет-магазину, предлагает посетителю принять участие в несуществующем розыгрыше призов

Поддельный сайт социальной сети предлагает «испытать удачу» и выиграть крупные денежные призы и другие подарки

Одним из актуальных вариантов такой схемы остаются поддельные сайты ритейлеров и магазинов бытовой техники и электроники, предлагающие приобрести товары со скидкой. Обычно для оплаты «заказов» на них предлагается воспользоваться интернет-банком или банковской картой, но в минувшем году мошенники стали прибегать к СБП — Системе быстрых платежей.

Поддельный сайт магазина бытовой техники и электроники обещает потенциальным жертвам большие скидки

Мошеннический сайт предлагает воспользоваться СБП в качестве одного из способов оплаты «заказа»

Сохранила популярность и схема с «бесплатными» лотерейными билетами. Якобы проводимые онлайн-розыгрыши для потенциальных жертв всегда заканчиваются «победой». Чтобы получить приз, пользователи также должны оплатить «комиссию».

Пользователь якобы выиграл 314 906 рублей в лотерею и для «получения» выигрыша должен будет оплатить «комиссию»

Поддельные сайты финансовой тематики тоже остались в арсенале мошенников. Популярностью пользовались такие темы как получение неких выплат от государства или частных компаний, инвестиции в нефтегазовый сектор, обучение финансовой грамотности, торговля криптовалютой и акциями с использованием «уникальных» автоматизированных систем или «проверенных» стратегий, якобы гарантирующих прибыль, и другие. Злоумышленники в том числе эксплуатировали имена медийных персон для привлечения внимания пользователей. Примеры таких сайтов представлены ниже.

Мошеннический сайт предлагает посетителю «заработать до €10 000 в месяц на уникальной платформе WhatsApp»

Российский исполнитель Shaman «поделился секретной платформой успеха», которая якобы может принести заработок в $14 000 в месяц

Поддельный сайт нефтегазовой компании предлагает получить доступ к инвестиционному сервису и обещает заработок от 150 000 рублей

Мошеннические сайты, имитирующие настоящие инвестиционные сервисы банков

Вместе с тем наши специалисты выявили и новые схемы. Например, мошенники якобы от имени крупных компаний предлагали пользователям за вознаграждение принять участие в опросах о качестве предоставляемых услуг. Среди таких подделок встречались фиктивные сайты кредитных организаций, где у пользователей запрашивались чувствительные персональные данные, которые могли включать полное имя, привязанный к учетной записи банка номер мобильного телефона и номер банковской карты.

Поддельный сайт банка предлагает за вознаграждение в 6 000 рублей принять участие в опросе для «улучшения качества обслуживания»

В то же время подобные подделки не обошли стороной и пользователей из других стран. Например, представленный ниже сайт обещал европейским пользователям дивиденды за инвестирование в перспективные секторы экономики:

А этот сайт рекламировал «новую инвестиционную платформу от Google», с помощью которой якобы возможно зарабатывать от €1000:

Другой мошеннический интернет-ресурс предлагал словацким пользователям «заработать более $192 460 в месяц» с помощью некоего инвестиционного сервиса:

Жители Азербайджана тоже якобы могли существенно улучшить свое материальное положение, зарабатывая от 1000 манат в месяц. От них требовалось лишь пройти небольшой опрос и получить доступ к сервису, якобы имевшему отношение к азербайджанской нефтегазовой компании:

В конце года мошенники традиционно стали адаптировать такие сайты-подделки под тематику новогодних праздников. Например, следующий поддельный интернет-ресурс криптобиржи обещал российским пользователям новогодние выплаты:

Другой сайт предлагал им праздничные выплаты якобы от имени инвестиционной компании:

А этот мошеннический интернет-ресурс сулил пользователям из Казахстана крупные выплаты в честь Дня независимости в рамках «новогоднего предложения»:

На протяжении всего года наши интернет-аналитики выявляли и другие фишинговые сайты. Среди них были поддельные сайты сервисов онлайн-обучения. Один из них, например, имитировал внешний вид настоящего интернет-ресурса и предлагал курсы по программированию. Для «получения консультации» от пользователей требовалось указать персональные данные.

Поддельный сайт, который маскировался под настоящий онлайн-ресурс образовательного сервиса

Кроме того, не прекращались попытки похитить учетные записи пользователей Telegram с применением фишинговых сайтов, замаскированных под различные онлайн-голосования. Среди них распространение вновь получили сайты с «голосованиями в конкурсах детских рисунков». У потенциальных жертв запрашивается номер мобильного телефона — он якобы нужен для подтверждения голоса и получения одноразового кода. Однако при вводе этого кода на таком сайте пользователи открывают мошенникам доступ к своим учетным записям.

Фишинговый сайт для «голосования» в онлайн-конкурсе детских рисунков

На других подобных сайтах предлагалось «бесплатно» получить подписку на Telegram Premium. Пользователей просят войти в свою учетную запись, однако вводимые на этих сайтах конфиденциальные данные передаются злоумышленникам, которые затем похищают аккаунты. Примечательно, что ссылки на эти интернет-ресурсы распространяются в том числе через сам мессенджер. При этом реальный адрес целевого сайта в сообщениях часто не совпадает с тем, что видят пользователи.

Фишинговое сообщение в Telegram, в котором для «активации» подписки на Telegram Premium предлагается перейти по указанной ссылке. Текст ссылки на самом деле не совпадает с целевым адресом

Фишинговый сайт, загруженный при переходе по ссылке из мошеннического сообщения

После нажатия на кнопку на предыдущей странице сайт демонстрирует форму авторизации, которая выглядит как настоящая форма авторизации Telegram

Для распространения ссылок на мошеннические сайты киберпреступники используют в том числе почтовый спам. В течение года наши интернет-аналитики фиксировали множество различных спам-кампаний. Так, наблюдалось активное распространение фишинговых писем, нацеленных на японских пользователей. Например, мошенники якобы от имени той или иной кредитной организации информировали потенциальных жертв о некой покупке и предлагали им ознакомиться с деталями «платежа», перейдя по предоставленной ссылке. На самом деле она вела на фишинговый интернет-ресурс.

Фишинг-письмо, якобы от имени банка предлагающее японским пользователям ознакомиться с деталями некоего платежа

В другом популярном сценарии злоумышленники якобы от имени кредитных организаций рассылали поддельные уведомления с информацией о расходах по банковской карте за месяц. При этом ссылки на фишинговые сайты часто маскировались и в тексте писем выглядели безобидно.

Пользователи в текстах спам-писем видели ссылки на настоящие адреса сайтов банков, но те при нажатии вели на мошеннический интернет-ресурс

Одна из спам-кампаний была нацелена на европейских пользователей. Например, пользователи из Бельгии сталкивались с фишинговыми письмами, которые сообщали о «блокировке» их банковских счетов. Для «разблокировки» им предлагалось перейти по ссылке, которая на самом деле вела на сайт мошенников.

Нежелательное письмо пугает потенциальную жертву «заблокированным» банковским аккаунтом

Фиксировались и другие массовые рассылки нежелательных писем — например, рассчитанных на англоязычную аудиторию. В одной из спам-кампаний потенциальные жертвы получали сообщения, в которых предлагалось подтвердить получение крупного денежного перевода. Однако ссылка в них вела на фишинговую форму авторизации в онлайн-банке, которая напоминала настоящую страницу сайта кредитной организации.

Спам-письмо сообщает, что пользователю якобы необходимо подтвердить получение $1218,16 США

Российские пользователи чаще всего сталкивались со спам-письмами, которые помогали мошенникам заманивать потенциальных жертв на ранее отмеченные популярные фишинговые сайты. Распространенной тематикой нежелательных сообщений были призы и скидки от интернет-магазинов, бесплатные лотерейные билеты, доступ к инвестиционным сервисам. Их примеры показаны на скриншотах ниже.

Письмо якобы от имени интернет-магазина, в котором предлагается участие в «розыгрыше призов»

Письмо якобы от имени кредитной организации, предлагающее «стать успешным инвестором»

Письмо, отправленное якобы от имени магазина электроники, в котором предлагается активировать промокод и получить скидку на товары

Для мобильных устройств

Согласно статистике детектирований Dr.Web Security Space для мобильных устройств, самыми распространенными вредоносными Android-программами в 2024 году вновь стали трояны Android.HiddenAds, которые скрывают присутствие на зараженных устройствах и показывают рекламу. На них пришлось более трети детектирований вредоносного ПО. Среди наиболее активных представителей этого семейства оказались Android.HiddenAds.3956, Android.HiddenAds.3851, Android.HiddenAds.655.origin и Android.HiddenAds.3994. В то же время пользователи сталкивались с вариантами троянов Android.HiddenAds.Aegis, способными после установки запускаться автоматически. Другими распространенными вредоносными приложениями были используемые в различных мошеннических схемах трояны Android.FakeApp и шпионские трояны Android.Spy.

Наиболее активными нежелательными программами стали представители семейств Program.FakeMoney, Program.CloudInject и Program.FakeAntiVirus. Первые предлагают выполнять различные задания за виртуальные вознаграждения, которые в дальнейшем якобы можно вывести в виде настоящих денег, однако на самом деле пользователи никаких выплат от них не получают. Вторые являются модифицированными программами, в которые при модификации через специализированный облачный сервис добавляются неконтролируемый код и ряд опасных разрешений. Третьи имитируют работу антивирусов, обнаруживают несуществующие угрозы и предлагают приобрести полную версию для исправления «проблем».

Утилиты Tool.SilentInstaller, которые позволяют запускать Android-приложения без их установки, вновь стали самыми часто детектируемыми потенциально опасными программами — на них пришлось более трети случаев обнаружения этого типа программ. Распространение также получили приложения, модифицированные при помощи утилиты NP Manager (детектируются как Tool.NPMod). В такие программы встраивается специальный модуль, позволяющий обходить проверку их цифровой подписи после модификации. Нередко выявлялись защищенные упаковщиком Tool.Packer.1.origin приложения, а также фреймворк Tool.Androlua.1.origin, позволяющий модифицировать установленные Android-программы и исполнять Lua-скрипты, которые потенциально могут быть вредоносными.

Самым распространенным рекламным ПО стало новое семейство Adware.ModAd — его доля составила почти половину детектирований. Это специальным образом модифицированные версии мессенджера WhatsApp, в функции которых внедрен код для загрузки рекламных ссылок. Вторыми оказались представители семейства Adware.Adpush, а третьими — еще одно новое семейство, Adware.Basement.

По сравнению с 2023, в 2024 году несколько возросла активность банковских троянов для ОС Android. При этом наши специалисты отмечали рост популярности ряда техник, которые киберпреступники применяли для защиты вредоносного ПО — в частности банкеров — от анализа и детектирования. Среди таких методик были различные манипуляции с форматом ZIP-архивов (являются основой APK-файлов) и файлом конфигурации Android-программ AndroidManifest.xml.

Отдельно стоит отметить широкое распространение вредоносного приложения Android.SpyMax. Злоумышленники активно использовали эту программу-шпиона в качестве банковского трояна, в частности против российских пользователей (46,23% случаев детектирования), а также владельцев Android-устройств из Бразилии (35,46% случаев) и Турции (5,80% случаев).

На протяжении всего года вирусные аналитики «Доктор Веб» выявляли свыше 200 различных угроз в каталоге Google Play. Среди них — подписывающие на платные услуги трояны, трояны-шпионы, мошенническое и рекламое ПО. Суммарно их загрузили по меньшей мере 26 700 000 раз. Кроме того, наши специалисты зафиксировали очередную атаку на ТВ-приставки с ОС Android: модульный бэкдор Android.Vo1d заразил почти 1 300 000 устройств у пользователей из 197 стран. Этот троян помещал свои компоненты в системную область и по команде злоумышленников мог скрытно загружать из интернета и устанавливать стороннее ПО.

Более подробно о вирусной обстановке для мобильных устройств в 2024 году читайте в нашем обзоре.

Перспективы и вероятные тенденции

События минувшего года в очередной раз продемонстрировали разнообразие современного ландшафта киберугроз. Злоумышленников интересуют как крупные цели — корпоративный и государственный сектор, — так и рядовые пользователи. Функциональность многих вредоносных программ, задействованных в проанализированных нами таргетированных атаках, говорит о постоянном поиске вирусописателями новых возможностей в совершенствовании методов проведения вредоносных кампаний и развития своего инструментария. Со временем новые приемы неизбежно переносятся на более массовые угрозы. В этой связи в 2025 году возможно появление большего числа троянов, которые для сокрытия вредоносной активности будут эксплуатировать технологию eBPF. Кроме того, стоит ожидать и новых таргетированных атак, в том числе с применением эксплойтов.

Одной из главных целей киберпреступников является незаконное обогащение, поэтому в новом году возможен рост активности банковских и рекламных троянов. Кроме того, пользователям может угрожать больше вредоносных программ со шпионской функциональностью.

В то же время под прицелом окажутся пользователи не только Windows-компьютеров, но и других операционных систем, таких как Linux и macOS. Продолжится распространение и мобильных угроз. Владельцам Android-устройств в первую очередь следует опасаться появления нового шпионского ПО, банковских троянов, а также вредоносных и нежелательных рекламных приложений. Не исключены новые попытки заражений телевизоров, ТВ-приставок и другого оборудования на базе Android. Кроме того, вероятно появление новых угроз в каталоге Google Play.

В 2024 году самыми распространенными Android-угрозами вновь стали рекламные трояны. При этом по сравнению с годом ранее возросла активность мошеннического ПО, троянов-вымогателей, кликеров и банковских троянов. Среди последних большее распространение по сравнению с 2023 годом получили более простые банковские трояны, которые похищают только учетные данные для входа в онлайн-банк и коды подтверждений из СМС.

Среди нежелательных программ наибольшую активность проявили приложения, предлагающие пользователям выполнять различные задания за виртуальные вознаграждения, которые затем якобы можно перевести в реальные деньги. Самыми детектируемыми потенциально опасными программами стали утилиты, позволяющие запускать Android-приложения без их установки. А наиболее активным рекламным ПО оказались специальным образом модифицированные версии мессенджера WhatsApp, в функции которых внедрен код для загрузки рекламных ссылок.

В течение года вирусные аналитики компании «Доктор Веб» обнаружили сотни новых угроз в каталоге Google Play, которые суммарно были загружены свыше 26 700 000 раз. Среди них были вредоносные программы, в том числе троян-шпион, а также нежелательные и рекламные приложения.

Наши специалисты также выявили новую атаку на ТВ-приставки на базе Android — около 1 300 000 устройств пострадали от бэкдора, который заражал системную область и по команде злоумышленников мог скачивать и устанавливать стороннее ПО.

Кроме того, вирусные аналитики «Доктор Веб» отмечали рост популярности ряда техник, направленных на усложнение анализа вредоносных Android-программ и обхода их детектирования антивирусами. Они включали различные манипуляции с форматом ZIP-архивов (формат ZIP является основой для APK-файлов Android-приложений), манипуляции с файлом конфигурации программ AndroidManifest.xml и другие. Чаще всего эти приемы встречались в банковских троянах.

Наиболее интересные события 2024 года

В мае прошлого года эксперты компании «Доктор Веб» рассказали о трояне-кликере Android.Click.414.origin, найденном в приложении для управления секс-игрушками и в ПО для отслеживания физической активности. Обе программы распространялись через каталог Google Play и суммарно были установлены более 1 500 000 раз. Android.Click.414.origin имел модульную архитектуру и с помощью своих компонентов выполнял определенные задачи. Так, троян незаметно открывал рекламные сайты и совершал на них различные действия. Например, он мог прокручивать содержимое страниц, вводить текст в формы, отключать звук на веб-страницах и создавать их скриншоты для анализа содержимого и последующего выполнения кликов на нужных областях. Кроме того, Android.Click.414.origin передавал на управляющий сервер подробную информацию о зараженном устройстве. При этом кликер целенаправленно не атаковал определенных пользователей — он не запускался на устройствах, где был установлен китайский язык интерфейса.

Некоторые версии программ Love Spouse и QRunning скрывали трояна Android.Click.414.origin

В сентябре наши специалисты раскрыли детали анализа случаев заражения ТВ-приставок на базе Android бэкдором Android.Vo1d. Эта модульная вредоносная программа проникла почти на 1 300 000 устройств пользователей из 197 стран. Она помещала свои компоненты в системную область и по команде злоумышленников могла скрытно загружать и устанавливать стороннее ПО.

Страны с наибольшим числом выявленных ТВ-приставок, зараженных бэкдором Android.Vo1d

Уже в ноябре наши вирусные аналитики на примере трояна Android.FakeApp.1669 рассказали о том, как злоумышленники используют DNS-протокол для скрытой связи вредоносных программ с управляющими серверами. Android.FakeApp.1669 является довольно примитивным трояном, задача которого сводится к загрузке заданных сайтов. От большинства похожих угроз он отличается тем, что адрес целевых сайтов он получает из TXT-записи вредоносного DNS-сервера, для чего использует модифицированный код открытой библиотеки dnsjava. При этом Android.FakeApp.1669 проявляет себя только при подключении к интернету через определенных провайдеров — в остальных случаях он работает как безобидное ПО.

Пример TXT-записи целевого домена, которую DNS-сервер отдал при запросе через Linux-утилиту dig при анализе одной из модификаций Android.FakeApp.1669

Статистика

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в 2024 году наиболее распространенными угрозами стали вредоносные программы, на долю которых пришлось 74,67% всех случаев обнаружения. За ними расположились рекламные приложения с долей 10,96%. Третье место с показателем 10,55% заняли потенциально опасные программы. Четвертыми по распространенности стали нежелательные программы — пользователи сталкивались с ними в 3,82% случаев.

Вредоносные приложения

Самыми распространенными вредоносными программами для Android вновь стали рекламные трояны семейства Android.HiddenAds. За прошедший год их доля в общем объеме выявленных антивирусом Dr.Web вредоносных приложений увеличилась на 0,34 п. п. и составила 31,95% детектирований.

Среди представителей этого семейства наибольшую активность проявил Android.HiddenAds.3956 (15,10% детектирований семейства и 4,84% от общего числа детектирований вредоносного ПО). Это один из множества вариантов вредоносной программы Android.HiddenAds.1994, с которой пользователи сталкиваются на протяжении уже нескольких лет. Версия Android.HiddenAds.3956 наряду с другими модификациями появилась в 2023 году и по нашим прогнозам могла занять лидирующие позиции в семействе, что в итоге и произошло. В 2024 также получили распространение его новые варианты Android.HiddenAds.3980, Android.HiddenAds.3989, Android.HiddenAds.3994, Android.HiddenAds.655.origin, Android.HiddenAds.657.origin и ряд других.

При этом заметным также стало подсемейство троянов Android.HiddenAds.Aegis. В отличие от большинства других вредоносных программ Android.HiddenAds, представители этой группы обладают способностью автозапуска и некоторыми другими особенностями. Чаще всего на защищаемых антивирусом Dr.Web устройствах обнаруживались модификации Android.HiddenAds.Aegis.1, Android.HiddenAds.Aegis.4.origin, Android.HiddenAds.Aegis.7.origin и Android.HiddenAds.Aegis.1.origin.

Вторыми наиболее распространенными вредоносными программами стали трояны семейства Android.FakeApp, которые злоумышленники применяют при реализации различных мошеннических схем. В минувшем году на них пришлось 18,28% всех детектирований вредоносного ПО, что на 16,45 п. п. больше, чем годом ранее. Чаще всего такие трояны загружают нежелательные сайты, предназначенные для фишинг-атак и онлайн-мошенничества.

На третьем месте с долей 11,52% (снижение на 16,7 п. п. по сравнению с 2023 годом) расположились трояны Android.Spy, которые обладают шпионской функциональностью. Как и годом ранее, самым распространенным представителем семейства стал Android.Spy.5106 — на него пришлось 5,95% детектирований вредоносных программ.

В 2024 году наблюдалась разнонаправленная тенденция в распространении вредоносного ПО, которое предназначено для загрузки и установки других программ и способно выполнять произвольный код. Так, по сравнению с годом ранее доля загрузчиков Android.DownLoader сократилась на 0,49 п. п. до 1,69%, доля троянов Android.Mobifun снизилась на 0,15 п. п. до 0,10%, а троянов Android.Xiny — на 0,14 п. п. до 0,13%. При этом чаще детектировались трояны Android.Triada (2,74% случаев, рост на 0,6 п. п.) и Android.RemoteCode (3,78% случаев, рост на 0,95 п. п.).

Доля защищенных программными упаковщиками вредоносных приложений Android.Packed снизилась с 7,98% до 5,49%, практически вернувшись к показателю 2022 года. Также с 10,06% до 5,38% снизилось количество атак с участием рекламных троянов Android.MobiDash. В то же время несколько увеличилось число детектирований троянов-вымогателей Android.Locker (с 1,15% до 1,60%) и троянов Android.Proxy (с 0,57% до 0,81%). Последние позволяют использовать зараженные Android-устройства для перенаправления через них сетевого трафика злоумышленников. Кроме того, заметно возросла активность вредоносных программ Android.Click, способных открывать рекламные сайты и выполнять клики на веб-страницах (рост с 0,82% до 3,56%).

Десять наиболее часто детектируемых вредоносных приложений в 2024 году:

Android.FakeApp.1600

Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.

Android.Spy.5106

Детектирование одного из вариантов троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.

Android.HiddenAds.3956

Android.HiddenAds.3851

Android.HiddenAds.655.origin

Android.HiddenAds.3994

Android.HiddenAds.657.origin

Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Click.1751

Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.

Android.HiddenAds.Aegis.1

Троянская программа, которая скрывает свое присутствие на Android-устройствах и показывает надоедливую рекламу. Она относится к подсемейству, которое отличается от других представителей семейства Android.HiddenAds рядом признаков. Например, такие трояны способны самостоятельно запускаться после установки. Кроме того, в них реализован механизм, позволяющий их сервисам оставаться постоянно запущенными. В ряде случаев в них также могут быть задействованы скрытые функции ОС Android.

Android.MobiDash.7815

Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Нежелательное ПО

Самой часто детектируемой нежелательной программой в 2024 году стала Program.FakeMoney.11. На нее пришлось более половины — 52,10% — от общего числа выявленного на защищаемых устройствах нежелательного ПО. Она принадлежит к классу приложений, которые предлагают пользователям заработать на выполнении различных заданий, но в итоге не выплачивают никаких реальных вознаграждений.

Программы, которые антивирус Dr.Web детектирует как Program.CloudInject.1, расположились на втором месте с долей 19,21% (рост на 9,75 п. п. по сравнению с годом ранее). Такие приложения проходят модификацию через облачный сервис CloudInject — к ним добавляются опасные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Приложения Program.FakeAntiVirus.1 второй год подряд снижают активность — они стали третьими по распространенности с показателем 10,07%, что на 9,35 п. п. меньше, чем в 2023. Эти программы имитируют работу антивирусов, обнаруживают несуществующие угрозы и предлагают владельцам Android-устройств купить полную версию для «исправления» якобы выявленных проблем.

В течение года пользователи сталкивались с различными программами для наблюдения и контроля активности. Такое ПО может использоваться для сбора данных как с согласия владельцев устройств, так и без их ведома — во втором случае они фактически превращаются в шпионские инструменты. Наиболее часто на защищаемых Dr.Web устройствах обнаруживались программы для мониторинга Program.TrackView.1.origin (2,40% случаев), Program.SecretVideoRecorder.1.origin (2,03% случаев), Program.wSpy.3.origin (0,98% случаев), Program.SecretVideoRecorder.2.origin (0,90% случаев), Program.Reptilicus.8.origin (0,64% случаев), Program.wSpy.1.origin (0,39% случаев) и Program.MonitorMinor.11 (0,38% случаев).

Кроме того, распространение получили Android-программы Program.Opensite.2.origin, задачей которых является загрузка заданных сайтов и демонстрация рекламы. Их доля составила 0,60% детектирований нежелательного ПО.

Десять наиболее часто детектируемых нежелательных приложений в 2024 году:

Program.FakeMoney.11

Program.FakeMoney.7

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты им не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.

Program.CloudInject.1

Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.TrackView.1.origin

Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Program.wSpy.3.origin

Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.

Program.Reptilicus.8.origin

Приложение, позволяющее следить за владельцами Android-устройств. Оно способно контролировать местоположение устройства, собирать данные об СМС-переписке и беседах в социальных сетях, прослушивать телефонные звонки и окружение, создавать снимки экрана, отслеживать вводимую на клавиатуре информацию, копировать файлы с устройства и выполнять другие действия.

Program.Opensite.2.origin

Детектирование однотипных Android-программ, задачей которых является загрузка заданных сайтов и демонстрация рекламы. Такие приложения часто маскируются под другое ПО. Например, существуют модификации, которые распространяются под видом видеоплеера YouTube. Они загружают настоящий сайт сервиса и отображают рекламные баннеры с помощью подключенных рекламных SDK.

Потенциально опасные программы

Утилиты Tool.SilentInstaller, которые позволяют запускать Android-приложения без их установки, в минувшем году сохранили лидирующие позиции по числу детектирований потенциально опасного ПО. Суммарно на них пришлось более трети всех выявленных программ этого типа. Чаще всего на устройствах встречались модификации Tool.SilentInstaller.17.origin (16,17%), Tool.SilentInstaller.14.origin (9,80%), Tool.SilentInstaller.7.origin (3,25%) и Tool.SilentInstaller.6.origin (2,99%).

Другими распространенными потенциально опасными программами стали приложения, модифицированные при помощи утилиты NP Manager. Эта утилита встраивает в целевое ПО специальный модуль, который позволяет обходить проверку цифровой подписи после выполненной модификации. Антивирус Dr.Web детектирует такие программы как различные варианты семейства Tool.NPMod. Среди них наиболее часто выявлялись вариации Tool.NPMod.1. За год они значительно укрепили свои позиции: на их долю пришлось 16,49% детектирований потенциально опасных приложений, что на 11,68 п. п. большое, чем в 2023. При этом доля модифицированного утилитой NP Manager ПО, которое детектируется другой вирусной записью — Tool.NPMod.2, — составила 7,92%. В результате суммарно представители этого семейства были ответственны почти за четверть всех детектирований потенциально опасных программ.

Среди лидеров также оказались приложения, защищенные упаковщиком Tool.Packer.1.origin — они обнаруживались в 13,17% случаев, что на 12,38 п. п. больше по сравнению с годом ранее. Кроме того, с 3,10% до 3,93% возросло количество детектирований Tool.Androlua.1.origin. Это фреймворк, позволяющий модифицировать установленные Android-программы и исполнять Lua-скрипты, которые потенциально могут быть вредоносными.

Вместе с тем активность одного из лидеров 2023 года, семейства утилит Tool.LuckyPatcher, наоборот, несколько снизилась — с 14,02% до 8,16%. Эти утилиты позволяют модифицировать Android-программы с добавлением в них загружаемых из интернета скриптов. Реже встречались и программы, защищенные утилитой-обфускатором Tool.Obfuscapk (снижение с 3,22% до 1,05%), а также упаковщиком Tool.ApkProtector (снижение с 10,14% до 3,39%).

Десять наиболее распространенных потенциально опасных приложений, обнаруженных на Android-устройствах в 2024 году:

Tool.NPMod.1

Tool.NPMod.2

Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.

Tool.SilentInstaller.17.origin

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.

Tool.Packer.1.origin

Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Tool.Androlua.1.origin

Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Tool.Packer.3.origin

Детектирование Android-программ, код которых зашифрован и обфусцирован утилитой NP Manager.

Рекламные приложения

Наиболее распространенным рекламным ПО в 2024 году стало новое семейство программ Adware.ModAd — на него пришлось 47,45% детектирований. Лидеры предыдущего года, представители семейства Adware.Adpush, оказались на втором месте с долей 14,76% (снижение числа детектирований на 21,06 п. п.). На третьем месте с показателем 8,68% расположилось еще одного новое семейство рекламных приложений Adware.Basement.

Распространение также получили семейства Adware.Airpush (доля снизилась с 8,59% до 4,35%), Adware.Fictus (снижение с 4,41% до 3,29%), Adware.Leadbolt (снижение с 4,37% до 2,26%), Adware.ShareInstall (снижение с 5,04% до 1,71%). Занимавшие в 2023 году второе место рекламные программы Adware.MagicPush значительно снизили активность и не попали в первую десятку, переместившись сразу на одиннадцатую позицию с показателем 1,19% (снижение на 8,39 п. п.).

Десять наиболее распространенных рекламных приложений, обнаруженных на Android-устройствах в 2024 году:

Adware.ModAd.1

Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.

Adware.Basement.1

Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.

Adware.Fictus.1

Adware.Fictus.1.origin

Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Adware.Adpush.21846

Adware.AdPush.39.origin

Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Adware.Airpush.7.origin

Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Adware.ShareInstall.1.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.

Adware.Youmi.4

Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.

Adware.Inmobi.1

Детектирование некоторых версий рекламного SDK Inmobi, способных совершать телефонные звонки и добавлять события в календарь Android-устройств.

Угрозы в Google Play

В 2024 году вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 200 угроз с более чем 26 700 000 суммарных загрузок. Помимо трояна Android.Click.414.origin среди них было множество других — например, рекламные трояны Android.HiddenAds. Они распространялись под видом самого разнообразного ПО: фоторедакторов, сканеров штрих-кодов, сборников картинок и даже «противоугонной» сигнализации для защиты смартфона от чужих рук. Такие трояны скрывают свои значки после установки и начинают показывать агрессивную рекламу, которая перекрывает интерфейс системы и других программ и мешает нормально пользоваться устройством.

Примеры рекламных троянов, обнаруженных в Google Play в 2024 году. Android.HiddenAds.4013 скрывался в фоторедакторе Cool Fix Photo Enhancer, Android.HiddenAds.4034 — в сборнике изображений Cool Darkness Wallpaper, Android.HiddenAds.4025 — в программе для распознавания штрих-кодов QR Code Assistant, а Android.HiddenAds.656.origin — в программе-сигнализации Warning Sound GBD

Наши специалисты также выявили различные троянские программы, которые злоумышленники защитили сложным программным упаковщиком.

В приложении Lie Detector Fun Prank скрывался троян Android.Packed.57156, а в программе Speaker Dust and Water Cleaner — троян Android.Packed.57159, защищенные упаковщиком

Другими найденными вредоносными программами стали представители семейства Android.FakeApp, которые используются в различных мошеннических схемах. Основная задача большинства таких троянов — открыть заданную ссылку, при этом при определенных условиях они также могут работать и как заявленное ПО. Многие из них распространялись под видом различных финансовых программ (например, справочников и обучающих пособий, калькуляторов доходности, приложений для доступа к биржевой торговле, инструментов для ведения домашней бухгалтерии), записных книжек, дневников, программ для участия в викторинах и опросах и прочих. Они загружали мошеннические сайты инвестиционной тематики.

Примеры троянов Android.FakeApp, которые загружали ссылки на мошеннические сайты: Android.FakeApp.1681 (SenseStrategy), Android.FakeApp.1708 (QuntFinanzas)

Часть программ-подделок Android.FakeApp распространялись под видом всевозможных игр. Многие из них также могли предоставлять заявленную функциональность, но их главной задачей была загрузка сайтов онлайн-казино и букмекеров.

Примеры выдаваемых за игры троянов Android.FakeApp, которые загружали ссылки на сайты букмекеров и онлайн-казино: Android.FakeApp.1622 (3D Card Merge Game), Android.FakeApp.1630 (Crazy Lucky Candy)

Некоторые трояны этого семейства были вновь замаскированы под приложения для поиска работы. Такие программы-подделки загружают поддельные списки вакансий и предлагают пользователям составить «резюме», предоставив персональные данные. В других случаях трояны могут предложить потенциальным жертвам связаться с «работодателем» через мессенджер. На самом деле потенциальные жертвы напишут преступникам, которые попытаются заманить их в ту или иную мошенническую схему.

Примеры троянов Android.FakeApp, которые мошенники выдавали за программы для поиска работы: Android.FakeApp.1627 (Aimer), Android.FakeApp.1703 (FreeEarn)

Кроме того, в Google Play были обнаружены очередные троянские приложения, подписывающие пользователей на платные услуги. Одним из них был Android.Subscription.22 — он распространялся под видом фоторедактора InstaPhoto Editor.

Троян Android.Subscription.22, предназначенный для подписки пользователей на платные услуги

Другими такими троянами были представители родственных семейств Android.Joker и Android.Harly, имеющих модульную архитектуру. Первые способны скачивать вспомогательные компоненты из интернета, а вторые отличаются тем, что обычно хранят необходимые модули в зашифрованном виде среде своих ресурсов.

Примеры программ, которые подписывали жертв на платные услуги. Android.Joker.2280 скрывался в приложении с гороскопами My Horoscope, а Android.Harly.87 — в игре BlockBuster

Помимо вредоносных программ специалисты «Доктор Веб» обнаружили в Google Play новое нежелательное ПО, среди которого были различные модификации Program.FakeMoney.11 и Program.FakeMoney.14. Эти программы относятся к семейству приложений, которые предлагают пользователям за виртуальные вознаграждения выполнять различные задания (зачастую просматривать рекламу). Вознаграждения в дальнейшем якобы можно конвертировать в настоящие деньги или призы, но для вывода «заработанного» от пользователя требуется накопить определенную сумму. Однако даже в случае успеха реальных выплат он в итоге не получает.

Один из вариантов Program.FakeMoney.11 распространялся в виде игры Copper Boom, а Program.FakeMoney.14 был представлен игрой Merge Party

Кроме того, в течение года в Google Play наши вирусные аналитики выявляли новые рекламные программы. В их числе были приложения и игры со встроенным рекламным модулем Adware.StrawAd, способным демонстрировать объявления от различных поставщиков услуг.

Примеры игр с рекламным модулем Adware.StrawAd: Crazy Sandwich Runner (Adware.StrawAd.1), Poppy Punch Playtime (Adware.StrawAd.3), Finger Heart Matching (Adware.StrawAd.6), Toimon Battle Playground (Adware.StrawAd.9)

В Google Play также распространялись рекламные приложения Adware.Basement, объявления от которых часто ведут на вредоносные и мошеннические сайты. Примечательно, что это семейство имеет общую кодовую базу с нежелательными программами Program.FakeMoney.11.

Примеры нежелательных рекламных программ Adware.Basement: Lie Detector: Lie Prank Test, TapAlarm:Don't touch my phone и Magic Voice Changer — Adware.Basement.1, Auto Clicker:Tap Auto — Adware.Basement.2

Банковские трояны

По данным статистики детектирований Dr.Web Security Space для мобильных устройств в 2024 году доля банковских троянов от общего числа зафиксированных вредоносных программ составила 6,29%, что на 2,71 п. п. больше, чем годом ранее. С января их активность планомерно снижалась, но c середины весны количество атак вновь стало расти. В течение III квартала их активность оставалась практически неизменной, после чего продолжила увеличиваться, достигнув годового максимума в ноябре.

В 2024 году широкое распространение вновь получили известные семейства банковских троянов. Среди них — вредоносные программы Coper, Hydra (Android.BankBot.1048.origin, Android.BankBot.563.origin), Ermac (Android.BankBot.1015.origin, Android.BankBot.15017), Alien (Android.BankBot.745.origin, Android.BankBot.1078.origin), Anubis (Android.BankBot.670.origin). Кроме того, наблюдались атаки с использованием семейств Cerberus (Android.BankBot.11404), GodFather (Android.BankBot.GodFather.3, Android.BankBot.GodFather.14.origin) и Zanubis (Android.BankBot.Zanubis.7.origin).

В течение года злоумышленники активно распространяли троянов-шпионов Android.SpyMax, которые обладают широким набором вредоносных функций, в том числе возможностью удаленно управлять зараженными устройствами. Они широко применяются и в качестве банковских троянов. Это семейство изначально включало многофункционального RAT-трояна SpyNote (RAT — Remote Administration Trojan, троян удаленного доступа). Однако после утечки его исходного кода на его основе стали появляться всевозможные модификации — например, CraxsRAT и G700 RAT. Статистика детектирований Dr.Web Security Space для мобильных устройств показывает, что представители этого семейства активизировались во второй половине 2023 года, и с тех пор число их детектирований продолжало расти практически каждый месяц. Данная тенденция пока сохраняется.

Трояны Android.SpyMax нацелены на пользователей по всему миру. В минувшем году они были замечены в том числе в многочисленных атаках на российских пользователей — 46,23% детектирований семейства пришлось именно на данную аудиторию. Также эти вредоносные программы наиболее активно распространялись среди бразильских (35,46% детектирований) и турецких (5,80% детектирований) владельцев Android-устройств.

Примечательно, что распространение этих вредоносных программ в России в основном происходит не при помощи спама или классических вариантов фишинга, а в ходе одного из этапов телефонного мошенничества. Вначале звонящие потенциальной жертве злоумышленники традиционно пытаются убедить ее в том, что являются сотрудниками банка или правоохранительных органов. Они информируют о якобы возникшей проблеме — попытке кражи денег с банковского счета или незапланированном оформлении кредита, либо, наоборот, сообщают «хорошие новости» о якобы полагающихся выплатах от государства. Когда мошенники понимают, что пользователь им поверил, они побуждают его установить «обновление антивируса», «банковское приложение» или иную программу — например, для «обеспечения безопасной транзакции». В такой программе на самом деле скрывается троян Android.SpyMax.

Пользователи из России в 2024 году также сталкивались с семействами банкеров Falcon (Android.BankBot.988.origin, Android.Banker.5703) и Mamont (Android.Banker.637.origin, Android.Banker.712.origin). Кроме того, были отмечены атаки банковских троянов Android.Banker.791.origin и Android.Banker.829.origin на владельцев Android-устройств из России и Узбекистана, а также банкера Android.Banker.802.origin на пользователей России, Азербайджана и Узбекистана. Целью трояна Android.Banker.757.origin были пользователи из России, Узбекистана, Таджикистана и Казахстана.

Наши специалисты вновь фиксировали атаки троянов MoqHao (Android.Banker.367.origin, Android.Banker.430.origin, Android.Banker.470.origin, Android.Banker.593.origin), нацеленных на пользователей из многих стран, включая государства Юго-Восточной Азии и Азиатско-Тихоокеанского региона. На эту же аудиторию были направлены атаки и других троянов. Например, южнокорейские владельцы Android-устройств сталкивались с семействами Fakecalls (Android.BankBot.919.origin, Android.BankBot.14423, Android.Banker.5297), IOBot (Android.BankBot.IOBot.1.origin) и Wroba (Android.Banker.360.origin). Прочие модификации Wroba (Android.BankBot.907.origin, Android.BankBot.1128.origin) атаковали пользователей из Японии.

Жителям Китая в числе прочих угрожал троян Android.Banker.480.origin, а вьетнамским пользователям — Android.BankBot.1111.origin. В то же время злоумышленники применяли троянов TgToxic (Android.BankBot.TgToxic.1) для атак на клиентов кредитных организаций Индонезии, Таиланда и Тайваня, а трояна GoldDigger (Android.BankBot.GoldDigger.3) — на пользователей из Таиланда и Вьетнама.

Вновь были зафиксированы атаки на иранских пользователей — те сталкивались с такими банкерами как Android.Banker.709.origin, Android.Banker.5292, Android.Banker.777.origin, Android.BankBot.1106.origin и рядом других. А в атаках на турецких клиентов банков наряду с другими троянами были также отмечены представители семейства Tambir (Android.BankBot.1104.origin, Android.BankBot.1099.origin, Android.BankBot.1117.origin).

Среди индийских владельцев Android-устройств распространение получили банкеры Android.Banker.797.origin, Android.Banker.817.origin и Android.Banker.5435 — они маскировались под ПО, якобы имеющее отношение к кредитным организациям Airtel Payments Bank, PM KISAN и IndusInd Bank. Кроме того, сохранилась активность банковских троянов Rewardsteal (Android.Banker.719.origin, Android.Banker.5147, Android.Banker.5443) основной целю которых являются индийские клиенты банков Axis bank, HDFC Bank, SBI, ICICI Bank, RBL bank и Citi bank.

В странах Латинской Америки вновь была отмечена активность троянов PixPirate (Android.BankBot.1026.origin), которые атакуют клиентов бразильских банков.

На европейскиих пользователей, в частности, были нацелены трояны Anatsa (Android.BankBot.Anatsa.1.origin) и Copybara (Android.BankBot.15140, Android.BankBot.1100.origin). Последние преимущественно атакуют жителей Италии, Великобритании и Испании.

В течение 2024 года вирусные аналитики «Доктор Веб» фиксировали рост популярности некоторых методов защиты вредоносных Android-программ — преимущественно банковских троянов — от анализа и детектирования. В частности, злоумышленники выполняли различные манипуляции с форматом ZIP — основой APK-файлов. В результате многие инструменты статического анализа, которые применяют стандартные алгоритмы работы с ZIP-архивами, оказываются неспособны корректно обработать такие «поврежденные» файлы. В то же время трояны воспринимаются операционной системой Android как обычные программы, корректно устанавливаются и работают.

Одной из распространенных техник стала манипуляция с полями compression method и compressed size в структуре заголовка локального файла внутри APK. Злоумышленники намеренно указывают неверные значения полей compressed size и uncompressed size (сжатый размер и размер без сжатия), либо записывают некорректный или несуществующий метод сжатия в поле compression method. В другом варианте для архива может быть указан метод без сжатия, при этом поля заголовков compressed size и uncompressed size не будут совпадать, хотя должны.

Другой популярный метод — использование некорректных данных о диске в записи ECDR (End of Central Directory Record, конец записи центрального каталога) и CD (Central Directory, заголовок файла центрального каталога — здесь находятся данные о файлах и параметрах архива). Оба эти параметра для цельного архива должны совпадать, но киберпреступники могут указывать для них различные значения, как будто это не цельный, а мультиархив.

Распространенной также была техника, когда в заголовках локальных файлов некоторых файлов в архиве указывается флаг, означающий, что эти файлы зашифрованы. В действительности они не зашифрованы, но из-за этого архив при анализе считывается некорректно.

Вместе с манипуляцией структурой APK-файлов вирусописатели также использовали другие способы — например, модификацию конфигурационного файла Android-приложений AndroidManifest.xml. В частности, они добавляли мусорные байты b'\x00' в структуру атрибутов файла, из-за чего тот считывается некорректно.

Перспективы и тенденции

Прошедший год показал, что киберпреступники по-прежнему активно обогащаются за счет владельцев Android-устройств. Их основными инструментами остаются рекламные и банковские трояны, вредоносные приложения со шпионской функциональностью, а также мошенническое ПО. В этой связи в 2025 году стоит ожидать появления новых угроз такого типа.

Несмотря на предпринимаемые шаги для повышения безопасности Google Play, этот каталог все еще остается одним из источников распространения Android-угроз. Поэтому нельзя исключать появления в нем новых вредоносных и нежелательных приложений.

Выявленный в минувшем году очередной случай заражения ТВ-приставок с ОС Android говорит о том, что вирусописатели используют самые разные векторы атак. Вполне возможно, что злоумышленники не только вновь обратят свой взор на такие устройства, но и продолжат искать другие потенциальные цели среди разнообразия Android-гаджетов.

Не исключено, что вирусописатели продолжат активно внедрять новые способы обхода анализа и детектирования вредоносных программ.

Специалисты компании «Доктор Веб» продолжают следить за развитием «мобильных» киберугроз и обеспечивать защиту наших пользователей. Чтобы повысить свою безопасность, установите антивирус Dr.Web для мобильных устройств, который поможет в борьбе с вредоносными, нежелательными и другими опасными программами, мошенниками и прочими угрозами.

Согласно статистике детектирований антивируса Dr.Web, в IV квартале 2024 года общее число обнаруженных угроз снизилось на 1,53% по сравнению с III кварталом. При этом число уникальных угроз увеличилось на 94,43%. Чаще всего детектировались рекламные приложения и рекламные трояны, вредоносные скрипты, а также трояны, распространяющиеся в составе других вредоносных приложений и применяющиеся для затруднения их обнаружения. В почтовом трафике наиболее часто выявлялись вредоносные скрипты, рекламные трояны и трояны-майнеры. Кроме того, отмечалась повышенная активность вредоносных программ со шпионской функциональностью.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.35067 и Trojan.Encoder.26996.

На Anroid-устройствах самыми распространенными угрозами вновь стали рекламные трояны Android.HiddenAds. В то же время наши вирусные аналитики выявили в каталоге Google Play множество новых вредоносных программ.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы IV квартала:

Adware.Downware.20091

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

VBS.KeySender.6

Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.

JS.Siggen5.44590

Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.

Trojan.BPlug.4210

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Trojan.Starter.8242

Вредоносная программа, обеспечивающая запуск трояна-майнера.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590

Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

LNK.Starter.56

Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.

Win32.HLLW.Rendoc.3

Сетевой червь, распространяющийся в том числе через съемные носители информации.

Trojan.Fbng.123

Троянская программа-шпион, также известная как Formbook. Предназначена для кражи различных данных с зараженных устройств. Она похищает сохраненные пароли в браузерах, email-клиентах, онлайн-мессенджерах и другом ПО, перехватывает вводимые данные в веб-формах, отслеживает нажатия на клавиатуре (реализует функцию кейлоггера), создает скриншоты. Кроме того, она способна загружать и запускать другие программы, а также выполнять различные команды злоумышленников, работая как бэкдор.

Шифровальщики

В IV квартале 2024 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 18,96% по сравнению с III кварталом.

Динамика поступления запросов на расшифровку в службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры IV квартала:

Trojan.Encoder.35534 — 22.63% обращений пользователей

Trojan.Encoder. 35067 — 3.91% обращений пользователей

Trojan.Encoder.26996 — 3.35% обращений пользователей

Trojan.Encoder.35209 — 3.07% обращений пользователей

Trojan.Encoder.38200 — 3.07% обращений пользователей

Сетевое мошенничество

В IV квартале 2024 года актуальной осталась мошенническая схема, в которой злоумышленники на специально созданных сайтах предлагали потенциальным жертвам заработать с помощью различных инвестиций. Для «доступа» к инвестиционным сервисам у пользователей запрашивается регистрация с указанием персональных данных, которые затем оказываются в руках мошенников. С такими сайтами сталкивались жители различных стран.

Мошеннический сайт, якобы имеющий отношение к Всемирному банку, обещает европейцам дивиденды за инвестирование в перспективные секторы экономики

Мошеннический сайт предлагает словацким пользователям «заработать более $192 460 в месяц» с помощью некоего инвестиционного сервиса

Мошенники выдают себя за крупные банки и нефтегазовые компании и предлагают пользователям из Армении и Молдовы «заработать на акциях»

Поддельный сайт азербайджанской нефтегазовой компании, где посетителям обещают заработок от 1000 манат в месяц

Сайт «новой инвестиционной платформы от Google» предлагает пройти опрос и получить доступ к сервису, якобы позволяющему зарабатывать от €1000

Один из мошеннических сайтов обещает российским пользователям «безопасный пассивный доход» от 150 000 рублей в месяц

Специалисты «Доктор Веб» отметили и сезонное изменение содержимого подобных сайтов. Так, в преддверии новогодних праздников мошенники стали чаще прибегать к тематике подарков якобы от имени банков, нефтегазовых компаний, криптобирж и других организаций. Например, на одном из поддельных интернет-ресурсов российские пользователи якобы могли получить денежные выплаты от криптобиржи в соответствии с некими «списками». А для проверки доступности такой выплаты от них требовалось пройти опрос и указать персональные данные.

Поддельный сайт криптобиржи предлагает российским пользователям получить «новогодние выплаты»

Другой поддельный сайт сообщал о некоем «новогоднем предложении» от нефтегазовой компании, в рамках которого многие пользователи из Казахстана в честь Дня независимости страны якобы могли начать получать от 200 000 до 1 000 000 тенге в месяц. Для «получения» выплат потенциальные жертвы должны были подать «заявку», указав свои персональные данные на сайте.

Мошеннический сайт обещает казахстанским пользователям крупные выплаты в честь Дня независимости в рамках «новогоднего предложения»

Вместе с тем наши интернет-аналитики зафиксировали появление поддельных сайтов российских банков, где потенциальным жертвам предлагается принять участие в опросе о качестве обслуживания и якобы получить за это денежное вознаграждение. Для этого у пользователей запрашиваются персональные данные, такие как имя, фамилия и отчество, привязанный к учетной записи банка номер мобильного телефона, а также номер банковской карты.

Пример поддельного сайта банка, который копирует оформление настоящего сайта кредитной организации и предлагает потенциальным жертвам пройти опрос за вознаграждение

Для «участия» в опросе пользователь должен заполнить форму, предоставив свои данные

Кроме того, были выявлены мошеннические сайты, предлагающие пройти онлайн-обучение — например, программированию. Заинтересовавшимся посетителям предлагалось оставить контактные данные для «получения консультации».

Сайт, предлагающий онлайн-курсы по программированию. Для «получения консультации» пользователи должны указать персональные данные.

Интернет-мошенники не оставляют попыток похитить учетные записи Telegram. Так, в IV квартале 2024 года были обнаружены очередные фишинговые сайты, замаскированные под различные онлайн-голосования — например, в «конкурсах детских рисунков». Для «подтверждения» голоса пользователи должны указать номер мобильного телефона, на который поступит проверочный код. Однако, указав этот код на поддельном сайте, они открывают мошенникам доступ к своим учетным записям.

Сайт мошенников, на котором посетителям предлагается проголосовать в детском конкурсе рисунков

«Система учета голосов» требует номер мобильного телефона для «подтверждения голоса» и отправки одноразового кода

При вводе полученного кода жертвы предоставляют мошенникам доступ к своим учетным записям Telegram

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2024 года пользователи чаще всего сталкивались с рекламными троянами Android.HiddenAds, вредоносными приложениями Android.FakeApp и Android.Siggen. Вместе с тем за прошедший период специалисты компании «Доктор Веб» обнаружили множество новых угроз в каталоге Google Play.

Наиболее заметные события, связанные с «мобильной» безопасностью в IV квартале:

• высокая активность рекламных троянов Android.HiddenAds и мошеннических вредоносных программ Android.FakeApp,
• появление новых вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в IV квартале 2024 года читайте в нашем обзоре.

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2024 года наиболее распространенными вредоносными программами стали рекламные трояны Android.HiddenAds. За ними расположились используемые в мошеннических целях вредоносные приложения Android.FakeApp. Тройку лидеров замыкали трояны Android.Siggen с различной вредоносной функциональностью.

В течение квартала вирусные аналитики компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них были многочисленные трояны Android.FakeApp, а также вредоносные программы семейств Android.Subscription и Android.Joker, которые подписывали пользователей на платные услуги. Были зафиксированы очередные рекламные трояны Android.HiddenAds. Кроме того, злоумышленники распространяли вредоносные приложения, защищенные сложным упаковщиком.

По данным Dr.Web Security Space для мобильных устройств

Android.FakeApp.1600

Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.

Android.HiddenAds.655.origin

Android.HiddenAds.657.origin

Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57083

Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.

Android.Click.1751

Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.

Program.FakeMoney.11

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.CloudInject.1

Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.

Program.TrackView.1.origin

Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.

Program.SecretVideoRecorder.1.origin

Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.NPMod.1

Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.

Tool.SilentInstaller.14.origin

Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.

Tool.LuckyPatcher.1.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Tool.Packer.1.origin

Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Tool.Androlua.1.origin

Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.ModAd.1

Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.

Adware.Basement.1

Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.

Adware.Fictus.1.origin

Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Adware.AdPush.3.origin

Adware.Adpush.21846

Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Угрозы в Google Play

В IV квартале 2024 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 60 различных вредоносных приложений, большинство из которых — трояны семейства Android.FakeApp. Часть из них распространялась под видом программ финансовой тематики, справочников и обучающих пособий, а также прочего ПО — дневников, записных книжек и т. п. Их основной задачей была загрузка мошеннических сайтов.

Программы QuntFinanzas и Trading News, которые в числе прочих многочисленных троянов Android.FakeApp загружали мошеннические сайты

Другие трояны Android.FakeApp злоумышленники выдавали за игры. Они могли загружать сайты онлайн-казино и букмекеров.

Bowl Water и Playful Petal Pursuit — примеры игр с троянской функциональностью

Вместе с тем наши специалисты обнаружили новые варианты трояна Android.FakeApp.1669, который скрывался под маской разнообразных приложений и также мог загружать сайты онлайн-казино. Android.FakeApp.1669 интересен тем, что получает адрес целевого сайта из TXT-файла вредоносного DNS-сервера. При этом он проявляет себя только при подключении к интернету через определенных провайдеров.

Примеры новых модификаций трояна Android.FakeApp.1669. Программу WordCount мошенники выдавали за текстовую утилиту, а программа Split it: Checks and Tips должна была помочь посетителям кафе и ресторанов с оплатой счетов и расчетом чаевых.

Среди найденных в Google Play угроз было несколько новых представителей семейства рекламных троянов Android.HiddenAds, которые скрывают свое присутствие на зараженных устройствах.

Фоторедактор Cool Fix Photo Enhancer скрывал рекламного трояна Android.HiddenAds.4013

Кроме того, были зафиксированы трояны, защищенные сложным программным упаковщиком — например, Android.Packed.57156, Android.Packed.57157 и Android.Packed.57159.

Приложения Lie Detector Fun Prank и Speaker Dust and Water Cleaner — трояны, защищенные упаковщиком

Также наши специалисты обнаружили вредоносную программу Android.Subscription.22, предназначенную для подписки пользователей на платные услуги.

Вместо редактирования фотографий приложение InstaPhoto Editor подписывало пользователей на платную услугу

При этом злоумышленники вновь распространяли троянов семейства Android.Joker, которые тоже подписывали жертв на платные сервисы.

СМС-мессенджер Smart Messages и сторонняя клавиатура Cool Keyboard пытались незаметно подписать жертв на платную услугу

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации