Обзор Android-угроз за 2013 год от компании «Доктор Веб»

27 января 2014 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — представляет обзор основных Android-угроз, обнаруженных в 2013 году. Минувший год не принес каких-либо фундаментальных изменений в сфере безопасности мобильной ОС от корпорации Google. Как и ожидалось, за прошедшие 12 месяцев значительно возросло число новых вредоносных, нежелательных и потенциально опасных программ для Android-устройств, при этом наиболее распространенной угрозой для пользователей традиционно стали троянцы, приносящие незаконный заработок своим создателям. Одновременно с этим существенно увеличилось количество вредоносных приложений, предназначенных для кражи конфиденциальной информации владельцев мобильных устройств.

Android-угрозы в 2013 году: общая статистика

Прошлогодние события в области информационной безопасности снова подтвердили, что операционная система Android окончательно укрепила за собой статус главной площадки по осуществлению незаконной деятельности киберпреступников на мобильном рынке. Свидетельством этого, в частности, является динамика пополнения вирусной базы компании «Доктор Веб»: число новых записей для вредоносных и нежелательных Android-приложений в 2013 году выросло на 1 547 единиц и достигло отметки в 2 814 вирусных описаний. Это на 122% больше, чем число записей на конец аналогичного периода 2012 года. Если же сравнивать текущие значения с показателями 2010 года – периода появления первых вредоносных приложений для ОС Android, – то они составили +9280%, продемонстрировав рост практически в 94 раза.

Динамика роста количества описаний Android-угроз в вирусной базе Dr.Web в период с 2010 по 2013 год

Для сравнения: общее количество вирусных описаний угроз для других популярных мобильных платформ, таких как BlackBerry, Symbian OS, Java, iOS и Windows Mobile в конце 2013 года равнялось 1600 записям, что в 1,76 раза меньше этого же показателя для Android-угроз.

Количество вирусных описаний для мобильных угроз по состоянию на 2013 год

Существенно увеличилось число новых семейств вредоносных и потенциально опасных программ для ОС Android: рост составил 185% от значений 2012 года, и общее их количество достигло 331.

Общее число семейств, принадлежащих к Android-угрозам

Если проанализировать текущий состав вирусной базы Dr.Web, то рейтинг наиболее многочисленных Android-угроз будет выглядеть следующим образом:

Наиболее многочисленные Android-угрозы согласно объему записей вирусной базы компании «Доктор Веб»

СМС-троянцы – все еще главная угроза

Согласно приведенной выше статистике, в 2013 году, как и прежде, безоговорочными «лидерами» среди всех вредоносных Android-приложений стали троянцы семейства Android.SmsSend. Эти программы, появившиеся еще в 2010 году, предназначены для скрытой отправки дорогостоящих СМС-сообщений, а также подписки пользователей на платные контент-услуги, за пользование которыми с абонентского счета взимается определенная плата. За прошедший год число версий вредоносных приложений семейства Android.SmsSend выросло более чем в 2 раза, достигнув отметки в 1 377 модификаций. Общую динамику роста количества СМС-троянцев можно проследить на графике, отображающем объем соответствующих им записей в вирусной базе Dr.Web на период с 2010 по 2013 год:

Динамика роста числа записей для вредоносных программ семейства Android.SmsSend

Данные троянцы могут распространяться как в виде самостоятельных программных пакетов, выдаваемых, например, за обновления или инсталляторы известных приложений, так и внутри легитимных программ, модифицированных злоумышленниками. Стоит отметить, что второй метод долгое время был и все еще остается наиболее популярным на территории Китая, о чем свидетельствует появление в 2013 году целого ряда очередных модификаций подобных СМС-троянцев, угрожавших китайским пользователям. Вместе с тем за последние 12 месяцев были обнаружены аналогичные вредоносные приложения, действовавшие, в частности, уже против вьетнамских владельцев Android-устройств. Это говорит о том, что такой способ распространения троянцев семейства Android.SmsSend не только не утратил своей актуальности, но и стал еще более востребованным среди киберпреступников. Примечательно, что в большинстве подобных случаев изменению подвергаются популярные игровые приложения, и реже – прикладное ПО.

После запуска таких модифицированных программных пакетов пользователь получает ожидаемый функционал, в то время как нежелательные для него действия, такие как отправка СМС-сообщений, остаются незамеченными. Весьма вероятно, что в будущем данная методика не утратит своей актуальности, и география ее применения при распространении СМС-троянцев расширится.

Заметным событием, связанным с троянцами Android.SmsSend в прошлом году, стало обнаружение в сентябре самого крупного за последнее время мобильного ботнета, состоящего из Android-устройств, инфицированных этими вредоносными программами. По оценкам специалистов компании «Доктор Веб» в состав бот-сети входило более 200 000 смартфонов и планшетных компьютеров, а потенциальный ущерб, нанесенный пользователям, мог превысить несколько сотен тысяч долларов. Для заражения мобильных устройств злоумышленники использовали сразу несколько СМС-троянцев, которые маскировались под инсталляторы легитимного программного обеспечения, такого как веб-браузеры и клиенты для работы с социальными сетями. Географическое распределение устройств, входящих в этот ботнет, наглядно продемонстрировано на следующем изображении.

Android.SmsBot – закономерная эволюция СМС-троянцев

В 2013 году пользователи Android-устройств столкнулись с ростом числа случаев распространения относительно новой угрозы, а именно троянцев семейства Android.SmsBot. Данные вредоносные приложения представляют собой логичное продолжение концепции широко распространенного семейства Android.SmsSend: основным их предназначением является все та же несанкционированная отправка премиум-сообщений с целью получения злоумышленниками незаконного заработка. Однако, в отличие от подавляющего большинства предшественников, у которых все параметры работы заранее указываются в конфигурационных файлах или в самом их коде, эти троянцы получают указания к действию непосредственно от киберпреступников, что в значительной мере расширяет их возможности. В частности, при необходимости ими может быть задан новый текст СМС-сообщения и целевой номер, на который будет осуществлена его отправка. Многие версии троянцев Android.SmsBot способны по команде выполнять и другие действия, например, загрузку прочих вредоносных программ, удаление определенных СМС, сбор и отправку информации о мобильном устройстве на удаленный сервер, совершение звонков. Кроме того, отдельные модификации этих вредоносных приложений могут запрашивать состояние баланса мобильного счета при помощи USSD- или СМС-запросов и, в зависимости от результата, получать от управляющего сервера указание выполнить отправку сообщения на номер с определённой стоимостью.

Показательно, что на конец 2012 года вирусная база Dr.Web содержала лишь одну запись, относящуюся к вредоносным программам семейства Android.SmsBot, в то время как в 2013 году их число достигло уже 24. Динамика увеличения числа случаев распространения этих троянцев говорит о росте заинтересованности злоумышленников в решении комплексных задач и осуществлении незаконной деятельности в более гибкой и организованной форме, поэтому вполне ожидаемо, что число новых модификаций вредоносных программ такого типа будет только расти.

Число вирусных записей для троянцев семейства Android.SmsBot

Возрастание угрозы раскрытия конфиденциальной информации: банковские троянцы, кража персональных сведений и программы-шпионы

Остро вставшая в 2012 году проблема сохранности персональной информации пользователей мобильных Android-устройств получила дальнейшее развитие и в минувшем году: на протяжении последних двенадцати месяцев наблюдался значительный рост числа вредоносных программ, направленных на кражу тех или иных конфиденциальных сведений у владельцев смартфонов и планшетов под управлением ОС Android. Среди подобных угроз в первую очередь следует выделить большое количество новых банковских троянцев, к которым относятся вредоносные программы семейств Android.Tempur и Android.Banker, представители семейств Android.SmsSpy, Android.SmsForward, Android.Pincer и Android.Spy, а также ряд других. Большинство этих троянских приложений либо имитирует интерфейс настоящих мобильных банковских клиентов и обманным способом заставляет пользователей предоставить свои персональные данные, либо устанавливается под видом важных программных обновлений или сертификатов и в дальнейшем позволяет злоумышленникам перехватывать все входящие СМС-сообщения, в которых может содержаться различная секретная информация – например, одноразовые mTAN-коды систем «банк-клиент», пароли, личная переписка и другие ценные сведения.

Если в 2012 году число подобных вредоносных приложений не превышало нескольких единиц, а масштабы их распространения ограничивались лишь небольшим списком стран, то в 2013 году ситуация кардинально изменилась: случаи атак с применением банковских троянцев были зафиксированы в России, Таиланде, Великобритании, Турции, Германии, Чехии, Португалии, Австралии, Южной Корее и других странах. При этом отдельного внимания заслуживает ситуация, которая связана с угрозой банковских вредоносных программ, действующих против южнокорейских пользователей: в этом регионе распространение данных троянцев в 2013 году фактически было поставлено на поток. За последние три месяца прошедшего года специалисты компании «Доктор Веб» зафиксировали 338 случаев распространения различных вариантов таких вредоносных приложений. Для этих целей злоумышленниками применяется рассылка нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла, а также имеющих сопроводительный текст, чаще всего говорящий о необходимости проверки статуса некоего почтового отправления или ознакомления с иной важной информацией. Динамика обнаружения таких случаев проиллюстрирована на диаграмме ниже.

Выявленные случаи распространения банковских троянцев для ОС Android среди пользователей Южной Кореи

Чаще всего южнокорейские пользователи сталкивались с риском загрузки таких троянцев-шпионов как Android.Spy.45.origin, Android.SmsSpy.51.origin, Android.Banker.1.origin, Android.SmsSpy.53.origin, Android.Spy.67, а также Android.Spy.43.origin. Общее же процентное распределение Android-угроз в выявленных случаях распространения показано на следующей иллюстрации.

Android-угрозы, распространявшиеся среди южнокорейских пользователей за последние 3 месяца 2013 года

Объем прочих троянских программ, крадущих различную информацию пользователей, также существенно вырос: в 2013 году в вирусную базу Dr.Web было внесено множество подобных вредоносных приложений. Среди них – Android.Phil.1.origin, Android.MailSteal.2.origin, Android.ContactSteal.1.origin, несколько модификаций троянцев семейств Android.EmailSpy и Android.Infostealer, которые передавали киберпреступникам сведения из телефонной книги, Android.Callspy.1.origin, позволявший злоумышленникам получать информацию о совершаемых пользователями звонках, а также другие аналогичные вредоносные программы, выполняющие уже комплексные шпионские функции: перехват СМС-сообщений, отслеживание местоположения, получение информации об устройстве, установленных приложениях, хранящихся на SD-карте файлах и т. п. К таким троянцам относятся, например, Android.Roids.1.origin, Android.AccSteal.1.origin, а также вредоносные приложения семейства Android.Wondertek.

screen screen screen screen
screen screen screen

Попали в поле зрение специалистов и потенциально опасные коммерческие шпионские программы, позволяющие осуществлять негласный контроль активности пользователей Android-устройств. В минувшем году были обнаружены новые версии такого популярного ПО для мониторинга как Android.MobileSpy, Android.SpyBubble и Android.Recon, а также новые представители этого класса приложений: Program.Childtrack.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin, Program.OwnSpy.1.origin, Android.Phoggi.1.origin и ряд других.

Угрозы в каталоге приложений Google Play

Несмотря на то, что официальный каталог приложений ОС Android – Google Play – считается одним из самых безопасных источников программного обеспечения для мобильных Android-устройств, он по-прежнему не может гарантировать стопроцентного отсутствия в нем вредоносных или потенциально опасных приложений. Подтверждением этому являются зафиксированные в 2013 году случаи появления в нем ряда угроз.

Например, в апреле был обнаружен целый ряд программ, содержащих вредоносный рекламный модуль Android.Androways.1.origin, который демонстрировал пользователям рекламу, приводящую к загрузке троянских программ. Данный модуль был создан злоумышленниками под видом вполне обычной рекламной системы, демонстрирующей разнообразные информационные сообщения и позволяющей создателям игр и приложений зарабатывать на своих программных продуктах, интегрируя в них данный модуль. Как и многие легальные рекламные платформы, Android.Androways.1.origin был способен демонстрировать push-уведомления, выводимые в панель состояния операционной системы, однако в этих сообщениях могли отображаться заведомо ложные предупреждения о необходимости загрузки обновлений для тех или иных программ. Согласившись на загрузку такого «обновления» пользователи подвергались риску стать жертвой мошенников, установив одного из троянцев семейства Android.SmsSend.

Кроме того, троянский рекламный модуль Android.Androways.1.origin мог выполнять команды, поступающие с удаленного сервера, а также загружать на него конфиденциальную информацию, такую как номер сотового телефона, код оператора и IMEI мобильного устройства. Общее число пострадавших от него пользователей могло превысить 5,3 миллиона человек, что стало одним из крупнейших случаев заражения Android-устройств вредоносными приложениями, которые распространялись с использованием каталога Google Play за все время его существования.

Летом 2013 года специалистами компании «Доктор Веб» было выявлено несколько приложений от вьетнамского разработчика, которые позиционировались им как мультимедийные проигрыватели, однако на самом деле являлись троянцами-носителями, содержащими вредоносные программы семейства Android.SmsSend. Минимальное число загрузок этих «дропперов», внесенных в вирусную базу как Android.MulDrop, Android.MulDrop.1 и Android.MulDrop.2, на момент обнаружения составляло более 11 тысяч.

При запуске вредоносные приложения предлагали пользователям получить доступ к запрошенному контенту, после чего извлекали скрытых троянцев и начинали процесс их установки. В дальнейшем проинсталлированные СМС-троянцы, получившие по классификации компании «Доктор Веб» имена Android.SmsSend.513.origin и Android.SmsSend.517, выполняли отправку коротких сообщений с премиум-тарификацией, что влекло за собой незапланированные финансовые траты.

А в декабре было выявлено 48 программ, представлявших собой сборники изображений, суммарное число загрузок которых превысило 12 тысяч. После запуска эти приложения работали должным образом, однако помимо задекларированных возможностей они скрытно передавали на удаленный сервер информацию о номерах мобильных телефонов жертв. Интересной особенностью указанных троянцев, внесенных в вирусную базу Dr.Web как Android.Spy.51.origin, являлась их заинтересованность только в номерах, принадлежащих южнокорейским абонентам. Это, в совокупности с названиями приложений, а также их описаниями на корейском языке, позволило предположить, что главной аудиторией, для которой предназначались данные программы, были жители Южной Кореи. Полученные номера телефонов в дальнейшем могли быть использованы в маркетинговых целях, для перепродажи третьим лицам, включая рекламные компании и даже киберпреступников, способных организовать фишинг-атаки.

Помимо этого, в декабре было обнаружено еще две угрозы, размещенные в каталоге Google Play. Ими стали троянец Android.WhatsappSpy.1.origin, а также потенциально опасная программа Program.Bazuc.1.origin.

Первая угроза представляла собой простое игровое приложение, которое незаметно для пользователей Android-устройств загружало на сервер разработчика троянца базу данных, содержащих сохраненные сообщения мессенджера WhatsApp для ОС Android. Кроме того, вредоносная программа передавала на сервер изображения, а также номер телефона, связанные с учетной записью клиента сервиса. В дальнейшем любой желающий мог получить доступ к переписке интересующего его пользователя, введя на веб-сайте автора Android.WhatsappSpy.1.origin соответствующий мобильный номер. Несмотря на то, что данное приложение позиционировалось как безобидное средство создания резервной копии переписки из программы WhatsApp, потенциальный риск его недобросовестного использования вынудил корпорацию Google удалить эту программу из каталога Google Play. Тем не менее она доступна для загрузки с официального сайта ее разработчика, поэтому многие пользователи все еще рискуют стать жертвами шпионажа со стороны злоумышленников.

Второе опасное приложение под названием Bazuc позволяло пользователям зарабатывать на предоставлении ему доступа к отправке рекламных и информационных СМС-сообщений со своего мобильного номера. По замыслу разработчика Program.Bazuc.1.origin, использование программы должно было осуществляться владельцами Android-устройств, имеющими тарифный план с безлимитным объемом СМС-сообщений, однако в случае отсутствия такового беспечные пользователи рисковали получить огромные счета за тысячи отправленных СМС, столкнуться с блокировкой абонентского счета или же с претензиями со стороны получателей сообщений, т. к. те имели возможность увидеть телефонный номер отправителя.

Эти и другие случаи в очередной раз показывают, что, несмотря на усилия корпорации Google по обеспечению безопасности официального каталога Android-приложений, он все еще может содержать самые разнообразные угрозы, поэтому пользователи Android-устройств должны проявлять осторожность при установке малоизвестных или вызывающих подозрение программ.

Уязвимости операционной системы

Улучшения, вносимые в операционную систему Android от версии к версии, увеличивают ее надежность и безопасность, однако время от времени в ней все же обнаруживаются те или иные уязвимости, позволяющие киберпреступникам проводить различные атаки, в том числе с применением вредоносных программ. И если в 2012 году не было зафиксировано появление критических уязвимостей или сколь-нибудь серьезных инцидентов с участием использующих их троянских приложений, то за последние 12 месяцев было выявлено сразу несколько программных ошибок, которые могли позволить злоумышленникам обойти встроенные механизмы защиты платформы Android и увеличить эффективность распространения Android-троянцев. В частности, наиболее заметные уязвимости, получившие название Master Key (#8219321), Extra Field (#9695860) и Name Length Field (#9950697), позволяли выполнить модификацию программных пакетов таким образом, что при внесении в них вредоносного функционала целостность их криптографической подписи не нарушалась, и во время установки они рассматривались ОС Android как немодифицированные.

Примечательно, что найденные ошибки основывались на некорректных методах интерпретации и обработки операционной системой определенных особенностей формата zip-файлов – архивных пакетов, составляющих основу для Android-приложений и содержащих все их компоненты. В случае с Master Key это выражалось в возможности разместить внутри apk-файла (zip-архива, имеющего расширение «.apk») двух файловых объектов, имеющих одинаковое имя и располагающихся в одном подкаталоге. В результате во время установки измененного таким образом приложения система безопасности Android игнорировала исходный файл и принимала внедренный дубликат за оригинал. Ярким примером использования данной уязвимости на практике служит троянец Android.Nimefas.1.origin, обнаруженный специалистами компании «Доктор Веб» в июле. Эта вредоносная программа представляла собой комплексную угрозу, направленную, в первую очередь, против китайских пользователей и способную выполнять поступающие от злоумышленников команды (например, осуществлять рассылку СМС или перехватывать входящие короткие сообщения, получать информацию о мобильном устройстве, контактах из телефонной книги пользователя и т. п.).

Вторая уязвимость – Extra Field – теоретически также позволяла внедрять в Android-приложения троянский функционал, для чего требовалась некоторая модификация структуры zip-архива: при добавлении в его служебное поле значения одного из оригинальных компонентов программы (в частности файла classes.dex) без трех первых байт с одновременным размещением на его месте модифицированной версии этого файла, последняя воспринималась операционной системой как легитимная и допускалась к установке. Несмотря на то, что потенциальное использование этой уязвимости ограничено размером dex-файла, который должен составлять не более 65533 байт, заинтересованные в атаке киберпреступники вполне могут без труда ей воспользоваться, взяв за основу безобидную программу или игру, имеющую соответствующего размера компонент.

Что же касается уязвимости Name Length Field, то для ее использования, как и в двух предыдущих случаях, аналогичным образом требуется внесение определенных изменений в структуру программного пакета, а также наличие внутри него двух файлов – исходного и модифицированного – имеющих одинаковое имя. Во время установки такого приложения оригинальный файл корректно считывается одним из компонентов ОС Android, однако в дальнейшем другой ее компонент обрабатывает только измененный файл, который ошибочно считается единственно верным.

Все apk-файлы, в которых используются эти и похожие программные ошибки, детектируются антивирусными средствами Dr.Web для Android как Exploit.APKDuplicateName.

Еще одной обнаруженной в 2013 году потенциально опасной особенностью ОС Android стала возможность установки apk-пакетов, имеющих в своей структуре искусственно внесенный указатель на присутствие пароля для zip-архива. Наличие этого указателя не препятствовало установке приложения на некоторых версиях операционной системы, однако затрудняло сканирование антивирусными средствами, которые корректно обрабатывали такой программный пакет как защищенный паролем, что делало невозможным обнаружение известных вредоносных приложений. В частности, эта методика была использована создателями троянца Android.Spy.40.origin, найденного специалистами компании «Доктор Веб» в октябре. Данная вредоносная программа предназначалась, главным образом, для перехвата входящих СМС-сообщений, однако могла также выполнять и некоторые другие функции. После внесения изменений в алгоритм работы антивирусных средств Dr.Web для Android подобные угрозы успешно детектируются.

Сокрытие вредоносной активности, противодействие анализу, обнаружению и удалению

В 2013 году значительно увеличилось число случаев применения вирусописателями специальных приемов, затрудняющих проведение анализа вредоносных Android-приложений, а также усложняющих процесс их обнаружения и удаления на мобильных устройствах. В частности, одной из наиболее распространенных методик самозащиты в Android-троянцах стало использование стандартной системной функции администратора устройства, когда приложению даются расширенные полномочия, такие как возможность управления блокировкой экрана, запроса пароля при выходе из ждущего режима и даже выполнение сброса параметров к заводским установкам с потерей всех имеющихся данных. Главной причиной, по которой данная опция в последнее время так полюбилась киберпреступникам, стало то, что попытка стандартным способом удалить входящую в список администраторов вредоносную программу приводит к ошибке.

И если в общем случае такая ситуация не является проблемой для опытных пользователей – троянца всего лишь необходимо лишить соответствующих полномочий – то множество менее подкованных в техническом плане владельцев Android-устройств сталкивается с затруднениями по очистке мобильного устройства от инфекции. Подобный метод защиты встречается, например, в ряде троянцев-шпионов, а также у некоторых СМС-троянцев.

Однако в ряде случаев простого отключения полномочий администратора может быть недостаточно: иногда создатели вредоносных Android-приложений идут еще дальше и вносят в их функционал контроль активности данного режима, и если пользователь пытается его отключить, «хитрые» троянцы предпринимают попытки не допустить этого. Например, они могут препятствовать открытию системных настроек или выводить запрос на получение нужных прав до тех пор, пока пользователь не согласится это сделать.

Наиболее же ярко применение такой самозащиты проявилось в обнаруженном в начале лета 2013 года семействе вредоносных программ Android.Obad, способных отправлять СМС-сообщения на премиум-номера, а также загружать на мобильное устройство другие вредоносные приложения. Эти троянцы использовали привилегии функции администратора мобильного устройства, контролировали ее активность и одновременно с этим эксплуатировали ошибку операционной системы, которая позволяла им скрывать свое присутствие в соответствующем списке и значительно затрудняла их удаление.

Еще одной проблемой безопасности пользователей мобильных устройств становится растущее распространение на рынке коммерческих систем для защиты Android-приложений от декомпиляции, взлома и модификации, т. к. подобные механизмы могут быть использованы не только разработчиками легитимных программ, но также и создателями троянских приложений. В минувшем году специалистами компании «Доктор Веб» было выявлено несколько случаев применения таких систем в составе Android-троянцев, к которым относятся, например, вредоносные программы Android.Spy.67 и Android.Tempur.5.origin. Кроме того, вирусописателями по-прежнему весьма активно используется обфускация (запутывание) кода, затрудняющая анализ троянцев.

Антивирусные продукты Dr.Web для Android своевременно получают функциональные улучшения, необходимые для борьбы с угрозами, в которых применяется различные механизмы защиты, поэтому для пользователей компании «Доктор Веб» эти вредоносные программы не представляют опасности.

Поддельные антивирусы

За последние 12 месяцев существенно увеличилось количество новых представителей троянцев семейства Android.Fakealert – поддельных антивирусных средств, ложно сигнализирующих о наличии на мобильном устройстве различных угроз и предлагающих за определенную плату обезвредить их. В минувшем году объем записей в вирусной базе компании «Доктор Веб» для этих вредоносных приложений вырос в 5 раз, и их общее число составило 10 единиц. Наиболее заметной среди всех обнаруженных модификаций этих троянцев стал Android.Fakealert.10.origin, распространявшийся под видом приложения для просмотра видео категории «для взрослых». После запуска эта вредоносная программа имитировала внешний вид существующего в действительности антивируса и демонстрировала предупреждение о необходимости выполнить проверку мобильного устройства на наличие заражения. Найденные в дальнейшем «угрозы» тут же предлагалось обезвредить, купив для этого якобы полную версию программы.

Киберкриминальные услуги: троянцы на заказ и специализированные хакерские утилиты

В 2013 году весьма активно продолжил развиваться рынок мобильных киберкриминальных услуг, начавший постепенно формироваться еще в позапрошлом году. В настоящее время одну из лидирующих позиций среди наиболее распространенных нелегальных сервисов занимает создание и продажа различных СМС-троянцев, принадлежащих к семействам Android.SmsSend и Android.SmsBot. Их авторы зачастую предлагают своим клиентам не только сами вредоносные приложения, но и сопутствующие им готовые решения в виде удаленных панелей управления, а также программных средств для построения вредоносных сетей и партнерских программ. Цены на данные услуги варьируются от нескольких сотен до нескольких тысяч долларов.

Однако более серьезную угрозу представляют появившиеся в 2013 году предложения по реализации банковских троянцев, нацеленных на пользователей целого ряда стран. Ярким примером такой теневой услуги является начавшаяся в январе продажа троянца под названием Perkele, способного имитировать внешний вид официальных приложений «банк-клиент» и красть конфиденциальную информацию пользователей – например, СМС-сообщения. Различные модификации этой вредоносной программы детектируются антивирусом Dr.Web как представители семейства Android.SmsSpy.

Благодаря ограниченным объемам продаж копий троянца, а также его возможности атаковать пользователей почти 70 крупнейших кредитных организаций мира, Perkele мог с успехом применяться для осуществления высокоэффективных таргетированных атак, в результате которых пострадавшие клиенты могли понести существенные финансовые потери.

Не менее привлекательными для интернет-преступников должны выглядеть сервисы, связанные с незаконным получением более широкого спектра конфиденциальных сведений пользователей мобильных Android-устройств. Хорошим примером этого может служить появление специализированных программ, позволяющих встраивать троянский функционал в любое Android-приложение или игру. В частности, в июле специалистами компании было зафиксировано два таких «продукта»: Tool.Androrat и Tool.Raziel. Первая утилита для своей работы использовала исходный код свободно распространяющегося приложения для удаленного доступа и управления AndroRat, которое известно с 2012 года и детектируется антивирусом Dr.Web как Program.Androrat.1.origin. Что же касается второй, то ее автор применяет самостоятельно разработанную им троянскую программу-шпиона, которая может быть либо встроена в Android-приложения, либо скомпилирована в самостоятельный apk-пакет. Данная вредоносная программа добавлена в вирусную базу под именем Android.Raziel.1.origin.

Особенностью этих утилит является то, что они отличаются относительной легкостью и простотой использования, что ведет к возможности создания троянских Android-приложений людьми, весьма далекими от познаний в программировании. Это существенно расширяет круг их потенциальных пользователей, и, соответственно, жертв.

Интересные и необычные угрозы

Среди множества примитивных в плане функционала троянских приложений для ОС Android в 2013 году можно было встретить и несколько нестандартных вредоносных программ. Например, одна из модификаций троянца-шпиона Android.EmailSpy.2.origin после удачной отправки злоумышленникам сведений из телефонной книги пользователя могла показать оскорбляющее его изображение, демонстрируя тем самым презрительное отношение авторов троянца к своей жертве.

Весьма оригинальным можно считать индийского троянца Android.Biggboss, обнаруженного в марте. Эта вредоносная программа распространялась на различных сайтах-сборниках ПО в модифицированных злоумышленниками приложениях и, будучи установленной на мобильном устройстве, при запуске ОС демонстрировала диалоговое окно, в котором говорилось о получении важного сообщения из некоего отдела кадров. В случае согласия пользователя просмотреть это «сообщение» троянец загружал в браузере веб-страницу, содержащую обращение от отдела кадров мифической компании TATA India Limited, не имеющей никакого отношения к настоящей корпорации TATA. Наряду с заманчивым описанием потенциальной должности обращение содержало призыв перевести определенную денежную сумму на банковский счет мошенников с целью гарантировать кандидату получение вакантного места.


Источник: Доктор Веб

.