Эксперты «Лаборатории Касперского» проанализировали две киберугрозы для Android, которые нацелены на российских пользователей и остаются активными в апреле 2024 г. В компании также отмечают общий рост количества атак на мобильные устройства в России. Об этом CNews сообщили представители «Лаборатории Касперского».
Так, в первом квартале 2024 г. их число увеличилось в 5,2 раза по сравнению с аналогичным периодом 2023 г. и составило более 19 млн (данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» за январь — март 2023 г. и январь — март 2024 г.).
В конце 2023 г. специалисты «Лаборатории Касперского» обнаружили троянец Dwphon, с тех пор он постоянно эволюционировал и становился все активнее. По данным «Лаборатории Касперского», количество атак Dwphon на российских пользователей выросло в марте 2024 г. примерно на 25% по сравнению с декабрем 2023 г. и насчитывает почти 222 тыс.
Текущие версии зловреда собирают информацию о зараженном устройстве и личные данные его владельца, а также сведения об установленных приложениях. Dwphon может без ведома пользователя загружать на смартфон различные программы, в том числе рекламное и вредоносное ПО. Специалисты отмечают, что функциональность и код Dwphon схожи с Triada, одним из самых распространённых в 2023 г. мобильных троянцев. Однако наибольший интерес вызывает вектор атаки, то есть обстоятельства, при которых Dwphon оказывается на устройствах. Эксперты обнаружили, что он встраивается в системные приложения смартфонов еще до того, как гаджеты попадают в руки пользователей.
«Обычно злоумышленники распространяют троянцы под видом легитимного ПО на сторонних площадках. Некоторые разновидности встречаются и во встроенных сторах. Однако в случае с Dwphon жертва получает зараженное устройство прямо из коробки, то есть купив его в магазине. Здесь речь идет о предустановленных зловредах — в таких случаях цепочка поставок девайса на каком-то из этапов оказывается скомпрометирована и в этот момент злоумышленники внедряют вредоносное ПО. Причём производитель и другие участники цепочки, вероятнее всего, об этом даже не знают», — сказал Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».
Весной 2023 г. специалисты «Лаборатории Касперского» также впервые обнаружили банковский троянец Mamont, однако свою активность зловред начал проявлять в ноябре того же года. С высокой долей вероятности он эволюционировал из программы-вымогателя Rasket — ее авторы грозили пользователям сливом данных, если им не заплатить выкуп 5 тыс. руб. Эксперты отмечают сходство в коде Mamont и Rasket, например название параметров конфигурации. Оба зловреда также используют Telegram-бот для сохранения информации о жертвах. Однако в Mamont злоумышленники развили функционал банковского троянца, чтобы выманивать платёжные данные потенциальных жертв и получать доступ к их СМС. Злоумышленники распространяют троянец на неофициальных площадках в том числе под видом приложений для взрослых, служб доставок, а также финансовых организаций.
«Несмотря на то что банковские троянцы не получили значительного распространения в России из-за активного развития антифрод-систем финансовых организаций, отдельные представители этого вида могут быть очень активными. С ноября мы зафиксировали уже почти 185 тысяч атак Mamont на российских пользователей, — сказал Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского». — Mamont — это еще и пример того, как злоумышленники ищут наиболее выгодные для себя форматы монетизации усилий. Атакующие могут реализовать какую-либо функцию в зловреде, но если не достигают своих целей, то модифицируют вредоносное ПО, меняя его технические возможности».
Чтобы не столкнуться с мобильными угрозами, эксперты по кибербезопасности рекомендуют: не переходить по ссылкам из сомнительных сообщений; скачивать приложения только из официальных источников; регулярно обновлять операционную систему и установленные приложения; использовать на смартфонах защитное решение, например Kaspersky для Android, оно поможет обнаружить вредоносный код на устройстве и не даст установить зловред.
Поделиться
