Троянцы-вымогатели мобилизуются

В ближайшее время пользователи мобильных устройств будут все чаще сталкиваться с троянцами-вымогателями, требующими деньги за разблокировку экрана и доступ к информации, хранящейся в памяти. При этом продолжает расти число вредоносных программ, которые задействуют права суперпользователя для показа агрессивной рекламы. Об этом говорится в отчете, опубликованном аналитиками «Лаборатории Касперского». Также в компании отмечают рост числа зловредов для iOS.

Эксперты компании отмечают, что в 2015 году было обнаружено 884 тысячи новых мобильных вредоносных программ – это втрое больше, чем в 2014-м. При этом угрозы продолжают эволюционировать в сторону монетизации. «Создатели вредоносного кода разрабатывают его с тем, чтобы получать деньги от своих жертв», – говорится в сообщении производителя антивирусных решений.

Продолжают развиваться мобильные троянцы, нацеленные на банковские счета пользователей. В минувшем году специалисты «Лаборатории Касперского» обнаружили более семи тысяч новых программ этого типа. Причем некоторые мобильные вредоносные программы работают в связке с Windows-троянцами и перехватывают пароли mTAN (одноразовые коды двухфакторной аутентификации для подтверждения платежа).

Некоторые мобильные зловреды перекрывают открытое легитимное банковское приложение фишинговым окном (поддельной страницей), имитирующим это приложение. В числе наиболее примечательных примеров таких угроз аналитики приводят троянец OpFake.cc, одна из модификаций которого способна перекрывать интерфейс более ста банковских и финансовых приложений. Также был замечен троянец, который добавлял свой код в само банковское приложение. При этом на работу легитимной программы он никак не влиял, так что пользователю было сложно самостоятельно заметить угрозу.

«Подход создателей мобильных зловредов к краже денег становится более комплексным: дело уже не ограничивается специальными банковскими троянцами, имеющими своей целью банковские приложения, – говорится в отчете. – Пример – Trojan-SMS.AndroisOS.Fakeinst.ep. Этот зловред показывает пользователю сообщение якобы от Google с требованием открыть Google Wallet и ввести данные банковской карты (под предлогом борьбы с киберпреступностью). Окно с этим сообщением нельзя закрыть, пока пользователь не введет данные банковской карты. После того, как пользователь ввел требуемые данные, они отправляются злоумышленникам, и окно закрывается. А троянец продолжает воровать информацию и передает своим хозяевам дополнительную информацию о смартфоне и его владельце».

Эксперты отмечают, что банковские троянцы становятся все более изощренными и универсальными. Часто они способны атаковать пользователей не одного, а сразу десятков банков, причем расположенных в разных странах мира.

В 2015 году практически удвоилось число семейств троянцев-вымогателей. При этом количество обнаруженных модификаций за тот же период выросло в 3,5 раза. «Это значит, что некоторые злоумышленники переключаются на кражу денег пользователей с помощью троянцев-вымогателей, а те, кто этим уже занимался, продолжают активно создавать новые модификации таких зловредов», – говорится в отчете. Еще один важный показатель, указывающий на актуальность проблемы, – количество атакованных пользователей, за год увеличившееся более чем в пять раз.

Чаще всего программы-вымогатели блокируют устройство пользователя под предлогом якобы совершенных им противоправных действий и вымогают деньги на разблокировку – обычно сумма составляет от 12 до 100 долларов. При этом заблокированным устройством нельзя пользоваться – владелец смартфона видит на дисплее только окно с требованием выкупа. Некоторые троянцы могут перекрывать даже системные диалоговые окна, такие, как выключение телефона.

Отдельно специалисты выделили несколько обнаруженных в конце прошлого года троянцев типа Downloader, которые загружали в систему программу-вымогателя. При этом загрузчики использовали уязвимости в системе, чтобы получить права суперпользователя на устройстве и установить вымогателя в системную папку. После этого установленный зловред практически невозможно удалить.

Аналитики компании ESET называют в числе самых нашумевших вымогателей 2015 года две программы. Первая появилась в сети в мае и распространялась в Google Play под видом игры Minecraft или чит-программ к ней. Пользователи скачали этот зловред 2,8 миллиона раз. После запуска программа выводила на экран множество рекламных баннеров. Любое взаимодействие с приложением приводило к появлению предупреждения об «опасном вирусе», для удаления которого предлагалось активировать «антивирус» стоимостью 4,8 евро в неделю.

Другой пример – Lockerpin. Это троян-вымогатель, который менял PIN-коды на смартфонах и планшетах на Android. Распространялся он под видом «взрослых» видео и приложений, для самозащиты использовал агрессивные механизмы. Программа получала права администратора устройства, выводя на экран сообщение о необходимости установки обновлений. Затем троян блокировал устройство и менял PIN-код. Пользователю предлагалось заплатить 500 долларов в качестве «штрафа за просмотр и хранение порнографических материалов».

Никуда не делись и всем уже известные СМС-троянцы. Эксперты отмечают, что для нашей страны они особенно актуальны. Такие программы отправляют с зараженного устройства платные сообщения без ведома пользователя. Хотя доля этих зловредов в общем потоке мобильных угроз продолжает уменьшаться, количество СМС-троянцев в абсолютном выражении пока остается значительным.

В основном такие программы только отправляют сообщения на платные номера. Однако некоторые представители этой категории подключают пользователю платные подписки, в результате чего деньги с его счета списываются постоянно.

В последнее время увеличилось количество программ, использующих рекламу как средство монетизации. Трендом года стали троянцы, задействующие права суперпользователя. Если год назад в рейтинге самых популярных мобильных зловредов был всего один такой троянец, то по итогам 2015 года в топ-20 их было уже больше половины.

«Несмотря на то, что данные троянцы предназначены для загрузки и установки рекламных приложений без ведома пользователя, они могут принести очень много проблем, – отмечают авторы отчета. – После установки они пытаются рутовать устройство и установить свои компоненты в систему, так чтобы их потом было очень сложно обезвредить. Некоторые из них не исчезают из смартфона даже после сброса к заводским настройкам. В результате их работы на устройстве пользователь видит большое количество назойливой рекламы».

Прошлой осенью активизировались сразу несколько троянцев в официальном магазине приложений Google Play. Эти программы воровали пароли пользователей соцсети «ВКонтакте». Многие из этих троянцев загружались из магазина сотни тысяч раз.

Аналитики компании ESET сообщили недавно о раскрытии крупнейшей кибератаки в истории Google Play. Как сообщают в компании, на протяжении семи месяцев злоумышленники загружали в магазин приложений 343 различных модификации трояна-порнокликера, которую скачали в общей сложности 1,2 миллиона раз. Программа маскировалась под легитимные приложения, преимущественно игры. После установки на смартфон или планшет зловред генерировал трафик на «взрослые» ресурсы.

«Мы наблюдали ряд кампаний по распространению вредоносного ПО на Google Play, но ни одна из них не продолжалась так долго и не привела к такому числу заражений, – комментирует вирусный эксперт ESET Лукас Стефанко. – Порнокликеры постоянно подвергаются модификациям. Обновленные версии изменены ровно настолько, чтобы скрыть истинную цель и обойти проверки безопасности Google».

Если еще некоторое время назад пользователи операционной системы от Apple считали себя защищенными от киберугроз, то сегодня достается и им. В 2015 году количество программ для iOS выросло по сравнению с 2014-м более чем в два раза.

«Недавнее появление вредоносных приложений в App Store в очередной раз показало, что, вопреки распространенному мнению, операционная система iOS не является неуязвимой для вредоносного ПО. Злоумышленники не взламывали App Store, а разместили в Интернете вредоносную версию Apple's Xcode – бесплатного набора инструментов, в помощью которого разработчики создают приложения для iOS».

Программа заразила десятки приложений, которые прошли процедуру проверки и были успешно загружены в App Store. Наиболее популярным из них был WeChat – бесплатный мессенджер, установленный более чем у 700 миллионов пользователей. Когда угроза была обнаружена, Apple удалила зараженные приложения, однако за полгода они успели получить серьезное распространение.

По данным «Лаборатории Касперского», доля пользователей смартфонов, атакованных мобильными зловредами, составляет 21%. По этому показателю страна занимает восьмое место в мире.

«В 2016 году мы ожидаем дальнейшего роста количества рекламных троянцев, использующих права суперпользователя, – говорит антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев. – Еще один тип мобильных зловредов, за которыми мы продолжим внимательно наблюдать, – мобильные банкеры. В 2016 году они станут атаковать еще больше банковских организаций, будут использоваться новые технологии кражи данных. По мере развития мобильных устройств и сервисов растут и аппетиты злоумышленников, наживающихся на мобильных вредоносных программах. Вирусописатели продолжат искать новые способы распространения мобильных зловредов, а их главным объектом интереса по-прежнему остаются деньги пользователей».