В прошедшем ноябре вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные угрозы. Среди них были новые модификации троянцев семейства Android.Joker, подписывавшие пользователей на платные мобильные услуги. Киберпреступники вновь распространяли вредоносные программы семейства Android.HiddenAds, которые показывали надоедливую рекламу. Кроме того, была обнаружена новая версия бэкдора Android.Backdoor.735.origin, предназначенного для кибершпионажа.
В ноябре специалисты «Доктор Веб» обнаружили в каталоге Google Play новую модификацию троянца Android.Backdoor.735.origin — компонента опасного бэкдора Android.Backdoor.736.origin, о котором наша компания сообщала в июле. Эта вредоносная программа, также известная как PWNDROID1, распространялась под видом утилиты для настройки и ускорения работы браузера.
Android.Backdoor.735.origin выполняет команды злоумышленников, позволяет управлять зараженными Android-устройствами, шпионит за их владельцами и способен загружать и запускать дополнительные вредоносные компоненты.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:
В течение месяца вирусные аналитики «Доктор Веб» обнаружили в Google Play несколько новых модификаций троянцев семейства Android.Joker. Они скрывались в безобидных, на первый взгляд, программах — полезных утилитах для настройки мобильных устройств, играх, мессенджерах, сборниках изображений для рабочего стола и приложениях-фотокамерах. Эти вредоносные программы подписывают жертв на платные мобильные услуги, загружают и запускают вредоносные модули и могут выполнять произвольный код.
Также были выявлены новые рекламные троянцы Android.HiddenAds. Злоумышленники распространяли их под видом игр, приложений-фотокамер, ПО для редактирования фотографий и других программ.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
Мобильная угроза месяца
В ноябре специалисты «Доктор Веб» обнаружили в каталоге Google Play новую модификацию троянца Android.Backdoor.735.origin — компонента опасного бэкдора Android.Backdoor.736.origin, о котором наша компания сообщала в июле. Эта вредоносная программа, также известная как PWNDROID1, распространялась под видом утилиты для настройки и ускорения работы браузера.
Android.Backdoor.735.origin выполняет команды злоумышленников, позволяет управлять зараженными Android-устройствами, шпионит за их владельцами и способен загружать и запускать дополнительные вредоносные компоненты.
- Android.Backdoor.682.origin — Троянец, который выполняет команды злоумышленников и позволяет им контролировать зараженные мобильные устройства.
- Android.DownLoader.677.origin — Загрузчик других вредоносных программ.
- Android.Triada.481.origin — Многофункциональный троянец, выполняющий разнообразные вредоносные действия.
- Android.MobiDash.4006 — Троянская программа, показывающая надоедливую рекламу.
- Android.RemoteCode.197.origin — Вредоносное приложение, которое загружает и выполняет произвольный код.
- Program.FakeAntiVirus.2.origin — Детектирование рекламных приложений, которые имитируют работу антивирусного ПО.
- Program.RiskMarket.1.origin — Магазин приложений, который содержит троянские программы и рекомендует пользователям их установку.
- Program.HighScore.3.origin — Каталог приложений, в котором через дорогостоящие СМС предлагается оплатить установку доступных в Google Play бесплатных программ.
- Program.MonitorMinor.1.origin
- Program.MobileTool.2.origin — Программы, которые следят за владельцами Android-устройств и могут использоваться для кибершпионажа.
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.7.origin
- Tool.SilentInstaller.11.origin
- Tool.VirtualApk.1.origin — Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки.
- Tool.Rooter.3 — Утилита, предназначенная для получения root-полномочий на Android-устройствах. Может использоваться злоумышленниками и вредоносными программами.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах:
- Adware.Dowgin.5.origin
- Adware.Toofan.1.origin
- Adware.BrowserAd.1
- Adware.Myteam.2.origin
- Adware.Altamob.1.origin
Троянцы в Google Play
В течение месяца вирусные аналитики «Доктор Веб» обнаружили в Google Play несколько новых модификаций троянцев семейства Android.Joker. Они скрывались в безобидных, на первый взгляд, программах — полезных утилитах для настройки мобильных устройств, играх, мессенджерах, сборниках изображений для рабочего стола и приложениях-фотокамерах. Эти вредоносные программы подписывают жертв на платные мобильные услуги, загружают и запускают вредоносные модули и могут выполнять произвольный код.
Также были выявлены новые рекламные троянцы Android.HiddenAds. Злоумышленники распространяли их под видом игр, приложений-фотокамер, ПО для редактирования фотографий и других программ.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
masterspline
Привильно ли я понимаю, что:
1. На Android полноценных вирусов не бывает. В смысле зараженное приложение не сможет заразить остальные приложения.
2. Троянцев в каталог Google Play загружают их авторы, и живут они там пару часов. Потому что если DrWeb смог их там обнаружить, то поддержка Google Play тоже не дураки — смогут запустить антивирус по своему каталогу.
На самом деле вообще не понятно, как трояны в каталог попадают. После загрузки приложения (стабильной версии, а не альфы) оно станет доступно для загрузки примерно через сутки. За это время вполне можно его антивирусом проверить.
doctorweb Автор
Добрый день!
1. Как таковых вирусов пока нет. Однако есть класс троянцев, которые используют уязвимость для заражения других программ. Мы писали об этом news.drweb.ru/show/?i=13108&lng=ru
Уязвимость называется Janus (CVE-2017-13156) vms.drweb.ru/vuln/?i=11731
2. «Живут пару часов» — это когда как. Есть немало случаев, когда и полгода и год и больше висят в маркете. Какие у них там проверки — никто не знает, но раз пропускают, и это не единичный случай, то прецедент есть. И надо быть начеку в любом случае.
doctorweb Автор
Их загружают именно авторы — злоумышленники. В большинстве случаев. Но может быть и так, что разработчик не знает, что использует вредоносную библиотеку, и думает, что это, например, рекламная библиотека и т.п. А то, что там проверить можно, это да, но Google все равно пропускает. Даже у антивирусоых компаний не всегда есть возможность детектировать, если троян новый или его как-то модифицировали. После анализа — да.
Тем более все чаще функции трояна выносят в модули, которые потом с задержкой подгружаются. А в GP висит сложнообнаруживаемый «контейнер»-пустышка, который поначалу заподозрить весьма трудно.