Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja mobilnego szkodliwego oprogramowania 2017

Tagi:

Rok w liczbach

W 2017 Kaspersky Lab wykrył następujące zagrożenia:

  • 5 730 916 szkodliwych pakietów instalacyjnych
  • 94 368 mobilnych trojanów bankowych
  • 544 107 mobilnych trojanów ransomware

Trendy roku

Szkodliwe oprogramowanie uzyskujące prawa na poziomie administratora: nie chce się poddać 

Przez ostatnie kilka lat największe zagrożenie dla użytkowników systemu Android stanowiło szkodliwe oprogramowanie uzyskujące prawa na poziomie administratora. Tego typu trojany są trudne do wykrycia, dysponują całym wachlarzem możliwości i cieszą się dużą popularnością wśród cyberprzestępców. Ich głównym celem jest wyświetlenie ofiarom jak największej liczby reklam oraz ukradkowe zainstalowanie i uruchomienie reklamowanych aplikacji. W niektórych przypadkach, agresywne wyświetlanie reklam wyskakujących oraz opóźnienia w wykonywaniu poleceń użytkownika mogą zmienić urządzenie w bezużyteczny przedmiot. 

Tego rodzaju szkodliwe oprogramowanie zwykle próbuje uzyskać prawa super-użytkownika poprzez wykorzystywanie luk w zabezpieczeniach systemu, które pozwalają mu zrobić niemal wszystko. Szkodnik instaluje moduły w folderach systemowych, chroniąc je tym samym przed usunięciem. W niektórych przypadkach – np. Ztorg – szkodnika nie można się pozbyć nawet przywracając ustawienia fabryczne urządzenia. Warto zauważyć, że trojan ten był również rozprzestrzeniany za pośrednictwem sklepu Google Play Store – wykryliśmy tam niemal 100 aplikacji zainfekowanych różnymi modyfikacjami Ztorga. Jedna z nich została nawet zainstalowana ponad milion razy (według statystyk sklepu).     

Innym przykładem jest Trojan.AndroidOS.Dvmap.a. Trojan ten wykorzystuje prawa na poziomie administratora w celu wstrzyknięcia swojego szkodliwego kodu do bibliotek środowiska uruchomieniowego systemu. On również był rozprzestrzeniany za pośrednictwem sklepu Google Play Store i został pobrany ponad 50 000 razy.   

1_auto.png

Biblioteka systemowa zainfekowana przez Trojan.AndroidOS.Dvmap.a

Liczba użytkowników zaatakowanych przez szkodliwe oprogramowanie z prawami na poziomie administratora w 2017 roku odnotowała spadek w porównaniu z poprzednim rokiem. Jednak zagrożenie to nadal stanowi jedno z najpopularniejszych rodzajów szkodliwego oprogramowania – niemal połowa trojanów w naszym rankingu Top 20 należy do rodzin, które potrafią uzyskać przywileje na poziomie administratora. Spadek ich popularności wśród cyberprzestępców wynikał najprawdopodobniej z mniejszej liczby urządzeń działających pod kontrolą starszych wersji Androida – głównych celów tego szkodliwego oprogramowania. Według danych Kaspersky Lab, odsetek użytkowników posiadających urządzenia z systemem Android 5.0 lub starszą wersją zmniejszył się z ponad 85% w 2016 do 57% w 2017, podczas gdy odsetek użytkowników systemów Android 6.0 (lub nowszych wersji) zwiększyła się ponad dwukrotnie – stanowiąc 21% w 2016 roku w porównaniu z 50% w 2017 r. (6% użytkowników uaktualniło swoje urządzenia w 2016 r., podczas gdy w 2017 r - 7%). Nowsze wersje systemu Android nie posiadają jeszcze powszechnych luk w zabezpieczeniach, które umożliwiają uzyskanie praw super-użytkownika, co krzyżuje działania tego rodzaju programów.      

2_auto.jpg

Trojany z rodziny Ztorg były rozprzestrzeniane za pośrednictwem sklepu Google Play Store i aktywnie reklamowane

Jednak spadek popularności nie oznacza, że twórcy zrezygnowali całkowicie z tych trojanów. Niektóre z nich nadal zalewają urządzenia reklamami, pobierając i inicjalizując instalację różnych aplikacji, tym razem jednak bez wykorzystywania luk w zabezpieczeniach w celu uzyskania praw super-użytkownika. Co więcej, nadal są trudne do usunięcia, dzięki różnym funkcjom systemowym, takim jak możliwości administratora urządzenia.  

Naturalnie, w ciągu roku osoby atakujące próbowały zmodyfikować lub zmienić możliwości swoich trojanów w celu utrzymania i zwiększenia swoich zysków. W szczególności, wykryliśmy nowy model zarabiana pieniędzy wykorzystywany przez rodzinę Ztorg, który obejmował wysyłanie płatnych wiadomości tekstowych. Dwa szkodniki z tej rodziny, wykrywane przez produkty Kaspersky Lab jako Trojan-SMS.AndroidOS.Ztorg.a, zostały pobrane ze sklepu Google Play Store dziesiątki tysięcy razy. Co więcej, wykryliśmy dodatkowe moduły dla „standardowych” trojanów z rodziny Ztorg, które potrafiły nie tylko wysyłać płatne wiadomości tekstowe, ale również kraść pieniądze z konta użytkownika, klikając strony z subskrypcjami WAP. W tym celu trojany wykorzystywały specjalny plik JS, pobierany z serwerów przestępców.    

3_auto.png

Trojan-SMS.AndroidOS.Ztorg.a w sklepie Google Play Store

Powrót clickerów WAP

System płatności WAP billing przyciągnął nie tylko twórców szkodliwego oprogramowania uzyskującego prawa na poziomie administratora – w 2017 r. wykryliśmy ogromną ilość nowych trojanów WAP.  Chociaż zachowanie to nie jest żadną nowością - Trojan-SMS.AndroidOS.Podec istnieje od 2015 r. – w 2017 roku miał miejsce wzrost liczby clickerów WAP.

4_auto.png

Użytkownik widzi standardowy interfejs, podczas gdy Trojan-Clicker.AndroidOS.Xafekopy kradnie pieniądze

Trojany te działają zasadniczo w następujący sposób: otrzymują listę odsyłaczy z serwera kontroli, klikają je (zwykle w sposób niezauważalny dla użytkownika), a następnie „klikają” elementy strony wykorzystując specjalnie stworzony plik JS. W niektórych przypadkach, szkodliwe oprogramowanie odwiedza zwykłe strony reklamowe (tj. kradnie pieniądze reklamodawcom zamiast użytkownikom); w innych przypadkach, odwiedza strony z subskrypcjami WAP, pobierając pieniądze z mobilnego konta użytkownika.    

5_auto.png

Część pliku JS wykorzystywanego przez program Trojan-Clicker.AndroidOS.Xafekopy w celu kliknięcia przycisku

 

Strona wykorzystująca system płatności WAP billing zwykle przekierowuje na stronę operatora telefonii mobilnej, na której użytkownik potwierdza, że zgadza się zapłacić za usługi. To jednak nie powstrzymuje Trojanów, gdyż potrafią one klikać również te strony. Potrafią nawet przechwytywać i usuwać SMSy wysyłane przez operatorów telefonii komórkowej zawierające informacje dotyczące kosztów usługi.

Dynamiczny rozwój trojanów bankowości mobilnej

Bankery mobilne również przechodziły aktywną ewolucję w całym 2017 roku, oferując nowe możliwości kradzieży pieniędzy. Wykryliśmy modyfikację bankera mobilnego FakeToken, która atakowała nie tylko aplikacje finansowe, ale również aplikacje służące do zamawiania taksówki, rezerwacji hotelu, biletów itd. Trojan ten nakłada na interfejsy aplikacji swoje własne okno phishingowe, w którym użytkownik jest proszony o podanie swoich danych uwierzytelniających kartę bankową. Warto zauważyć, że działania te wydają się czymś normalnym dla użytkownika: atakowane aplikacje wiążą się z dokonywaniem płatności, dlatego mogą żądać tego rodzaju danych. 

6.png

Kod szkodnika Trojan-Banker.AndroidOS.Faketoken.q

Najnowsze wersje systemu Android zawierają wiele różnych narzędzi, których celem jest uniemożliwienie szkodliwemu oprogramowaniu wykonywania szkodliwych działań. Jednak trojany bankowe nieustannie szukają nowych sposobów obejścia tych nowych ograniczeń. W 2017 roku widzieliśmy kilka imponujących przykładów tych wysiłków. W lipcu wykryliśmy nową modyfikację trojana Trojan-Banker.AndroidOS.Svpeng.ae, która potrafiła udzielić sobie niezbędnych zezwoleń. Trojan obchodzi ograniczenia, wykorzystując usługi dostępności – funkcje Androida umożliwiające tworzenie aplikacji dla użytków z niepełnosprawnościami. Trojan ten prosi ofiarę o zezwolenie na wykorzystywanie usług dostępności i udziela sobie kilku dynamicznych zezwoleń, które obejmują możliwość wysyłania i otrzymywania SMSów, wykonywania połączeń i odczytywania kontaktów. Ponadto, trojan dodaje siebie do listy administratorów urządzenia, uniemożliwiając tym samym odinstalowanie go. Potrafi również kraść dane, które użytkownik wprowadza do innych aplikacji, tj. działa jako keylogger.

7_auto.png

Svpeng dodał siebie do listy administratorów urządzenia

W sierpniu trafiliśmy na jeszcze jednego przedstawiciela rodziny mobilnego szkodliwego oprogramowania Svpeng, który wykorzystywał usługi dostępności. Ta modyfikacja miała inny cel – blokowała urządzenie, szyfrowała pliki użytkownika i żądała okupu w bitcoinach.

8_auto.jpg

Trojan-Banker.AndroidOS.Svpeng.ag. żąda okupu

 

Powstanie i upadek mobilnych programów żądających okupu

Pierwsza połowa 2017 r. charakteryzowała się szybkim wzrostem liczby nowych pakietów instalacyjnych dla mobilnych trojanów żądających okupu – w ciągu niecałych sześciu miesięcy wykryliśmy 1,6 raza więcej plików niż w całym 2016 r. Jednak od czerwca 2015 r. statystyki wróciły do normalnego poziomu. Co ciekawe, za wzrost ten odpowiada tylko jedna rodzina - Ransom.AndroidOS.Congur. Ponad 83% wszystkich pakietów instalacyjnych dla mobilnych trojanów żądających okupu wykrytych w 2017 r. należało do tej rodziny. Zasadniczo, jest to niezwykle proste szkodliwe oprogramowanie, które zmienia (lub ustawia) kod PIN na urządzeniu i prosi właściciela o skontaktowanie się z osobami atakującymi za pośrednictwem komunikatora QQ.   

9.png

Trojan-Ransom.AndroidOS.Fusob

Przez cały rok mobilne oprogramowanie ransomware pozostawało zarówno proste jak i skuteczne, a jego możliwości i techniki niemal nie zmieniły się: oprogramowanie to nakładało swoje okno na wszystkie inne okna, blokując działanie urządzenia. Należy zauważyć, że dwie popularne rodziny szkodliwego oprogramowania dla bankowości mobilnej - Svpeng i Faketoken – posiadały modyfikacje zdolne do szyfrowania plików użytkownika, mimo że funkcjonalność szyfrowania nie była ogólnie tak popularna wśród trojanów mobilnych. 

 

Statystyki

W 2017 r. Kaspersky Lab wykrył 5 730 916 mobilnych szkodliwych pakietów instalacyjnych, co stanowi 1,5 raza mniej w porównaniu z poprzednim rokiem, ale więcej niż w jakimkolwiek innym roku wcześniej i niemal dwukrotnie więcej niż w 2015 roku.

Mimo spadku liczby wykrytych szkodliwych pakietów instalacyjnych w 2017 r. odnotowaliśmy wzrost liczby ataków przy użyciu mobilnego szkodliwego oprogramowania – 42,7 milionów w stosunku do 40 milionów w 2016 roku.

10_auto.png

Liczba ataków zablokowanych przez produkty firmy Kaspersky Lab  w 2017 roku

                 

11_auto.png

Liczba użytkowników chronionych przez produkty firmy Kaspersky Lab w 2017 roku

Geografia zagrożeń mobilnych

Ataki przy użyciu szkodliwego oprogramowania mobilnego zostały odnotowane w ponad 230 państwach i terytoriach.

12_auto.png

Rozkład geograficzny zagrożeń mobilnych według liczby zaatakowanych użytkowników, 2017 r.

 

10 państw najczęściej atakowanych przez mobilne szkodliwe oprogramowanie (według odsetka zaatakowanych użytkowników):

Państwo*

%**

1

Iran

57,25

2

Bangladesz

42,76

3

Indonezja

41,14

4

Algieria

38,22

5

Nigeria

38,11

6

Chiny

37,63

7

Wybrzeże Kości Słoniowej

37,12

8

Indie

36,42

9

Nepal

34,03

10

Kenia

33,20

* Wyłączyliśmy państwa, w których liczba użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab w badanym okresie wynosiła mniej niż 25 000.
** Odsetek unikatowych użytkowników zaatakowanych w każdym państwie w stosunku do wszystkich użytkowników produktów bezpieczeństwa mobilnego Kaspersky Lab w danym państwie.

Iran (57,25%), który w naszym rankingu Top 10 w 2016 roku zajmował drugie miejsce, tym razem uplasował się na pierwszej pozycji, zamieniając się miejscami z Bangladeszem. W 2017 r. ponad połowa użytkowników naszych produktów mobilnych w Iranie zetknęła się z mobilnym szkodliwym oprogramowaniem. Najbardziej rozpowszechnione były programy reklamowe z rodziny Ewind oraz trojany z rodziny Trojan.AndroidOS.Hiddapp.   

W znajdującym się na drugim miejscu Bangladeszu (42,76%) użytkownicy byli najczęściej atakowani przez oprogramowanie adware, jak również przez szkodnika Trojan.AndroidOS.Agent.gp – szkodliwy program potrafiący kraść pieniądze użytkownika poprzez wykonywanie połączeń na numery premium.

W każdym państwie, które zaklasyfikowało się do rankingu, najpopularniejszymi szkodliwymi programami były te, na których zarabiano głównie poprzez reklamę. W szczególności, najpopularniejszym mobilnym szkodliwym oprogramowaniem w Indiach (36,42%), które uplasowało się na ósmym miejscu w rankingu, był AdWare.AndroidOS.Agent.n. Szkodnik ten potrafi bez wiedzy użytkownika klikać strony internetowe, w szczególności reklamowe, i zarabiać pieniądze na „wyświetlaniu reklam” użytkownikowi. Inne popularne szkodliwe oprogramowanie w Indiach obejmowało trojany z rodzin Loapi, które również zarabiały pieniądze, klikając strony internetowe.      

Rodzaje mobilnego szkodliwego oprogramowania

W 2017 roku postanowiliśmy uwzględnić w rankingu kategorię Trojan-Clicker ze względu na aktywny rozwój i rosnącą popularność tego typu szkodliwych programów. Wcześniej należały one do kategorii „Inne”.   

13_auto.png

Rozkład nowego mobilnego szkodliwego oprogramowania według typu w 2016 i 2017 roku

Najznaczniejszy w porównaniu z poprzednim rokiem okazał się wzrost liczby wykrytych trojanów żądających okupu (ransomware) (+5,2 punktu procentowego), który przewyższył nawet wzrost liczby programów RiskTool (+4,4 punktu procentowego). Podsumowując, RiskTool (47,7%) odnotował najwyższy wzrost w 2016 roku (jego udział zwiększył się o 24 punkty procentowe w ciągu roku).

Trzeci rok z rzędu zmniejszył się odsetek pakietów instalacyjnych trojanów SMS – z 11% do 4,5%. Podobnie jak w 2016 roku, był to największy spadek. 

Trojany droppery, których udział zwiększył się w 2016 roku, odnotowały spadek o 2,8 punktu procentowego pod względem liczby pakietów instalacyjnych w 2017 roku.

TOP 20 mobilnych szkodliwych programów

Ten ranking szkodliwych programów nie zawiera potencjalnie niebezpiecznych lub niechcianych programów, takich jak RiskTool czy AdWare.

Werdykt

%*

1

DangerousObject.Multi.Generic

66,99%

2

Trojan.AndroidOS.Boogr.gsh

10,63%

3

Trojan.AndroidOS.Hiddad.an

4,36%

4

Trojan-Dropper.AndroidOS.Hqwar.i

3,32%

5

Backdoor.AndroidOS.Ztorg.a

2,50%

6

Backdoor.AndroidOS.Ztorg.c

2,42%

7

Trojan.AndroidOS.Sivu.c

2,35%

8

Trojan.AndroidOS.Hiddad.pac

1,83%

9

Trojan.AndroidOS.Hiddad.v

1,67%

10

Trojan-Dropper.AndroidOS.Agent.hb

1,63%

11

Trojan.AndroidOS.Ztorg.ag

1,58%

12

Trojan-Banker.AndroidOS.Svpeng.q

1,55%

13

Trojan.AndroidOS.Hiddad.ax

1,53%

14

Trojan.AndroidOS.Agent.gp

1,49%

15

Trojan.AndroidOS.Loapi.b

1,46%

16

Trojan.AndroidOS.Hiddapp.u

1,39%

17

Trojan.AndroidOS.Agent.rx

1,36%

18

Trojan.AndroidOS.Triada.dl

1,33%

19

Trojan.AndroidOS.Iop.c

1,31%

20

Trojan-Dropper.AndroidOS.Hqwar.gen

1,29%

* Odsetek użytkowników zaatakowanych przez dane szkodliwe oprogramowanie w stosunku do wszystkich zaatakowanych użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab.

Podobnie jak w poprzednich latach, na pierwszym miejscu znalazł się DangerousObject.Multi.Generic (66,99%) – werdykt stosowany dla szkodliwych programów wykrywanych przy użyciu technologii opartych na chmurze. Technologie te są przydatne wtedy, gdy antywirusowe bazy danych nie zawierają jeszcze sygnatur ani heurystyki, aby móc wykryć szkodliwe oprogramowanie. W ten sposób wykrywa się zasadniczo najnowsze szkodliwe oprogramowanie.  

Na drugim miejscu uplasował się Trojan.AndroidOS.Boogr.gsh (10,63%). Werdykt tej obejmuje pliki rozpoznawane jako szkodliwe przez nasz system w oparciu o systemy uczące się. W 2017 roku najpopularniejszymi trojanami wykrytymi z tym werdyktem były trojany reklamowe oraz trojany clickery.  

Na trzecim miejscu uplasował się Trojan.AndroidOS.Hiddad.an (4,36%). Szkodnik ten podszywa się pod popularną grę lub program, a jego głównym celem jest agresywne wyświetlanie reklam. Jego główne „audytorium” znajduje się w Rosji. Po uruchomieniu Trojan.AndroidOS.Hiddad.an pobiera aplikację, którą imituje, a po zainstalowaniu żąda praw administratora w celu uniemożliwienia usunięcia go.  

Czwartą pozycję zajął Trojan-Dropper.AndroidOS.Hqwar.i (3,32%) – werdykt stosowany dla trojanów chronionych przez specjalnego pakera/zaciemniacz kodu. W większości przypadków, nazwa ta odnosi się do przedstawicieli rodzin mobilnego oprogramowania bankowego Asacub, FakeToken oraz Svpeng. Inny werdykt służący do wykrywania tego pakera - Trojan-Dropper.AndroidOS.Hqwar.gen (1,29%) – znalazł się na 20 miejscu.

Na szóstym i siódmym miejscu znalazły się przedstawiciele rodziny Backdoor.AndroidOS.Ztorg – trojany reklamowe wykorzystujące prawa super-użytkownika w celu instalowania różnych aplikacji oraz uniemożliwiania ich usunięcia. W 2016 roku przedstawiciel tej rodziny wspiął się aż na drugie miejsce w naszym rankingu. Warto zauważyć, że w 2017 roku ranking zawierał 12 trojanów reklamowych – podobnie jak w 2015 roku – ale mniej niż w 2016 roku.  

Na 10 miejscu w rankingu znalazł się Trojan-Dropper.AndroidOS.Agent.hb (1,63%). Trojan ten odszyfrowuje i uruchamia innego trojana z rodziny Loaipi, którego przedstawiciel znajduje się na piątym miejscu (Trojan.AndroidOS.Loapi.b). Jest to złożony szkodliwy program modułowy, którego funkcjonalność zależy od modułów, które pobiera z serwera osoby atakującej. Z naszego badania wynika, że arsenał tego szkodnika zawiera moduły służące do wysyłania płatnych wiadomości tekstowych, kopania kryptowalut oraz klikania stron z subskrypcjami WAP.

Trojan-Banker.AndroidOS.Svpeng.q - najpopularniejszy trojan bankowości mobilnej w 2016 roku - uplasował się na 12 miejscu. Cyberprzestępcy rozprzestrzeniali go za pośrednictwem sieci reklamowej AdSense. Trojan ten wykorzystuje okna phishingowe w celu kradzieży danych dotyczących kart bankowych, a także atakuje systemy bankowości SMS.  

Na 14 miejscu znalazł się Trojan.AndroidOS.Agent.gp, który kradnie pieniądze użytkowników, dzwoniąc na numery premium. Wykorzystuje prawa administratora urządzenia, aby uniemożliwić wykrycie go.  

Trojany bankowości mobilnej

W 2017 roku wykryliśmy 94 368 pakietów instalacyjnych dla trojanów bankowości mobilnej – o 1,3 raza mniej niż w poprzednim roku.

14_auto.png

Liczba pakietów instalacyjnych dla trojanów bankowości mobilnej wykrytych przez rozwiązania Kaspersky Lab w 2017 roku

W 2017 roku trojany bankowości mobilnej zaatakowały 259 828 użytkowników w 164 państwach.

15_auto.png

Rozkład geograficzny zagrożeń dla bankowości mobilnej (odsetek wszystkich zaatakowanych użytkowników, 2017 r.)

 

10 państw najczęściej atakowanych przez trojany bankowości mobilnej (uszeregowanych według odsetka zaatakowanych użytkowników):

Państwo*

%**

1

Rosja

2,44

2

Australia

1,14

3

Turcja

1,01

4

Uzbekistan

0,95

5

Kazachstan

0,68

6

Tadżykistan

0,59

7

Mołdawia

0,56

8

Ukraina

0,52

9

Łotwa

0,51

10

Białoruś

0,40

* Wykluczyliśmy państwa, w których liczba użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab w badanym okresie wynosiła mniej niż 25 000.
** Odsetek unikatowych użytkowników zaatakowanych w każdym państwie w stosunku do wszystkich użytkowników produktów bezpieczeństwa mobilnego Kaspersky Lab w danym państwie.

Lista 10 państw najczęściej atakowanych przez mobilne trojany bankowe w 2017 r. odnotowała niewielką zmianę: z rankingu wypadła Korea Południowa oraz Chiny, a w ich miejsce uplasowała się Turcja i Łotwa.

W poprzednim roku na szczycie rankingu znalazła się Rosja: 2,44% użytkowników w tym państwie zetknęło się z mobilnymi trojanami bankowymi w 2017 roku. Najpopularniejszymi rodzinami były: Asacub, Svpeng oraz Faketoken.   

W Australii (1,14%) najbardziej rozpowszechnionymi zagrożeniami były przedstawiciele rodzin szkodliwego oprogramowania dla bankowości mobilnej Acecard oraz Marcher. W znajdującej się na trzecim miejscu Turcji najaktywniejszymi rodzinami mobilnych bankerów były Gugi i Asacub.   

W pozostałych państwach z pierwszej 10 najbardziej rozpowszechnione były rodziny szkodliwego oprogramowania dla bankowości mobilnej Faketoken i Svpeng. W szczególności, przedstawiciel rodziny Svpeng - Trojan-Banker.AndroidOS.Svpeng.q – drugi rok z rzędu został najpopularniejszym trojanem bankowości mobilnej. Z trojanem tym zetknęło się prawie 20% wszystkich użytkowników zaatakowanych przez mobilne bankery w 2017 r. Najpopularniejszą rodziną szkodliwego oprogramowania dla bankowości mobilnej w 2017 roku była rodzina Asacub. Jej przedstawiciele zaatakowały niemal co trzeciego użytkownika, który zetknął się z bankerami mobilnymi.

Mobilne oprogramowanie ransomware

Liczba wykrytych mobilnych pakietów instalacyjnych trojanów ransomware nadal zwiększała się w 2017 roku. Wykryliśmy 544 107 pakietów, czyli dwukrotnie więcej niż w 2016 roku i 17 razy więcej w stosunku do 2015 roku.

Za wzrost ten odpowiada w dużej mierze aktywność rodziny Trojan-Ransom.AndroidOS.Congur. Do końca IV kwartału rodzina Congur przestała aktywnie generować nowe pakiety instalacyjne, co znalazło natychmiastowe odzwierciedlenie w statystykach.

16_auto.png

Liczba pakietów instalacyjnych mobilnych trojanów ransomware wykrytych przez Kaspersky Lab (Q1 2017 – Q4 2017)

W 2017 roku produkty bezpieczeństwa firmy Kaspersky Lab obroniły 110 184 użytkowników w 161 krajach przed mobilnym oprogramowaniem ransomware.

17_auto.png

Rozkład geograficzny mobilnych trojanów ransomware w 2017 roku (odsetek wszystkich zaatakowanych użytkowników)

10 państw najczęściej atakowanych przez  mobilne trojany ransomware (uszeregowanych według odsetka zaatakowanych użytkowników):

Państwo*

%**

1

USA

2,01

2

Kazachstan

1,35

3

Belgia

0,98

4

Włochy

0,98

5

Korea

0,76

6

Polska

0,75

7

Kanada

0,71

8

Meksyk

0,70

9

Niemcy

0,70

10

Rumunia

0,55

* Wykluczyliśmy państwa, w których liczba użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab w badanym okresie wynosiła mniej niż 25 000.
** Odsetek unikatowych użytkowników zaatakowanych w każdym państwie przez mobilne trojany ransomware w stosunku do wszystkich użytkowników produktów bezpieczeństwa mobilnego  Kaspersky Lab w danym państwie.

Państwem, które było najczęściej atakowane przez oprogramowanie ransomware w 2017 r., były Stany Zjednoczone, gdzie 2% użytkowników zetknęło się z tym rodzajem zagrożeniem. Podobnie jak w poprzednim roku, gdy Stany Zjednoczone uplasowały się na drugim miejscu w rankingu, najpopularniejszymi trojanami ransomware były przedstawiciele rodzony Trojan-Ransom.AndroidOS.Svpeng. Wtedy na pierwszym miejscu znajdowały się Niemcy. Jednak w 2017 roku spadek aktywności rodziny Trojan-Ransom.AndroidOS.Fusob spowodował degradację tej rodziny na dziewiąte miejsce w rankingu. Rodzina Fusob pozostała najaktywniejszą w Niemczech.  

W Kazachstanie (1,35%), który znalazł się na drugim miejscu, najczęściej wykorzystywane programy ransomware stanowiły różne modyfikacje rodziny Trojan-Ransom.AndroidOS.Small. Piąte miejsce w rankingu zajęła Korea Południowa (0,76%), w której większość użytkowników zostało zaatakowanych przez szkodnika z rodziny Trojan-Ransom.AndroidOS.Congur. We wszystkich pozostałych państwach z pierwszej 10 najaktywniejsze były rodziny Fusob i Zebt.      

Zakończenie

Przez ostatnie kilka lat trojany reklamowe stanowiły jedno z głównych zagrożeń dla użytkowników systemu Android. Po pierwsze, programy te są bardzo szeroko rozpowszechnione, stanowiąc ponad połowę wszystkich szkodników w naszym rankingu. Po drugie, są niebezpieczne: wiele z nich wykorzystuje luki w zabezpieczeniach systemu w celu uzyskania przywilejów na poziomie administratora. To pozwala trojanom przejąć pełną kontrolę nad systemem i, na przykład, zainstalować swoje moduły w folderach systemowych, uniemożliwiając tym samym ich usunięcie. W niektórych przypadkach, nawet zresetowanie urządzenia do ustawień fabrycznych nie wystarczy, aby pozbyć się takiego szkodnika.    

Jednak luki w zabezpieczeniach, które pozwalają osobom atakującym uzyskać prawa super-użytkownika, można znaleźć jedynie na starszych urządzeniach, a ich udział jest coraz mniejszy. W efekcie, trojany reklamowe coraz częściej trafiają na urządzenia, na których nie mogą znaleźć „punktu zaczepienia”. To oznacza, że użytkownik może pozbyć się takiego szkodnika, gdy ten zacznie wyświetlać agresywnie reklamy lub instalować nowe aplikacje. Prawdopodobnie dlatego obecnie coraz częściej pojawiają się trojany reklamowe, które nie wyświetlają użytkownikowi reklam, ale klikają je, pomagając w ten sposób ich właścicielom zarobić pieniądze na reklamodawcach. Użytkownik może nawet nie zauważyć takiego zachowania, ponieważ jedynymi wyraźnymi oznakami infekcji jest zwiększony ruch i zużycie baterii.   

Podobne techniki stosują trojany, które atakują strony z systemem płatności WAP billing. Otrzymują one listę odsyłaczy z serwera kontroli (C&C), otwierają je, a następnie „klikają” elementy stron wykorzystując plik JS otrzymany ze szkodliwego serwera. Główna różnica polega na tym, że klikają one nie tylko odsyłacze reklamowe, ale również strony z systemem płatności WAP billing, kradnąc w efekcie pieniądze z konta mobilnego użytkownika. Ten rodzaj ataku stosowany jest od kilku lat, ale dopiero w 2017 roku trojany te pojawiły się w znaczącej ilości. Przypuszczamy, że trend ten utrzyma się w 2018 roku.  

W 2017 roku wykryliśmy kilka trojanów modułowych, które kradną pieniądze za pośrednictwem systemu płatności WAP billing jako jeden ze sposobów zarabiania pieniędzy. Niektóre z nich posiadały również moduły umożliwiające kopanie kryptowaluty. Wzrost ceny kryptowaluty sprawia, że jej kopanie staje się bardziej dochodowe, mimo że wydajność urządzeń mobilnych nie jest tak dobra. Kopanie kryptowaluty powoduje szybkie zużywanie baterii, a w niektórych przypadkach nawet awarię urządzenia