Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja mobilnego szkodliwego oprogramowania w 2018 r.

Tagi:

Dane statystyczne, na których opiera się ten raport, pochodzą z wszystkich rozwiązań bezpieczeństwa mobilnego firmy Kaspersky Lab, nie tylko z Kaspersky Mobile Antivirus for Android. W efekcie dane porównawcze dotyczące 2017 roku mogą różnić się od danych dla tego samego okresu w poprzednim raporcie. Zakres analityczny został rozszerzony ze względu na wzrost popularności różnych produktów firmy Kaspersky Lab oraz ich zasięgu geograficznego, co umożliwiło uzyskanie statystycznie istotnych danych. Ogólnie, im więcej produktów wykorzystujemy do tworzenia naszych statystyk, tym dokładniejszy obraz zagrożeń mobilnych możemy uzyskać.     

Liczby roku

W 2018 r. produkty i technologie firmy Kaspersky Lab wykryły:

  • 5 321 142 szkodliwych pakietów instalacyjnych
  • 151 359 nowych mobilnych trojanów bankowych
  • 60 176 nowych mobilnych trojanów ransomware

Trendy roku

W 2018 r. użytkownicy urządzeń przenośnych doświadczyli prawdopodobnie największego jak dotąd natarcia cyberprzestępców. W ciągu roku obserwowaliśmy zarówno nowe techniki infekowania urządzeń przenośnych (na przykład porywanie DNS) jak i częstsze wykorzystywanie wypróbowanych metod dystrybucji (na przykład spam SMS). Twórcy wirusów koncentrowali się na: 

  • Dropperach (trojan dropper) tworzonych w celu uniknięcia wykrycia
  • Atakach na konta bankowe za pośrednictwem urządzeń przenośnych
  • Aplikacjach, które mogą być wykorzystywane przez cyberprzestępców w celu wyrządzenia szkód (RiskTool) 
  • Aplikacjach adware

W 2018 r. wykryliśmy trzy kampanie mobilne APT, których celem było głównie szpiegowanie ofiar, w tym czytanie wiadomości przesyłanych za pośrednictwem portali społecznościowych. Oprócz tych trzech kampanii w raporcie omówiono wszystkie główne wydarzenia w świecie zagrożeń mobilnych, które miały miejsce w badanym roku.  

Wzrost liczby dropperów

Na przestrzeni ostatnich trzech lat trojany droppery stanowiły ulubioną broń cyberprzestępców specjalizujących się w mobilnym szkodliwym oprogramowaniu. Udoskonalono metody składania tych programów o strukturze matrioszki, dzięki czemu mogą być łatwo tworzone, wykorzystywane i sprzedawane przez różne ugrupowania. Twórca droppera może mieć kilku klientów zaangażowanych w rozwijanie trojanów ransomware, trojanów bankowych oraz aplikacji wyświetlających nachalne reklamy. Droppery są wykorzystywane w celu ukrywania oryginalnego szkodliwego kodu, który jednocześnie:   

  • Przeciwdziała wykrywaniu. Dropper szczególnie dobrze sprawdza się w przypadku wykrywania opartego na skrótach plików, ponieważ za każdym razem generuje nowe skróty, podczas gdy znajdujące się wewnątrz szkodliwe oprogramowanie nie zmienia się ani o jotę.   
  • Umożliwia stworzenie dowolnej liczby unikatowych plików. Twórcom wirusów przydaje się to np. podczas wykorzystywania swojej platformy w fałszywym sklepie z aplikacjami.

Chociaż mobilne droppery nie są niczym nowym, w I kwartale 2018 r. nastąpił gwałtowny wzrost liczby użytkowników zaatakowanych przy użyciu spakowanego szkodliwego oprogramowania. Największy udział w tym wzroście mieli członkowie rodziny Trojan-Dropper.AndroidOS.Piom. Liczba takich programów zwiększyła się również w II kwartale, jak również kolejnym, ale już w mniejszym stopniu. Nie ma wątpliwości, że ugrupowania o  ugruntowanej pozycji, które nie wykorzystywały jeszcze dropperów, wkrótce stworzą własne lub zakupią gotowe. Trend ten wpłynie na statystyczną mapę wykrywanych zagrożeń: zmniejszy się liczba unikatowych rodzin mobilnego szkodliwego oprogramowania, w ich miejsce pojawią się różnego rodzaju droppery.  

Trojany bankowe na fali

Na uwagę zasługują zeszłoroczne statystyki dotyczące liczby ataków z udziałem mobilnych trojanów bankowych. Na początku 2018 r. wydawało się, że ten rodzaj zagrożenia ustabilizował się, zarówno pod względem liczby wykrytych unikatowych próbek, jak i liczby zaatakowanych użytkowników. Jednak już w II kwartale sytuacja radykalnie zmieniła się na gorsze. Ustanowione zostały nowe rekordy zarówno pod względem liczby wykrytych mobilnych trojanów bankowych, jak i liczby zaatakowanych użytkowników. Przyczyna tego wzrostu nie jest jasna, ale głównymi winowajcami są twórcy trojanów Asacub oraz Hqwar. Ten pierwszy ma dość długą historię – z naszych danych wynika, że stojące za nim ugrupowanie działa już od ponad trzech lat. Sam Asacub ewoluował z trojana SMS, który od samego początku został wyposażony w narzędzia, które pozwalały mu przeciwdziałać próbom usunięcia go z systemu oraz przechwytywać przychodzące połączenia telefoniczne oraz wiadomości SMS. Później twórcy szkodnika udoskonalili jego logikę i zaczęli go rozprzestrzeniać na skalę masową przy użyciu tego samego wektora ataków co wcześniej: socjotechniki SMS. Źródłem numerów telefonów komórkowych stały się fora internetowe, na których ludzie często spodziewają się wiadomości od nieznanych użytkowników. Następnie zastosowano metodę rozprzestrzeniania lawinowego polegającą na tym, że zainfekowane urządzenia zaczęły same rozprzestrzeniać szkodliwe oprogramowanie – Asacub wysyłał się do każdej osoby w książce telefonicznej ofiary.      

Jednak trojany bankowe wyróżniły się w 2018 r. nie tylko ze względu na skalę rozprzestrzenienia, ale również swoje działanie. Jeden z aspektów dotyczy coraz powszechniejszego wykorzystywania Usług Dostępności w zagrożeniach bankowych. Stanowi to częściowo reakcję na nowe wersje Androida, które w coraz większym stopniu utrudniają nakładanie okien phishingowych na aplikacje bankowe, a częściowo wynika z tego, że wykorzystywanie Dostępności pozwala trojanowi zagnieździć się w urządzeniu w taki sposób, aby użytkownicy nie mogli go samodzielnie usunąć. Co więcej, cyberprzestępcy mogą wykorzystać Usługi Dostępności w celu porwania całkowicie legalnej aplikacji i zmuszenia jej np. do uruchomienia aplikacji bankowej, aby dokonała przelewu pieniężnego na urządzeniu ofiary. Stosowane są również techniki zwalczania analizy dynamicznej: np. trojan Rotexy sprawdza, czy został uruchomiony w piaskownicy. To jednak nic nowego – już wcześniej obserwowaliśmy takie zachowanie. Należy zauważyć, że w połączeniu z zaciemnianiem, techniki zapobiegające analizie dynamicznej mogą okazać się skuteczne, jeśli twórcy wirusów zdołają przemycić swojego trojana do popularnego sklepu z aplikacjami. W takim przypadku, może się okazać, że ani statyczne ani dynamiczne przetwarzanie niewiele pomoże. Chociaż wykrywanie piaskownicy z pewnością nie stanowi powszechnej praktyki wśród cyberprzestępców, wyraźnie występuje taki trend i wszystko wskazuje na to, że w najbliższej przyszłości techniki te staną się bardziej wyrafinowane.     

Adware i potencjalnie niebezpieczne oprogramowanie

W 2018 roku te dwie klasy aplikacji mobilnych znalazły się w pierwszej trójce pod względem liczby wykrytych pakietów instalacyjnych. Wynikało to z wielu czynników, jednak głównym powodem był fakt, że oprogramowanie adware oraz ataki na reklamodawców są stosunkowo bezpieczną metodą wzbogacenia się cyberprzestępców. Tego rodzaju ataki nie powodują szkód właścicielom urządzeń przenośnych, z wyjątkiem nielicznych przypadków przegrzania się i spalenia urządzeń na skutek aktywności aplikacji adware, które zostały na nich zainstalowane z dostępem do konta z prawami administratora. Cierpią głównie reklamodawcy, ponieważ płacą za to, że ich banery są klikane przez roboty – zainfekowane urządzenia przenośne. Z pewnością istnieją aplikacje adware, które sprawiają, że korzystanie z zainfekowanego nimi urządzenia staje się niemal niemożliwe. Na przykład, ofiara musi kliknąć kilkanaście banerów, zanim będzie mogła wysłać SMS. Problem pogarsza dodatkowo fakt, że na początkowych etapach użytkownik nie wie, zainstalowanie której aplikacji spowodowało tak uciążliwe konsekwencje, ponieważ reklamy są wyświetlane w losowym czasie i poza interfejsem aplikacji zawierającej oprogramowanie adware. Co gorsze, wystarczy zainstalować i uruchomić jedną taką aplikację, aby pojawiło się kilkanaście podobnych, zmieniając urządzenie w zombie adware. W najgorszym razie, ta nowa fala będzie posiadała moduł z exploitem pozwalający mu zapisać się w folderze systemowym lub skrypt przywracania ustawień fabrycznych. W takiej sytuacji jedynym sposobem przywrócenia zdolności operacyjnej urządzenia będzie poszukanie oryginalnej fabrycznej wersji oprogramowania układowego i pobranie jej za pośrednictwem USB.       

Przy okazji warto dodać, że jedno kliknięcie banera kosztuje bardzo niewiele, co stanowi główny powód niekończącego się strumienia unikatowych aplikacji adware – im więcej cyberprzestępcy tworzą ich i rozprzestrzeniają, tym więcej pieniędzy otrzymują. Wreszcie, moduły adware są często kodowane bez uwzględniania poufności przesyłanych danych, co oznacza, że żądania do infrastruktury reklamodawcy mogą być wysyłane w niezaszyfrowanym ruchu i zawierać dowolną ilość informacji na temat ofiary, włącznie z danymi geolokalizacyjnymi.   

Nieco inna sytuacja ma miejsce w przypadku oprogramowania RiskTool, które posiadało największy udział we wszystkich zagrożeniach mobilnych wykrytych w 2018 roku. Na świecie od dawna istnieje funkcja zakupów w aplikacji – w tym przypadku urządzenie jest powiązane z kontem połączonym z kartą bankową. Wszystkie procesy są przejrzyste dla użytkownika, a zakupy można anulować. Aplikacje typu RiskTool również oferują użytkownikom np. możliwość zakupu dostępu do nowych poziomów w grze lub zdjęcie ładnej dziewczyny, jednak płatności są całkowicie nieprzejrzyste dla użytkownika. Aplikacja sama wysyła SMS na specjalny numer bez udziału użytkownika i otrzymuje wiadomość potwierdzającą, na którą reaguje RiskTool; stąd aplikacja wie o udanej transakcji płatności i pokazuje zakupioną zawartość.     

W efekcie istnieje ogromna liczba programów RiskTool wykorzystywanych do sprzedaży dowolnej zawartości, ale nie wymagających znacznego wysiłku programistycznego – pod względem implementacji technicznej, wysłanie jednego SMS-a jest czymś, co potrafi każdy programista nowicjusz.   

Obecnie nic nie wskazuje na to, że opadnie fala aplikacji z klasy adware lub RiskTool, a w 2019 r. sytuacja prawdopodobnie się nie zmieni. 

Gwałtowny wzrost liczby mobilnych koparek kryptowaluty

W 2018 r. odnotowaliśmy pięciokrotny wzrost liczby ataków przy użyciu mobilnych trojanów wykorzystywanych do kopania kryptowaluty. Wzrost ten można przypisać kilku czynnikom:

  • Urządzenia przenośne są wyposażane w coraz mocniejsze procesory grafiki, dzięki czemu stanowią skuteczniejsze narzędzie kopania kryptowaluty
  • Urządzenia przenośne można stosunkowo łatwo zainfekować
  • Urządzenia przenośne są wszechobecne

Chociaż szkodliwe koparki kryptowaluty nie są najbardziej „rzucającym się w oczy” mobilnym szkodliwym oprogramowaniem, obciążenie, jakie generują, może zostać łatwo wykryte przez właściciela urządzenia. A jeśli ten ostatni będzie podejrzewać szkodliwą aktywność, podejmie działania, aby pozbyć się infekcji. Dlatego, aby skompensować sobie topniejącą liczbę ofiar, cyberprzestępcy inicjują nowe kampanie na dużą skalę i doskonalą swoje mechanizmy usuwania szkodliwego oprogramowania.      

Technologicznie skromne, mobilne szkodliwe koparki kryptowaluty zwykle opierają się na gotowym kodzie szkodliwego oprogramowania wieloplatformowego (np. takiego, który działa dobrze na Linuksie) – trzeba tylko wstawić adres portfela otrzymującego kryptowalutę i umieścić szkodliwą funkcję wewnątrz aplikacji mobilnej z minimalnym interfejsem graficznym. Dystrybucja szkodnika następuje za pośrednictwem różnego rodzaju spamu oraz innych metod.   

Chociaż szkodliwe koparki kryptowaluty nie mogą pochwalić się, że zdołały „wykopać” inne mobilne szkodliwe programy z czołówki w 2008 r., to wcale nie znaczy to, że sytuacja nie jest poważna. Jeśli kod szkodnika jest słabej jakości lub jego autor zbyt pazerny, szkodnik może uszkodzić baterię urządzenia lub, co gorsze, spowodować jej przegrzanie i w efekcie bezużyteczność.   

Dane statystyczne

W 2018 r. wykryliśmy 5 321 142 szkodliwych pakietów instalacji oprogramowania mobilnego, co stanowi spadek o 409 774 w stosunku do zeszłego roku.   

Mimo tego spadku w 2018 r. liczba ataków z wykorzystaniem mobilnego szkodliwego oprogramowania była dwukrotnie większa i wynosiła 116,5 miliona (w stosunku do 66,4 milion w 2017 r.).

1_auto.png

Liczba ataków odpartych przez produkty firmy Kaspersky Lab w 2018 r.

Tendencję wzrostową odnotowała również liczba zaatakowanych użytkowników. Od początku stycznia do końca grudnia 2018 r. Kaspersky Lab ochronił 9 895 774 unikatowych użytkowników urządzeń z systemem Android – o 774 000 więcej w stosunku do 2017 r.  

2_auto.png

Liczba zaatakowanych użytkowników, 2018 r.

3_auto.png

Rozkład geograficzny zaatakowanych użytkowników, 2018 r.

10 państw o największym udziale użytkowników zaatakowanych przez mobilne szkodliwe oprogramowanie

Państwo*

%**

Iran

44,24

Bangladesz

42,98

Nigeria

37,72

Indie

36,08

Algieria

35,06

Indonezja

34,84

Pakistan

32,62

Tanzania

31,34

Kenia

29,72

Filipiny

26,81

* Z rankingu wyłączono państwa, w których znajdowało się mniej niż 25 000 aktywnych użytkowników rozwiązań mobilnych firmy Kaspersky Lab w badanym okresie.
** Unkatowi użytkownicy zaatakowani w danym państwie jako odsetek wszystkich użytkowników rozwiązań mobilnych firmy of Kaspersky Lab w danym państwie.

Zarówno Iran (44,24%) jak i Bangladesz (42,98%) utrzymały swoje wiodące pozycje w rankingu Top 10, jednak w Iranie odsetek zainfekowanych urządzeń zmniejszył się znacząco o 13 punktów procentowych. Podobnie jak w poprzednim roku najbardziej rozpowszechnionym szkodliwym oprogramowaniem w Iranie była rodzina Trojan.AndroidOS.Hiddapp. W Bangladeszu, podobnie jak w 2017 r., najpowszechniejsze były programy adware z rodziny Ewind.     

Nigeria (37,72%) awansowała z piątego miejsca w 2017 r. na trzecie; najbardziej rozpowszechnione programy adware pochodziły z rodziny Ocikq, Agent oraz MobiDash. 

Typy mobilnego szkodliwego oprogramowania

4_auto.png

Rozkład nowych zagrożeń mobilnych według typu, 2017 i 2018 r.

Spośród wszystkich wykrytych zagrożeń w 2018 r. sytuacja najlepiej przedstawiała się w przypadku mobilnych trojanów ransomware (1,12%), których udział gwałtownie zmniejszył się o 8,67 punktu procentowego. Podobnie było w przypadku trojanów szpiegujących (1,07%), których udział zmniejszył się o 3,55 punktu procentowego. Aplikacje adware (8,46%) również straciły pozycję w stosunku do 2017 r.        

Zagrożenia typu Trojan-Dropper stanowiły wyraźny wyjątek, odnotowując niemal dwukrotny wzrost swojego udziału: z 8,63% do 17,21%. Wzrost ten odzwierciedla apetyt cyberprzestępców na wykorzystywanie mobilnych dropperów w celu umieszczenia w nich wszelkiego rodzaju szkodliwych funkcji: trojanów bankowych, oprogramowania ransomware, adware itd. Wszystko wskazuje na to, że trend ten będzie kontynuowany w 2019 r.     

Niestety, podobnie jak w przypadku szkodnika Trojan-Dropper, niemal dwukrotnie wzrósł udział zagrożeń finansowych w postaci mobilnych bankerów – z 1,54% do 2,84%.     

Nieoczekiwanie, trojany SMS (6,20%) weszły do rankingu Top 5 pod względem liczby wykrytych obiektów. Ten wymierający gatunek zagrożeń jest powszechny jedynie w niewielkiej liczbie państw, ale to nie stanęło na przeszkodzie wzrostu jego udziału w stosunku do 2017 r. Chociaż nie ma mowy o odrodzeniu się tej klasy zagrożeń, i tak warto wyłączyć płatne subskrypcje na urządzeniu przenośnym.    

Twórcy zagrożeń klasy RiskTool w 2008 r. byli tak samo aktywni jak w zeszłym roku. W efekcie programy te nie tylko odzyskały najwyższą pozycję (52,06%), ale również odnotowali nieznaczny wzrost.

20 najpopularniejszych mobilnych szkodliwych programów

Poniższy ranking szkodliwego oprogramowania nie zawiera potencjalnie niechcianych programów, takich jak RiskTool czy AdWare.

Werdykt

%*

1

DangerousObject.Multi.Generic

68.28

2

Trojan.AndroidOS.Boogr.gsh

10.67

3

Trojan-Banker.AndroidOS.Asacub.a

6.55

4

Trojan-Banker.AndroidOS.Asacub.snt

5.19

5

Trojan-Dropper.AndroidOS.Hqwar.ba

3.78

6

Trojan-Dropper.AndroidOS.Lezok.p

3.06

7

Trojan-Banker.AndroidOS.Asacub.ce

2.98

8

Trojan-Dropper.AndroidOS.Hqwar.gen

2.96

9

Trojan-Banker.AndroidOS.Asacub.ci

2.95

10

Trojan-Banker.AndroidOS.Svpeng.q

2.87

11

Trojan-Dropper.AndroidOS.Hqwar.bb

2.77

12

Trojan-Banker.AndroidOS.Asacub.cg

2.31

13

Trojan.AndroidOS.Triada.dl

1.99

14

Trojan-Dropper.AndroidOS.Hqwar.i

1.84

15

Trojan-Dropper.AndroidOS.Piom.kc

1.61

16

Exploit.AndroidOS.Lotoor.be

1.39

17

Trojan.AndroidOS.Agent.rx

1.32

18

Trojan-Banker.AndroidOS.Agent.dq

1.31

19

Trojan-Dropper.AndroidOS.Lezok.b

1.22

20

Trojan.AndroidOS.Dvmap.a

1.14

* Udział wszystkich użytkowników zaatakowanych przez ten rodzaj szkodliwego oprogramowania w łącznej liczbie zaatakowanych użytkowników

Podsumowując 2018 r., pierwsze miejsce w naszym rankingu Top 20 mobilnego szkodliwego oprogramowania, podobnie jak w poprzednich latach, przypadło werdyktowi DangerousObject.Multi.Generic (68,28%) odnoszącemu się do szkodliwego oprogramowania wykrywanego przy użyciu technologii chmury w przypadkach, gdy antywirusowe bazy danych nadal nie zawierają sygnatur ani heurystyk umożliwiających wykrycie go. W ten sposób wykrywane jest najnowsze szkodliwe oprogramowanie.  

Na drugim miejscu uplasował się werdykt Trojan.AndroidOS.Boogr.gsh (10,67%). W ten sposób klasyfikowane są pliki identyfikowane jako szkodliwe przez nasz system uczenia się maszynowego. 

Trzecie, czwarte, siódme i dziewiąte miejsca zajęli członkowie rodziny Banker.AndroidOS.Asacub, jednego z głównych zagrożeń finansowych 2018 r.

Piąte i ósme miejsce przypadło trojanom dropperom z rodziny Trojan-Dropper.AndroidOS.Hqwar; mogą one zawierać szkodliwe oprogramowanie należące do różnych rodzin związanych z zagrożeniami finansowymi oraz oprogramowaniem adware. 

Wśród 10 najbardziej rozpowszechnionych zagrożeń znalazł się również weteran Trojan-Banker.AndroidOS.Svpeng.q (2,87%), który stanowił najbardziej rozpowszechnionego mobilnego trojana bankowego w 2016 r. Trojan ten wykorzystuje okna phishingowe w celu kradzieży danych dot. kart bankowych oraz atakuje systemy bankowości SMS.   

Na szczególną uwagę zasługuje 13 i 20 miejsce w rankingu, zajmowane odpowiednio przez szkodniki Trojan.AndroidOS.Triada.dl (1,99%) oraz Trojan.AndroidOS.Dvmap.a (1,44%). Te dwa trojany są niezwykle niebezpieczne, ponieważ wykorzystują przywileje superużytkownika w celu przeprowadzania swojej szkodliwej aktywności. W szczególności, umieszczają swoje komponenty w obszarze systemu urządzenia, do którego użytkownik posiada tylko dostęp do odczytu, i dlatego nie mogą zostać usunięte przy użyciu zwykłych narzędzi systemowych.    

Mobilne trojany bankowe

W 2018 r. wykryliśmy 151 359 pakietów instalacyjnych dla mobilnych trojanów bankowych – o 1,6 raza więcej w stosunku do poprzedniego roku.

5_auto.png

Liczba pakietów instalacyjnych dla mobilnych trojanów bankowych wykrytych przez Kaspersky Lab, 2018 r.

Monitorując aktywność mobilnych trojanów bankowych, odnotowaliśmy znaczący skok liczby ataków z wykorzystaniem tego szkodliwego oprogramowania. Nigdy wcześniej nie widzieliśmy czegoś podobnego. Wzrost rozpoczął się w maju 2018 r., a liczba ataków osiągnęła szczytowy poziom we wrześniu. Winowajcami były rodziny Asacub oraz Hqwar, których członkowie rozprzestrzeniali się z rekordową częstotliwością.  

6_auto.png

Liczba ataków przy użyciu mobilnych trojanów bankowych, 2017 i 2018 r.

7_auto.png

Państwa uszeregowane według udziału użytkowników zaatakowanych przez mobilne trojany bankowe, 2018 r.

10 państw z największym udziałem użytkowników zaatakowanych przez mobilne trojany bankowe

Państwo*

%**

Rosja

2,32

Afryka Południowa

1,27

Stany Zjednoczone

0,82

Australia

0,71

Armenia

0,51

Polska

0,46

Mołdawia

0,44

Kirgistan

0,43

Azerbejdżan

0,43

Gruzja

0,42

* Z rankingu wyłączono państwa, w których znajdowało się mniej niż 25 000 aktywnych użytkowników rozwiązań mobilnych firmy Kaspersky Lab w badanym okresie.
** Unkatowi użytkownicy zaatakowani w danym państwie jako odsetek wszystkich użytkowników rozwiązań mobilnych firmy Kaspersky Lab w danym państwie.

Na czołowej pozycji, podobnie jak w zeszłym roku, znalazła się Rosja, w której z mobilnymi trojanami bankowymi zetknęło się 2,32% użytkowników. Najbardziej rozpowszechnionymi rodzinami w Rosji były Asacub, Svpeng oraz Agent.  

Na drugim miejscu znalazła się Afryka Południowa (1,27%), gdzie najaktywniej rozprzestrzeniane były bankery z rodziny Agent. Z kolei amerykańscy użytkownicy (0,82%) najczęściej trafiali na członków rodzin trojanów bankowych Svpeng oraz Asacub.         

Najbardziej rozpowszechnioną rodziną mobilnych trojanów bankowych w 2018 r. był Asacub — jej członkowie zaatakowali 62,5% wszystkich użytkowników, którzy zetknęli się z mobilnymi trojanami bankowymi. 

Mobilne trojany ransomware

Ze statystyk dotyczących I kwartału 2018 r. wynika, że liczba trojanów ransomware rozprzestrzeniających się bez pomocy dropperów czy downloaderów znacząco zmniejszyła się. Wynikało to z powszechnego wykorzystania dwuetapowego mechanizmu rozprzestrzeniania tych szkodliwych programów za pośrednictwem trojanów dropperów. W 2018 r. wykryto łącznie 60 176 pakietów instalacji mobilnego oprogramowania ransomware – dziewięciokrotnie mniej niż w 2017 r. 

8_auto.png

Liczba pakietów instalacyjnych mobilnych trojanów ransomware wykrytych przez firmę Kaspersky Lab, 2018 r.

Liczba ataków z udziałem mobilnego oprogramowania ransomware stopniowo malała w pierwszej połowie roku. Jednak w 2018 r. miał miejsce gwałtowny, niemal 3,5-krotny  wzrost liczby ataków.

9_auto.png

Liczba ataków przy użyciu mobilnych trojanów ransomware, 2017 i 2018 r.

W 2018 r. produkty firmy Kaspersky Lab ochroniły 80 638 użytkowników w 150 krajach przed mobilnym oprogramowaniem ransomware.  

10_auto.png

Państwa według udziału użytkowników zaatakowanych przez mobilne oprogramowanie ransomware, 2018

10 państw z największym udziałem użytkowników zaatakowanych przez mobilne oprogramowanie ransomware

Państwo*

%**

Stany Zjednoczone

1,42

Kazachstan

0,53

Włochy

0,50

Polska

0,49

Belgia

0,37

Irlandia

0,36

Austria

0,28

Rumunia

0,27

Niemcy

0,26

Szwajcaria

0,22

* Z rankingu wyłączono państwa, w których znajdowało się mniej niż 25 000 aktywnych użytkowników rozwiązań mobilnych firmy Kaspersky Lab w badanym okresie.
** Unikatowi użytkownicy zaatakowani w danym państwie jako odsetek wszystkich użytkowników rozwiązań mobilnych firmy Kaspersky Lab w danym państwie.

Drugi rok z rzędu państwem najbardziej atakowanym przez mobilne oprogramowanie ransomware były Stany Zjednoczone, w których z tego rodzaju szkodnikami zetknęło się 1,42% użytkowników. Podobnie jak w zeszłym roku, członkowie rodziny Trojan-Ransom.AndroidOS.Svpeng stanowili najbardziej rozpowszechnione zagrożenie z kategorii trojan ransomware w tym państwie.    

W znajdującym się na drugim miejscu Kazachstanie (0,53%), najbardziej aktywnymi rodzinami oprogramowania ransomware były Trojan-Ransom.AndroidOS.Small oraz Trojan-Ransom.AndroidOS.Rkor. Ta ostatnia nie przypomina żadnego innego oprogramowania ransomware, ponieważ pokazuje ofiarom nieprzyzwoite zdjęcie i oskarża je o oglądanie nielegalnych materiałów.      

Zakończenie

Od siedmiu lat świat zagrożeń mobilnych nieustannie ewoluuje, nie tylko pod względem liczby szkodliwych programów oraz udoskonaleń technicznych każdej nowej modyfikacji szkodliwego oprogramowania, ale również ze względu na coraz więcej sposobów wykorzystywania urządzeń przenośnych w celu zdobycia pieniędzy oraz cennych informacji. Rok 2018 pokazał, że okres względnego spokoju może w przypadku niektórych rodzajów szkodliwego oprogramowania poprzedzać ich epidemię. W zeszłym roku było tak w przypadku trojana bankowego Asacub i spółki; w 2019 r. możemy mieć do czynienia z falą oprogramowania ransomware, które będzie chciało odrobić straty.