Dr.Web — Doctor Web: Rückblick und Analyse von Bedrohungen für Mobilgeräte im Dezember 2023

30. Januar 2023

Laut Statistiken von Dr.Web für Android wurden Nutzer im Dezember 2023 am häufigsten mit Adware-Trojanern der Familie Android.HiddenAds konfrontiert. Aber im Vergleich zum Vormonat wurden diese Trojaner um 53,89% seltener erkannt. Die Anzahl von Angriffen durch Banking-Trojaner und Spyware ging entsprechend um 0,88% und 10,83% zurück.

Im Dezember erkannten die Virenanalysten von Doctor Web neue bösartige Apps auf Google Play, darunter gefälschte Apps der Familie Android.FakeApp, die Cyberkriminelle in verschiedenen Betrugsschemas verwendeten. Außerdem fanden unsere Spezialisten neue Websites, über die gefälschte Krypto-Wallet-Apps verbreitet wurden.

HAUPTTRENDS IM DEZEMBER

Am häufigsten wurden Trojaner der Familie Android.HiddenAds erkannt
Die Aktivität von Banking-Trojanern und Spyware ging zurück
Im Google Play-Store wurden neue bösartige Anwendungen erkannt
Es wurden neue Websites gefunden, über die gefälschte Krypto-Wallet-Apps für Android und iOS verbreitet wurden

Statistiken von Dr.Web für Android

Android.Spy.5106: Trojaner, die nicht offizielle Modifikationen von WhatsApp darstellen. Diese Programme können Benachrichtigungen anderer Apps stehlen, den Nutzer dazu bewegen, Apps aus unseriösen Quellen zu installieren, und bei der Nutzung des Messengers, Dialoge anzeigen, deren Inhalt remote konfiguriert werden kann.
Android.HiddenAds.3831
Android.HiddenAds.3851: Trojaner, die aufdringliche Werbung anzeigen. Sie werden als harmlose Anwendungen verbreitet und manchmal von anderen Schadprogrammen im Systemverzeichnis installiert. Nachdem diese Trojaner auf ein Android-Gerät gelangen, tarnen sie ihre Präsenz im infizierten System, indem sie z.B. ihr Symbol vom Startbildschirm des Geräts entfernen.
Android.MobiDash.7805: Trojaner, der aufdringliche Werbung anzeigt. Stellt ein in Apps integriertes Softwaremodul dar.
Android.Click.1751: Trojaner, der in nicht offizielle Modifikationen von WhatsApp integriert und als Bibliotheksklassen von Google getarnt wird. Android.Click.1751 sendet Anfragen an einen der Verwaltungsserver. Als Antwort erhält der Trojaner bösartige Links und zeigt dem Nutzer ein Dialogfenster mit dem vom Server empfangenen Inhalt an. Wenn der Nutzer auf den angezeigten Bestätigungsbutton klickt, wird der entsprechende Link geöffnet.

Program.CloudInject.1: Android-Apps, die mithilfe des Cloud-Dienstes CloudInject und des gleichnamigen Android-Tools (Tool.CloudInject) modifiziert wurden. Die Modifikation erfolgt auf einem Remote-Server automatisch – das heißt, der Nutzer, der die Modifikation initiiert, kontrolliert nicht, welcher Code in die App integriert wird. Die Apps erhalten eine Reihe wichtiger Berechtigungen. Nach Abschluss der Modifikation kann der Cyberkriminelle die Apps remote verwalten: sperren, Dialoge anzeigen und konfigurieren, Installationen und Deinstallationen anderer Software verfolgen etc.
Program.FakeAntiVirus.1: Adware, die Aktionen einer Virenschutzsoftware nachahmt. Solche Programme melden angebliche Bedrohungen. Sie führen Benutzer irre und fordern diese auf, eine Vollversion der Software zu kaufen.
Program.wSpy.3.origin: Spyware, die es ermöglicht, Android-Nutzer heimlich zu überwachen. Sie kann SMS-Nachrichten und Nachrichten in sozialen Netzwerken lesen, die Umgebung abhören, das Gerät orten, den Browserverlauf überwachen, auf das Telefonbuch, Kontakte, Fotos und Videos des Nutzers zugreifen, Screenshots erstellen und Fotos machen. Außerdem verfügt die App über die Keylogger-Funktion.
Program.FakeMoney.7: Anwendungen, die eine Belohnung für den Nutzer simulieren, wenn dieser bestimmte Aufgaben erfüllt. Der Nutzer muss einen bestimmten Mindestbetrag verdienen, um das virtuelle Geld auf sein Bankkonto überweisen zu können. Doch selbst wenn der Nutzer alle Bedingungen erfüllt, erhält er kein Geld.
Program.SecretVideoRecorder.1.origin: App, die im Hintergrundmodus Fotos und Videos über die integrierte Kamera des Android-Geräts ausführen kann. Sie kann unbemerkt arbeiten, Benachrichtigungen über den Aufnahmestart deaktivieren sowie ihr Symbol und ihre Beschreibung durch gefälschte ersetzen. Die App wird als potenziell gefährlich eingestuft.

Tool.NPMod.1: Mithilfe des Tools NP Manager modifizierte Android-Apps. In solche Apps wird ein Modul integriert, das es ermöglicht, die Verifizierung der digitalen Signatur nach der App-Modifikation zu umgehen.
Tool.LuckyPatcher.1.origin: Tool, das es ermöglicht, Android-Apps durch die Erstellung von Patches zu modifizieren, um die Funktionslogik der App zu ändern oder bestimmte Einschränkungen zu umgehen. Mithilfe des Tools versuchen Nutzer, die Prüfung des Root-Zugriffs in Banking-Apps zu deaktivieren und sich Zugriff auf unbegrenzte Ressourcen in Handyspielen zu verschaffen. Um Patches zu erstellen, lädt das Programm spezielle Skripts aus seiner Online-Datenbank herunter. Jeder Nutzer kann seine eigenen Skripts erstellen und in die Datenbank eintragen. Solche Skripts können bösartige Funktionen enthalten, daher sind sie potenziell gefährlich.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: Potenziell gefährliche Softwareplattformen, die es Anwendungen ermöglichen, APK-Dateien ohne Installation auszuführen. Diese Plattformen schaffen eine virtuelle Umgebung für Anwendungen, in die sie integriert sind. Mithilfe solcher Plattformen ausgeführte APK-Dateien können als Teil dieser Anwendungen funktionieren und dieselben Berechtigungen erhalten.
Tool.ApkProtector.16.origin: Erkennung von Anwendungen, die mit dem Software-Packer ApkProtector geschützt sind. Dieser Packer ist zwar nicht bösartig, wird aber bei der Entwicklung von Trojanern und unerwünschten Apps verwendet, um deren Erkennung zu erschweren.

Adware.ShareInstall.1.origin: Adware-Modul, das in Android-Apps integriert wird. Das Modul zeigt Werbebenachrichtigungen auf dem Sperrbildschirm von Android an.
Adware.Adpush.21846
Adware.AdPush.39.origin: Adware-Module, die in Android-Apps integriert werden. Sie zeigen Werbebenachrichtigungen an, die Nutzer irreführen. Solche Benachrichtigungen können wie Systembenachrichtigungen aussehen. Außerdem können diese Module persönliche Informationen sammeln und weitere Anwendungen herunterladen und installieren.
Adware.Airpush.7.origin: Vertreter einer Familie von Adware-Modulen, die in Android-Apps integriert werden und unerwünschte Werbung anzeigen. Je nach Version und Modifikation zeigen solche Module Werbebenachrichtigungen, -banner oder -Pop-ups an. Mithilfe solcher Module werden oft bösartige Apps verbreitet: Der Nutzer wird dazu bewogen, eine bestimmte App zu installieren. Darüber hinaus können diese Module persönliche Informationen an einen Remote-Server weiterleiten.
Adware.Fictus.1.origin: Adware-Modul, das in Klonversionen bekannter Android-Spiele und -Apps eingebettet wird. Die Integration erfolgt mithilfe des Packers net2share. Die erstellten Kopien werden über App-Stores verbreitet und zeigen unerwünschte Werbung an.

Bedrohungen auf Google Play

Im Dezember 2023 entdeckten die Spezialisten von Doctor Web neue Trojaner der Familie Android.FakeApp auf Google Play. Android.FakeApp.1564 wurde als Tilgungsrechner getarnt. Android.FakeApp.1563 wurde als Umfrage-App ausgegeben. Android.FakeApp.1569 wurde als App zur Entwicklung guter Gewohnheiten verbreitet.

Diese Apps luden gefälschte Websites von Finanzunternehmen, Banken, Nachrichtenagenturen etc. Auf diesen Ressourcen wurden die entsprechenden Logos angezeigt. Nutzer wurden aufgefordert, Investoren zu werden, ihre Finanzkompetenz zu verbessern, finanzielle Unterstützung zu erhalten etc. Dazu musste das potenzielle Opfer seine personenbezogenen Daten angeben, um ein Benutzerkonto zu erstellen und Zugriff auf den versprochenen Service zu erhalten.

Screenshots einiger Websites, die von diesen Apps aufgerufen werden: