Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Doctor Web: Rückblick und Analyse von Bedrohungen für Mobilgeräte im Januar 2021

24. Februar 2021

Im Januar erkannten Dr.Web Virenschutzlösungen für Android um 11,32% weniger Bedrohungen als im vorigen Dezember. Die Zahl der erkannten bösartigen Anwendungen sank um 11,5% und Adware um 15,93%. Die Zahl der erkannten unerwünschten Anwendungen stieg um 11,66% und Riskware um 7,26%. Laut Statistiken gehören Adware-Trojaner und bösartige Anwendungen, die weitere unerwünschte Software herunterladen und beliebigen Code ausführen können, zu den häufigsten Bedrohungen für Android-Geräte.

Im vorigen Monat erkannten die Virenanalysten von Doctor Web viele Bedrohungen auf Google Play, darunter verschiedene Modifikationen der Adware-Familie Adware.NewDich, die in Apps für Android integriert waren. Außerdem erkannten unsere Spezialisten neue Vertreter des Trojaners Android.FakeApp, die betrügerische Websites öffnen, und bösartige Anwendungen der Familie Android.Joker, die beliebigen Code ausführen und kostenpflichtige Services im Namen der Nutzer abonnieren.

Unsere Spezialisten erkannten neue Angriffe auf Android-Geräte durch Banking-Trojaner. Einer davon wurde in einer gefälschten Banking-App auf Google Play erkannt. Die anderen wurden über bösartige Websites verbreitet.

HAUPTTRENDS IM JANUAR

  • Rückgang der auf Android-Geräten erkannten Bedrohungen
  • Erkennung neuer bösartiger und unerwünschter Anwendungen im Google Play-Store

Bedrohung des Monats

Anfang Januar erkannten die Virenanalysten von Doctor Web Anwendungen, in die Adware-Module der Familie Adware.NewDich integriert waren, auf Google Play. Diese Module öffnen Websites auf Befehl des Verwaltungsservers. Sie können sowohl harmlose Ressourcen, als auch Werbewebsites und betrügerische Websites aufrufen, die zum Phishing genutzt werden. Solche Websites werden geladen, während der Nutzer die Anwendung mit dem integrierten bösartigen Modul Adware.NewDich nicht nutzt. Dies erschwert die Bestimmung der Ursache des seltsamen Verhaltens des betroffenen Android-Geräts.

Hier sind einige Apps, in denen solche Adware-Module erkannt wurden:

#drweb #drweb

#drweb #drweb

#drweb #drweb

Screenshots einiger von Adware-Modulen aufgerufener Websites:

#drweb #drweb #drweb #drweb

#drweb #drweb #drweb #drweb

#drweb #drweb #drweb #drweb

Bei vielen vom Modul Adware.NewDich aufgerufenen Ressourcen handelt es sich um Partner- oder Werbewebsites, die Nutzer zu Seiten mit über Google Play verbreiteten Anwendungen weiterleiten. Eine solche Anwendung (YBT Exchange) tarnte sich als App zur Nutzung einer Krypto-Börse. Die Virenanalysten von Doctor Web fanden heraus, dass es sich dabei um einen Banking-Trojaner handelte. Der Trojaner wurde Android.Banker.3684 benannt. Er konnte eingegebene Anmeldedaten, Einmalkennwörter und eingehende Benachrichtigungen abfangen. Dazu forderte er entsprechende Systemberechtigungen an. Auf unsere Anfrage wurde der Banking-Trojaner aus dem Google Play-Store entfernt.

#drweb #drweb #drweb

#drweb #drweb #drweb

Die Virenanalysten von Doctor Web erkannten verschiedene Modifikationen des Moduls in 21 Anwendungen. Die Untersuchung zeigte, dass die Entwickler dieser Anwendungen an der Entwicklung von Adware.NewDich mitgewirkt haben. Nachdem IT-Sicherheitsspezialisten auf die Werbeplattform aufmerksam geworden waren, gerieten deren Administratoren in Panik und veröffentlichten mehrere Updates, die die Erkennung der Adware-Module durch Virenschutzprogramme verhindern sollten. Einige der Updates enthielten keine Adware-Module mehr. Eine der betroffenen Anwendungen wurde aus dem Google Play-Store entfernt. Aber die Cyberkriminellen können neue Softwareversionen entwickeln, in die sie Adware.NewDich wieder integrieren. So etwas haben unsere Spezialisten mehrmals erlebt.

Hier ist die Liste der Anwendungen, in denen das Adware-Modul Adware.NewDich erkannt wurde:

Name des Pakets Vorhandensein des Moduls Adware.NewDich Die App wurde aus Google Play entfernt
com.qrcodescanner.barcodescannerWar in Version 1.75 vorhandenJa
com.speak.better.correctspellingIn Version 679.0 vorhandenNein
com.correct.spelling.learn.englishIn Version 50.0 vorhandenNein
com.bluetooth.autoconnect.anybtdevicesIn Version 2.5 vorhandenNein
com.bluetooth.share.appIn Version 1.8 vorhandenNein
org.strong.booster.cleaner.fixerFehlt in Version 5.9Nein
com.smartwatch.bluetooth.sync.notificationsFehlt in Version 85.0Nein
com.blogspot.bidatop.nigeriacurrentaffairs2018In Version 3.2 vorhandenNein
com.theantivirus.cleanerandboosterFehlt in Version 9.3Nein
com.clean.booster.optimizerFehlt in Version 9.1Nein
flashlight.free.light.bright.torchFehlt in Version 66.0Nein
com.meow.animal.translatorFehlt in Version 1.9Nein
com.gogamegone.superfileexplorerFehlt in Version 2.0Nein
com.super.battery.full.alarmFehlt in Version 2.2Nein
com.apps.best.notepad.writingFehlt in Version 7.7Nein
ksmart.watch.connectingFehlt in Version 32.0Nein
com.average.heart.rateFehlt in Version 7.0Nein
com.apps.best.alam.clocksFehlt in Version 4.7Nein
com.booster.game.accelerator.topFehlt in Version 2.1Nein
org.booster.accelerator.optimizer.colorfulFehlt in Version 61.0Nein
com.color.game.boosterFehlt in Version 2.1Nein

Besonderheiten der Module Adware.NewDich:

Statistiken von Dr.Web für Android

Statistiken von Dr.Web für Android #drweb

Android.RemoteCode.284.origin
Schadprogramm, das einen beliebigen Code laden und ausführen kann. Je nach Modifikation kann es Websites öffnen, auf Links und Banner klicken, kostenpflichtige Services für Mobilgeräte im Namen des Nutzers abonnieren etc.
Android.HiddenAds.1994
Android.HiddenAds.518.origin
Trojaner, die aufdringliche Werbung anzeigen. Sie werden als populäre Apps durch andere Schadprogramme verbreitet, die sie manchmal im Systemverzeichnis installieren, ohne dass der Nutzer es merkt.
Android.Triada.510.origin
Mehrfunktionaler Trojaner, der eine Vielzahl von böswilligen Aktionen ausführt. Gehört zur Familie der Trojaner, die Prozesse aller laufenden Anwendungen beeinflussen. Einige Vertreter dieser Trojaner-Familie werden von Cyberkriminellen noch in der Produktionsphase in die Firmware von Android-Geräten implementiert. Einige Modifikationen können Schwachstellen ausnutzen, um sich Zugriff auf geschützte Systemdateien und -ordner zu verschaffen.
Android.Click.348.origin
Bösartige Anwendung, die Websites öffnet sowie auf Links und Werbebanner klickt. Sie wird als harmlose App verbreitet und erregt keinen Verdacht.

Statistiken von Dr.Web für Android #drweb

Program.FreeAndroidSpy.1.origin
Program.NeoSpy.1.origin
Program.Mrecorder.1.origin
Program.Reptilicus.7.origin
Apps, die Aktivitäten der Nutzer von Android Geräten überwachen und zur Cyber-Spionage verwendet werden. Sie orten Geräte, sammeln Informationen aus dem SMS-Verkehr und aus Gesprächen in sozialen Netzwerken, kopieren Dateien, Fotos und Videos, hören die Umgebung und Telefonanrufe ab, etc.
Program.FakeAntiVirus.2.origin
Erkennung von Adware, die Aktionen einer Virenschutzsoftware nachahmt. Solche Programme melden angebliche Bedrohungen. Sie führen Benutzer irre und fordern diese auf, eine Vollversion der Software zu kaufen.
Program.CreditSpy.2
Erkennung von Programmen zur Zuweisung der Bonität anhand personenbezogener Daten der Nutzer. Solche Anwendungen laden SMS-Nachrichten, Kontakte aus dem Telefonbuch, Anrufverlauf und weitere Informationen auf einen Fernserver hoch.

Statistiken von Dr.Web für Android #drweb

Tool.SilentInstaller.6.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.13.origin
Tool.SilentInstaller.14.origin
Potenziell gefährliche Softwareplattformen, die es Anwendungen ermöglichen, apk-Dateien ohne Installation auszuführen. Sie schaffen eine virtuelle Umgebung, in der sie außerhalb des Hauptbetriebssystems ausgeführt werden.
Tool.Obfuscapk.1
Erkennung von Anwendungen, die durch das Dienstprogramm Obfuscapk geschützt sind. Dieses Dienstprogramm wird dazu verwendet, den Quellcode von Android-Apps automatisch zu modifizieren und zu verwirren, um deren Reverse Engineering zu erschweren. Cyberkriminelle verwenden sie, um bösartige und andere gefährliche Apps vor Erkennung durch Antivirusprogramme zu schützen.

Statistiken von Dr.Web für Android #drweb

Softwaremodule, die in Android-Apps integriert werden und aufdringliche Werbung auf Mobilgeräten anzeigen. Je nach Familie und Modifikation können sie Werbung im Vollbildmodus anzeigen, indem sie andere Fenster blockieren, Benachrichtigungen anzeigen, Verknüpfungen erstellen und Websites laden.

Bedrohungen auf Google Play

Neben den Anwendungen mit integrierten Adware-Modulen Adware.NewDich erkannten die Spezialisten von Doctor Web viele neue Vertreter der Trojaner-Familie Android.FakeApp, die als Informations-Apps für die Beantragung von Sozialleistungen, Steuerrückzahlungen etc. verbreitet wurden. Einige Modifikationen wurden als Apps mit Informationen über Verlosungen und Give-aways bekannter Blogger ausgegeben.

#drweb

#drweb

#drweb

Wie ältere Versionen des Trojaners öffnen die neuen Modifikationen betrügerische Websites, auf denen Nutzer Informationen über angeblich verfügbare Sozialleistungen und staatliche finanzielle Unterstützung erhalten können. Nutzer werden aufgefordert, persönliche Informationen anzugeben und „Rechtsdienstleistungen“ zu bezahlen oder eine Gebühr für die „Erstellung der Dokumente“ oder eine Provision für die „Geldüberweisung“ zu zahlen. Selbstverständlich erhielten die Opfer keine finanzielle Unterstützung, sondern ihnen wurden vertrauliche Informationen und Geld gestohlen.

Einige Modifikationen des Trojaners zeigten regelmäßig Benachrichtigungen über verfügbare Sozialleistungen und staatliche finanzielle Unterstützung an. Dadurch versuchten die Cyberkriminellen, potenzielle Opfer anzuregen, betrügerische Websites zu öffnen.

Hier sind einige Websites, die von verschiedenen Modifikationen des Trojaners Android.FakeApp aufgerufen wurden:

#drweb

#drweb

#drweb

#drweb

Screenshots einiger von diesen bösartigen Anwendungen angezeigter Benachrichtigungen über staatliche finanzielle Unterstützung:

#drweb #drweb

#drweb #drweb

Außerdem wurden neue mehrfunktionale Trojaner der Familie Android.Joker erkannt. Sie wurden Android.Joker.496, Android.Joker.534 und Android.Joker.535 benannt. Sie wurden als harmlose Anwendungen wie Übersetzungs-Apps und Apps zur Erstellung von GIF-Dateien verbreitet. In der Tat luden sie beliebigen Code und führten ihn aus, fingen eingehende Benachrichtigungen ab und abonnierten kostenpflichtige Services im Namen des Nutzers.

#drweb #drweb

#drweb

Ein weiterer von unseren Spezialisten erkannter Trojaner wurde unter dem Namen Android.Banker.3679 in die Dr.Web Virendatenbank eingetragen. Der Trojaner zielte auf Nutzer aus Brasilien ab und wurde als App Esfera der Bank Santander verbreitet. Die Hauptfunktionen von Android.Banker.3679 waren Phishing und Diebstahl vertraulicher Informationen aus der Banking-App Santander Empresas.

#drweb

Nach dem Start forderte der Trojaner Zugriff auf den Android Accessibility Service an, um bösartige Aktivitäten automatisch ausführen zu können. Wenn der Nutzer dem Trojaner die angeforderten Berechtigungen erteilte, konnte der Banking-Trojaner auf Menüeinträge und Schaltflächen klicken, Dialoge in anderen Apps lesen etc.

#drweb #drweb #drweb

Banking-Trojaner

Außerdem wurden Android-Nutzer von Banking-Trojanern bedroht, die über bösartige Websites verbreitet wurden. Die Spezialisten von Doctor Web erkannten neue Cyberangriffe auf japanische Nutzer. In den Angriffen wurden bösartige Anwendungen wie Android.BankBot.3954, Android.SmsSpy.833.origin, Android.SmsSpy.10809, Android.Spy.679.origin etc. verwendet. Sie wurden als Updates für den Webbrowser Chrome, Store-Apps und andere harmlose Software über gefälschte Websites von Post- und Kurierdiensten verbreitetet.

#drweb

#drweb

#drweb #drweb #drweb

Um Ihre Android-Geräte vor Schadprogrammen zu schützen, installieren Sie Dr.Web für Android.

Dr.Web Mobile Security

Ihr Android-Gerät braucht einen Malwareschutz.

Nutzen Sie Dr.Web

  • Eine der ersten Malwareschutz-Apps für Android weltweit
  • Über 140 Mio Downloads – nur auf Google Play
  • Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender

Kostenlos heurunterladen

Führender russischer Hersteller von Virenschutzsoftware
Entwickelt seit 1992
Dr.Web wird in mehr als 200 Ländern genutzt
Antivirus im SaaS-Modell seit 2007
Technischer Support rund um die Uhr

Dr.Web © Doctor Web
2003 — 2021

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Bäderstraße 1
76530 Baden-Baden