Doctor Web: Rückblick und Analyse von Bedrohungen für Mobilgeräte im Januar 2024

Laut Statistiken von Dr.Web für Android wurden Nutzer im Januar 2024 am häufigsten mit den Adware-Trojanern Android.HiddenAds konfrontiert. Diese Bedrohungen wurden um 54,45% häufiger als im Vormonat erkannt. Die Aktivität von Trojanern der Familie Android.MobiDash hat sich kaum geändert – Diese Trojaner wurden um 0,9% häufiger als im Dezember erkannt.

Die Anzahl von Angriffen durch Banking-Trojaner stieg um 17,04%, Android.Spy um 11,16% und Android.Locker um 0,92%.

Unsere Spezialisten erkannten neue Bedrohungen auf Google Play, darunter eine neue Familie von Adware-Modulen – Adware.StrawAd und neue Trojaner der Familie Android.FakeApp, die in verschiedenen Betrugsschemas verwendet werden.

Statistiken von Dr.Web für Android

Android.HiddenAds.3851

Android.HiddenAds.3831

Trojaner, die aufdringliche Werbung anzeigen. Sie werden als harmlose Anwendungen verbreitet und manchmal von anderen Schadprogrammen im Systemverzeichnis installiert. Nachdem diese Trojaner auf ein Android-Gerät gelangen, tarnen sie ihre Präsenz im infizierten System, indem sie z.B. ihr Symbol vom Startbildschirm des Geräts entfernen.

Android.Spy.5106

Android.Spy.4498

Trojaner, die nicht offizielle Modifikationen von WhatsApp darstellen. Diese Programme können Benachrichtigungen anderer Apps stehlen, den Nutzer dazu bewegen, Apps aus unseriösen Quellen zu installieren, und bei der Nutzung des Messengers, Dialoge anzeigen, deren Inhalt remote konfiguriert werden kann.

Android.MobiDash.7805

Trojaner, der aufdringliche Werbung anzeigt. Stellt ein in Apps integriertes Softwaremodul dar.

Program.CloudInject.1

Android-Apps, die mithilfe des Cloud-Dienstes CloudInject und des gleichnamigen Android-Tools (Tool.CloudInject) modifiziert wurden. Die Modifikation erfolgt auf einem Remote-Server automatisch – das heißt, der Nutzer, der die Modifikation initiiert, kontrolliert nicht, welcher Code in die App integriert wird. Die Apps erhalten eine Reihe wichtiger Berechtigungen. Nach Abschluss der Modifikation kann der Cyberkriminelle die Apps remote verwalten: sperren, Dialoge anzeigen und konfigurieren, Installationen und Deinstallationen anderer Software verfolgen etc.

Program.FakeAntiVirus.1

Adware, die Aktionen einer Virenschutzsoftware nachahmt. Solche Programme melden angebliche Bedrohungen. Sie führen Benutzer irre und fordern diese auf, eine Vollversion der Software zu kaufen.

Program.wSpy.3.origin

Spyware, die es ermöglicht, Android-Nutzer heimlich zu überwachen. Sie kann SMS-Nachrichten und Nachrichten in sozialen Netzwerken lesen, die Umgebung abhören, das Gerät orten, den Browserverlauf überwachen, auf das Telefonbuch, Kontakte, Fotos und Videos des Nutzers zugreifen, Screenshots erstellen und Fotos machen. Außerdem verfügt die App über die Keylogger-Funktion.

Program.FakeMoney.7

Anwendungen, die eine Belohnung für den Nutzer simulieren, wenn dieser bestimmte Aufgaben erfüllt. Der Nutzer muss einen bestimmten Mindestbetrag verdienen, um das virtuelle Geld auf sein Bankkonto überweisen zu können. Doch selbst wenn der Nutzer alle Bedingungen erfüllt, erhält er kein Geld.

Program.TrackView.1.origin

App, die Nutzer von Android-Geräten überwacht. Das Programm ermöglicht es Cyberkriminellen, Geräte zu orten, Videos, Fotos und Audios auf dem infizierten Gerät aufzunehmen, die Umgebung über das Mikrofon des Geräts abzuhören etc.

Tool.NPMod.1

Mithilfe des Tools NP Manager modifizierte Android-Apps. In solche Apps wird ein Modul integriert, das es ermöglicht, die Verifizierung der digitalen Signatur nach der App-Modifikation zu umgehen.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Potenziell gefährliche Softwareplattformen, die es Anwendungen ermöglichen, APK-Dateien ohne Installation auszuführen. Diese Plattformen schaffen eine virtuelle Umgebung für Anwendungen, in die sie integriert sind. Mithilfe solcher Plattformen ausgeführte APK-Dateien können als Teil dieser Anwendungen funktionieren und dieselben Berechtigungen erhalten.

Tool.LuckyPatcher.1.origin

Tool, das es ermöglicht, Android-Apps durch die Erstellung von Patches zu modifizieren, um die Funktionslogik der App zu ändern oder bestimmte Einschränkungen zu umgehen. Mithilfe des Tools versuchen Nutzer, die Prüfung des Root-Zugriffs in Banking-Apps zu deaktivieren und sich Zugriff auf unbegrenzte Ressourcen in Handyspielen zu verschaffen. Um Patches zu erstellen, lädt das Programm spezielle Skripts aus seiner Online-Datenbank herunter. Jeder Nutzer kann seine eigenen Skripts erstellen und in die Datenbank eintragen. Solche Skripts können bösartige Funktionen enthalten, daher sind sie potenziell gefährlich.

Adware.StrawAd.1

Android-Anwendungen mit dem integrierten Adware-Modul Adware.StrawAd.1.origin. Bei der Entsperrung des Bildschirms zeigt das Modul unerwünschte Werbung an.

Adware.AdPush.39.origin

Adware.Adpush.21846

Adware-Module, die in Android-Apps integriert werden. Sie zeigen Werbebenachrichtigungen an, die Nutzer irreführen. Solche Benachrichtigungen können wie Systembenachrichtigungen aussehen. Außerdem können diese Module persönliche Informationen sammeln und weitere Anwendungen herunterladen und installieren.

Adware.Airpush.7.origin

Vertreter einer Familie von Adware-Modulen, die in Android-Apps integriert werden und unerwünschte Werbung anzeigen. Je nach Version und Modifikation zeigen solche Module Werbebenachrichtigungen, -banner oder -Pop-ups an. Mithilfe solcher Module werden oft bösartige Apps verbreitet: Der Nutzer wird dazu bewogen, eine bestimmte App zu installieren. Darüber hinaus können diese Module persönliche Informationen an einen Remote-Server weiterleiten.

Adware.ShareInstall.1.origin

Adware-Modul, das in Android-Apps integriert wird. Das Modul zeigt Werbebenachrichtigungen auf dem Sperrbildschirm von Android an.

Bedrohungen auf Google Play

Anfang Januar 2024 haben die Spezialisten des Virenlabors von Doctor Web mehrere Handyspiele, in denen das Adware-Modul Adware.StrawAd.1.origin integriert war, auf Google Play erkannt:

• Crazy Sandwich Runner
• Purple Shaker Master
• Poppy Punch Playtime, Meme Cat Killer
• Toiletmon Camera Playtime
• Finger Heart Matching
• Toilet Monster Defense
• Toilet Camera Battle
• Toimon Battle Playground

Bei dieser Plattform handelt es sich um ein spezialisiertes Softwaremodul, das in verschlüsselter Form in einem Verzeichnis mit Medienprogrammen gespeichert ist. Bei der Entsperrung des Bildschirms kann das Modul unerwünschte Werbung anzeigen. Dr.Web erkennt Anwendungen mit Adware.StrawAd.1.origin als Vertreter der Familie Adware.StrawAd.

Zudem erkannten unsere Spezialisten neue gefälschte Apps der Familie Android.FakeApp. Der Trojaner Android.FakeApp.1579 tarnte sich in der App Pleasant Collection, die als Comic-App verbreitet wurde.

Die Anwendung lud betrügerische Internetressourcen, darunter Websites mit Handyspielen und nicht jugendfreien Inhalten. Die untenstehenden Screenshots zeigen ein Beispiel dafür.

Vor dem Beginn des Spiels wird der Nutzer aufgefordert, einige Fragen zu beantworten und seine personenbezogenen Informationen und Bankdaten anzugeben, um angeblich zu bestätigen, dass er volljährig ist.

Einige Vertreter der Familie Android.FakeApp wurden als Handyspiele verbreitet. Sie wurden unter den Namen Android.FakeApp.1573, Android.FakeApp.1574, Android.FakeApp.1575, Android.FakeApp.1577 und Android.FakeApp.32.origin in die Dr.Web Virendatenbank eingetragen.

Sie konnten Websites von Online-Casinos und Wett-Websites laden. Auf diesen Screenshots funktionieren sie als Handyspiele:

Auf diesen Screenshots lädt dieselbe App eine betrügerische Website:

Es wurden auch einige Trojaner der Familie Android.FakeApp erkannt, die Online-Casinos und Wett-Websites öffnen. Android.FakeApp.1576 wurde in den Apps Contour Casino Glam und Fortune Meme Studio getarnt. Android.FakeApp.1578 tarnte sich in der Taschenlampen-App Lucky Flash Casino Light.

Zunächst funktionieren diese Programme als harmlose Apps. Nach einiger Zeit beginnen sie, unerwünschte Websites zu öffnen.

Verschiedene Varianten der Trojaner Android.FakeApp.1564 und Android.FakeApp.1580 wurden als Finanz-, Informations-, Umfrage-Apps etc. verbreitet.

Diese gefälschten Apps laden betrügerische Websites, auf denen Nutzer aufgefordert werden, Investoren zu werden oder die Finanzkompetenz zu verbessern. Um sich Zugriff auf den gewünschten Dienst zu verschaffen, muss der Nutzer ein Benutzerkonto erstellen und seine personenbezogenen Informationen angeben.

Screenshots einiger betrügerischer Websites:

Um Ihre Android-Geräte vor Schadprogrammen zu schützen, installieren Sie Dr.Web für Android.

Indikatoren der Kompromittierung

Ihr Android-Gerät braucht einen Malwareschutz.

Nutzen Sie Dr.Web

• Eine der ersten Malwareschutz-Apps für Android weltweit
• Über 140 Mio Downloads – nur auf Google Play
• Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender

KOSTENLOS HERUNTERLADEN