Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Doctor Web: Rückblick und Analyse von Bedrohungen für Mobilgeräte im zweiten Quartal 2024

1. Juli 2024

Laut Statistiken von Dr.Web für Android wurden Nutzer im zweiten Quartal 2024 am häufigsten mit Adware-Trojanern der Familie Android.HiddenAds konfrontiert. Die zweitaktivste Bedrohung ist die Familie Android.FakeApp – bösartige Anwendungen, die in verschiedenen Betrugsschemas verwendet werden. Unter den Vertretern dieser Familie war der Trojaner Android.FakeApp.1600, der von unseren Spezialisten Ende Mai erkannt wurde, am häufigsten verbreitet. Dieser Trojaner wird als Handyspiel über bösartige Websites verbreitet. In Wirklichkeit lädt die App ein Online-Casino. Die Besucher der Website werden aufgefordert, ein „Glücksrad“-Spiel zu spielen, und dann auf eine Seite mit einem Anmeldeformular umgeleitet. Die hohe Anzahl von Downloads lässt sich unter anderem damit erklären, dass für die App in anderen Anwendungen geworben wird. Beim Klick auf eine solche Anzeige wird der Nutzer auf eine bösartige Website weitergeleitet, über die der Trojaner heruntergeladen wird. Auf Platz drei stehen die Trojaner Android.Spy, die über die Spyware-Funktionalität verfügen.

Im zweiten Quartal erkannte das Virenlabor von Doctor Web neue Bedrohungen auf Google Play, darunter gefälschte Anwendungen der Familie Android.FakeApp und die Anwendung Program.FakeMoney.11, die es angeblich ermöglichte, virtuelle „Münzen“ gegen reales Geld einzulösen. Außerdem wurden Trojaner verbreitet, die kostenpflichtige Dienste im Namen des Nutzers abonnieren.

Statistiken von Dr.Web für Android

Android.FakeApp.1600
Trojaner, der die in seinen Einstellungen festgelegte Website öffnet. Bekannte Modifikationen dieses Trojaners laden Online-Casinos.
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989
Trojaner, die aufdringliche Werbung anzeigen. Sie werden als harmlose Anwendungen verbreitet und manchmal von anderen Schadprogrammen im Systemverzeichnis installiert. Nachdem diese Trojaner auf ein Android-Gerät gelangen, tarnen sie ihre Präsenz im infizierten System, indem sie z.B. ihr Symbol vom Startbildschirm des Geräts entfernen.
Android.Spy.5106
Trojaner, die nicht offizielle Modifikationen von WhatsApp darstellen. Diese Programme können Benachrichtigungen anderer Apps stehlen, den Nutzer dazu bewegen, Apps aus unseriösen Quellen zu installieren, und bei der Nutzung des Messengers, Dialoge anzeigen, deren Inhalt remote konfiguriert werden kann.
Program.CloudInject.1
Android-Apps, die mithilfe des Cloud-Dienstes CloudInject und des gleichnamigen Android-Tools (Tool.CloudInject) modifiziert wurden. Die Modifikation erfolgt auf einem Remote-Server automatisch – das heißt, der Nutzer, der die Modifikation initiiert, kontrolliert nicht, welcher Code in die App integriert wird. Die Apps erhalten eine Reihe wichtiger Berechtigungen. Nach Abschluss der Modifikation kann der Cyberkriminelle die Apps remote verwalten: sperren, Dialoge anzeigen und konfigurieren, Installationen und Deinstallationen anderer Software verfolgen etc.
Program.FakeMoney.11
Anwendungen, die eine Belohnung für den Nutzer simulieren, wenn dieser bestimmte Aufgaben erfüllt. Der Nutzer muss einen bestimmten Mindestbetrag verdienen, um das virtuelle Geld auf sein Bankkonto überweisen zu können. Doch selbst wenn der Nutzer alle Bedingungen erfüllt, erhält er kein Geld.
Program.FakeAntiVirus.1
Adware, die Aktionen einer Virenschutzsoftware nachahmt. Solche Programme melden angebliche Bedrohungen. Sie führen Benutzer irre und fordern diese auf, eine Vollversion der Software zu kaufen.
Program.TrackView.1.origin
App, die Nutzer von Android-Geräten überwacht. Das Programm ermöglicht es Cyberkriminellen, Geräte zu orten, Videos, Fotos und Audios auf dem infizierten Gerät aufzunehmen, die Umgebung über das Mikrofon des Geräts abzuhören etc.
Program.SecretVideoRecorder.1.origin
App, die im Hintergrundmodus Fotos und Videos über die integrierte Kamera des Android-Geräts aufnehmen kann. Sie kann unbemerkt arbeiten, Benachrichtigungen über den Aufnahmestart deaktivieren sowie ihr Symbol und ihre Beschreibung durch gefälschte ersetzen. Die App wird als potenziell gefährlich eingestuft.
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Potenziell gefährliche Softwareplattformen, die es Anwendungen ermöglichen, APK-Dateien ohne Installation auszuführen. Diese Plattformen schaffen eine virtuelle Umgebung für Anwendungen, in die sie integriert sind. Mithilfe solcher Plattformen ausgeführte APK-Dateien können als Teil dieser Anwendungen funktionieren und dieselben Berechtigungen erhalten.
Tool.Packer.1.origin
Spezialisierter Packer, der Android-Anwendungen vor Änderungen und Reverse Engineering schützt. Das Programm selbst ist zwar nicht bösartig, kann aber nicht nur zum Schutz harmloser Anwendungen, sondern auch gefährlicher Trojaner genutzt werden.
Tool.NPMod.1
Tool.NPMod.2
Mithilfe des Tools NP Manager modifizierte Android-Apps. In solche Apps wird ein Modul integriert, das es ermöglicht, die Verifizierung der digitalen Signatur nach der App-Modifikation zu umgehen.
Adware.ModAd.1
Erkennung einiger modifizierter WhatsApp-Versionen mit integriertem Schadcode, der bösartige Links über die Webanzeige lädt. Von diesen Internetressourcen werden Nutzer auf Online-Casinos, Wett-Portale, nicht jugendfreie Websites etc. umgeleitet.
Adware.AdPush.39.origin
Adware.Adpush.21846
Adware-Module, die in Android-Apps integriert werden. Sie zeigen Werbebenachrichtigungen an, die Nutzer irreführen. Solche Benachrichtigungen können wie Systembenachrichtigungen aussehen. Außerdem können diese Module persönliche Informationen sammeln und weitere Anwendungen herunterladen und installieren.
Adware.ShareInstall.1.origin
Adware-Modul, das in Android-Apps integriert wird. Das Modul zeigt Werbebenachrichtigungen auf dem Sperrbildschirm des Betriebssystems an.
Adware.Airpush.7.origin
Vertreter einer Familie von Adware-Modulen, die in Android-Apps integriert werden und unerwünschte Werbung anzeigen. Je nach Version und Modifikation zeigen solche Module Werbebenachrichtigungen, -banner oder -Pop-ups an. Mithilfe solcher Module werden oft bösartige Apps verbreitet: Der Nutzer wird dazu bewogen, eine bestimmte App zu installieren. Darüber hinaus können diese Module persönliche Informationen an einen Remote-Server weiterleiten.

Bedrohungen auf Google Play

Im zweiten Quartal 2024 entdeckte das Virenlabor von Doctor Web neue Trojaner der Familie Android.FakeApp auf Google Play. Einige davon wurden als Finanz-, Umfrage- und Quiz-Apps verbreitet:

Sie konnten betrügerische Websites öffnen, auf denen Nutzer im Namen bekannter Banken oder Erdöl- und Gasunternehmen aufgefordert wurden, Investor zu werden oder ihre Finanzkompetenz zu verbessern. Um Zugriff auf den Dienst zu erhalten, musste der Nutzer einige Fragen beantworten und seine personenbezogenen Informationen angeben.

Andere Trojaner der Familie Android.FakeApp tarnten sich in Handyspielen und konnten Websites von Online-Casinos und Wett-Portale laden.

Ein weiterer Trojaner der Familie Android.FakeAppAndroid.FakeApp.1607 – wurde als Bildersammlung verbreitet. Die Anwendung enthält zwar die versprochene Funktionalität, öffnet aber in einigen Fällen Websites von Online-Casinos.

Einige Vertreter der Familie Android.FakeApp (Android.FakeApp.1605 und Android.FakeApp.1606) wurden als Apps zur Jobsuche getarnt. Sie zeigen eine Liste mit fiktiven Stellenangeboten an. Der Nutzer wird aufgefordert, über einen Messenger (z.B. Telegram) Kontakt mit dem angeblichen Arbeitgeber aufzunehmen und seine persönlichen Informationen zu senden. Einige Apps enthalten fragwürdige Arbeitsangebote. Auf diese Weise versuchen Cyberkriminelle, leichtgläubigen Nutzern Geld zu stehlen.

Unsere Spezialisten erkannten ein weiteres unerwünschtes Programm der Familie Program.FakeMoney. Solche Apps bewegen Nutzer dazu, bestimmte Aufgaben zu erfüllen, um eine virtuelle Belohnung zu erhalten und diese später angeblich gegen reales Geld einzulösen. In Wirklichkeit wird der Nutzer irregeführt und erhält kein Geld. Die Entwickler solcher Apps verdienen an Partnerprogrammen. Je länger der Nutzer den Dienst nutzt und sich Werbeanzeigen in der App ansieht, desto mehr Geld verdienen die Betrüger.

In der App Program.FakeMoney.11 erhalten Nutzer virtuelles Geld für das Anschauen von Werbung. Wenn der Nutzer versucht, das virtuelle Geld an sein Bankkonto zu überweisen, wird er mit immer neuen Herausforderungen konfrontiert. Schließlich wird seine Anfrage in eine Queue von Tausenden ähnlicher Anfragen gestellt.

Zudem wurde ein neuer Trojaner der Familie Android.Harly erkannt – Android.Harly.87. Bösartige Apps dieser Familie abonnieren kostenpflichtige Dienste im Namen der Nutzer.

Um Ihre Android-Geräte vor Schadprogrammen zu schützen, installieren Sie Dr.Web für Android.

Indikatoren der Kompromittierung