Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Doctor Web: Rückblick und Analyse von Bedrohungen für Mobilgeräte im zweiten Quartal 2024

1. Oktober 2024

Laut Statistiken von Dr.Web Security Space für mobile Geräte wurden Nutzer im dritten Quartal 2024 am häufigsten mit Trojanern der Familie Android.FakeApp konfrontiert, die in verschiedenen Betrugsschemas verwendet werden. Den zweiten Platz nehmen die Trojaner Android.HiddenAds ein. Auf Platz drei stehen Vertreter der Familie Android.Siggen, die über verschiedene bösartige Funktionen verfügen.

Im August erkannten die Spezialisten von Doctor Web das Backdoor-Programm Android.Vo1d, das knapp 1.300.000 Set-Top-Boxen unter Android in 197 Ländern infizierte. Bei dieser Anwendung handelt es sich um ein bösartiges Programm, das seine Komponenten in den Systembereich von Android-Geräten implementiert und weitere unerwünschte oder bösartige Anwendungen auf Befehl von Cyberkriminellen für den Nutzer unbemerkt herunterladen und installieren kann.

Rückblick und Analyse von Bedrohungen für Mobilgeräte im zweiten Quartal 2024

Zudem erkannten unsere Virenanalysten zahlreiche neue Bedrohungen auf Google Play: gefälschte Apps, Adware-Trojaner etc.

Statistiken von Dr.Web für Android

Android.FakeApp.1600
Trojaner, der die in seinen Einstellungen festgelegte Website öffnet. Bekannte Modifikationen dieses Trojaners laden Online-Casinos.
Android.HiddenAds.3994
Trojaner, die aufdringliche Werbung anzeigen. Trojaner der Familie Android.HiddenAds werden als harmlose Anwendungen verbreitet und manchmal von anderen Schadprogrammen im Systemverzeichnis installiert. Nachdem diese Trojaner auf ein Android-Gerät gelangen, tarnen sie ihre Präsenz im infizierten System, indem sie z.B. ihr Symbol vom Startbildschirm des Geräts entfernen.
Android.MobiDash.7815
Android.MobiDash.7813
Trojaner, die aufdringliche Werbung anzeigen. Sie stellen ein in Apps integriertes Softwaremodul dar.
Android.Click.1751
Trojaner, der in nicht offizielle Modifikationen von WhatsApp integriert und als Bibliotheksklassen von Google getarnt wird. Android.Click.1751 sendet Anfragen an einen der Verwaltungsserver. Als Antwort erhält der Trojaner bösartige Links und zeigt dem Nutzer ein Dialogfenster mit dem vom Server empfangenen Inhalt an. Wenn der Nutzer auf den angezeigten Bestätigungsbutton klickt, wird der entsprechende Link geöffnet.
Program.FakeMoney.11
Anwendungen, die eine Belohnung für den Nutzer simulieren, wenn dieser bestimmte Aufgaben erfüllt. Der Nutzer muss einen bestimmten Mindestbetrag verdienen, um das virtuelle Geld auf sein Bankkonto überweisen zu können. In der Regel enthalten solche Programme eine Liste von Banken und Zahlungssystemen, über die der Nutzer angeblich das versprochene Geld erhalten kann. Doch selbst wenn der Nutzer alle Bedingungen erfüllt, erhält er kein Geld. Als Program.FakeMoney.11 wird eine Reihe unerwünschter Anwendungen erkannt, die auf ähnlichem Code basieren.
Program.CloudInject.1
Android-Apps, die mithilfe des Cloud-Dienstes CloudInject und des gleichnamigen Android-Tools (Tool.CloudInject) modifiziert wurden. Die Modifikation erfolgt auf einem Remote-Server automatisch – das heißt, der Nutzer, der die Modifikation initiiert, kontrolliert nicht, welcher Code in die App integriert wird. Die Apps erhalten eine Reihe wichtiger Berechtigungen. Nach Abschluss der Modifikation kann der Cyberkriminelle die Apps remote verwalten: sperren, Dialoge anzeigen und konfigurieren, Installationen und Deinstallationen anderer Software verfolgen etc.
Program.FakeAntiVirus.1
Adware, die Aktionen einer Virenschutzsoftware nachahmt. Solche Programme melden angebliche Bedrohungen. Sie führen Benutzer irre und fordern diese auf, eine Vollversion der Software zu kaufen.
Program.SecretVideoRecorder.1.origin
App, die im Hintergrundmodus Fotos und Videos über die integrierte Kamera des Android-Geräts aufnehmen kann. Sie kann unbemerkt arbeiten, Benachrichtigungen über den Aufnahmestart deaktivieren, sowie ihr Symbol und ihre Beschreibung durch gefälschte ersetzen. Die App wird als potenziell gefährlich eingestuft.
Program.TrackView.1.origin
App, die Nutzer von Android-Geräten überwacht. Das Programm ermöglicht es Cyberkriminellen, Geräte zu orten, Videos, Fotos und Audios auf dem infizierten Gerät aufzunehmen, die Umgebung über das Mikrofon des Geräts abzuhören etc.
Tool.Packer.1.origin
Spezialisierter Packer, der Android-Anwendungen vor Änderungen und Reverse Engineering schützt. Das Programm selbst ist zwar nicht bösartig, kann aber nicht nur zum Schutz harmloser Anwendungen, sondern auch für gefährliche Trojaner genutzt werden.
Tool.SilentInstaller.17.origin
Potenziell gefährliche Softwareplattformen, die es Anwendungen ermöglichen, APK-Dateien ohne Installation auszuführen. Diese Plattformen schaffen eine virtuelle Umgebung für Anwendungen, in die sie integriert sind. Mithilfe solcher Plattformen ausgeführte APK-Dateien können als Teil dieser Anwendungen funktionieren und dieselben Berechtigungen erhalten.
Tool.NPMod.1
Tool.NPMod.2
Mithilfe des Tools NP Manager modifizierte Android-Apps. In solche Apps wird ein Modul integriert, das es ermöglicht, die Verifizierung der digitalen Signatur nach der App-Modifikation zu umgehen.
Tool.LuckyPatcher.1.origin
Tool, das es ermöglicht, Android-Apps durch die Erstellung von Patches zu modifizieren, um die Funktionslogik der App zu ändern oder bestimmte Einschränkungen zu umgehen. Mithilfe des Tools versuchen Nutzer, die Prüfung des Root-Zugriffs in Banking-Apps zu deaktivieren und sich Zugriff auf unbegrenzte Ressourcen in Handyspielen zu verschaffen. Um Patches zu erstellen, lädt das Programm spezielle Skripts aus seiner Online-Datenbank herunter. Jeder Nutzer kann seine eigenen Skripts erstellen und in die Datenbank eintragen. Solche Skripts können bösartige Funktionen enthalten, daher sind sie potenziell gefährlich.
Adware.ModAd.1
Erkennung einiger modifizierter WhatsApp-Versionen mit integriertem Schadcode, der bösartige Links über die Webanzeige lädt. Von diesen Internetressourcen werden Nutzer auf Online-Casinos, Wett-Portale, nicht jugendfreie Websites etc. umgeleitet.
Adware.Basement.1
ПAnwendungen, die unerwünschte Werbung anzeigen, die häufig Links zu bösartigen und betrügerischen Websites enthält. Sie haben eine gemeinsame Codebasis mit den unerwünschten Programmen Program.FakeMoney.11.
Adware.Fictus.1.origin
Adware-Modul, das in Klonversionen bekannter Android-Spiele und -Apps eingebettet wird. Die Integration erfolgt mithilfe des Packers net2share. Die erstellten Kopien werden über App-Stores verbreitet und zeigen unerwünschte Werbung an.
Adware.Adpush.21846
Adware.AdPush.39.origin
Adware-Module, die in Android-Apps integriert werden. Sie zeigen Werbebenachrichtigungen an, die Nutzer irreführen. Solche Benachrichtigungen können wie Systembenachrichtigungen aussehen. Außerdem können diese Module persönliche Informationen sammeln und weitere Anwendungen herunterladen und installieren.

Bedrohungen auf Google Play

Im dritten Quartal 2024 entdeckten die Virenanalysten von Doctor Web neue Bedrohungen auf Google Play, darunter viele neue gefälschte Programme der Familie Android.FakeApp, die als verschiedene nützliche Apps ausgegeben wurden. Viele davon wurden als Finanztools verbreitet: Informations- und Investment-Apps, Apps zum Sparen etc. Einige der erkannten bösartigen Anwendungen enthalten zwar die versprochene Funktionalität, öffnen aber betrügerische Websites. Auf solchen Websites wird Nutzern schnelles Geld versprochen. Der Nutzer wird aufgefordert, am Handel von Kryptowährungen oder Erdöl- und Gashandel zu verdienen oder profitabel zu investieren. Um Zugriff auf den versprochenen Service zu erhalten, muss der Nutzer ein Benutzerkonto erstellen und seine persönlichen Daten angeben.

Eine der Apps der Familie Android.FakeApp wurde als Dating-App verbreitet, öffnete aber eine gefälschte Investitionsplattform.

Andere Trojaner der Familie Android.FakeApp wurden als Handyspiele getarnt. Sie konnten Websites von Online-Casinos oder Wett-Portale laden.

Außerdem wurden neue Modifikationen von Trojanern erkannt, die als Apps zur Jobsuche getarnt wurden. Solche Anwendungen zeigen eine Liste mit fiktiven Stellenangeboten an. Der Nutzer wird aufgefordert, über einen Messenger Kontakt mit dem angeblichen Arbeitgeber aufzunehmen und seine persönlichen Informationen zu senden.

Auf Google Play wurden neue Trojaner der Familie Android.HiddenAds erkannt. Diese Apps blenden ihr Symbol in der App-Liste auf dem Hauptbildschirm aus und zeigen aufdringliche Werbung an. Sie wurden als Apps zur Bildbearbeitung, Bildersammlungen, Barcodeleser etc. getarnt.

Um Ihre Android-Geräte vor Schadprogrammen zu schützen, nutzen Sie die Dr.Web Produkte für Android.

Indikatoren der Kompromittierung