26. Dezember 2024
Laut Statistiken von Dr.Web Security Space für mobile Geräte wurden Nutzer im vierten Quartal 2024 am häufigsten mit Trojanern der Familie Android.HiddenAds konfrontiert. Auf Platz zwei stehen bösartige Anwendungen der Familie Android.FakeApp. Den dritten Platz nehmen die Trojaner Android.Siggen ein, die über verschiedene bösartige Funktionen verfügen.
Im Laufe des Quartals erkannten die Spezialisten von Doctor Web viele Bedrohungen auf Google Play, darunter zahlreiche Trojaner der Familie Android.FakeApp, bösartige Anwendungen der Familien Android.Subscription und Android.Joker, die kostenpflichtige Dienste im Namen der Nutzer abonnieren, sowie neue Vertreter der Familie Android.HiddenAds. Außerdem wurden Anwendungen verbreitet, die mit einem komplexen Packer geschützt wurden.
Haupttrends im vierten Quartal
Statistiken Dr.Web Security Space für mobile Geräte
- Android.FakeApp.1600
- Trojaner, der die in seinen Einstellungen festgelegte Website öffnet. Bekannte Modifikationen dieses Trojaners laden Online-Casinos.
- Android.HiddenAds.655.origin
- Android.HiddenAds.657.origin
- Trojaner, die aufdringliche Werbung anzeigen. Trojaner der Familie Android.HiddenAds werden als harmlose Anwendungen verbreitet und manchmal von anderen Schadprogrammen im Systemverzeichnis installiert. Nachdem diese Trojaner auf ein Android-Gerät gelangen, tarnen sie ihre Präsenz im infizierten System, indem sie z.B. ihr Symbol vom Startbildschirm des Geräts entfernen.
- Android.Packed.57083
- Bösartige Anwendungen, die mit dem Packer ApkProtector geschützt sind (Banking-Trojaner, Spyware und andere Schadprogramme).
- Android.Click.1751
- Trojaner, der in nicht offizielle Modifikationen von WhatsApp integriert und als Bibliotheksklassen von Google getarnt wird. Android.Click.1751 sendet Anfragen an einen der Verwaltungsserver. Als Antwort erhält der Trojaner bösartige Links und zeigt dem Nutzer ein Dialogfenster mit dem vom Server empfangenen Inhalt an. Wenn der Nutzer auf den angezeigten Bestätigungsbutton klickt, wird der entsprechende Link geöffnet.
- Program.FakeMoney.11
- Anwendungen, die eine Belohnung für den Nutzer simulieren, wenn dieser bestimmte Aufgaben erfüllt. Der Nutzer muss einen bestimmten Mindestbetrag verdienen, um das virtuelle Geld auf sein Bankkonto überweisen zu können. In der Regel enthalten solche Programme eine Liste von Banken und Zahlungssystemen, über die der Nutzer angeblich das versprochene Geld erhalten kann. Doch selbst wenn der Nutzer alle Bedingungen erfüllt, erhält er kein Geld. Als Program.FakeMoney wird eine Reihe unerwünschter Anwendungen erkannt, die auf ähnlichem Code basieren.
- Program.FakeAntiVirus.1
- Adware, die Aktionen einer Virenschutzsoftware nachahmt. Solche Programme melden angebliche Bedrohungen. Sie führen Benutzer irre und fordern diese auf, eine Vollversion der Software zu kaufen.
- Program.CloudInject.1
- Android-Apps, die mithilfe des Cloud-Dienstes CloudInject und des gleichnamigen Android-Tools (Tool.CloudInject) modifiziert wurden. Die Modifikation erfolgt auf einem Remote-Server automatisch – das heißt, der Nutzer, der die Modifikation initiiert, kontrolliert nicht, welcher Code in die App integriert wird. Die Apps erhalten eine Reihe wichtiger Berechtigungen. Nach Abschluss der Modifikation kann der Cyberkriminelle die Apps remote verwalten: sperren, Dialoge anzeigen und konfigurieren, Installationen und Deinstallationen anderer Software verfolgen etc.
- Program.TrackView.1.origin
- App, die Nutzer von Android-Geräten überwacht. Das Programm ermöglicht es Cyberkriminellen, Geräte zu orten, Videos, Fotos und Audios auf dem infizierten Gerät aufzunehmen, die Umgebung über das Mikrofon des Geräts abzuhören etc.
- Program.SecretVideoRecorder.1.origin
- App, die im Hintergrundmodus Fotos und Videos über die integrierte Kamera des Android-Geräts aufnehmen kann. Sie kann unbemerkt arbeiten, Benachrichtigungen über den Aufnahmestart deaktivieren sowie ihr Symbol und ihre Beschreibung durch gefälschte ersetzen. Die App wird als potenziell gefährlich eingestuft.
- Tool.NPMod.1
- Mithilfe des Tools NP Manager modifizierte Android-Apps. In solche Apps wird ein Modul integriert, das es ermöglicht, die Verifizierung der digitalen Signatur nach der App-Modifikation zu umgehen.
- Tool.SilentInstaller.14.origin
- Potenziell gefährliche Softwareplattformen, die es Anwendungen ermöglichen, APK-Dateien ohne Installation auszuführen. Diese Plattformen schaffen eine virtuelle Umgebung für Anwendungen, in die sie integriert sind. Mithilfe solcher Plattformen ausgeführte APK-Dateien können als Teil dieser Anwendungen funktionieren und dieselben Berechtigungen erhalten.
- Tool.LuckyPatcher.1.origin
- Tool, das es ermöglicht, Android-Apps durch die Erstellung von Patches zu modifizieren, um die Funktionslogik der App zu ändern oder bestimmte Einschränkungen zu umgehen. Mithilfe des Tools versuchen Nutzer, die Prüfung des Root-Zugriffs in Banking-Apps zu deaktivieren und sich Zugriff auf unbegrenzte Ressourcen in Handyspielen zu verschaffen. Um Patches zu erstellen, lädt das Programm spezielle Skripts aus seiner Online-Datenbank herunter. Jeder Nutzer kann seine eigenen Skripts erstellen und in die Datenbank eintragen. Solche Skripts können bösartige Funktionen enthalten, daher sind sie potenziell gefährlich.
- Tool.Packer.1.origin
- Spezialisierter Packer, der Android-Anwendungen vor Änderungen und Reverse Engineering schützt. Das Programm selbst ist zwar nicht bösartig, kann aber nicht nur zum Schutz harmloser Anwendungen, sondern auch für gefährliche Trojaner genutzt werden.
- Tool.Androlua.1.origin
- Erkennung potenziell gefährlicher Versionen des in der Skriptsprache Lua geschriebenen Frameworks zur Entwicklung von Android-Anwendungen. Die Hauptlogik von Lua-Anwendungen liegt in den verschlüsselten Skripten, die vom Interpreter vor der Ausführung entschlüsselt werden. Solche Frameworks fordern in der Regel Zugriff auf Systemberechtigungen an. Daher können über diese Frameworks ausgeführte Lua-Skripte verschiedene bösartige Aktivitäten ausführen.
- Adware.ModAd.1
- Erkennung einiger modifizierter WhatsApp-Versionen mit integriertem Schadcode, der bösartige Links über die Webanzeige lädt. Von diesen Internetressourcen werden Nutzer auf Online-Casinos, Wett-Portale, nicht jugendfreie Websites etc. umgeleitet.
- Adware.Basement.1
- Anwendungen, die unerwünschte Werbung anzeigen, die häufig Links zu bösartigen und betrügerischen Websites enthält. Sie haben eine gemeinsame Codebasis mit den unerwünschten Programmen Program.FakeMoney.11.
- Adware.Fictus.1.origin
- Adware-Modul, das in Klonversionen bekannter Android-Spiele und -Apps eingebettet wird. Die Integration erfolgt mithilfe des Packers net2share. Die erstellten Kopien werden über App-Stores verbreitet und zeigen unerwünschte Werbung an.
- Adware.AdPush.3.origin
- Adware.Adpush.21846
- Adware-Module, die in Android-Apps integriert werden. Sie zeigen Werbebenachrichtigungen an, die Nutzer irreführen. Solche Benachrichtigungen können wie Systembenachrichtigungen aussehen. Außerdem können diese Module persönliche Informationen sammeln und weitere Anwendungen herunterladen und installieren.
Bedrohungen auf Google Play
Im vierten Quartal 2024 entdeckten die Virenanalysten von Doctor Web über 30 bösartige Apps auf Google Play. Die meisten davon sind Vertreter der Familie Android.FakeApp. Einige der erkannten Bedrohungen wurden als Finanz-, Informations-, Schulungs-, Notizen-Apps etc. verbreitet. In Wirklichkeit öffneten sie betrügerische Websites.
Die Trojaner „QuntFinanza“s und „Trading News“ gehören zur Familie Android.FakeApp und öffnen betrügerische Websites
Andere Trojaner der Familie Android.FakeApp wurden als Handyspiele verbreitet und konnten Online-Casinos und Wett-Websites laden.
Die Handyspiele „Bowl Water“ und „Playful Petal Pursuit“ verfügen über die Trojaner-Funktionalität
Zudem erkannten unsere Spezialisten neue Modifikationen des Trojaners Android.FakeApp.1669, die unter verschiedenen Anwendungen getarnt wurden und Online-Casinos laden konnten. Der Trojaner Android.FakeApp.1669 zeichnet sich dadurch aus, dass er die Adresse der zu ladenden betrügerischen Website aus der vom bösartigen DNS-Server gesendeten TXT-Datei erhält.
Der Trojaner funktioniert nur bei der Herstellung einer Internetverbindung über bestimmte Internetanbieter.
Beispiele für neue Modifikationen des Trojaners Android.FakeApp.1669. Das Programm „WordCount“ wurde als Notiz-App und „Split it: Checks and Tips“ als App für die Zahlung von Rechnungen und Berechnung des Trinkgeldes in Cafés und Restaurants verbreitet.
Außerdem wurden neue Vertreter der Familie Android.HiddenAds entdeckt, die ihre Präsenz auf infizierten Geräten tarnen.
Die Bildbearbeitungs-App „Cool Fix Photo Enhancer“ enthält den Trojaner Android.HiddenAds.4013
Es wurden Trojaner gefunden, die mit einem komplexen Packer geschützt wurden, darunter Android.Packed.57156, Android.Packed.57157 und Android.Packed.57159.
Die Apps „Lie Detector Fun Prank“ und „Speaker Dust and Water Cleaner“ sind mit einem Packer geschützt
Unsere Spezialisten erkannten die bösartige Anwendung Android.Subscription.22, die kostenpflichtige Dienste im Namen des Nutzers abonniert.
Statt der versprochenen Funktionalität abonniert die angebliche Bildbearbeitungs-App „InstaPhoto Editor“ kostenpflichtige Dienste.
Außerdem wurden die Trojaner Android.Joker verbreitet, die ebenso kostenpflichtige Services im Namen der Nutzer abonnieren.
Der Messenger „Smart Messages“ und die virtuelle Tastatur „Cool Keyboard“ abonnieren kostenpflichtige Dienste unbemerkt für den Nutzer.
Um Ihre Android-Geräte vor Schadprogrammen zu schützen, nutzen Sie die Dr.Web Produkte für Android
Indikatoren der Kompromittierung