«Доктор Веб»: обзор вирусной активности в мае 2022 года

14.06.2022 |

В мае анализ данных статистики Dr.Web показал уменьшение общего числа обнаруженных угроз на 0.86% по сравнению с апрелем. При этом количество уникальных угроз незначительно увеличилось — на 1.73%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике чаще всего распространялись вредоносные скрипты, стилеры, ссылки на фишинговые страницы, а также программы, использующие уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов уменьшилось на 2.53% по сравнению с апрелем. Самым распространенным энкодером месяца вновь стал Trojan.Encoder.26996, на долю которого пришлось 37.47% всех инцидентов.

Главные тенденции мая

Распространение вредоносного ПО в почтовом трафике;
Рекламные приложения остаются самой массовой угрозой.

Опасные сайты

В мае 2022 года продолжился рост числа сайтов, маскирующихся под официальные ресурсы разработчиков различного популярного ПО. Злоумышленники продолжали использовать подобные ресурсы для распространения поддельных установщиков с рекламными и вредоносными программами.

Вредоносное и нежелательное ПО для мобильных устройств

В мае наиболее распространенной Android-угрозой вновь стал троян Android.Spy.4498, который крадет информацию из уведомлений от других приложений. В то же время его активность продолжает снижаться. Рекламные трояны Android.HiddenAds также не теряют актуальность. Их активность по сравнению с апрелем, напротив, несколько возросла.

В течение месяца специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередные вредоносные приложения. Среди них — мошеннические программы Android.FakeApp и трояны из семейства Android.Subscription, подписывающие пользователей на платные услуги. Кроме того, были выявлены новые представители семейства троянов Android.PWS.Facebook, которые крадут логины, пароли и другую информацию, необходимую для взлома учетных записей Facebook. Распространяли злоумышленники и рекламных троянов Android.HiddenAds.

Наиболее заметные события, связанные с «мобильной» безопасностью в мае:

снижение активности трояна-шпиона Android.Spy.4498;
рост активности рекламных троянов;
появление новых угроз в каталоге Google Play.

В мае специалисты компании «Доктор Веб» обнаружили в каталоге Google Play множество новых угроз. Среди них — рекламные трояны Android.HiddenAds.3158 и Android.HiddenAds.3161.

Первый представлял собой сборник изображений Wild & Exotic Animal Wallpaper. Он пытался скрыться от пользователя, заменяя значок приложения в меню главного экрана менее заметным, а также изменяя имя на «SIM Tool Kit». Кроме того, программа запрашивала разрешение отключить для нее функцию экономии заряда аккумулятора, чтобы постоянно работать в фоновом режиме. Это позволяло трояну показывать рекламу даже тогда, когда владелец устройства долго не использовал приложение.

Второй троян распространялся под видом программы-фонарика Magnifier Flashlight. Он скрывал свой значок из списка программ в меню главного экрана, после чего периодически демонстрировал рекламные видеоролики и баннеры.

Были выявлены очередные троянские программы, которые крадут необходимые для взлома учетных записей Facebook данные (деятельность социальной сети Facebook запрещена на территории России). Они распространялись под видом редакторов изображений PIP Pic Camera Photo Editor (Android.PWS.Facebook.142), PIP Camera 2022 (Android.PWS.Facebook.143), Camera Photo Editor (Android.PWS.Facebook.144) и Light Exposure Photo Editor (Android.PWS.Facebook.145), а также астрологической программы ZodiHoroscope - Fortune Finder (Android.PWS.Facebook.141). Эти трояны под различными предлогами (например, якобы для доступа ко всем функциям приложений или отключения рекламы) предлагают потенциальным жертвам войти в учетную запись Facebook, после чего перехватывают и передают киберпреступникам вводимые логины, пароли и другие данные авторизации.

Среди найденных вредоносных программ также были новые представители семейства троянов Android.Subscription, предназначенных для подписки пользователей на платные услуги. Один из них, добавленный в вирусную базу Dr.Web как Android.Subscription.9, распространялся под видом программы Recovery для восстановления данных. Другой — под видом игры Driving Real Race: он получил имя Android.Subscription.10. Эти вредоносные приложения загружали сайты партнерских сервисов, через которые выполнялась подписка.

Кроме того, злоумышленники вновь распространяли программы-подделки. Среди них — приложение «Компенсация НДС» (Android.FakeApp.949), якобы предназначенное для поиска и получения пособий и выплат российскими пользователями. На самом деле оно загружало мошеннические сайты, при помощи которых киберпреступники пытались похитить у жертв конфиденциальную информацию и деньги.

Другую подделку злоумышленники выдавали за приложение Only Fans App OnlyFans Android, которое якобы позволяло получить бесплатный доступ к закрытым профилям и платному контенту сервиса OnlyFans.

Пользователям предлагалось пройти небольшой опрос, после чего программа загружала мошеннический сайт, на котором имитировался процесс получения доступа. У потенциальных жертв запрашивался адрес электронной почты, после чего им предлагалось выполнить различные задания, например — установить заданные игры и программы или пройти онлайн-опросы. В действительности никакого доступа пользователи не получали, а от успешно выполненных заданий выигрывали сами мошенники — они получали плату от партнерских сервисов. Эта программа-подделка была добавлена в вирусную базу Dr.Web как Android.FakeApp.951.