Эксперты «Лаборатории Касперского» проанализировали две киберугрозы для Android, которые нацелены на российских пользователей и остаются активными в апреле 2024 года. В компании также отмечают общий рост количества атак на мобильные устройства в России. Так, в первом квартале 2024 года их число увеличилось в 5,2 раза по сравнению с аналогичным периодом 2023 года и составило более 19 миллионов.
Dwphon. В конце 2023 года специалисты «Лаборатории Касперского» обнаружили троянец Dwphon, с тех пор он постоянно эволюционировал и становился всё активнее. По данным «Лаборатории Касперского», количество атак Dwphon на российских пользователей выросло в марте 2024 года примерно на 25% по сравнению с декабрём
Текущие версии зловреда собирают информацию о заражённом устройстве и личные данные его владельца, а также сведения об установленных приложениях. Dwphon может без ведома пользователя загружать на смартфон различные программы, в том числе рекламное и вредоносное ПО. Специалисты отмечают, что функциональность и код Dwphon схожи с Triada, одним из самых распространённых в 2023 году мобильных троянцев. Однако наибольший интерес вызывает вектор атаки, то есть обстоятельства, при которых Dwphon оказывается на устройствах. Эксперты обнаружили, что он встраивается в системные приложения смартфонов ещё до того, как гаджеты попадают в руки пользователей.
«Обычно злоумышленники распространяют троянцы под видом легитимного ПО на сторонних площадках. Некоторые разновидности встречаются и во встроенных сторах. Однако в случае с Dwphon жертва получает заражённое устройство прямо из коробки, то есть купив его в магазине. Здесь речь идёт о предустановленных зловредах — в таких случаях цепочка поставок девайса на каком-то из этапов оказывается скомпрометирована и в этот момент злоумышленники внедряют вредоносное ПО. Причём производитель и другие участники цепочки, вероятнее всего, об этом даже не знают», — прокомментировал Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».
Mamont. Весной 2023 года специалисты «Лаборатории Касперского» также впервые обнаружили банковский троянец Mamont, однако свою активность зловред начал проявлять в ноябре того же года. С высокой долей вероятности он эволюционировал из программы-вымогателя Rasket — её авторы грозили пользователям сливом данных, если им не заплатить выкуп 5 тысяч рублей. Эксперты отмечают сходство в коде Mamont и Rasket, например название параметров конфигурации. Оба зловреда также используют Telegram-бот для сохранения информации о жертвах. Однако в Mamont злоумышленники развили функционал банковского троянца, чтобы выманивать платёжные данные потенциальных жертв и получать доступ к их СМС. Злоумышленники распространяют троянец на неофициальных площадках в том числе под видом приложений для взрослых, служб доставок, а также финансовых организаций.
«Несмотря на то что банковские троянцы не получили значительного распространения в России из-за активного развития антифрод-систем финансовых организаций, отдельные представители этого вида могут быть очень активными. С ноября мы зафиксировали уже почти 185 тысяч атак Mamont на российских пользователей, — рассказал Дмитрий Калинин, эксперт по кибербезопасности в „Лаборатории Касперского“. — Mamont — это ещё и пример того, как злоумышленники ищут наиболее выгодные для себя форматы монетизации усилий. Атакующие могут реализовать какую-либо функцию в зловреде, но если не достигают своих целей, то модифицируют вредоносное ПО, меняя его технические возможности».
Чтобы не столкнуться с мобильными угрозами, эксперты по кибербезопасности рекомендуют:
- не переходить по ссылкам из сомнительных сообщений;
- скачивать приложения только из официальных источников;
- регулярно обновлять операционную систему и установленные приложения;
- использовать на смартфонах защитное решение, например Kaspersky для Android, оно поможет обнаружить вредоносный код на устройстве и не даст установить зловред.