Мобильные гаджеты в руках почти у каждого. В смартфоне сосредоточены коммуникации, развлечения, финансовая информация и т. д. Поэтому мобильные троянцы-рутовальщики становятся самой большой угрозой для пользователей Android-устройств, сообщается в отчете "Лаборатории Касперского".
На протяжении последних лет рекламные троянцы оставались одной из главных угроз для пользователей Android-устройств. Во-первых, они очень распространены, а во-вторых, опасны — многие зловреды эксплуатируют уязвимости в системе для получения прав суперпользователя. Воспользовавшись ими, троянцы получают полный контроль над системой.
Основная задача рутовальщиков — показать пользователю как можно больше рекламы и незаметно установить рекламируемые приложения. Отдельные зловреды так стараются, что в результате зараженным устройством становится невозможно пользоваться из-за постоянно возникающих рекламных окон и большой задержки при выполнении команд владельца.
Эксплуатируя уязвимости системы для получения прав суперпользователя, рутовальщики могут делать на устройстве практически что угодно. Для закрепления троянцы устанавливают свои модули в системные папки, защищая их таким образом от удаления. В некоторых случаях даже сброс системы к заводским настройкам не помогает избавить устройство от зловреда, например, от такого как Ztorg. Этот троянец распространялся в том числе и через Play Store — обнаружено без малого 100 приложений, зараженных различными модификациями Ztorg. Причем одно из этих приложений было установлено более миллиона раз (согласно статистике торговой площадки).
Но известные уязвимости, позволяющие получить права суперпользователя, есть только в старых устройствах, а их доля снижается. В результате подобные рекламные троянцы все чаще сталкиваются с устройствами, в которых они не могут закрепиться. Это значит, что у пользователя появляется возможность избавиться от зловреда, как только тот начинает слишком агрессивно показывать рекламу или устанавливать новые приложения.
Вероятно, поэтому последнее время наблюдается все больше рекламных троянцев, которые не показывают рекламу пользователю, а незаметно ее прокликивают, помогая зарабатывать своим хозяевам деньги на рекламодателях. Пользователь может и не заметить такого поведения, ведь основными признаками заражения является увеличенный расход батареи и трафика.
Подобным образом действуют и троянцы, атакующие сайты с WAP-подписками. Они получают от C&C список ссылок, по которым переходят и «нажимают» на различные элементы страниц используя полученный с сервера злоумышленников JS-файл.
Основное их отличие — прокликивание не только рекламных ссылок, но и сайтов с WAP-подписками, что приводит к краже денег с мобильного счета пользователя. Этот вид атаки существует уже несколько лет, но именно в 2017 году таких троянцев стало очень много, и специалисты предполагают, что этот тренд может сохраниться на протяжении следующего года.
Мобильные банкеры также активно развивались в 2017 году, появлялись новые техники для кражи денег. Эксперты обнаружили, что одна из модификаций мобильного банкера FakeToken стала атаковать не только финансовые приложения, но и приложения для заказа такси, отелей, билетов и т.д. Троянец перекрывает их интерфейс своим фишинговым окном, в котором просит пользователя ввести данные банковской карты.
В последний версиях ОС Android добавилось много различных инструментов, призванных помешать вредоносным программам совершать зловредные действия. Но банковские троянцы постоянно ищут пути обхода новых ограничений.
В 2017 году эксперты "Лаборатории Касперского" обнаружили несколько модульных троянцев, один из способов монетизации деятельности которых — кража денег посредством WAP-подписок. Но некоторые из них также имели модули для майнинга криптовалют.
Рост цен на криптовалюты делает майнинг более выгодным делом, хотя производительность мобильных устройств не такая уж и высокая. К тому же майнинг приводит к быстрому расходу заряда батареи, а в некоторых случаях даже к выходу устройства из строя. Кроме того, мы обнаружили несколько новых троянцев, выдающих себя за полезные приложения, но на самом деле добывающих криптовалюту на зараженном устройстве. Если в 2018 году рост криптовалют продолжится, то скорее всего, мы увидим еще много новых майнеров.
