В 2024 году наблюдается рост количества атак банковских троянцев на Android-устройства, заметно использование злоумышленниками программ для удалённого доступа, а также распространение троянцев-шпионов для кражи финансовой информации
Об этих и других трендах в области Android-киберугроз специалисты «Лаборатории Касперского» рассказали на Kaspersky CyberSecurity Weekend в Красноярске.
Мобильные банковские троянцы. По данным компании, в первом квартале 2024 года количество атак банковских троянцев на российских пользователей Android увеличилось в 3,6 раза по сравнению с аналогичным периодом 2023 года и достигло порядка 1 млн*. Такой рост обусловлен в том числе активностью троянца Mamont. Подобный тип зловредов часто мимикрирует под приложения с бонусными программами или приложения для взрослых и распространяется на различных неофициальных площадках, зачастую в Telegram-каналах, которые злоумышленники рекламируют в TikTok.
Программы удалённого доступа. За январь — март 2024 года решения «Лаборатории Касперского» отразили 12 тысяч атак с использованием модифицированных программ для удалённого доступа, которые мимикрировали под приложения служб поддержки финансовых организаций. Злоумышленники рассылают такие приложения в мессенджерах и могут с их помощью выведать конфиденциальные сведения пользователей, в основном, чтобы получить доступ к онлайн-банкингу на устройствах с Android.
Троянцы-шпионы. Яркий пример этого года — вредоносное ПО SpyNote. Оно обладает широкой функциональностью, например, в нём реализованы кейлоггер, возможность записи экрана устройства, а также чтение СМС. Это позволяет злоумышленникам следить за происходящим на экране заражённого девайса и перехватывать авторизационные данные. Эксперты отмечают, что в последнее время троянец всё чаще используется для кражи финансовой информации. За первые три месяца 2024 года решения «Лаборатории Касперского» зафиксировали более 127 тысяч атак этого зловреда на российских пользователей. Распространяется SpyNote преимущественно через каналы в Telegram, которые злоумышленники рекламируют в TikTok или других Telegram-каналах, где отсутствует модерация. Зловред мимикрирует под мобильные сторы, приложения для взрослых и приложения с бонусными программами.
«В первом квартале 2024 года количество уникальных вредоносных программ для Android в России, которые мимикрируют под приложения финансовых организаций, увеличилось более чем в полтора раза по сравнению с аналогичным периодом 2023 года. В частности, активно распространяются модифицированные приложения для удалённого доступа, которые используют визуал финансовых организаций и регуляторов. Обычно атакующие не тратят много ресурсов на создание правдоподобных подделок — зачастую меняют только название программы и иконку, а также надписи в некоторых текстовых полях», — комментирует Дмитрий Калинин, эксперт «Лаборатории Касперского» по кибербезопасности.
«Больше половины респондентов в России (66%) считают**, что можно визуально понять, заражён смартфон или нет. Но в реальности это далеко не всегда так — современные зловреды умеют хорошо скрывать свою активность. В условиях, когда у многих на телефонах установлены старые, более подверженные кибератакам версии Android, а ландшафт киберугроз не ограничивается только вредоносными программами, как никогда важно использовать комплексное защитное решение. При этом такая рекомендация будет актуальной и для тех, кто не скачивает программы с неофициальных ресурсов. Например, Google сообщила, что в 2023 году заблокировала загрузку более 2 млн потенциально небезопасных приложений в свой стор. Тем не менее различное зловредное и скамерское ПО всё равно регулярно проникало в магазин», — комментирует Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».
* Анонимизированные данные на основе срабатывания решений «Лаборатории Касперского» за первый квартал 2023 года и первый квартал 2024 года.
** Опрос проведён компанией ОнИн по заказу «Лаборатории Касперского» в апреле 2024 года. Опрошено 1012 человек в крупных городах России.