- Zscaler обнаружил 239 вредоносных приложений в Google Play и более 42 миллионов загрузок
- Новые кампании: банковский троян с оверлеями, шпионское ПО «Landfall» и мошенничество с NFC с помощью NGate
- Количество вредоносных программ для мобильных устройств выросло на 67% в годовом исчислении; доминирует рекламное ПО (69%), а в Европе пики зафиксированы в таких странах, как Италия.
- Руководство по защите: разрешения, обновления, Play Protect, проверка приложений и мониторинг аккаунта
Смартфоны на базе Android остаются в центре внимания, и, согласно последним исследованиям, Перспективы не совсем спокойные.. Между Банковские трояны, опустошающие счета, Шпионское ПО, использующее уязвимости нулевого дня и бесконтактное мошенничествоПоверхность атак растет пропорционально внедрению цифровых технологий в Европе и Испании.
В последние недели Появились кампании и данные, рисующие сложную картину: 239 вредоносных приложений в Google Play накопив более 42 миллионов загрузок, новый банковский троян с накладками, способными взять под контроль устройство, шпионская программа под названием Landfall который просачивается сквозь DNG-изображения и схема клонирование карты через NFC (NGate) возникший в Европе и распространившийся на Латинскую Америку.
Краткий обзор роста числа вредоносных программ для мобильных устройств Android
Последний отчет Zscaler показывает, что в период с июня 2024 года по май 2025 года В Google Play размещено 239 вредоносных приложений Число установок превысило 42 миллиона. Активность мобильных вредоносных программ вырос на 67% в годовом исчислении, с особым присутствием в категории инструментов и производительности, где злоумышленники маскируются под, казалось бы, легитимные утилиты.
Эта эволюция приводит к явному изменению тактики: На рекламное ПО приходится 69% обнаруженийВ то время как доля семьи Джокер снижается до 23%. По странам лидируют Индия (26%), США (15%) и Канада (14%), но в Европе наблюдается снижение. заметный подъем в Италиис очень резким ростом из года в год и предупреждениями о возможном распространении риска на остальную часть континента.
Столкнувшись с этим сценарием, Google усилил контроль над экосистемой разработчиков. дополнительные меры проверки личности для публикации на Android. Цель — повысить планку доступа и отслеживания, ограничив возможности киберпреступников распространять вредоносное ПО через официальные магазины.
Помимо объема, важна сложность: Zscaler выделяет особенно активные семьи, среди которых Анаца (банковский троян), Android Void/Vo1d (бэкдор в устройствах с устаревшим AOSP, затронуто более 1,6 миллиона устройств) и XnoticeRAT, предназначенный для кражи учетных данных и кодов 2FA. В Европе финансовые учреждения и пользователи мобильного банкинга Они представляют собой явный риск.
Эксперты отмечают переход от классического мошенничества с кредитными картами к мобильные платежи и социальные технологии (фишинг, смишинг и подмена SIM-карт), что требует повышения цифровой гигиены конечного пользователя и усиления защиты мобильных каналов субъектов.
Android/BankBot-YNRK: наложения, доступность и банковские кражи
Исследователи Cyfirma задокументировали банковский троян для Android Получивший название «Android/BankBot‑YNRK», он был разработан для того, чтобы выдавать себя за легитимные приложения, а затем активировать службы доступности для получить полный контроль устройства. Его специализация — атаки с использованием оверлейных атак: он создаёт поддельные экраны входа о реальных банковских и криптографических приложениях для сбора учетных данных.
Распределение объединяет в себе Play Маркет (в волнах, обходящих фильтры) с мошенническими страницами, предлагающими APK-файлы, используя названия пакетов и заголовки, имитирующие популярные сервисы. Среди обнаруженных технических идентификаторов несколько SHA-256 хэши и предполагается, что операция будет проходить под Вредоносное ПО как услуга, что облегчает его распространение в разных странах, включая Испанию.
Попав внутрь, он принудительно устанавливает разрешения на доступ, добавляет себя в качестве администратора устройства и считывает то, что появляется на экране. нажимайте виртуальные кнопки и заполняйте формыОн также может перехватывать коды 2FA, манипулировать уведомлениями и автоматизировать переводывсе это без возникновения каких-либо видимых подозрений.
Аналитики связывают эту угрозу с семейством BankBot/Anubis, действующим с 2016 года, с несколькими вариантами, которые Они эволюционируют, чтобы обходить антивирусное программное обеспечение и контроль магазинов. Кампании обычно нацелены на широко используемые финансовые приложения, что увеличивает потенциальный ущерб, если их вовремя не обнаружить.
Для пользователей и предприятий в ЕС рекомендуется усилить контроль разрешенийПроверьте настройки специальных возможностей и отслеживайте поведение финансовых приложений. В случае сомнений лучше удалить их, просканировать устройство и изменить учетные данные по согласованию с субъектом.
Landfall: тихий шпионаж с использованием изображений DNG и уязвимостей нулевого дня
Другое расследование, проведенное подразделением 42 Palo Alto Networks, выявило шпионское ПО для Android называемый Landfall который использовал уязвимость нулевого дня в библиотеке обработки изображений (libimagecodec.quram.so) для выполнения кода, когда декодировать файлы DNG. Этого было достаточно получить изображение через сообщение, чтобы атака могла быть осуществлена без взаимодействия.
Первые указания относятся к июлю 2024 года, и решение было отнесено к категории CVE-2025-21042 (с дополнительным исправлением CVE-2025-21043 месяца спустя). Кампания была направлена с особым акцентом Устройства Samsung Galaxy и оказали наибольшее влияние на Ближний Восток, хотя эксперты предупреждают о том, насколько легко эти операции могут расширяться географически.
После того, как вы это сделали, Выход на берег позволил добычу фотографии без загрузки их в облакосообщения, контакты и журналы вызовов, Plus активировать микрофон скрытноМодульность шпионского ПО и его устойчивость в течение почти года без обнаружения подчеркивают прыжок в изысканности которые предоставляются современными мобильными угрозами.
Чтобы снизить риск, важно Применяйте обновления безопасности производителя, ограничивайте доступ к файлам, полученным от непроверенных контактов, и поддерживайте активными механизмы защиты системы., как в терминалах личного пользования, так и в корпоративных автопарках.
NGate: клонирование NFC-карт от Чехии до Бразилии
Сообщество кибербезопасности также сосредоточилось на НГейт, un Вредоносное ПО для Android, предназначенное для финансового мошенничества и использующее NFC для скопировать данные карты и эмулировать их на другом устройстве. В Центральной Европе (Чешская Республика) были зарегистрированы кампании, в которых использовалась имитация местных банков, и последующее развитие, направленное на пользователи в Бразилии.
Обман сочетает в себе подделку, социальную инженерию и использование PWA/WebAPK и веб-сайты, имитирующие Google Play для облегчения установки. Попав внутрь, он предлагает жертве активировать NFC и ввести PIN-код, перехватывает обмен данными и передает его с помощью таких инструментов, как NFCGate, позволяющая снимать наличные в банкоматах и осуществлять бесконтактные платежи в POS-терминалах.
Различные поставщики Они обнаруживают варианты под такими тегами, как Android/Spy.NGate.B и эвристика Trojan-Banker.Хотя нет публичных доказательств активных кампаний в Испании, используемые методы переносимый в любой регион с широко распространенным бесконтактным банкингом.
Как снизить риск: лучшие практики
Перед установкой потратьте несколько секунд на проверку редактор, рейтинги и дата приложения. Будьте осторожны с запросами на разрешения, которые не соответствуют заявленной функции. (особенно Доступность и администрирование устройства).
Сохраните систему и приложения всегда обновляетсяАктивируйте Google Play Protect и регулярно сканируйте устройства. В корпоративной среде рекомендуется внедрить политики MDM. списки блокировки и мониторинг аномалий автопарка.
Избегайте загрузки APK-файлов по ссылкам в SMS-сообщениях, социальных сетях или электронных письмах, а также держитесь подальше от... страницы, имитирующие Google PlayЕсли банковское приложение запрашивает PIN-код вашей карты или просит поднести карту к телефону, отнеситесь с подозрением и обратитесь в свой банк.
Если вы заметили признаки заражения (ненормальные данные или расход батареи, странные уведомления(перекрывающиеся экраны), отключите передачу данных, удалите подозрительные приложения, просканируйте устройство и измените учётные данные. Обратитесь в свой банк, если вы обнаружите несанкционированные перемещения.
В профессиональной сфере, Он включает в себя IoC, опубликованные исследователями (домены, хеши и наблюдаемые пакеты) в ваши черные списки и координируйте ответ с секторными CSIRT, чтобы сократить возможные строки инфекции.
Экосистема Android переживает период сильного давления со стороны киберпреступности: вредоносные приложения в официальных магазинах К ним относятся банковские трояны с оверлеями, шпионское ПО, использующее DNG-изображения, и NFC-мошенничество с эмуляцией карт. Своевременные обновления, осторожность при установке и активный мониторинг прав доступа и банковских транзакций позволяют предотвратить их. радикально сократить воздействие как отдельные пользователи, так и организации в Испании и других странах Европы.
Я энтузиаст технологий, который превратил свои «компьютерные» интересы в профессию. Я провел более 10 лет своей жизни, используя передовые технологии и возясь со всевозможными программами из чистого любопытства. Сейчас я специализируюсь на компьютерных технологиях и видеоиграх. Это потому, что более 5 лет я пишу статьи для различных сайтов, посвященных технологиям и видеоиграм, создавая статьи, которые стремятся дать вам необходимую информацию на понятном каждому языке.
Если у вас есть какие-либо вопросы, мои знания варьируются от всего, что связано с операционной системой Windows, а также Android для мобильных телефонов. И я предан вам, я всегда готов потратить несколько минут и помочь вам решить любые вопросы, которые могут у вас возникнуть в этом мире Интернета.