Две киберугрозы для владельцев Android-устройств в России: они актуальны прямо сейчас

Количество кибератак в России значительно выросло

Эксперты «Лаборатории Касперского» проанализировали две киберугрозы для Android, которые нацелены на российских пользователей и остаются активными в апреле 2024 года — Dwphon и Mamont. 

В компании также отмечают общий рост количества атак на мобильные устройства в России. Так, в первом квартале 2024-го их число увеличилось в 5,2 раза по сравнению с аналогичным периодом 2023 года и составило более 19 миллионов.

В конце 2023 года специалисты «Лаборатории Касперского» обнаружили троян Dwphon, с тех пор он постоянно эволюционировал и становился всё активнее. По данным «Лаборатории Касперского», количество атак Dwphon на российских пользователей выросло в марте 2024 года примерно на 25% по сравнению с декабрём 2023-го и насчитывает почти 222 тысячи.

Текущие версии зловреда собирают информацию о заражённом устройстве и личные данные его владельца, а также сведения об установленных приложениях. Dwphon может без ведома пользователя загружать на смартфон различные программы, в том числе рекламное и вредоносное ПО. Специалисты отмечают, что функциональность и код Dwphon схожи с Triada, одним из самых распространённых в 2023 году мобильных троянов. Однако наибольший интерес вызывает вектор атаки, то есть обстоятельства, при которых Dwphon оказывается на устройствах. Эксперты обнаружили, что он встраивается в системные приложения смартфонов ещё до того, как гаджеты попадают в руки пользователей.

Весной 2023 года специалисты также впервые обнаружили банковский троян Mamont, однако свою активность зловред начал проявлять в ноябре того же года. С высокой долей вероятности он эволюционировал из программы-вымогателя Rasket — её авторы грозили пользователям сливом данных, если им не заплатить выкуп 5 тысяч рублей. Эксперты отмечают сходство в коде Mamont и Rasket, например название параметров конфигурации. Оба зловреда также используют телеграм-бот для сохранения информации о жертвах. Однако в Mamont злоумышленники развили функционал банковского трояна, чтобы выманивать платёжные данные потенциальных жертв и получать доступ к их SMS. Злоумышленники распространяют троян на неофициальных площадках, в частности, под видом приложений для взрослых, служб доставок, а также финансовых организаций.