Niektóre rodziny trojanów zaczęły wykorzystywać scenariusze monetyzacji obejmujące płatne usługi SMS oraz WAP w celu utrzymania lub zwiększenia zysków.

Szkodliwe programy wykorzystujące przywileje administratora urządzenia stanowiły główne i jedno z najpoważniejszych zagrożeń mobilnych przez ostatnie kilka lat. Trojany te mogą ukradkiem instalować różne aplikacje i bombardować zainfekowane urządzenie reklamami w celu uniemożliwienia dalszego korzystania ze smartfona. Oprócz niemal nieograniczonej liczby możliwości takie trojany są również trudniejsze do wykrycia oraz usunięcia. Jednak w 2017 r. szkodniki te stanęły wobec pewnych wyzwań.

Łączna liczba mobilnych trojanów wyświetlających reklamy, które wykorzystują przywileje administratora, zmniejszyła się w 2017 roku w porównaniu z rokiem poprzednim. Było to wywołane ogólnym spadkiem liczby urządzeń mobilnych działających pod kontrolą starszych wersji Androida, które stanowią podstawowy cel trojanów, głównie dlatego, że powszechnie wykorzystywane przez nie luki w zabezpieczeniach zostają zazwyczaj załatane w nowszych wersjach systemu. Odsetek użytkowników urządzeń z systemem Android 5.0 lub starszym zmniejszył się z ponad 85% w 2016 roku do 57% w 2017 roku, podczas gdy odsetek użytkowników Androida 6.0 (lub nowszej wersji) zwiększył się ponad dwukrotnie — z 21% w 2016 roku do 50% w 2017 roku. Jednak omawiany rodzaj trojanów pozostał najpopularniejszym szkodnikiem wśród 20 najpowszechniejszych zagrożeń mobilnych w 2017 r.

Nowe modyfikacje trojanów wyświetlających reklamy nie wykorzystują luk umożliwiających dostęp na poziomie administratora. Stosują inne metody takie jak usługi SMS premium. Dwa trojany związane z rodziną Ztorg posiadające taką funkcjonalność zostały pobrane dziesiątki tysięcy razy ze Sklepu Play firmy Google. Odnotowano przy tym powrót trojanów mobilnych, które kradną pieniądze użytkownikom urządzeń z Androidem za pośrednictwem subskrypcji WAP, umożliwiającej bezpośrednie realizowanie płatności mobilnych bez konieczności dodatkowej rejestracji. Trojany te klikają strony z płatnymi usługami i po tym, jak zostanie aktywowana subskrypcja. Pieniądze z konta ofiary płyną bezpośrednio na konta atakujących. Trend ten nie był obserwowany już od jakiegoś czasu, jednak w 2017 roku tego rodzaju zagrożenie mobilne zaczęło się aktywnie rozprzestrzeniać. Niektóre z wykrytych programów WAP-clicker posiadały również moduły do zakupu kryptowaluty.

Porady bezpieczeństwa dla użytkowników urządzeń mobilnych

• Zwracaj uwagę na zainstalowane na swoim urządzeniu aplikacje i unikaj pobierania ich z nieznanych źródeł.
• Zawsze aktualizuj swoje urządzenie natychmiast po udostępnieniu uaktualnienia przez producenta.
• Regularnie przeprowadzaj skanowanie systemu w celu sprawdzenia, czy urządzenie nie zostało zainfekowane.

Autor: Piotr Kupczyk, Kaspersky Lab Polska