Dr.Web AV-Desk新闻

Android.Phantom家族木马通过游戏和盗版热门应用感染智能手机并利用机器学习和视频流来操纵点击

Tue, 03 Feb 2026 00:00:00 GMT

2026年02月03日

Doctor Web反病毒实验室发现一种新型的点击器木马并对其进行了分析。这些木马有一个共同的特点：或者是由服务器 hxxps[:]//dllpgd[.]click 直接控制，或者是按照该服务器的命令进行下载并执行。这类恶意软件感染的是安卓智能手机。

木马传播渠道之一是小米设备的官方应用目录GetApps。

我们已发现有多款手机游戏内含恶意软件：CreationMagicWorld（下载量超过32,000次）、CutePetHouse（下载量超过34,000次）、AmazingUnicornParty（下载量超过13,000次）、SakuraDreamAcademy（下载量超过4,000次）、TheftAutoMafia（下载量超过61,000次）和OpenWorldGangsters（下载量超过11,000次）。所有被感染的游戏均开发商都是SHENZHENRUIRENNETWORKCO.,LTD，木马程序嵌入这些应用并与其一同运行。

这些游戏的最初版本都不含恶意软件。9月28日至29日，该开发商发布了包含的游戏更新则嵌入有木马程序 Android.Phantom.2.origin。该木马程序有两种运行模式，程序代码中分别称为“信号模式（signaling）”和“幻影模式（phantom）”。

该恶意软件在幻影模式下使用的是用户看不到的基于WebView组件的嵌入式浏览器。在收到来自 hxxps[:]//playstations[.]click 服务器的指令后，木马会加载要增加点击量的目标网站和名为 “phantom”的JavaScript文件。后者包含一个用于对已加载网站广告自动执行操作的脚本以及TensorFlowJS机器学习框架。此框架的模型是从 hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com 服务器加载到应用程序目录。在某些特定类型的广告场景下，Android.Phantom.2.origin 会将浏览器置于虚拟屏幕并进行截屏。木马使用TensorFlowJS模型分析这些屏幕截图后点击发现的元素。

在另一种模式，也就是信号模式下，木马利用WebRTC连接到第三方服务器。这中技术可以让浏览器和应用直接建立连接，实时交换数据、音频和视频，无需安装额外的软件。在信号模式下，上面提到的hxxps[:]//dllpgd[.]click充当信号服务器，在WebRTC节点之间建立连接。这个服务器还会决定木马的运行模式。包含目标网站的任务来自 hxxps[:]//dllpgd[.]click 充当信号服务器，在WebRTC节点之间建立连接。这个服务器还会决定木马的运行模式。包含目标网站的任务来自 hxxps[:]//playstations[.]click。然后，Android.Phantom.2.origin 会暗中将浏览器所加载网站的虚拟屏幕传输给攻击者。木马让连接的WebRTC节点远程控制虚拟屏幕的浏览器，包括进行点击、滚动、输入或将文本粘贴到输入框。

10月15/16日上述游戏再次更新。除了 Android.Phantom.2.origin，这次更新还增加了模块 Android.Phantom.5。这个模块是一个投放器，其中包含远程代码加载器 Android.Phantom.4.origin，可下载其他几个用于模拟用户在各种网站点击行为的木马。这些模块要比点击器 Android.Phantom.2.origin简单，没有运用机器学习或视频流，而只是使用JavaScript点击脚本。

木马在安卓设备使用WebRTC技术需要连接到一个特殊的JavaAPI库，标准操作系统或下载的应用程序并不包含。因此，木马最初主要以幻影模式运行。而加入模块 Android.Phantom.5 后，木马 Android.Phantom.2.origin 获得了使用远程代码加载器 Android.Phantom.4.origin 下载所需库的能力。

攻击者还利用其他渠道传播木马 Android.Phantom.2.origin 和 Android.Phantom.5。其中有音乐流媒体Spotify已解锁高级功能的修改版，托管于多个网站。以下是一些示例：

网站SpotifyPlus

网站SpotifyPro

专门的Telegram频道中也有这个恶意版本存在：

SpotifyPro(54400粉丝)

SpotifyPlus–Official(15057粉丝)

截图中的网站和Telegram频道所托管的Spotify修改版包含 Android.Phantom.2.origin 以及用于AndroidWebRTC通信的库。

除了Spotify修改版，攻击者还在其他热门应用（例如YouTube、Deezer、Netflix等）的修改版中植入了木马，托管于一些盗版网站：

网站Apkmody

网站Moddroid

网站Moddroid有一个“编辑精选”专区。在列出的20个应用中，只有4个是安全的，其余16个都含有木马 Android.Phantom。这两个网站上的应用都来自同一个CDN服务器 hxxps[:]//cdn[.]topmongo[.]com。这些网站都有自己的Telegram频道，用户在这些频道下载的是感染了木马的版本：

Moddroid.com（87653粉丝）

ApkmodyChat（6297粉丝）

犯罪分子还利用Discord服务器进行非法活动。其中规模最大的是SpotifyX，拥有约24,000名订阅者。

Discord服务器管理员甚至在不加掩饰地直接提供感染病毒的版本。例如，在上面的截图中，服务器管理员建议下载音乐流媒体修改版Deezer，而不是Spotify，称Spotify已经停止运行。使用图中链接下载的是恶意版本，其代码受商业打包软件的保护，里面藏着的是木马 Android.Phantom.1.origin。这是一个远程代码加载器，在收到来自 hxxps[:]//dllpgd[.]click 服务器的指令后会下载我们在上面介绍过的 Android.Phantom.2.origin、Android.Phantom.5 和间谍软件 Android.Phantom.5.origin。这个间谍软件会将设备信息发送给攻击者，包括电话号码、地理位置和已安装应用的列表。

这张服务器截图显示的是被感染设备用所户使用的语言。要访问非英语聊天，用户需选择相应的语言标志。受影响最多的用户所使用的语言位西班牙语、法语、德语、波兰语和意大利语，当然还有服务器语言英语。同时需要注意的是，服务器管理员并没有为很多亚洲国家/地区提供本土语言聊天的功能。

这些木马会给被感染设备的用户造成严重损害。以下是一些可能的后果：

无意中成为帮凶。被感染手机可能被用做进行DDoS攻击的僵尸，使用户在不知情的情况下成为网络犯罪的帮凶。
非法活动。攻击者可以利用被感染设备进行非法网络活动，如进行诈骗活动或发送垃圾邮件。
电池和流量消耗增加。未经授权的活动会消耗电池电量并消耗网络流量。
个人数据泄露。 Android.Phantom.5.origin 是一种间谍软件，可以传输有关设备及用户的数据。

此类木马病毒对未安装最新反病毒软件的安卓移动设备用户构成威胁。目前俄罗斯用户在注册外国应用或支付订阅费用时会受到，促使他们寻求其他途径（通常是半合法途径）来获取这些公司的服务。这正中病毒编写者的下怀，因为用户要被迫承担风险并信任可疑的选项。对网络安全知之甚少而一心只想玩游戏、听音乐或看视频的未成年人尤其容易成为受害者。

我们建议您不要从可疑的网站和渠道下载任何盗版应用。通常，验证修改版或应用的来源需要时间、经验和专业知识。因此，确保您和您家人的网络安全的最佳选择是使用Dr.WebSecuritySpace移动设备保护版，可以保护的不仅是您的智能手机，还可以保护其他智能设备，包括游戏机、平板电脑和智能电视。

失陷指标
 Android.Phantom.1.origin 更多详情
Android.Phantom.2.origin 更多详情
Android.Phantom.3 更多详情
Android.Phantom.4.origin 更多详情
Android.Phantom.5 更多详情
Android.Phantom.5.origin 更多详情

击败怪物Chimera的贝勒罗丰做梦也想不到的事：木马ChimeraWire借模仿人类行为提升网站访问量

Mon, 08 Dec 2025 12:02:25 GMT

2025年12月8日

简介

在分析我公司的一个合作伙伴联盟计划的过程中，我们的专家发现了一种具有点击器功能的独特恶意软件并将其命名为Trojan.ChimeraWire。该恶意软件运行于Windows系统，其基础是用于自动管理网站和Web应用的开源码zlsgo和Rod程序。

攻击者利用Trojan.ChimeraWire模仿用户操作，人为提升网站的指标，目的是提高网站在搜索引擎的排名。恶意软件会在Google和Bing中搜索目标网站，然后将其打开，还会模仿用户操作，自动点击已加载网站的链接。该木马执行所有恶意操作利用的都是从特定来源下载并通过WebSocket协议以隐蔽调试模式运行的浏览器GoogleChrome。

Trojan.ChimeraWire传播到计算机的途径是通过多个恶意下载器。这些下载器利用DLL搜索顺序劫持漏洞，并采用各种提权技术以及反调试技术来逃避侦测。我们的反病毒实验室已追踪到至少两条涉及这些下载器的感染链。其中一条感染链的中心环节是恶意脚本Python.Downloader.208。另一条使用的则是恶意软件Trojan.DownLoader48.61444，该恶意软件的运行方式与Python.Downloader.208类似，实际上是其替代品。

本研究报告将分析Trojan.ChimeraWire及其感染用户计算机所利用的恶意软件的特征。

第一种感染链

第一种感染链的运行轨迹

第一条感染链从运行Trojan.DownLoader48.54600开始。这个木马会检查自身是否是在特殊合成的环境中运行，发现有虚拟机或调试模式的迹象就会终止运行。没有发现此类迹象时木马会从C2服务器下载ZIP压缩包python3.zip。压缩包包含恶意Python脚本Python.Downloader.208及其运行所需的辅助文件，具体来说就是恶意库ISCSIEXE.dll（Trojan.Starter.8377）。Trojan.DownLoader48.54600将压缩包解压缩并运行脚本。这个脚本是感染链的第二阶段，是一个下载器，会从C2服务器下载下一阶段所用的程序。

Python.Downloader.208的行为取决于其运行时所具备的权限。如脚本没有管理员权限，就会尝试获取管理员权限。具体方法是与其一起提取出的Trojan.Starter.8377会被复制到目录%LOCALAPPDATA%\Microsoft\WindowsApps。此外，还会创建脚本runs.vbs，用于之后重新启动Python.Downloader.208。

然后Python.Downloader.208会启动系统应用程序%SystemRoot%\SysWOW64\iscsicpl.exe。这个应用因存在DLL搜索顺序劫持漏洞会自动加载名称与Windows操作系统合法组件名称相同的木马库ISCSIEXE.dll

而Trojan.Starter.8377则会启动VBS脚本runs.vbs，利用这个脚本以管理员权限重新执行Python.Downloader.208。

获得所需权限后，Python.Downloader.208会从C2服务器下载受密码保护的压缩包onedrive.zip。压缩包包含实施下一阶段感染所使用的程序：恶意软件Trojan.DownLoader48.54318、名为UpdateRingSettings.dll的库文件以及必要的辅助文件（如与OneDrive软件相关的、具有有效数字签名的Windows合法应用OneDrivePatcher.exe）。

压缩包解压后，Python.Downloader.208会在系统任务计划器创建一个任务，以便在系统启动时运行OneDrivePatcher.exe。然后会启动这个应用程序。由于存在DLL搜索顺序劫持漏洞，该程序会自动加载其名称与OneDrive软件组件的名称匹配的恶意库UpdateRingSettings.dll。

获得控制权后，Trojan.DownLoader48.54318会检查自身是否是在合成环境下运行。如果发现任何在虚拟机或调试模式下运行的迹象，就会终止运行。

没有检测到此类迹象时木马会尝试从C2服务器下载有效载荷以及用于解密的加密密钥。

解密后的有效载荷是一个包含shellcode和可执行文件的ZLIB容器。解密容器后，Trojan.DownLoader48.54318会尝试将容器解压。如果解压失败，木马会将自身自行删除，终止感染。如解压成功，控制权就转移给shellcode，其任务是将随附可执行文件解压。而这个可执行文件就是感染过程的最后阶段——目标功能木马Trojan.ChimeraWire。

第一种感染链

第二条攻击链从运行恶意软件Trojan.DownLoader48.61444开始。启动后，这个恶意软件会检查是否具备管理员权限，没有就会尝试获取权限。木马使用MasqueradePEB技术将自身伪装成合法进程explorer.exe来绕过安全系统。

然后木马会给系统库%SystemRoot%\System32\ATL.dll的副本打补丁。具体操作是Trojan.DownLoader48.61444读取文件的内容，然后向其添加解密后的字节码和文件路径，并将修改后的版本在原目录保存为名为dropper的文件。之后，木马会为%SystemRoot%\System32\wbem服务和修改后的库进行WindowsshellCOM对象初始化。成功进行初始化后Trojan.DownLoader48.61444会尝试利用CMSTPLUACOM接口获取管理员权限，利用的是某些旧版COM接口中存在的漏洞。如漏洞利用成功，修改后的dropper库会以ATL.dll文件复制到目录%SystemRoot%\System32\wbem。Trojan.DownLoader48.61444随后会启动WMI系统管理单元WmiMgmt.msc，这个单元利用mmc.exe系统应用程序中的DLL搜索顺序劫持漏洞，自动加载带有补丁的%SystemRoot%\System32\wbem\ATL.dll库。之后，mmc.exe会重新启动Trojan.DownLoader48.61444，而且这次木马已具备管理员权限。

不具备管理员权限的情况下Trojan.DownLoader48.61444的运行轨迹

以管理员权限运行时，Trojan.DownLoader48.61444会通过执行多个PowerShell脚本来从C2服务器下载有效载荷。其中一个是ZIP压缩包one.zip，所包含的文件与第一中感染链中onedrive.zip压缩包的文件类似（具体来说就是合法程序OneDrivePatcher.exe和恶意库UpdateRingSettings.dll—Trojan.DownLoader48.54318）。

Trojan.DownLoader48.61444解压压缩包，并在系统计划程序中创建任务，以便在系统启动时OneDrivePatcher.exe能够自动运行。木马还会直接启动此应用程序。与第一中感染链类似，启动后，OneDrivePatcher.exe会利用DLL搜索顺序劫持漏洞，自动下载木马库UpdateRingSettings.dll。之后，会重复第一种感染链之后的感染步骤。

Trojan.DownLoader48.61444还会下载第二个ZIP压缩包：two.zip。压缩包包含恶意脚本Python.Downloader.208（update.py）以及运行该脚本所需的文件，其中包括Guardian.exe，是一个重命名的Python控制台解释器pythonw.exe。

压缩包解压后，Trojan.DownLoader48.61444会在系统计划程序中创建一个任务，以便在系统启动时自动启动Guardian.exe，还会通过此应用程序直接执行恶意脚本Python.Downloader.208。

攻击者显然是想通过部分重复第一个感染链来提高Trojan.ChimeraWire成功下载到目标系统的可能性。

具备管理员权限后Trojan.DownLoader48.61444的运行轨迹

Trojan.ChimeraWire

Trojan.ChimeraWire的名称是“喀迈拉”（希腊神话中的怪物，由多种动物的身体部位组成）和“电线”（wire）两个词的组合。使用“喀迈拉”一词是突出攻击者所使用方法的混合性，包括使用不同语言编写的木马下载器，还有在感染过程中同时采用反调试技术和权限提升手段，也代表这个木马结合使用各种框架、插件，并利用合法软件来实现对流量的隐蔽管理。第二个词“电线”则是将木马隐蔽且恶意的网络交互行为形象化。

感染目标计算机后，Trojan.ChimeraWire会从第三方网站下载一个名为chrome-win.zip的ZIP压缩包，是一个支持Windows系统的GoogleChrome浏览器。值得注意的是，这个网站还存储有适用于其他系统（例如Linux和macOS）的GoogleChrome浏览器版本，包括适用不同硬件平台的版本。

一个提供各种谷歌Chrome浏览器版本的网站，木马程序会从中下载所需的压缩包

下载浏览器后，Trojan.ChimeraWire会暗中尝试在浏览器安装NopeCHA和Buster两个插件，都是用于自动识别验证码，供木马在其运行过程中使用。

然后，木马会在不显示窗口的情况下以调试模式启动浏览器，从而在不引起用户注意的情况下执行恶意活动。之后，会通过WebSocket协议连接到自动选择的调试端口。

接下来，木马就会开始接收任务。向C2服务器发送请求后木马收到的响应是一个使用AES-GCM算法加密的JSON格式base64字符串。

C2服务器发送给木马的配置示例

配置包含的任务和相关参数：

目标搜索引擎（支持Google和Bing）；
在指定搜索引擎搜索并打开网站的关键词短语；
最大连续页面跳转次数；
在网页上执行自动点击的随机分布；
页面加载超时时间；
目标域名。

为更为真实模拟人类活动并绕过跟踪持续活动的系统，该配置还包含会话之间暂停操作的参数。

模仿用户鼠标点击

Trojan.ChimeraWire能够执行以下类型的点击：

浏览搜索结果；
在新后台标签打开相关链接。

首先，Trojan.ChimeraWire使用指定的搜索引擎搜索其配置中所指定的域名和关键词。然后会打开搜索结果中的网站，并找到定义超链接的所有HTML元素。木马将这些元素放入一个数据数组中，并打乱其顺序，使其与网页中的顺序不同。这样做是为了绕过网站的反机器人保护机制，因为这些机制可以追踪点击顺序。

接下来，Trojan.ChimeraWire会检查找到的链接是否有效以及链接中的字符串是否与配置中指定的模板匹配，然后统计匹配的总数。木马程序的后续操作取决于统计结果。

如果页面上找到足够多的匹配链接，Trojan.ChimeraWire会扫描页面并按匹配度将找到的链接进行排序（与关键词匹配度最高的链接排在最前面），然后会点击一个或多个匹配的链接。

如果匹配的链接数量不足或没有匹配的链接，恶意软件就会使用一种能够高度模拟真实用户操作的概率行为模型算法。根据配置中的参数，Trojan.ChimeraWire使用加权随机分布来确定要点击的链接数量。例如，["1:90","2:10"]就表示Trojan.ChimeraWire有90%的概率点击一个链接，有20%的概率点击两个链接。因此，极有可能是只点击一个链接。木马程序会从预先准备好的链接数组中随机选择一个链接进行点击。

每次点击搜索结果中的链接或点击加载的页面后，木马程序会根据任务返回上一个标签页或切换到下一个标签页。此操作序列会重复执行，直到达到目标网站的点击次数上限。

以下是C2服务器发送给木马的任务中包含其参数的一些网站示例：

木马ChimeraWire及其下载过程中所使用的其他恶意软件的详细技术说明请参阅PDF版研究报告和DoctorWeb公司病毒知识库。

Trojan.ChimeraWire更多详情
Trojan.DownLoader48.54600更多详情
Trojan.Starter.8377更多详情
Python.Downloader.208更多详情
Trojan.DownLoader48.54318更多详情
Trojan.DownLoader48.61444更多详情

结论

目前，Trojan.ChimeraWire的恶意活动主要限于执行相对简单的点击操作，目的只是提升网站访问量。然而，其底层工具的功能可以执行更广泛的任务，包括伪装成合法用户活动的各种自动化操作。例如，攻击者可以利用木马填写网页表单，包括那些为广告服务的调查网站的表单。还可以利用木马读取网页内容并创建屏幕截图，也就是可以用来进行网络间谍活动或者自动将信息收集到数据库（例如电子邮箱地址、电话号码等）。

因此，未来可能会出现能够实现上述功能及其他功能的Trojan.ChimeraWire新版本。我公司专家将持续关注这个木马的发展动态。

MITRE ATT&CK®

步骤	技术
执行	用户参与执行(T1204) 恶意文件(T1204.002) 恶意库(T1204.005) PowerShell (T1059.001) Windows命令提示符(T1059.003) Visual Basic (T1059.005) Python (T1059.006) Windows任务计划程序(T1053.005)
持久性	Windows注册表中的启动项/自启动目录(T1547.001) 计划任务/任务(T1053)
特权提升	流程劫持：DLL查找劫持(T1574.001) 绕过用户帐户监控(T1548.002)
防御逃避	加密/编码文件(T1027.013) 调试规避(T1622) 隐藏窗口(T1564.003) 文件或路径异常(T1564.012) 文件或数据的反混淆/解码(T1140) 流程劫持：DLL查找劫持(T1574.001)
命令和控制	双向通信(T1102.002) Web协议(T1071.001)

失陷指标

ClickFix的进攻机制

Fri, 24 Oct 2025 13:08:21 GMT

ClickFix 攻击日益猖獗，给全球用户制造安全威胁。这是一种社会工程学攻击，攻击者会诱骗用户在自己的设备上执行恶意代码。
攻击始于用户访问被黑客入侵的网站或虚假网站，这样的网站会显示一个警告信息，如页面显示异常、浏览器发生错误或需要更新。屏幕上会出现“修复”、“检查”或“更新”按钮。当这些按钮出现时，恶意代码会被悄无声息地复制到剪贴板，甚至无需用户点击按钮，复制过程是自动的。然后，系统会提示用户点击“运行”将代码粘贴到命令行或窗口中。用户执行此操作后，恶意软件就会启动并安装，因为操作由用户自己执行，通常不会进行反病毒检查。

以下是一个 ClickFix 攻击的简化模拟
当用户在启动浏览器并查看内容时，出现一条预警，提示页面显示出现问题，并且这些错误出现的原因是浏览器最近的一次更新。

同时提示用户执行一系列操作来解决这个问题：

点击“Fix it!”按钮；
右键单击 Windows 图标；
从列表中选择具有管理员权限的 Windows PowerShell；
右键单击粘贴代码并执行。

点击浏览器中的按钮会静默复制恶意可执行脚本，将其粘贴到 PowerShell 终端并执行：

这个脚本会创建与 C2 基础设施的远程连接，从而使攻击者能够远程控制被感染的系统。
我们模拟的这种情况是与远程 C2 主机建立连接，并将可执行文件形式的有效载荷下载到用户主机，有效载荷的功能是修改 hosts 文件，启动其激活机制，然后终止脚本。
在恶意文件启动阶段，Dr.Web 解决方案利用预防性保护技术成功将其侦测。
另一种常见的 ClickFix 攻击是伪装成验证码的攻击。屏幕上会显示看似正常的验证过程，而恶意代码已在后台复制到剪贴板。这种伪装增加了攻击成功的可能性，诱使用户误以为只是在确认身份，在不知情的情况下与恶意内容发生交互作用。

接下来会出现如何运行代码的操作说明。

如果容易轻信的用户遵循这个步骤说明进行操作，就会让攻击者获得远程访问设备的可能：用户自己运行的是恶意脚本。

为什么ClickFix 攻击难以侦测？
当用户点击恶意网站上的按钮时，反病毒软件不会看到任何威胁。这是因为在此阶段，所有操作都还完全正常：用户自己在复制、粘贴和运行命令，就像是正常的系统操作。
当恶意文件启动或代码尝试集成到系统中的其他进程时反病毒软件会进行侦测，这时反病毒软件会识别出威胁并将其消除。换句话说，保护措施是在所谓的后运行阶段触发，此时恶意软件已开始其主动操作，比如会影响受保护的进程或其本身行为可疑。
但此时，攻击者通常已经连接到了受害者的系统。这意味着主要的恶意负载已经入侵，并且可以伪装成正常进程。
在此阶段，攻击者可以：

巩固其在系统中的存在（获得更多权限）
收集数据
通过网络移动
尝试禁用反病毒保护

此外，恶意软件可以经过加密或混淆处理，使其更难被常规防御机制发现。
为什么在进攻发生的最初阶段采取行动至关重要？
从我们上面的介绍已将可以了解到不仅要在威胁出现后做出响应，还要阻止攻击者连接到系统，这一点尤为重要。可以通过以下方法实现：

如果浏览器中出现包含命令（例如 PowerShell）的可疑消息，要检查剪贴板内容
分析网络流量，识别建立可疑连接的尝试
培养用户识别社会工程的能力，包括通过分析真实的攻击场景

游戏玩家们要小心了：Windows木马正在以作弊和修改程序为诱饵进行传播，目的是窃取加密货币和密码

Tue, 22 Jul 2025 01:00:00 GMT

2025年7月22日

DoctorWeb公司反病毒实验室侦测到发现新的恶意软件家族Trojan.Scavenger，攻击者利用这些恶意软件窃取Windows操作系统用户加密钱包和密码管理器中的机密数据。已发现感染电脑的多个木马，而且这些木马是使用合法的应用程序来进行，利用的漏洞进攻包括DLLSearchOrderHijacking类型。

导语

2024年Doctor Web公司调查了一起试图对俄罗斯企业实施定向攻击的信息安全事件，攻击方案中使用了一种恶意软件，是利用常用网络浏览器中存在的DLL搜索顺序拦截漏洞来感染目标系统（DLLSearchOrderHijacking）。Windows应用程序启动时，会按照特定的顺序在各个存储库搜索所需要的库。攻击者采取的“欺骗”手段是将恶意DLL文件放置在首先执行搜索的位置，比如目标软件的安装目录，而且木马文件的名称是位于搜索优先级较低的目录中的合法库的名称，这样存在漏洞的程序在启动时就会首先加载恶意DLL，而恶意我家或成为程序的一部分并享有同等权限。

对此次事件进行调查后，我公司技术专家在Dr.Web反防病毒产品添加了跟踪功能，可以阻止恶意软件利用程序的DLL搜索顺序拦截漏洞。在研究此功能的遥测数据时，我公司反病毒分析师发现了之前未知的恶意软件同时被下载到我公司多个客户的浏览器。通过对这些案例的研究，我们发现了新的黑客活动，特发此文进行通报。

恶意软件 Trojan.Scavenger 感染计算机的过程分为多个阶段，首先是木马下载程序利用各种方式进入目标系统。我们的专家已确定此黑客活动有两条操作链，涉及不同数量的木马组件。

利用三个加载器的操作链

在这个感染操作链中，起始组件使用的是恶意软件 Trojan.Scavenger.1, 这是是一个动态链接库（DLL），可以作为盗版游戏的一部分传播，也可以各种游戏补丁、作弊程序和模组的名义通过种子和游戏主题网站传播。接下来我们来看一个骗子将木马伪装成补丁的示例。

Trojan.Scavenger.1 以ZIP压缩包形式分发，并附带安装说明，说明中鼓动潜在受害者在OblivionRemastered游戏目录中放置一个“补丁”，慌称是可以提高游戏性能：

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

恶意文件的名称也并非攻击者的偶然选择：Windows操作系统中，名为 umpdc.dll的合法文件位于系统目录%WINDIR%\System32，是各种程序（包括游戏）使用的图形API的一部分。如果受害者的游戏版本存在未修补的漏洞，则可复制的木马文件将随之自动启动。值得注意的是，进行调查时OblivionRemastered游戏的最新版本能够正确处理umpdc.dll库的搜索顺序，因此在此示例中 Trojan.Scavenger.1 没能自动从这个库启动并继续进行感染。

而如果能成功启动，木马会从远程服务器下载并开始下一步，也就是加载器 Trojan.Scavenger.2（tmp6FC15.dll），这个加载器会下载安装这个木马家族的其他模块 Trojan.Scavenger.3 和 Trojan.Scavenger.4。

Trojan.Scavenger.3 是一个动态库version.dll，会复制到基于Chromium引擎构建的一个目标浏览器的目录，与%WINDIR%\System32目录下的一个系统库同名。存在DLL搜索顺序漏洞的浏览器不会检查此类名称的库从何处加载，由于木马文件位于浏览器目录中，因此比合法的系统库具有优先权，会首先被加载。我们的反病毒分析师记录到的是在GoogleChrome、MicrosoftEdge、Yandex和Opera浏览器中利用此漏洞的进攻.

一旦启动，Trojan.Scavenger.3 就会禁用目标浏览器的保护机制，例如启动沙箱的机制，从而导致浏览器不再能隔离所执行的JS代码。此外，该木马还会禁用浏览器中的扩展名检查，所采取的方式是根据是否存在导出函数CrashForExceptionInNonABICompliantCodeRange来识别相应的Chromium库，然后，会在该库中搜索扩展名检查例程并对其进行相应的修补。

然后，该木马会修改浏览器中安装的目标扩展，并从C2服务器以JavaScript代码的形式接收所需修改。更改的对象是：

加密币钱包
- Phantom
- Slush
- MetaMask
密码管理器
- Bitwarden
- LastPass

被修改的并不是原始文件，而是木马事先放置在%TEMP%/ServiceWorkerCache目录中的副本。为了让浏览器“获取”修改后的扩展名，Trojan.Scavenger.3 会拦截对函数CreateFileW和GetFileAttributesExW的控制，将原始文件的本地路径替换为修改后的文件路径（Dr.Web将其侦测为 Trojan.Scavenger.5 ）。

修改采用有两种形式：

向cookie添加时间戳；
添加向C2服务器发送用户数据的功能。

从Phantom、Slush和MetaMask加密钱包传输给攻击者的是私钥和助记词，从Bitwarden密码管理器发送的是登录cookie，而从LastPass窃取的是受害者添加的密码。

同时 Trojan.Scavenger.4 （profapi.dll）会复制到Exodus加密钱包应用的目录。木马随该程序自动启动，利用的还是DLL搜索顺序漏洞（原系统库profapi.dll位于目录%WINDIR%\System32，但木马文件利用漏洞在钱包启动时获取了加载优先级）。

启动后 Trojan.Scavenger.4 会拦截V8引擎与JavaScript和WebAssambly协同运行的函数v8::String::NewFromUtf8，并利用此功能件监视目标应用生成的JSON并获取各种用户数据。具体在Exodus程序木马会搜索并读取包含passphrase键的JSON，从而达到截获用户自定义助记词后解密或生成受害者加密钱包私钥的目的。接下来，木马会在加密钱包中找到私钥seed.seco，读取后并将其与之前获取的助记词一起发送到C2服务器。

利用两个加载器的操作链

这种操作链与第一个基本相同，只是藏在所谓游戏“补丁”和“作弊”软件压缩文档中不是 Trojan.Scavenger.1，而是 Trojan.Scavenger.2,变种，是一个扩展名为.ASI的文件，而非DLL文件（实际上，这是一个扩展名被修改的动态库）。

压缩文档附带的安装说明：

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

用户将文件复制到指定目录后这个恶意文件会在目标游戏启动时作为游戏插件自动启动，接下来就会执行之上描述的感染步骤。

木马家族特征

这个家族的大多数木马具有一些共同特征，其中之一是会检查是否在虚拟环境或调试模式运行。如果木马发现是人工环境就会终止运行。

另一个特点是与控制服务器通信采用同样的算法。建立通信时木马会通过发送两个请求来创建密钥并检查加密：第一个请求是获取密钥的一部分，密钥用于加密特定请求中的某些参数和数据。第二个是验证密钥，包含某些参数，例如随机生成的字符串、当前时间和加密的时间值。C2服务器使用之前收到的字符串对其进行响应。所有后续请求都包含时间参数，如果缺少时间参数，服务器将拒绝建立连接。

Trojan.Scavenger.1 更多详情

Trojan.Scavenger.2 更多详情

Trojan.Scavenger.3 更多详情

Trojan.Scavenger.4 更多详情

Trojan.Scavenger.5 更多详情

结语

我们通知了其软件因存在安全漏洞而被用于发动进攻的软件供应商，但供应商认为DLLSearchOrderHijacking类的漏洞不需要打补丁。应该说明的是，在我们侦测到 Trojan.Scavenger 恶意软件家族之前，Dr.Web反病毒产品内置的针对此类攻击的保护功能就已经成功阻止了相应浏览器的漏洞被利用，因此我公司产品的用户未受到这些木马的威胁。此次进攻调查结束后，产品中还添加了对Exodus加密钱包的保护。

失陷指标

网络医生，这样的图片打哪儿来的？非法挖掘加密货币开始使用隐写术

Fri, 24 Jan 2025 17:31:16 GMT

2025.01.24

在分析遥测数据的过程中，DoctorWeb公司反病毒实验室的专家发现了一个恶意软件样本，经研究，发现这些样本是一个门罗币（Monero，一种加密货币）挖掘活动的组成部分。这一挖矿活动的实施依靠的是相互关联的恶意链，其中两个恶意链采用的技术是运行能够从BMP图像文件中提取恶意负载的脚本。

这个挖矿活动的启动很可能是在2022年，当时曾侦测到一个可执行文件Services.exe，是一个用于运行VBscript脚本的.NET应用程序。该脚本通过连接攻击者服务器并执行响应中收到的脚本和文件来实现后门功能，在受害者的电脑下载恶意文件ubr.txt。这个恶意文件是一个PowerShell解释器脚本，但其扩展名ps1被更改为了txt。

脚本ubr.txt会检查被感染计算机是否已安装有挖矿软件，发现后会将其替换为攻击者所需的版本。该脚本安装的文件包括挖矿软件SilentCryptoMiner及其设置，黑客利用这一软件来挖掘门罗币。

我们已经多次发布有关攻击者使用这一挖矿软件的文章，这个软件备受进攻者的青睐，原因是配置简单，具备可挖掘各种加密货币的高级功能，能够屏蔽诊断工具，而且支持利用网络面板远程控制僵尸网络中的所有挖矿机。

在此次发现的挖矿活动中，挖矿软件的文件被伪装成各种其他软件，比如用于Zoom视频通话的软件（ZoomE.exe和ZoomX.exe)，或是Windows服务(Service32.exe和Service64.exe)等。存在多个恶意文件组合，且名称不同，但执行的都是相同的任务——删除其他挖矿软件，安装新的挖矿软件并为其提供更新。

PowerShell-脚本 ubr.txt

挖矿软件还会访问域getcert[.]net中带有加密货币挖掘设置的文件m.txt。其他恶意挖矿链也会使用这一资源。

文件m.txt，包含挖矿软件的设置

之后进攻者修改了攻击方法，使其更加诡异，并使用了隐写术。

隐写术是一种将一段信息隐藏在另一段信息中的方法。只是对数据进行加密会引起注意，与加密技术的是，隐写术可以将信息秘密隐藏，例如隐藏在图像中。许多网络安全专家都认为，利用隐写术来绕过安全保护措施的进攻方法将会越来越常见。

左侧图片（原始照片拍摄者是 Marek Piwnicki）包含DoctorWeb公司徽标的隐藏图像

第二条较新的攻击链则是通过Amadey木马来实现，木马运行PowerShell脚本Async.ps1，该脚本从合法图像托管网站imghippo.com下载BMP图像。使用隐写算法，从图像中提取两个可执行文件：Trojan.PackedNET.2429窃取程序和有效载荷，其功能是：

禁用要求提升管理员权限的UAC请求，
为内置的反病毒软件WindowsDefender添加诸多排除项，
禁用Windows中的通知，
创建一个名为“用户”的新任务，路径是\Microsoft\Windows\WindowsBackup\。

脚本 Async1.ps 的内容

在执行任务过程中会访问攻击者的域名，其DNSTXT记录中包含后续有效载荷的存储地址。下载后会解压BMP格式图像存档并启动以下文件：

Cleaner.txt—用于删除任何其他挖矿软件的PowerShell脚本，
m.txt—从m.bmp和IV.bmp图像中提取有效载荷的PowerShell脚本。图像中的有效载荷是SilentCryptoMiner挖矿软件和运行这一软件的注入器，
Net.txt—用于读取windowscdn[.]site和buyclients[.]xyz域中DNSTXT记录的脚本。该记录包含指向raw.githack[.]com服务的有效载荷链接。

DNSTXT记录是DNS标准记录的扩展，是用于验证域的文本，可合法使用。但是，域名所有者可以在其中输入任意数据，如像本例挖矿活动中输入的就是指向有效载荷的链接。

恶意图像存档内容

挖矿软件发模块在不断发展。最近，其编写者已开始使用合法资源来托管恶意图像，并使用GitHub平台来存储有效载荷。此外，还发现了新的模块，其功能是检查启动软件的环境是否是沙箱和虚拟机。

将运行中的应用程序名称与网络安全人员所常用的侦测工具名称进行核对的模块

挖矿软件设置中指定的一个钱包创建于2022年5月，截至今日，已有340XMR转入此钱包。然而，由于这种加密货币的汇率正经历着大幅波动，因此骗子的利润可能在600万至750万卢布之间。从算力波动（电脑有规律地开关机）来看，参与本次挖矿活动主要是位于同一时区的普通用户。平均哈希率为每秒330万次哈希，也就是说，被感染的机器每40小时会为攻击者赚取1XMR。

这次挖矿活动只是基于隐写术的网络威胁的冰山一角，也更凸显了在数字空间要保持警惕的重要性。DoctorWeb公司给用户建议依旧是仅安装来自可信来源的软件，不要打开可疑链接，从互联网下载文件时不要禁用反病毒保护。

进攻图解

失陷指标

SilentCryptoMiner 更多详情

PowerShell.Starter.98 更多详情

PowerShell.DownLoader.1640 更多详情

Trojan.PackedNET.2429 更多详情

VBS.DownLoader.2822 更多详情

eBPF技术被黑客应用及其他木马技术新动向

Wed, 11 Dec 2024 03:00:00 GMT

2024年12月11日

在对另一起网络事件的分析过程中，DoctorWeb公司反病毒分析师发现一场黑客活动正在暗中进行，并且此次进攻所采用的技术出现了不少新动向。

一家客户怀疑其计算机设施遭到黑客攻击后联系我公司进行调查。在对客户数据进行分析的过程中，我公司反病毒分析师发现多起类似的感染病例，由此我们确认，一场恶意进攻正在积极活动。黑客的活动主要针对东南亚地区，在攻击过程中使用了一系列分别在不同阶段起作用的恶意软件。遗憾的是，我们未能完全确定黑客是如何获得被感染计算机的初始访问权的，但我们复原重建了后续攻击的整个过程。此次攻击最值得注意的是使用了eBPF技术（extended Berkeley Packet Filter——可扩展数据包过滤器）。

开发eBPF技术的目的是加强对Linux操作系统网络子系统和进程操作的控制。这一展现出了相当大的潜力，吸引了大型IT公司的关注：几乎从出现的那一刻起，就包括了谷歌、华为、英特尔和Netflix等巨头就加入了eBPF基金会，参与技术的进一步研发。然而，黑客也对eBPF产生了兴趣。

攻击者将EBPF所提供的广泛功能用于隐藏网络活动和进程、收集敏感信息，并可绕过防火墙和入侵检测系统。检测此类恶意软件难度极高，因此在ART定向攻击中使用可长期掩盖黑客的活动。

我们所分析的事件中攻击者正是利用了这项技术，同时将两个Rootkit下载到了被感染的计算机。第一个安装的是eBPFrootkit，用于隐藏了另一个rootkit的运行，而第二个rootkit是内核模块，接下来就是将远程访问木马安装到系统。该木马的特点是支持多种流量隧道技术，使其能够与处于隐网的攻击者进行通信并掩盖命令传输。

2023年以来，eBPF恶意软件一直在增加，出现了基于该技术的多个恶意软件家族，包括Boopkit、BPFDoor和Symbiote。而eBPF技术漏洞也时有出现，这让情况变得更糟。目前已知的eBPF漏洞有217个，其中对约100个漏洞的识别发生在2024年。

此次黑客进攻的另一个不寻常特征是使用了一种相当有创意的木马设置存储方法。之前大多是使用专用服务器来存储木马设置，现在则越来越多的情况是恶意软件的配置存储在公共平台上的公共访问区域。我们所分析的木马软件访问的就是Github平台，甚至还有一个中文博客的页面。采用这种方法可以减少被感染计算机因流量而引起用户的怀疑，因为与之交互的是安全的网络节点，而且攻击者也不用再操心维护对保存木马配置的控制服务器的访问。应该是使用可公开访问的服务来控制木马的做法并不新鲜，黑客此前曾使用过Dropbox、GoogleDrive、OneDrive，还有Discord。然而，这些服务在许多国家（首先是在中国）被区域封锁，对黑客的吸引力也相应降低。而大多数网络供应商都提供对Github的访问，因此也就受到了进攻者的青睐。

存储在Gitlab和网络安全博客页面的设置。出奇的是，攻击者是在这个博客页面请求帮助解密第三方代码，而实际上这个代码是发送给木马的一个命令参数。

此次黑客进攻还有一个特殊之处是将木马作为后运作框架的一部分，后运作框架就是在获得计算机访问权限后进一步进行攻击的阶段所使用的软件包。此类框架本身并不禁止使用，提供安全审计服务的公司也在使用。最常见的工具是CobaltStrike和Metasploit，可自动执行大量检查并具有内置的漏洞数据库。

CobaltStrike构建的网络示例（来源：开发者网站）

当然，框架的这种能力大受黑客欢迎。2022年，CobaltStrike软件的黑客版本开始被广泛使用，导致黑客活动激增。CobaltStrike大部分基础设施的位于中国。需要指出的是，制造商正在努力监控框架的安装，并且执法机构也在不断封锁具有黑客版本的服务器。因此，目前不法分子开始转向使用开源码框架，用于扩展和修改被感染设备与控制服务器之间的网络活动。对于进攻者而言，这种策略的可取之处还在于可减少攻击者所用基础设施被发现的可能性。

所有在分析此次安全事件中识别的威胁均已添加至我公司恶意软件数据库；此外，eBPF恶意程序的行为特征也已添加至启发式算法。

Trojan.Siggen28.58279更多详情]

失陷指标

Google Play中的恶意应用：攻击者如何利用DNS协议让木马和控制服务器隐秘通信

Mon, 11 Nov 2024 01:00:00 GMT

2024 年 11 月 XX 日

许多Android.FakeApp木马的功能是跟踪各种网站链接跳转，从技术角度来看，此类恶意软件相当原始。启动后这些木马会收到打开指定网址的命令，因此安装了木马的用户在设备上看到的不是预期的程序或游戏，而是不良网站的内容。然而，有时在此类假冒应用中会出现一些值得注意的样本， Android.FakeApp.1669就是其中一个，与大多数类似威胁不同，使用的是修改后的 dnsjava 库，并通过此库从包含目标网络链接的恶意 DNS 服务器接收配置。此外，只有当用户通过某些提供商（例如移动互联网）连接到互联网时木马才会收到此类配置。在其他情况下，木马活动根本不会显现。

Android.FakeApp.1669存在大量变种，这些变种打着不同应用的幌子进行传播，包括通过应用商店 Google Play进行传播。目前已知木马变体在此官方安卓应用商店的下载量已至少 2,150,000 次。

隐藏Android.FakeApp.1669的应用示例

下面列出的是 Doctor Web公司反病毒分析师在 Google Play 上发现的 Android.FakeApp.1669 变种。此间我们的专家侦测到的木马还有更多，但其中一些已在此应用商店消失。

应用名称	下载量
Split it: Checks and Tips	1 000 000+
FlashPage parser	500 000+
BeYummy - your cookbook	100 000+
Memogen	100 000+
Display Moving Message	100 000+
WordCount	100 000+
Goal Achievement Planner	100 000+
DualText Compare	100 000+
Travel Memo	100 000+ (已下降)
DessertDreams Recipes	50 000+
Score Time	10 000+

启动时Android.FakeApp.1669会向控制服务器进行 DNS 查询，以获取与目标域名关联的 TXT 记录。但只有当受感染的设备是通过一定的提供商（比如移动互联网提供商）连接到网络时，服务器才会将此记录提供给木马。这些 TXT 记录通常包含的是域名信息和一些其他技术信息，但Android.FakeApp.1669接收的记录包含加密的恶意软件配置。

发送 DNS 查询Android.FakeApp.1669使用的是经过修改的dnsjava开源库代码。

该木马的所有变种都与特定域名相关联，这样 DNS 服务器可以传输其各自不同的配置名。此外，每个被感染的设备都有一个对其专用的目标域子域名，其中包含设备的相关数据，包括敏感数据：

设备的型号和品牌;
屏幕尺寸;
标识符（由两个数字组成：第一个是木马应用程序的安装时间，第二个是随机数值）;
电池是否正在充电以及当前电量;
是否启用厂商设置。

例如，隐藏在应用Goal Achievement Planner中的Android.FakeApp.1669在分析过程中向服务器请求的 TXT记录对应的是域 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com.，藏身于软件Split it: Checks and Tips中的变种接收的记录对应 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital.，而DessertDreams Recipes中的变种接收的记录对应 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com.。

在分析某Android.FakeApp.1669变种的过程中DNS 服务器收到木马通过 Linux工具dig 发出的查询时返回的目标域 TXT 记录示例

解密TXT记录需完成一系列步骤：

将字符行反转；
解密Base64;
解压gzip;
按字符÷分行。

解密后的记录（此示例为Goal Achievement Planner中的木马接收的TXT记录)：

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

记录中包含一个链接，木马会将其加载到其窗口的 WebView覆盖主界面。此链接指向一长串重定向的网站，最终是在线赌场网站。Android.FakeApp.1669 实际上是一个显示所加载网站的内容Web 应用，而不是在 Google Play 应用商店声明的功能

恶意软件显示的是在线赌场网站，而不是预期的功能

同时，当木马不是通过目标提供商访问互联网连接以及离线模式时，会执行所声明的程序功能，当然前提是此变种的编写者确实为其设定了非恶意功能。

木马未从控制服务器接收配置并以正常程序启动

移动设备保护产品Dr.Web Security Space能成功侦测并删除Android.FakeApp.1669的所有已知变种，因此此类木马不会对我们的用户构成威胁。

失陷指标

Android.FakeApp.1669更多详情

超28000名用户遭受加密货币挖矿窃取木马的影响

Tue, 08 Oct 2024 01:00:00 GMT

2024.10.08

Doctor Web反病毒分析师发现，用于挖掘和窃取加密货币的恶意软件正在大规模持续传播，这些木马以办公程序、游戏作弊程序和在线交易机器人为幌子安装到受害者的计算机。

在对我公司产品用户的云遥测数据进行例行分析期间，我反病毒实验室技术人员发现了一种程序伪装成Windows操作系统组件（StartMenuExperienceHost.exe，同名合法进程负责的是响应管理开始菜单），活动是否可疑，会联系远程网络节点并等待外部连接，连接后会立即启动命令行cmd.exe解释器。

伪装成系统组件是一个网络工具Ncat，用于利用命令行在网络传输数据的合法目的，而我们发现的可疑活动帮助还原了安全事件原委，确定了在这次事件中恶意软件企图感染计算机，被Dr.Web反病毒软件成功阻止。

感染源是攻击者在GitHub平台建立的诈骗网站（需要申明的是该平台规则禁止此类活动），从这一网站下载程序即会发生感染。另外一种感染途径是恶意软件链接出现在Youtube托管视频的相关描述，单击链接就会下载一个自解压的加密存档。该存档受密码保护，目的是防止反病毒软件对其进行自动扫描。输入黑客在下载页面指定的密码后，会在受害者计算机上的文件夹%ALLUSERSPROFILE%\jedist 解压以下一组临时文件：

UnRar.exe — RAR存档解压器；
WaR.rar — RAR存档；
Iun.bat — 创建执行脚本Uun.bat任务的脚本，会重启计算机后删除自身；
Uun.bat — 经混淆处理的脚本，会解压文件WaR.rar，启动其中的文件ShellExt.dll和UTShellExt.dll，之后会删除由Iun.bat创建的任务和文件夹jedist及其所有内容。

文件ShellExt.dll是一个AutoIt语言解释器，本身无恶意。但这并非文件的真实名称。不法分子将ShellExt.dll中的名称为AutoIt3.exe的原文件进行了重命名，伪装成将存档器功能集成到Windows菜单的中WinRAR程序库。启动后解释器会启动从工具Uninstall Tool借用的文件UTShellExt.dll，该库被加入了使用有效的数字签名的AutoIt 恶意脚本附。此脚本执行后会解压有效负载，负载其中的所有文件都经过深度混淆。

AutoIt语言是一种用于为Windows操作系统创建自动化脚本和工具的编程语言，因易于学习和功能广泛而受到不同用户（包括病毒编写者在内）的欢迎。一些反病毒程序已将任何由AutoIt编译的脚本侦测为恶意脚本。

文件UTShellExt.dll执行以下功能：

在进程列表中查找正在运行的调试软件。该脚本包含大约50个调试工具名称，一旦识别出其中一个工具的进程，则脚本会结束自己的运行
如果未发现调试软件，会将继续攻击所需文件解压到被感染的系统，其中有些文件本身网络通信所必需“干净”文件，其余文件则执行恶意操作
创建系统事件，以便使用Ncat启用网络访问并加载BAT和DLL文件；更改注册表，以便使用IFEO技术拦截应用程序启动
IFEO (Image File Execution Options) — 是Windows操作系统为软件开发人员提供的功能，例如，在应用程序启动时自动启动调试器。但IFEO 技术可以让攻击者进驻系统，只需更改调试器的路径，将其改为恶意文件的相应路径，以便每次启动合法应用程序时，恶意应用程序也会启动。这样黑客就“挂上钩”的不仅是Windows操作系统的系统服务，还有与Google Chrome和Microsoft Edge浏览器的更新进程（MoUsoCoreWorker.exe、svchost.exe、TrustedInstaller.exe、GoogleUpdate.exe和MicrosoftEdgeUpdate.exe）。
禁止对步骤2中创建的文件夹和文件进行删除、写入和修改
禁用Windows操作系统恢复服务
利用Telegram向攻击者发送有关被感染计算机的技术特征、名称、操作系统版本以及已安装的反病毒软件的相关信息。

暗中执行加密货币挖矿和窃取功能的文件是DeviceId.dll和7zxa.dll。. 两个文件都是使用Process Hollowing技术嵌入到explorer.exe进程（Windows Explorer）。第一个文件是.NET 开发环境的合法库，但其中加入恶意AutoIt脚本，用于启动挖矿程序SilentCryptoMiner 。这个挖矿程序有着挖掘加密货币的多种配置，且可隐蔽挖矿过程，并可远程控制。

库7zxa.dll伪装成7-Zip归档器的一个组件，是一个Clipper。此类恶意软件用于监视剪贴板数据，将其替换或转发给攻击者。此次监控的是剪贴板中是否出现代表钱包地址特征的典型符号序列，会将其替换为攻击者指定的符号序列。截至本文发布时，可以确定仅凭借此Clipper黑客盗窃额已超过6000美元。

Process Hollowing技术是将可信任进程转为暂停状态，用恶意代码覆盖其内存中的代码，然后恢复进程，因此使用这种技术会出现同名进程的副本。在我们的案例中，用户计算机上共出现三个 explorer.exe进程，这本身就很可疑，因为通常此进程应为单一进程。

遭受此次网络犯罪袭击的用户超过28,000人，其中绝大多数是俄罗斯居民。此外，白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也出现了大量感染病例。受害者的计算机是在安装盗版流行程序时被感染，因此要防止此类事件，我们的建议是从官方来源下载软件、使用开源同类程序并使用反病毒软件。 Dr.Web产品成功抵御此次威胁，为用户提供可靠保护。

Trojan.AutoIt.1443

失陷指标

攻击者上钩：利用安装易受攻击的Redis数据库的服务器捕获到rootkit新变种，其功能是隐藏加密货币“挖矿”进程

Thu, 03 Oct 2024 01:00:00 GMT

2024年10月3日

DoctorWeb公司反病毒分析师侦测到rootkit新变种。这一新变种在被感染的Linux计算机安装挖矿木马Skidmap，rootkit为操作系统内核的恶意模块，通过替换处理器负载和网络活动的相应信息来隐藏挖矿木马的活动。此次攻击为规模行进攻，主要针对企业部门的大型服务器和云环境，原因是利用这些资源可实现挖矿效率的最大化。

Redis数据库管理系统是世界上最常用的数据库管理系统之一，像X（之前名为Twitter）、AirBnB、Amazon这样的大公司都在使用Redis服务器。这种系统的优点很明显：拥有最大的性能，同时对资源需求最小且支持各种数据类型和语言编程。但也有弱点：由于Redis的应用最初并不是在网络外围，因此默认配置仅支持基本的安全功能，并且6.0之前的版本缺乏访问控制和加密机制。此外，每年专业媒体都会出现发现Redis漏洞的报道，如，2023年就记录到12个漏洞，其中3个被确定为“重大”漏洞。服务器被攻破后被安装挖矿软件而受到损害的报导日渐增多，引起我公司反病毒实验室的兴趣，我们的技术专家决定对此类攻击进行一次直接观察。为此，我们决定在停用保护机制的情况下启动我们的Redis服务器，以此为饵坐等不速之客。在这一年的时间里，这台服务器每个月都遭受到10次到14,000次攻击，而最近服务器上出现了我们的分析师等待已久的恶意软件Skidmap。而且，还有令人意想不到的收获：在这起进攻中，网络犯罪分子使用了一种隐藏挖矿活动的新方法，并且同时安装了四个后门。

有关Skidmap木马的第一份报告出现于2019年。这种木马挖矿程序具有一定的定向性，主要是出现在企业网络，因为利用企业资源秘密挖矿可以获得最大的回报。尽管此木马出现已有五年之久，但其运行原理并未发生改变，一直是利用漏洞或不正确的软件设置安装到系统。黑客在我们的诱饵服务器向系统cron调度程序添加了任务，每10分钟启动一个脚本来下载释放器Linux.MulDrop.142（或其变种Linux.MulDrop.143）。这个可执行文件会检查操作系统的内核版本，禁用SELinux安全模块后解压rootkit文件Linux.Rootkit.400、挖矿程序Linux.BtcMine.815和后门文件Linux.BackDoor.Pam.8/9、Linux.BackDoorSSH.425/426以及用于进行远程访问的木马Linux.BackDoor.RCTL.2。该释放器的一个显着特征是文件相当大，包含支持各种Linux版本的可执行文件。我们所观察到的是释放器主体中有大约60个文件，分别支持服务器经常使用的多个Debian和RedHatEnterpriseLinux版本.

安装后，rootkit会拦截系统调用，以便生成虚假信息来响应管理员输入的诊断指令。被拦截的函数包括CPU平均负载报告、多个端口的网络活动报告以及显示文件夹中的文件列表的函数。Rootkit还会检查所有已加载的内核模块，并阻止那些能够侦测其存在的模块运行。所有这些功能使其可以完全隐藏加密货币挖矿活动的包括计算、发送哈希值和接收任务在内的所有进程。

此次攻击还包括由释放器安装后门，目的是保存并向攻击者发送所有有关SSH授权的数据，以及系统所有帐户主密码数据。而且发送时所有密码均使用凯撒密码进行额外加密，偏移量为4个字母。

为进一步扩大对被黑系统的控制能力，攻击者还安装了RAT木马Linux.BackDoor.RCTL.2。利用这个木马可以向被感染的服务器发送命令，并使用由木马自行建立的加密连接从服务器接收所有类型的数据。

执行挖矿功能的是程序xmrig，可挖掘多种加密货币，其中最知名的是门罗币，由于其在交易时完全匿名，在暗网极受欢迎。发现服务器集群中有被rootkit隐藏的挖矿软件是一项相当不简单的事情，在缺乏有关资源消耗的可靠信息情况下，唯一可以猜测到被入侵的只是异乎寻常的电能消耗和热量释出。攻击者还能更改矿工设置，在挖矿性能和维持设备运行速度之间提供最佳平衡，从而进一步降低秘密挖矿被发现的可能性。

Skidmap恶意软件家族的演变体现在攻击模式的复杂化：启动的程序相互调用、禁用保护系统、干扰大量系统工具和服务的运行、下载rootkit等，这些都使对此类事件的应对工作变得异常复杂。

所有此次侦测到的威胁均已添加到Dr.Web病毒库，不会对我公司产品的用户构成威胁。

失陷指标

Linux.MulDrop.142更多详情

Linux.MulDrop.143更多详情

Linux.MulDrop.144更多详情

Linux.Rootkit.400更多详情

超百万安卓机顶盒被“空白”

Thu, 12 Sep 2024 17:58:32 GMT

2024年9月12日

Doctor Web公司技术专家侦测到一个新的安卓机顶盒感染病例。被命名为Android.Vo1d新恶意软件已感染了197个国家/地区用户的近1,300,000台设备。这是一个后门，能将其组件安装到系统区域，在攻击者的指挥下秘密下载和安装第三方软件。

2024年8月，有几个用户因Dr.Web反病毒软件在其设备上侦测到系统文件区域发生变化联系了我公司技术支持。侦测到系统文件区域发生变化的机型是：

电视机顶盒机型	厂家声明的系统版本
R4	Android 7.1.2; R4 Build/NHG47K
TV BOX	Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP	Android 10.1; KJ-SMART4KVIP Build/NHG47K

不同机型的感染迹象相似，在此仅以最早侦测到的一例来加以介绍。木马更改了机顶盒的以下对象:

install-recovery.sh
daemonsu

此外，文件系统中出现了4个新文件：

/system/xbin/vo1d
/system/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real

文件vo1d和wd—就是我们所发现的木马Android.Vo1d的组件。

该木马的编写者使用“vo1d”命名木马组件的原因可能是试图将其伪装成系统程序/system/bin/vold。该恶意软件也由此文件名称而得名（将小写字母“l”替换为数字“1”）。此外，这个拼写与“void”（英文“空白”一词）相近。

文件install-recovery.sh是大多数安装设备都有的一个脚本，在操作系统启动时启动，包含指定元素自动运行的数据。如果恶意软件具有root访问权限并且能够写入系统目录/system，那么恶意软件就可以将自身添加到此脚本（或者创建一个包含自身的脚本），这样就可在被感染设备立足）。Android.Vo1d写入脚本的是自动启动组件wd。

被修改后的文件install-recovery.sh

文件daemonsu存在于许多有root权限的安装设备上，由系统启动，负责向用户打开root权限。Android.Vo1d在此文件中进行了注册自身，同时设置了自动启动模块wd。

文件debuggerd通常是一个用于生成错误报告的守护进程，但在被感染机顶盒，这个文件已被替换为启动组件wd的脚本。

本例中脚本副本文件debuggerd_real替换的原文件是debuggerd。我公司专家认为，木马编写者的意图是将原文件debuggerd移至debuggerd_real并保持运行功能。然而，感染可能发生了两次，木马移至此路径的是脚本副本，结果造成设备上出现了两个木马脚本，真正的程序文件debuggerd已不复存在。

联系我公司技术的其他用户被感染的设备上的文件列表略有不同：

daemonsu( 类似文件vo1d—Android.Vo1d.1);
wd(Android.Vo1d.3);
debuggerd( 与前面介绍的脚本类似);
debuggerd_real( debuggerd工具的原文件);
install-recovery.sh( 用于加载自身所含对象的脚本).

对所有这些文件进行研究后我们看到，木马编写者将Android.Vo1d植入系统至少使用了三种不同的方法：修改文件install-recovery.sh和daemonsu，以及替换程序debuggerd。这样，只要系统中存在一个目标文件，就可以达到后续设备重新启动时自动运行木马的目的。

Android.Vo1d的主要功能隐藏在两个协同运行的组件vo1d(Android.Vo1d.1)和wd(Android.Vo1d.3)中。Android.Vo1d.1模块负责启动Android.Vo1d.3并监控其活动，必要时会重新启动进程。此外，根据控制服务器的命令，此模块还能下载并运行可执行文件。而Android.Vo1d.3模块安装到设备并启动其主体中加密的守护进程(Android.Vo1d.5)，这一守护进程也具备下载和启动可执行文件的功能，此外，还会跟踪指定目录中是否出现应用程序的APK文件，出现后便会将其安装到设备。

我公司病毒分析师进行调查表明，感染Android.Vo1d后门的设备约达1,300,000台，分布在近200个国家，其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚发现了较多的感染病例。

感染设备数量最多的国家

传播Android.Vo1d的攻击者选择电视机顶盒作为目标的一个可能原因是此类设备通常操作系统是陈旧的安卓版本上，这些版本没有修复漏洞，并且厂家不再提供更新。例如，联系我们的用户的设备的系统是Android7.1，虽然一些用户设备表明的是更新的版本Android10和Android12。对于低档产品来说，厂商的这种做法并不罕见：设备实际使用的是老版本操作系统，为吸引买家而声称是较高版本。

此外，用户经常会错误地将机顶盒视为比智能手机安全的设备。因此，不太可能为机顶盒安装反病毒软件，在下载第三方应用程序或安装非官方固件时便会面临遭遇恶意软件的风险。

目前，此次机顶盒后门感染的源头尚不清楚。一种可能的媒介可能是中介恶意软件利用操作系统漏洞获取了root权限，另一种可能是使用了具有root访问权限的非官方固件版本。

Dr.Web Security Space移动设备保护产品能够侦测Android.Vo1d木马的所有已知变种，在具备root访问权限的情况下能够对感染的设备进行清除

失陷指标

Android.Vo1d.1更多详情

Android.Vo1d.3更多详情

Android.Vo1d.5更多详情

盗版软件中隐藏的挖矿程序使不法分子能够通过其受害者来获取利益

Mon, 15 Jan 2024 00:00:00 GMT

2024.01.15

Doctor Web 公司报告称，在 Telegram 和一些互联网平台的盗版软件中，发现了越来越多的用于隐蔽挖掘加密货币的特洛伊木马矿工软件。

2023 年 12 月，Doctor Web 病毒实验室的员工注意到，特洛伊木马矿工 Trojan.BtcMine.3767 和相关的 Trojan.BtcMine.2742 的检测数量越来越多，而事实证明这些木马矿工是通过用户使用的各种盗版软件传播到计算机上的。

Trojan.BtcMine.3767 是一种用 C++ 编写的针对 Windows 操作系统的木马程序。这是一个基于开源项目 SilentCryptoMiner 的矿工加载程序。感染该木马的软件主要来自 Telegram 频道 t[.]me/files_f（超过 5000 名用户）以及 itmen[.]software 和 soft[.]sibnet[.]ru 网站。请注意，对于后者，我们使用 NSIS 安装程序准备了单独的安装包。解压安装包后，发现了不法分子用来存储木马源文件的路径：

C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\

根据 Doctor Web 病毒实验室的数据，一个半月的时间里，仅一次该特洛伊木马的传播活动就导致超过 40,000 台计算机感染。然而，考虑到 Telegram 频道上发布的帖子的浏览统计和网站流量，问题涉及的范围可能更为庞大。

启动后，引导加载程序将自身复制到一个名为 updater.exe 的 %ProgramFiles%\google\chrome\ 目录中，并创建一个调度程序任务以确保在操作系统启动时自动加载。为了伪装，该任务被命名为 GoogleUpdateTaskMachineQC。此外，引导加载程序还将其文件添加到 Windows Defender 杀毒软件的排除项列表中，并禁止计算机关闭和进入休眠模式。初始的保护设置被嵌入到特洛伊木马主体中，以后设置将从远程主机获取。初始化之后，木马软件 Trojan.BtcMine.2742 被注入explorer.exe进程中，负责进行隐藏的加密货币挖掘。

此外，引导加载程序还可以在受影响的计算机上安装无文件的 rootkit r77，禁止 Windows 操作系统更新，阻止访问网站，自动删除和恢复其源文件，暂停加密货币挖矿，以及当在受感染的计算机上运行进程监控程序时，会释放木马矿工占用的内存和显存。

Dr.Web 杀毒软件能够成功检测并清除木马 Trojan.BtcMine.3767 和 Trojan.BtcMine.2742，因此对于我们的用户来说，它们不构成任何威胁。

入侵迹象

利用Openfire 软件中的漏洞可未经授权访问被感染的服务器

Mon, 25 Sep 2023 01:00:00 GMT

2023 年 9 月

Doctor Web通报用户Openfire消息服务器恶意插件正在传播。截至本文发布时，全球范围内已有3,000多台运行Openfire软件的服务器受到漏洞影响，黑客可利用此漏洞访问文件系统并将被感染服务器变成僵尸网络中的节点。

2023 年 6 月有客户联系我公司，报告了一起攻击者加密服务器文件的安全事件。我公司技术人员进行调查过程中发现，感染利用了Openfire消息软件中的CVE-2023-32315漏洞。此进攻利用的是“目录遍历”类攻击，在没有进行身份认证的情况下访问Openfire软件的管理界面，被利用漏洞创建具有管理员权限的新用户。然后，攻击者使用新帐户登录并安装可执行任意代码的恶意插件helloworld-openfire-plugin-assembly.jar（SHA1：41d2247842151825aa8001a35ee339a0fef2813f）。此插件可在安装了 Openfire 软件的服务器上使用命令行执行解释器命令，并可运行通过POST请求发送到插件的Java语言代码。正是利用这种方式一个勒索木马我公司客户服务器得以启动。

为提取到这一勒索软件的样本，我们创建了一个安装了Openfire软件的蜜罐服务器，并对其攻击进行了数周的监控。在此服务器运行期间，我们获取到三种不同恶意插件的样本。此外，提取到 Openfire软件被黑客攻陷后安装在服务器上的属于两个木马家族的木马。

第一个木马是用Go语言编写的挖矿软件，名称为 kinsing (Linux.BtcMine.546)。使用此木马的攻击分四个阶段进行：

利用漏洞CVE-2023-32315创建名为OpenfireSupport的管理帐户。
使用创建的账号进行认证。
在服务器安装恶意插件plugin.jar（SHA1:0c6249feee3fef50fc0a5a06299c3e81681cc838）。
利用已安装的恶意插件下载并启动木马。

另一个攻击是在系统安装了用 C 语言编写并通过UPX 加壳程序打包的木马Linux.BackDoor.Tsunami.1395。感染过程与上述过程基本相似，不同之处在于管理员账号使用随机名称和密码创建。

第三种情况最为特殊，攻击者并没有在系统安装木马，而是通过Openfire恶意插件获取被感染服务器的信息，包括网络连接、IP 地址、用户和系统内核版本的相关信息。

所有情况下安装的恶意插件都是用Java编写的后门JSP.BackDoor.8，可以攻击者发送GET和POST请求的形式执行不同指令。

Openfire 消息发送服务器的相关漏洞已在软件更新至版本 4.6.8 和 4.7.5中得到修复。我们建议使用更新后的版本。如果无法使用更新后的版本，则需尽量缩小可能被攻击的可能：限制对端口 9090 和 9091 的网络访问、更改Openfire配置文件、将管理员控制台地址重定向到loopback接口或使用插件AuthFilterSanitizer。

Dr.Web反病毒软件能够成功侦测并解除后门JSP.BackDoor.8的变种以及Linux.BtcMine和Linux.BackDoor.Tsunami家族木马的威胁，因此这些恶意定向不会对我们的用户构成任何危险。

操纵的“艺术”：诈骗者利用移动设备远程管理软件窃取资金

Fri, 22 Sep 2023 02:00:00 GMT

2023 年 9 月 22 日

Doctor Web公司通报广大用户，使用远程桌面访问程序进行不法活动的案件数量在不断增加。攻击者最常使用的程序是 RustDesk。

由于最近多家银行的数据库片段被泄露，不法分子获取了客户的个人数据，并利用这些数据来获得受害者的信任。犯罪分子冒充银行客服人员，称受害者账户发现可疑活动，可能会导致金钱损失，而防止被窃需在设备安装一个“安全”程序，并建议用户打开应用程序商店并在搜索栏中输入“Sberbank support”、“VTB support”等进行查找。

来源： nakopi-deneg.ru

而事实上，直到最近，在Google Play输入此类搜索短语的结果中位于顶部的都是AweSun 远程桌面、RustDesk 远程桌面和 AnyDesk 远程桌面等程序。这种情况是由于 Google Play 上的应用程序排名系统要顾及用户在输入特定搜索查询后所选择的应用程序。使用关键字“bank_name support”搜索应用程序时，错误点击远程管理应用程序的链接的人越多，Google Play 就越会向用户推荐此类程序。

需要注意的是，远程控制程序本身并不具有恶意，但问题出现在可能被用来实施非法行为。

安装应用程序后，诈骗者会要求受害者提供独有 ID，然后就会完全控制设备。通过访问设备可以从受害者的帐户进行付款和转账。在这种情况下，受害人无法证明黑客攻击和撤回交易，因为从银行的角度来看，与支付系统交互的是客户的设备。

Google 目前已将 RustDesk 应用程序从 Google Play 商店删除。因此，攻击者已将其活动转移，通过各种网站来实施远程控制诈骗，如网站hххps://помощникбанков[.]рф。

这些网站会邀请访问者下载上面提到的 RustDesk。在某些情况下，为了更具说服力，所下载应用程序的名称和图标已替换为与特定银行相对应的名称和图标。来自“满意用户”的所谓评论也有加强对用户的心理影响。

Dr.Web反病毒软件将RustDesk侦测为Tool.RustDesk.1.origin，其变种侦测为Android.FakeApp.1426。为提高安全性起见URL 过滤器组件会阻止对恶意站点的访问，从而防止用户成为受害者。

Doctor Web公司提醒您：

接听银行和其他组织的电话时要保持警惕。
切勿应他人要求在您的设备上安装程序。
请勿与任何人分享短信或推送通知中的代码。
不要与“银行员工”交谈。如果您收到有关帐户被划款的消息，请挂断电话，然后可自行拨打银行卡所示电话号码打通银行进行核实。

Tool.RustDesk.1.origin更多详情

Android.FakeApp.1426更多详情

失陷指标:

помощникбанков[.]рф
поддержкабанка[.]рф
поддержка-банка[.]рф
цбподдержка[.]рф
поддержкацб[.]рф
24поддержка[.]рф

sha1:2fcee98226ef238e5daa589fb338f387121880c6
sha1:f28cb04a56d645067815d91d079b060089dbe9fe
sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
sha1:535ecea51c63d3184981db61b3c0f472cda10092
sha1:ee406a21dcb4fe02feb514b9c17175ee95625213

Android.Spy.Lydia 家族木马伪装成伊朗在线交易平台

Wed, 13 Sep 2023 00:00:00 GMT

2023 年 9 月 13 日

Doctor Web 发现 Android.Spy.Lydia 木马家族出现新版本，这些木马可在被感染的安卓设备执行多种间谍功能，并且能让不法分子远程控制这些设备，窃取个人信息和金钱。同时，这些木马具有保护机制，会检查是否是在模拟器或测试设备启动。一旦发现这种情况木马就会停止运行。

木马通过伪装成金融网站的恶意网站进行传播，例如在线交易所，不法分子设计这些网站主要针对的是伊朗居民。此类站点的一个示例是 hxxp[:]//biuy.are-eg[.]com/dashbord。

潜在的受害者访问网站后会被要求输入个人数据：姓氏、名字、父名、手机号码和身份证号码。输入所需信息后，设备会打开页面 hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php，通知进行交易需下载并安装专门软件。然而，点击下载按钮后，受害者加载的并不是预期的正常程序，而是 Android.Spy.Lydia.1木马的一个变种。

启动后，木马会从 hxxp[:]//teuoi[.]com 网站得到钓鱼网站的链接，然后不启动浏览器，而是通过 WebView组件在设备屏幕显示网站。我公司技术人员得到的恶意软件版本打开的链接是：hxxps[:]//my-edalatsaham[.]sbs/fa/app.php。

WebView加载的钓鱼网页截图：

这是用于输入国民身份证号码的表格，不法分子谎称随后将按照此号码进行“股息支付”。在这一步木马会将识别码以及设备已被感染的信息发送到控制服务器。

感染后，木马通过WebSocket协议连接到远程主机ws[:]//httpiamaloneqs[.]xyz:80，并等待接收会同时发送到所有已感染设备的指令。每一指令都配备有其目标设备的识别码。下面的截图显示的是 C&C 服务器发送到僵尸网络的指令。

Android.Spy.Lydia家族木马能够执行以下功能：

收集设备已安装应用的相关信息
在应用列表隐藏或显示自己的图标
关闭设备声音
将短信内容传输到服务器或指定号码
将剪贴板内容传输到服务器
向指定号码发送任意内容的短信
将电话簿中的联系人列表传输到服务器
向电话簿添加新的联系人
使用WebView组件加载指定的网站

这些功能能够让不法分子通过木马拦截 SMS 消息、确定潜在受害者使用哪些银行应用程序并实施诈骗。例如，犯罪分子可以读取银行短信，获取有关帐户余额和交易的详细信息，从而能够在进行诈骗时轻易获得用户信任。此外，利用A2P技术（从应用程序发送短信）和短信转发协议中的漏洞，诈骗者可以假冒银行发送虚假消息，要求用户采取某些使银行账户的安全面临风险操作。读取受害者的通讯信息后，诈骗者可以假冒其认识人来“借钱”、求助支付账单等。而且这些木马盗窃账户相关信息后可以让不法分子绕过双重素身份验证，获得对银行账户的掌控权。

这种类型的攻击正在迅速蔓延：根据俄罗斯央行的数据，2023 年第二季度非法交易量增加了 28.5%。在此期间，攻击者共窃取了 36 亿卢布。

Doctor Web 提醒不要从可疑来源下载软件，在意外收到来自银行和其他组织的电话或消息时需谨慎行事。此外，我们强烈建议您安装反病毒软件。

用于保护安卓设备的反病毒软件Dr.Web Security Space能够侦测 Android.Spy.Lydia家族木马并解除其威胁，保护用户的设备，防止个人信息和账号被窃。

失陷指标

Android.Spy.Lydia.1 更多详情

潘多拉魔盒已打开：知名木马Mirai摇身一变，出现在 Android TV 的电视和机顶盒

Wed, 06 Sep 2023 00:00:00 GMT

2023 年 9 月 6 日

Doctor Web公司技术人员发现 Android.Pandora木马家族能够在固件更新或安装盗版视频应用时入侵用户设备，从而非法观看视频内容。这一后门木马继承了其前身——知名木马 Linux.Mirai 的强大 DDoS 攻击能力。

我公司技术人员收到用户反映系统区域中的文件被更改。威胁监视器对设备上文件系统中的以下对象作出了响应：

/system/bin/pandoraspearrk
/system/bin/supervisord
/system/bin/s.conf
/system/xbin/busybox
/system/bin/curl

还发现有两个文件遭到更改：

/system/bin/rootsudaemon.sh
/system/bin/preinstall.sh

不同的设备发生更改的文件也有所不同，因为安装这一恶意软件的脚本会查找可执行代码位于 .sh 文件的系统服务，并向此文件添加启动木马的一行指令：

/system/bin/supervisord -c /system/bin/s.conf &

通过这种方式设备重新启动后木马就会出现在系统中并可开始运行所。

特别值得注意的是一个名为pandoraspearrk的混淆文件。对其进行分析后此文件已被命名为Android.Pandora.2后门并添加到Dr.Web病毒库，其主要功能是将被受感染的设备变成僵尸网络的一部分来实施分布式 DDoS 攻击。 Supervisord 文件是一项监视可执行文件 pandoraspearrk状态的服务，如果文件终止运行，会重新启动后门。 Supervisord 从s.conf 文件获取其设置。busybox 和curl 者两个文件是同名命令行工具的普通版本，用于提供网络功能和运行文件系统。 rootudaemon.sh文件启动具有 root 权限daemonsu服务和上面已提到的supervisord，并向其传递来自s.conf的参数从。 preinstall.sh 可程序执行设备制造商设定的各种操作。

这一恶意软件针对的是 Android TV 设备用户，主要是低价位设备用户，包括机顶盒 Tanix TX6 TV Box、MX10 Pro 6K、H96 MAX X3 等设备。

我们发现，这一木马是对 Android.Pandora.10 后门（之前名称为 Android.BackDoor.334）的变种，该后门之前出现于 2015 年 12 月 3 日 MTX HTV BOX HTV3 机顶盒的恶意固件更新。此更新有可能是从不同站点分发，因为是使用Android Open Source Project Android的公开测试密钥进行的签名。启动后门的服务存在于 boot.img加载镜像。下图显示的是 boot.img 中 init.amlogic.board.rc 文件恶意服务的启动。

Android.Pandora后门家族的第二个传播媒介是来自盗版流媒体电影和电视剧的网站的应用程序。此类资源的示例包括面向西班牙语用户的名称为 youcine、magistv、latinatv 和 unitv 的域名。

在设备安装并启动应用程序后，会在用户不知情的情况下启动GoMediaService 服务。首次启动应用程序后，此服务会在设备启动时自动启动，并调用 gomediad.so 程序。示例中的版本是解压多个文件，包括可执行文件classes.dex，此执行文件已被Dr.Web反病毒软件侦测为Tool.AppProcessShell.1，是一个具有优先权限的命令解释器。设备上的其他程序可以通过开放端口 4521 与此命令行解释器交互作用。下图显示的是 gomediad.so 程序创建的文件结构，此程序启动后被侦测为 Android.Pandora.4。

解压后的文件中有一个是.tmp.sh，就是是我们已经熟悉的Android.Pandora.2后门的安装程序。安装并启动后，后门从命令行参数或使用 Blowfish 算法加密的文件中获取控制服务器的地址。后门连接服务器后下载hosts文件来替换原来的系统文件，之后启动自我更新，完成更新后就可以接收指令。

向受感染的设备发送指令时攻击者可以利用 TCP 和 UDP 协议启动和停止 DDoS 攻击，执行 SYN、ICMP 和 DNS-flood、打开reverse shell、挂载 Android TV OS 系统分区进行读写等。这些功能都通过Linux.Mirai 木马的代码来实现的，自 2016 年以来，该木马已曾用来组织对 GitHub、Twitter、Reddit、Netflix、Airbnb 等知名网站的 DDOS 攻击。

Doctor Web 建议将设备上的操作系统更新到现有漏洞已被修复的最新版本，并仅从可信任的官方网站或应用商店下载软件。

用于保护Android设备的 Dr.Web Security Space在具有root 权限的情况下能够解除 Android.Pandora以及嵌入这一恶意软件的应用程序所能造成的威胁。如果受感染设备上无法获得 root 权限，则需要安装由硬件制造商提供的干净的操作系统镜像来清除恶意软件。

失陷指标

Android.Pandora.2和Linux.Mirai的更多详情

Android.Pandora.4的更多详情

Fruity trojan下载器对Windows计算机进行多级感染

Thu, 27 Jul 2023 00:00:00 GMT

2023 年 7 月 27 日

Doctor Web侦测到使用模块化木马加载器 Trojan.Fruity.1 对 Windows 用户进行的攻击。利用这一木马攻击者可将各种类型的恶意应用程序加载到被感染的计算机来实现其不法目的，并采用不同技术来隐藏攻击并增加进攻成功的机会，其中包括对目标系统的感染分多个阶段、使用无害软件启动木马组件以及尝试绕过反病毒保护。

已有近一年的时间Doctor Web 一直在收到Windows 计算机被 Remcos RAT (Trojan.Inject4.57973) 间谍软件感染后的用户求助。在调查这些安全事件的过程时，我们的专家发现一次攻击中扮演主要角色的是多组件木马下载程序 Trojan.Fruity.1。攻击者通过创建恶意网站和编写各种程序的安装程序来传播这种木马加载器，其中包括处理器、显卡和 BIOS的微调工具、用于检查计算机设备状态的工具等等。此类安装程序充当诱饵，不仅包含受害者感兴趣的软件，还包含木马及其所有组件。

当用户尝试从假冒网站下载程序时，访问者会被重定向到 MEGA 文件共享服务的页面，让用户下载的zip程序包中就藏有木马。

当毫无戒心的受害者从存档中提取并运行可执行文件时，会看到一个标准的安装过程，然而，除了分散用户注意力的无害程序之外，Trojan.Fruity.1 也会被安装到计算机上，与其他组件一起复制到与诱饵程序相同的文件夹中。

攻击者将合法程序作为木马的“模块”之一。在此示例中，Trojan.Fruity.1 是嵌入到 Python 编程语言的一个库中。此库使用带有有效数字签名的 python.exe 解释器启动。此外，还发现有使用 VLC 媒体播放器文件和 VMWare 虚拟环境的案例。

以下是与该木马相关的文件列表：

python39.dll：是Python数据包库的副本，其中嵌入了恶意代码；
python.exe：用于运行修改后的库的原始Python解释器；
idea.cfg：有效负载位置数据配置；
idea.mp3：加密木马模块；
fruit.png：加密的有效负载。

这些文件从安装程序中提取后就开始对系统进行多级感染。下图为Trojan.Fruity.1算法的总体图解：

第一阶段的感染

python39.dll库启动时Trojan.Fruity.1解密idea.mp3文件的内容，并从中提取dll库和用于第二阶段的shellcode（代码№1），同时还读取 idea.cfg 文件的内容。这一文件所包含的一个字符串是木马应启动的有效负载的位置信息。有效负载可从互联网或位于目标计算机的本地磁盘，这种情况下会使用之前由木马安装器提取的本地文件fruit.png。

第二阶段的感染

解密后的 shellcode（代码№1）以暂停状态启动 cmd.exe 命令解释器，所创建进程的内存写入有效负载位置(fruit.png)、第三阶段的 shellcode（代码№2）及其运行上下文信息，然后在第一阶段解密的dll文件的镜像中添加补丁，指向进程中的上下文地址。接下来，这个 dll 文件被注入到 cmd.exe 进程中，之后控制权传递到库。

第三阶段的感染

被注入的库检查加密有效负载位置字符串。如果字符串以缩写 http 开头，则库会尝试从互联网下载目标文件。否则会使用本地文件。本例中库接收的是fruit.png 文件的本地路径。此映像被移至临时目录，然后运行代码 №2 对其进行解密。fruit.png 文件中使用隐写术隐藏了两个可执行文件（dll 库），以及用于初始化下一阶段的shellcode（代码№3）。

第四阶段的感染

完成前面的步骤后，Trojan.Fruity.1 会启动代码№3，借助这一代码试图绕反病毒软件的侦测，并会在信息安全专家分析时干扰调试过程。

木马尝试注入MSBuild程序的msbuild.exe进程。如不成功，则会对 cmd.exe（Windows shell）和 notepad.exe（记事本软件）进程重复注入尝试。使用Process Hollowing手段将从fruit.png解码的两个dll库中的一个以及用于初始化第五阶段的shellcode（代码№4）注入到目标进程。

然后，在系统的临时目录中创建一个随机名称的 dll 文件，写入来自同一映像的解密的可执行文件。此文件也被注入到目标进程，但使用的是Process Doppelgänging 方法，用恶意进程替换原始内存中的应用程序进程。在本例中库是木马间谍软件Remcos RAT。

第五阶段的感染

Trojan.Fruity.1利用shellcode（代码№4）和嵌入库中的 dll 库将 python.exe 应用程序列入到操作系统的自启动，并在系统任务计划器创建启动任务。此外，Trojan.Fruity.1 将此应用程序添加到内置 Windows 反病毒扫描的排除项列表。接下来，shellcode 将随机数据写入 python39.dll 文件末尾，其哈希和会发生变化，从而与木马安装器中的原始文件项区分。它还通过更改创建日期和时间来修改库的元数据。

Trojan.Fruity.1 目前传播的是 Remcos RAT 间谍软件，但攻击者完全可以借助这一木马来传播其他恶意软件。这些恶意软件可从互联网下载，也可作为木马安装器的一部分与 Trojan.Fruity.1 一起传播。因此，网络犯罪分子会有更多机会实施各种攻击。

我们的专家在此提醒用户要从可靠的来源下载软件，如从厂家官方网站或正规的应用商店。此外，需要安装反病毒软件来保护计算机。 Dr.Web产品能够成功侦测并删除Trojan.Fruity.1木马及其恶意组件，使其无法对我们的用户构成威胁。

Trojan.Fruity.1更多详情

Trojan.Inject4.57973更多详情

陷落指标

出现内有间谍软件模块 SpinOk 的安卓应用，安装量已超过 421,000,000 次

Mon, 29 May 2023 00:00:00 GMT

2023.05.29

Doctor Web公司侦测到具有间谍功能的安卓操作系统软件模块。这种模块能够收集设备所存储文件的相关信息并将其传输给不法分子，还能替换剪贴板的内容并将其上传到远程服务器。模块以营销 SDK 的名义传播，开发人员将其嵌入各种安卓游戏和应用程序，包括在 Google Play上架的游戏和应用。根据 Dr.Web的分类标准，这一间谍模块被命名为 Android.Spy.SpinOk

SpinOk 模块通过小游戏、各种任务以及所谓的抽奖让用户留在应用程序中。进行初始化时这个木马 SDK会连接到 C&C 服务器并发送一个请求，其中包含受感染设备的大量技术数据，包括来自陀螺仪、磁力计等传感器的数据，可用于识别模拟环境中的运行并调整恶意程序的操作，以避免其被侦测。出于同样的目的，会忽略设备代理设置，可在被分析时隐藏网络连接。发出申请后，模块从控制服务器接收链接列表，并将其加载到 WebView 来显示广告横幅。

Android.Spy.SpinOk显示的广告示例：

同时，木马SDK扩展了可在所加载广告网页上运行的JavaScript代码的能力，为其添加了许多功能，包括：

获取指定目录中的文件列表；
检查设备上十分存在特定文件或目录；
从设备接收文件
获取和更改剪贴板的内容。

这让控制此木马模块的人员能够从用户的设备获取机密信息和文件。例如，内置 Android.Spy.SpinOk 的应用程序可访问的文件。攻击者只需将相应的代码添加到广告横幅的 HTML 页面中。

我公司技术人员专家在Google Play目录中的许多应用程序都检测到了此木马模块及其变种，某些应用至今仍然包含恶意 SDK，其他应用仅在某些版本中有此模块，或者已删除。我们的病毒分析师共侦测到内置此模块的程序 105 个，总下载量至少达 421,290,300 次。这意味着，数亿安卓设备用户已面临成为网络间谍活动受害者的风险。我公司已将此次侦测到的威胁通知了谷歌。

以下所列是侦测到木马 SDK Android.Spy.SpinOk的 10 个下载量最多的程序名称：

Noizz: 带音乐的视频编辑器（至少 100 000 000 次安装）
 Zapya文件交换软件（至少 100 000 000 次安装; 木马模块内置于版本6.3.3至版本6.4，最新版6.4.1中已删除）
VFly: video editor&video maker （至少 50 000 000 次安装）
MVBit - MV video status maker （至少 50 000 000 次安装）
Biugo: 奇幻视频编辑器（至少 50 000 000 次安装）
Crazy Drop （至少 10 000 000 次安装）
Cashzine - Earn money reward （至少 10 000 000 次安装）,
Fizzo Novel - Reading Offline （至少 10 000 000 次安装）
CashEM:Get Rewards （至少 5 000 000 次安装）
 Tick:watch to earn （至少 5 000 000 次安装)

查看恶意应用完整列表请打开[此链接].

保护anz移动设备的Dr.Web反病毒软件能成功检测并删除所有已知版本的Android.Spy.SpinOk木马模块及其嵌入的应用程序，因此这一恶意模块不会给我们的用户构成任何危险。

Android.Spy.SpinOk详细信息

陷落指标

新闻2023年9月15日更新

SpinOk公司已联系Doctor Web公司排查其产品被侦测的原因。经排查，SpinOK公司对其软件进行了修改，软件模块（com.spin.ok.gp）已更新至2.4.2版本，不包含恶意功能。更新后模块的检测报告。

Linux 后门软件进攻 WordPress 网站

Fri, 13 Jan 2023 04:00:00 GMT

2023.01.13

Doctor Web 侦测到一种针对 Linux 操作系统的恶意软件，利用该平台多个插件和主题中的 30 个漏洞来入侵基于 WordPress CMS 的网站。如果网站使用的是没有必要补丁老版本插件，后门软件进攻的目标网页就会被植入JavaScript恶意脚本。之后，用户点击被攻击页面的任意位置都会被重定向到其他资源。

多年来，WordPress 网站一直是网络罪犯的进攻目标。信息安全专家早已注意到该平台及其组件的各种漏洞会被用于入侵互联网资源并注入恶意脚本。我公司技术人员对此次侦测到的木马进行分析。分析结果表明，这可能是网络犯罪分子3年多来实施类似攻击并通过倒卖流量或套利来赚钱的恶意工具。

根据 Dr.Web 分类标准，此恶意程序被命名为 Linux.BackDoor.WordPressExploit.1，针对的是 32 位 Linux 操作系统的设备，但也可以在 64 位系统下运行。 Linux.BackDoor.WordPressExploit.1 是攻击者实施远程控制的后门软件，利用远程指令可执行以下操作：

攻击指定网页（网站）；
切换到待机模式；
终止运行；
停止记录操作日志。

木马的主要功能是入侵基于WordPress内容管理系统的网站，并在其网页中注入恶意脚本，利用的是 WordPress 插件以及网站主题中的已知漏洞。在攻击之前，木马会连接控制服务器并从服务器接收需要攻击的网络资源地址。然后 Linux.BackDoor.WordPressExploit.1会依次尝试利用站点上可能安装的以下插件和主题的老版本漏洞：

WP Live Chat Support Plugin
WordPress – Yuzo Related Posts
Yellow Pencil Visual Theme Customizer Plugin
Easysmtp
WP GDPR Compliance Plugin
Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
Thim Core
Google Code Inserter
Total Donations Plugin
Post Custom Templates Lite
WP Quick Booking Manager
Faceboor Live Chat by Zotabox
Blog Designer WordPress Plugin
WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
WP-Matomo Integration (WP-Piwik)
WordPress ND Shortcodes For Visual Composer
WP Live Chat
Coming Soon Page and Maintenance Mode
Hybrid

成功利用一个或多个漏洞后，目标页面就会被注入木马从远程服务器下载的恶意脚本 JavaScript。注入的方式是加载被感染的页面被时，将首先启动这个恶意脚本，不论之前页面是什么内容。之后用户点击被感染页面的任意位置都将被重定向到攻击者预设的站点。

被进攻页面植入实例：

木马对其运行进行统计：跟踪受攻击站点的总数、所有成功植入，此外，还跟踪 WordPress Ultimate FAQ 插件和 Zotabox 公司 Facebook Messenger 中的漏洞被成功利用的次数。此外，木马还会将所有找到的未修补漏洞通知远程服务器。

在侦测到此木马当前变种的同时，我公司技术人员还发现了其更新版本 Linux.BackDoor.WordPressExploit.2，与原始版本相比，新版本使用的控制服务器地址和恶意脚本域地址有所不同，并扩展了漏洞进攻的插件列表：

Brizy WordPress Plugin
FV Flowplayer Video Player
WooCommerce
WordPress Coming Soon Page
WordPress theme OneTone
Simple Fields WordPress Plugin
WordPress Delucks SEO plugin
Poll, Survey, Form & Quiz Maker by OpinionStage
Social Metrics Tracker
WPeMatico RSS Feed Fetcher
Rich Reviews plugin

同时，在木马的两个版本中都发现了尚未运用的功能区，用于暴力破解被攻击网站的管理员帐户，也就是通过筛选登录名和密码来破解。此功能可能存在于较早版本，或者相反，是攻击者计划用于未来的版本。如果他版本的后门出现这一功能，那么网络犯罪分子甚至可以成功攻击那些插为件当前版本，也就是已为漏洞打了补丁的的站点。

Doctor Web 建议基于 CMS WordPress 的站点所有者及时更新所有平台组件，包括第三方插件和主题，且保证帐户登录名和密码安全可靠。

被破解指标

Linux.BackDoor.WordPressExploit.1 详情

Linux.BackDoor.WordPressExploit.2 详情

银行木马假冒应用商店，马来西亚安卓用户遭受进攻

Wed, 19 Oct 2022 00:00:00 GMT

2022.10.19

Doctor Web公司公布侦测到多个银行木马针对马来西亚用户发动进攻。不法分子将木马假扮为移动设备网络商店，与其他银行木马不同，这些银行木马不仅有网络商店的图标和名称，而且仿真网络商店的所有功能，迷惑性极强。这些木马盗取网络银行系统账户的用户名和密码并可拦截银行一次性确认码短信。此外，这些木马还能盗窃用户的其他个人信息，包括出生年月日、手机号码和身份证IC卡号。

网络犯罪分子采用各种手段来伪装包括银行木马在内的安卓恶意软件。其中一种方式是编写假的银行软件或篡改正版银行软件后利用他方网站传播。但手机用户经常会得到专业人士的提醒，知道网银软件要从官方软件商店或是各银行官网下载。而且有了一定经验后，用户会注意到一些假冒软件的迹象，如界面反常、语法错误、缺少功能选项等等，因此随着安卓设备用户的安全意识的增强，此类手段逐渐失去了效应。

另一种方式是将银行木马“隐藏”在用户不会产生怀疑的地方，如和银行没有任何关联而用户会感兴趣的各种软件，比如各类应用，包括社交应用、文件处理应用、在线电影院等等。我公司技术人员最新侦测到的恶意软件Android.Banker.5097和Android.Banker.5098使用的正是这种方式。

这些新的银行木马假冒的是网络商店，名称为Olivia Beauty、44 Speed Mart、Eco Queen和Pinky Cat，分别销售不同类别的商品：食品、化妆品、家居用品、儿童商品和宠物用品。

不法分子想利用的是用户已习惯了数字经济的发展趋势和越来越普及的“服务即应用”的理念，也就是很多公司和在线销售商，甚至是社交团体都有自己的手机应用。由于风险意识不足，手机用户经常会从不知名的网站下载此类应用，而网络商店的主要功能就是销售商品，所以用户会更为轻易地在这类应用输入银行卡信息和其他个人信息。恶意软件编写者这是利用了这一点。

Android.Banker.5097和Android.Banker.5098针对的是马来西亚用户，通过恶意网站传播，使用社会工程手段欺骗访客：向其推荐Google Play或AppGallery目录中的网络商店应用，而实际上是直接从这些网站加载APK文件，知名应用商店名称只是用来麻痹用户。安装下载的木马时用户需在手机设置允许相应的操作。

这些木马表面商确实和网络商店应用无异，用户可用查看产品目录、添加到购物车并进行支付，但这些都只是幌子而已，而非实际功能。为吸引用户，商品打出的折扣高达49%至95%。

购买商品时会借送货之名要求输入个人信息，包括姓名、地址、身份证号，某些版本还会要求输入出生年月日。输入的信息会被上传到远程服务器。

之后木马会提示选择支付银行。选择后从远程服务器加载仿造相应银行页面的钓鱼格式，要求输入在该银行的账户名和密码。根据我公司技术人员目前掌握的信息，木马远程服务器仿造其页面的银行有：

Maybank
HLB Connect
CIMB Group
Public Bank Berhad
Affin Bank
BSN (Bank Simpanan Nasional)
Bank Islam
AmBank
Alliance Bank

这一名单还有可能有所改变或者出现新的信贷结构。

在用户完成所谓的“登录”后会出现错误通知，“购买”过程也随之中断。实际上输入的信息也传送到不法分子手中，进而假借用户名义登录账户，获得对银行账号的控制权。

木马具备对一次性确认码短信的拦截功能，隐藏可以通过双重身份认证并防止受害人及时发现并止损。这一功能在Android.Banker.5097和Android.Banker.5098中利用的是不同的方式， Android.Banker.5097使用的是基于JavaScript的专门架构， Android.Banker.5098使用的则是Flutter架构插件。

不法分子利用这些木马不仅能窃取到访问银行账号的机密信息，而且能获得银行的个人信息，并将其用于新的进攻或在黑市销售。

Doctor Web公司再次提请用户注意，从非官方资源下载安卓应用会大大增加设备被感染的风险，被窃取的将不仅是个人信息，还有银行账号的款额。建议安装反病毒软件来抵御银行密码及其他安卓恶意软件。我公司反病毒产品Dr.Web for Android能成功侦测 Android.Banker.5097 和Android.Banker.5098并解除威胁，因此新木马不会对我公司产品用户造成威胁。

Android.Banker.5097详情

Android.Banker.5098详情

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

在AppGallery应用商店侦测到新木马

Tue, 23 Nov 2021 14:59:29 GMT

2021.11.23

Doctor Web公司病毒分析师在AppGallery 应用商店大量游戏中侦测到内置的木马Android.Cynos.7.origin，其功能是收集手机用户的号码。这些危险游戏的安装量至少已有9 300 000次。

Android.Cynos.7.origin属于软件模块Cynos的一个变种，这一模块内置于Android软件，用于软件货币化，至少在2014年就已出现。此平台之前的某些版本功能就很具攻击性：可向收费号码发送短信并拦截其他号码发来的短信，可加载并启动各种模块，甚至可以下载安装其他应用。而我公司技术人员所侦测到新版本的功能已转变为收集手机信息以及手机用户的个人信息，并可播放广告。

启动内置有Android.Cynos.7.origin应用时会要求用户提供控制通话的权限，目的是获取对一些数据的访问权限：

用户提供权限后，这一木马就会向远程服务器发送以下信息：

用户的手机号码；
根据GPS或移动网络和Wi-Fi接入点确定的设备位置（如用户允许应用访问设备位置信息）；
移动网络的各种参数，包括网络代码、国家代码，如用户允许应用访问设备位置信息，还会发送基站识别码以及位置区域的国际识别码；
设备的各种技术参数；
木马所在应用的元数据。

可能有些人会认为手机号码被泄露并不是什么大麻烦，但实际上可能会给用户带来很严重的后果，而且下载这些游戏的大多数是未成年人。

即便号码的所有人是成年人，下载儿童游戏就说明手机的实际使用者很可能是未成年人。家长是绝不会自愿将上面的这些数据提供给他人，更不用说是发送到境外的服务器。

我公司技术人员在AppGallery商店侦测到有190种游戏软件内置有这一具备收集手机号码功能的木马Android.Cynos.7.origin。这些游戏中有各种模拟器、平台游戏、街机游戏、策略游戏和射击游戏，安装量从几千到几百万不等，而下载总量已经至少达到9 300 000用户（根据AppGallery公布的各应用下载量计算)。其中一部分游戏有俄文名称和介绍，面向的是俄语用户，其他游戏则面向中国用户或各国用户。以下是内置有此木马的游戏示例。

游戏“Команда должна убить боеголовку”，下载量超过8000：

游戏“Cat game room”，下载量超过427 000：

游戏“Drive school simulator ”，下载量超过142 000：

游戏“快点躲起来”，下载量超过2 000 000：

Doctor Web公司已就侦测到的危险通知Huawei公司。发布此新闻之际所有包含此木马的应用已从AppGallery下架。

我公司反病毒产品Dr.Web for Android能够有效侦测内置Android.Cynos.7.origin各已知变种的应用，因此这些应用不会对我公司产品用户造成威胁。

Indicators of compromise

More details on Android.Cynos.7.origin

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

Dr.Web AV-Desk新闻

Android.Phantom家族木马通过游戏和盗版热门应用感染智能手机并利用机器学习和视频流来操纵点击

击败怪物Chimera的贝勒罗丰做梦也想不到的事： 木马ChimeraWire借模仿人类行为提升网站访问量

简介

第一种感染链

第一种感染链

Trojan.ChimeraWire

模仿用户鼠标点击

结论

ClickFix的进攻机制

游戏玩家们要小心了：Windows木马正在以作弊和修改程序为诱饵进行传播，目的是窃取加密货币和密码

导语

利用三个加载器的操作链

利用两个加载器的操作链

木马家族特征

结语

网络医生，这样的图片打哪儿来的？非法挖掘加密货币开始使用隐写术

eBPF技术被黑客应用及其他木马技术新动向

Google Play中的恶意应用：攻击者如何利用DNS协议让木马和控制服务器隐秘通信

超28000名用户遭受加密货币挖矿窃取木马的影响

攻击者上钩：利用安装易受攻击的Redis数据库的服务器捕获到rootkit新变种，其功能是隐藏加密货币“挖矿”进程

超百万安卓机顶盒被“空白”

盗版软件中隐藏的挖矿程序使不法分子能够通过其受害者来获取利益

利用Openfire 软件中的漏洞可未经授权访问被感染的服务器

操纵的“艺术”：诈骗者利用移动设备远程管理软件窃取资金

Android.Spy.Lydia 家族木马伪装成伊朗在线交易平台

潘多拉魔盒已打开：知名木马Mirai摇身一变，出现在 Android TV 的电视和机顶盒

Fruity trojan下载器对Windows计算机进行多级感染

第一阶段的感染

第二阶段的感染

第三阶段的感染

第四阶段的感染

第五阶段的感染

出现内有间谍软件模块 SpinOk 的安卓应用，安装量已超过 421,000,000 次

Linux 后门软件进攻 WordPress 网站

银行木马假冒应用商店，马来西亚安卓用户遭受进攻

Your Android needs protection.

Use Dr.Web

在AppGallery应用商店侦测到新木马

Your Android needs protection.

Use Dr.Web

击败怪物Chimera的贝勒罗丰做梦也想不到的事：木马ChimeraWire借模仿人类行为提升网站访问量