Threats to mobile devices

DoctorWeb：2025年第三季度移动设备病毒活动综述

Wed, 01 Oct 2025 00:00:00 GMT

2025.10.01

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025年第三季度侦测最多的是会不断显示广告的 Android.MobiDash 广告木马，与上一季度相比在受保护设备的侦测量上升18.19%。

广告木马 Android.HiddenAds。侦测量退居第二，近三个月用户遭遇此类木马的频率降低71.85%。这些恶意应用程序会通过隐藏图标来避免被用户发现和删除，并会显示广告，包括全屏视频。

排在第三的还是用于各种诈骗模式的恶意虚假程序 Android.FakeApp，其侦测量降低7.49%。这些木马病毒经常不是执行其声称预期功能，而是加载各种网站，包括诈骗和恶意网站，以及在线赌场和博彩网站。

最常见的银行木马仍然是 Android.Banker 家族成员，但其活动量下降了 38.88%。攻击者利用这些银行木马访问银行账户并窃取资金。这些木马的功能包括显示钓鱼窗口窃取登录名和密码、模仿合法银行应用程序的外观、拦截短信获取一次性验证码等等。

排在其后的是木马 Android.BankBot，其侦测频率上升了 18.91%。这些木马也是通过拦截确认码来访问用户的网上银行账户。这些银行木马病毒还可以执行网络犯罪分子的各种命令，有些甚至可用于远程控制被感染的设备。

排名前三的恶意软件还包括基于间谍木马 SpyNote 源代码的 Android.SpyMax 家族成员。与第二季度相比其侦测率下降 17.25%。这些恶意软件具有广泛的恶意功能，其中包括远程控制设备的功能。

8 月份，我们通报了多功能后门 Android.Backdoor.916.origin 的传播活动，网络犯罪分子利用这个后门窃取机密数据并监视安卓设备用户。攻击者通过各种通讯应用向潜在受害者发送消息，建议从消息附带的 APK 文件安装“杀毒软件”。Doctor Web 的反毒实验室早在 2025 年 1 月就侦测到了这种恶意软件的第一个个版本，并自此持续监控其发展情况。我公司专家认为该后门是用于定向攻击，所以目的并非是大规模传播。网络犯罪分子的主要进攻目标是俄罗斯企业。

第三季度，Google Play 上出现了大量恶意和不良应用，总安装量超过 1,459,000 次。其中包括数十个用于诱骗受害者注册付费服务 Android.Joker 木马以及 Android.FakeApp 欺诈程序。此外，我们的恶意软件分析师还发现了另一个谎称用户可将虚拟奖励兑换成真实货币的程序。

第三季度主要移动安全事件：

广告木马 Android.MobiDash 活动增加
广告木马 Android.HiddenAds 活动减弱
银行木马 Android.BankBot 侦测量增加
银行木马 Android.Banker 和间谍软件 Android.SpyMax 攻击次数减少
Android.Backdoor.916.origin 后门程序被用于监视俄罗斯商界人士
Google Play目录中出现新威胁

Dr.WebforAndroid保护产品统计信息

最常见的恶意软件

Android.MobiDash.7859: 显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。
Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。
Android.HiddenAds.673.origin: 用于不断显示广告的木马，Android.HiddenAds 家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.Triada.5847: 侦测用于保护木马免受分析和侦测的 Android.Triada 木马加壳程序。攻击者通常将其与直接嵌入了木马的恶意 Telegram 通讯模块结合使用。

Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.CloudInject.5
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

最常见的风险程序

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.LuckyPatcher.2.origin: 一种能够修改已安装Android应用（为其创建补丁）的工具，功能是改变其运行逻辑或绕过某些限制。例如，用户可借助此工具尝试禁用银行应用对ROOT权限的检测，或在游戏中获取无限资源。该工具会从网络下载专门编写的脚本来创建补丁，而这些脚本可由任何用户编写并上传至公共数据库。此类脚本可能包含恶意功能，因此生成的补丁可能具有潜在风险。
Tool.Androlua.1.origin: 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。

最常见的广告软件

Adware.AdPush.3.origin
Adware.Adpush.21846: 一类可嵌入安卓应用的广告模块，通过展示容易误导用户的通知进行广告推送，如将广告伪装成操作系统通知的样式。此外，这些模块还能收集多种敏感数据，并具备下载其他应用并静默触发其安装的能力。
Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.Youmi.4: 在安卓设备桌面上创建广告快捷方式的不良广告插件。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件 Program.FakeMoney.11 共享一个共同的代码库。

GooglePlay中的威胁

2025 年第三季度，我公司反病毒分析师在 Google Play 目录中发现超过50个属于 Android.Joker 家族的木马程序，这些木马伪装成各种软件进行传播，包括即时通讯工具、各类系统辅助工具、图像编辑软件、摄影应用、文档处理程序等等，功能是擅自为用户订阅付费服务。

其中一个木马化身名为"Clean Boost"的安卓系统优化软件（Android.Joker.2412），另一个打着的名号是文本转换工具"Convert Text to PDF"（Android.Joker.2422）。

此外，我们的专家再度发现用于诈骗活动的安卓仿冒应用 Android.FakeApp。与以往一样，网络犯罪分子将其中部分软件伪装成金融类工具，如金融资讯查询手册、投资教学指南、投资服务平台接入程序等。这些仿冒应用会加载欺诈网站。另一些 Android.FakeApp 木马则伪装成游戏，在特定条件下不提供宣称的功能，而是会跳转至博彩网站和线上赌场。

伪装成金融应用程序的 Android.FakeApp 木马示例。Android.FakeApp.1889 向用户提供所谓的金融知识测试，而 Android.FakeApp.1890 则声称可发展投资智商

我们的专家还发现了一个不良软件 Program.FakeMoney.16，以"Zeus Jackpot Mania"应用的形式传播。用户使用该软件可获得虚拟奖励，而应用称能将这些奖励兑换成真实货币并提现。

Google Play中的 Program.FakeMoney.16

"提现"时该程序会要求用户提供一系列信息，但受害者最终根本不会获得任何资金。

Program.FakeMoney.16 要求用户提供完整姓名及银行账户信息

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

DoctorWeb：2025年第二季度移动设备病毒活动综述

Tue, 01 Jul 2025 07:00:00 GMT

2025.07.01

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025 年第二季度，在受保护的设备上最频繁侦测的是 Android.HiddenAds 广告木马。但与上一季度相比，用户遭遇此类木马的频率降低 8.62%。排在之后的是广告木马 Android.MobiDash, 进攻量增加 11.17%，第三的恶意虚假程序 Android.FakeApp 活动量降低 25.17%。

来自 Android.Banker 家族的攻击较上一季度增加 73,15%。同时，Android.BankBot 和 Android.SpyMax 家族木马在受保护设备的侦测频率有所降低，降幅分别为 37.19% 和 19.14%。

四月份我公司专家通报侦测到木马 Android.Clipper.31 。该恶意软件预置在多款低档安卓智能手机的固件，隐藏在 WhatsApp 通讯程序的修改版中。该恶意软件拦截在 Messenger 中发送和接收的消息，在其中搜索 Tron 和以太坊加密钱包地址，并将其替换为属于诈骗者的地址。同时，该木马会隐藏替换，欸感染设备的用户在这样的消息中看到的还是“正确的”钱包。此外，Android.Clipper.31 将所有 jpg、png 和 jpeg 图像发送到远程服务器，以便搜索受害者加密钱包的助记词。

此外，我们的反病毒分析师还通报恶意软件 Android.Spy.1292.origin 监视俄罗斯军事人员。网络犯罪分子将其嵌入到 Alpine Quest 地图软件的一个版本中，通过攻击者的虚假 Telegram 频道和一个俄罗斯安卓应用程序商店进行传播。Android.Spy.1292.origin 向攻击者传输各种机密数据。包括用户帐户、手机号码、电话簿中的联系人、设备地理位置信息以及存储在设备上的文件。根据攻击者的命令，该木马可以窃取指定的文件。病毒编写者特别感兴趣的是通过常用即时通讯工具传输的机密文件，以及 Alpine Quest 程序位置日志文件。

过去 3 个月中我公司技术人员在Google Play 目录中发现了数十种威胁。其中包括恶意软件和不良广告软件。

第二季度主要移动安全事件：

广告木马 Android.HiddenAds 活动减弱
广告木马 Android.MobiDash 活动增加
银行木马 Android.Banker 侦测量增加
银行木马 Android.BankBot 和间谍软件 Android.SpyMax 攻击次数减少
侦测到隐藏在多款安卓智能手机固件中的加密货币窃取木马
侦测到针对俄罗斯军事人员的间谍木马
Google Play目录中出现新威胁

Dr.Web for Android保护产品统计信息

最常见的恶意软件

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.4213: 用于不断显示广告的木马， Android.HiddenAds 家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.MobiDash.7859: 显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。
Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。

最常见的不良软件

Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。
Program.SecretVideoRecorder.1.origin: 利用安卓设备的内置摄像头进行照片和视频后台拍摄应用程序的不同版本。该程序可以静默运行，禁用录制通知，并可纂改将图标和描述。这些功能使其具有潜在的危险性。

最常见的风险程序

Tool.NPMod.3
Tool.NPMod.1: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.Androlua.1.origin: 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。
Tool.SilentInstaller.14.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行，并自动获得相同的权限。
Tool.Packer.1.origin: 一种专门的加壳工具，用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序，但既可用于保护正常程序，也可用于保护木马程序。

最常见的广告软件

Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.AdPush.3.origin: 可集成到Android程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件 Program.FakeMoney.11 共享一个共同的代码库。
Adware.Fictus.1.origin: 攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中，集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发，安装后显示不良广告。
Adware.Jiubang.1: 不良安卓广告软件，在安装应用程序时显示推荐安装其他程序的横幅。

GooglePlay中的威胁

2025 年第二季度，我公司反病毒分析师在 Google Play 目录中发现了数十种威胁，其中包括各种 Android.FakeApp 伪程序。这些木马再次以金融应用的名义大肆传播，实际功能是加载诈骗网站。

Android.FakeApp.1863 和 Android.FakeApp.1859 — 两例侦测到的木马。第一个隐藏在程序TPAO中，针对的是土耳其用户，打着让用户“轻松管理存款和收入”的幌子。第二个应用伪装成“财务助理”Quantum MindPro，主要针对法语用户。

此类假冒程序的另一个常见掩护仍是游戏。在某些情况下会加载在线赌场和博彩公司的网站，而非游戏功能。

Android.FakeApp.1840 (Pino Bounce) — 可加载在线赌场网站的假游戏之一

与此同时，我们的专家还发现了新的不良广告软件 Adware.Adpush.21912。该程序中隐藏在包含加密货币 Coin News Promax 信息材料的软件中。用户点击 Adware.Adpush.21912 展示的通知时，这个软件会将其控制服务器指定的链接加载到 WebView。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

DoctorWeb：2025年第一季度移动设备病毒活动综述

Thu, 27 Mar 2025 00:00:00 GMT

2025.03.27

根据Dr.Web产品对安卓移动设备的侦测统计，2025年第一季度在安卓受保护设备最常侦测到的恶意软件仍是广告木马 Android.HiddenAds，而且与去年第四季度相比侦测频率增加了一倍多。排名第二的仍然是攻击者用于各种诈骗活动的恶意应用程序 Android.FakeApp，其活动增加了近8％。排名第三的是 Android.MobiDash 家族的广告木马，其正常量增加了近4倍。

许多银行木马的活动也多有增加，如 Android.BankBot 和 Android.Banker 家族木马的攻击次数分别增加了20.68%和151.71%。与此同时，2024年全年活动量几乎都在增长的 Android.SpyMax 木马病毒侦测率比上一季度却降低了41.94%。

在过去3个月中，我公司专家在GooglePlay目录中发现了数十种新威胁。除了传统的大量 Android.FakeApp 木马外，我公司反病毒实验室还侦测到用于窃取加密货币的恶意程序以及不断显示广告的木马。

第一季度主要移动安全事件：

广告木马活动加剧
银行木马 Android.BankBot 和 Android.Banker 攻击次数增加
间谍木马 Android.SpyMax 的活动减少
在 Google Play 侦测到大量新的恶意应用程序

Dr.WebforAndroid保护产品统计信息

最常见的恶意软件

Android.HiddenAds.657.origin
Android.HiddenAds.655.origin
Android.HiddenAds.4214: 用于不断显示广告的木马，Android.HiddenAds 家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。
Android.MobiDash.7859: 显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。

最常见的不良软件

Program.FakeMoney.11
Program.FakeMoney.14: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

最常见的风险程序

Tool.NPMod.1: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.Androlua.1.origin: 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。
Tool.SilentInstaller.14.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行，并自动获得相同的权限。
Tool.LuckyPatcher.1.origin: 一个实用工具程序，用于修改已安装的安卓应用程序（为其创建补丁），更改其操作逻辑或绕过某些限制。例如，利用此工具用户可以禁用网银程序中的root访问验证或在游戏中获得无限资源。创建补丁时此工具从互联网下载专门的脚本，而这些脚本来自公共数据库可以由任何人创建。此类脚本的功能也可能是恶意的，因此创建的补丁可能会带来潜在的危险。
Tool.Packer.1.origin: 一种专门的加壳工具，用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序，但既可用于保护正常程序，也可用于保护木马程序。

最常见的广告软件

Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件 Program.FakeMoney.11 共享一个共同的代码库。
Adware.AdPush.3.origin
Adware.Adpush.21846: 可集成到Android程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Fictus.1.origin: 攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中，集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发，安装后显示不良广告。

GooglePlay中的威胁

2025年第一季度，我公司病毒实验室再次在GooglePlay目录中侦测到几十种新的恶意软件，其中大多是木马 Android.HiddenAds.4213 和 Android.HiddenAds.4215 的不同变种。这些木马会在受感染的设备隐藏自身后在其他程序和操作系统界面显示广告。这些木马嵌在各种照片和视频效果应用以及照片编辑器、图像集和女性健康日记应用中。

藏身于TimeShiftCam和FusionCollageEditor中的广告木马 Android.HiddenAds

我们的技术专家还发现了用于窃取加密货币的恶意程序 Android.CoinSteal.202、Android.CoinSteal.203 和 Android.CoinSteal.206 旨在，打着Raydium和AerodromeFinance区块链平台以及Dydx加密货币交易所官方软件的幌子进行传播。

软件Raydium和DydxExchange实际上是用于窃取加密货币的木马

启动时，恶意应用程序会提示潜在受害者连接加密钱包需输入助记词（种子短语），但实际上，输入的数据会被传输给攻击者。为了进一步误导用户，输入助记词的格式会伪装成是来自其他加密平台的请求。下例就是 Android.CoinSteal.206 显示的假冒加密货币交易所PancakeSwap的钓鱼页面。

与此同时，假冒程序家族 Android.FakeApp 仍旧在GooglePlay进行传播，其中许多是被骗子伪装成与金融活动相关的应用程序，包括教程工具、获取投资服务的工具以及跟踪个人财务状况的程序。这些假冒软件会下载各种钓鱼网站，目的包括用于收集个人数据。

假冒金融软件的恶意软件 Android.FakeApp 示例：“聪明用钱”—Android.FakeApp.1803、EconomicUnion—Android.FakeApp.1777

另一些 Android.FakeApp 木马在特定条件下会加载博彩公司和在线赌场网站，以各种游戏和其他软件（例如打字训练器和绘图指南）为幌子进行传播，其中有 Android.FakeApp.1669 木马的新变种。

加载在线赌场和博彩公司网站而非宣称功能的假冒恶意软件示例

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

DoctorWeb：2024年移动威胁年度报告

Thu, 30 Jan 2025 02:00:00 GMT

2025年1月30日

2024年，最常见的安卓威胁再度是显示广告的木马。与前一年相比，诈骗软件、勒索木马、点击器和银行木马的活动有所增加。银行木马中仅窃取网银登录信息和短信确认码的较简单的银行木马相比 2023 年更加常见。

不良软件中，最活跃的是一些要求用户执行各种任务来获得虚拟奖励的应用程序，宣称用户可以将这些奖励兑换现。最常见风险程序是可运行无需安装的安卓应用程序的工具软件。最活跃的广告软件是即时通讯程序WhatsApp经过特殊修改的版本，其功能中嵌入了下载广告链接的代码。

在过去一年里，我公司病毒分析师在 Google Play 目录中发现了数百种新威胁，这些威胁的总下载量超过 26,700,000 次，其中有恶意软件（包括间谍软件木马）、不良应用和广告软件。

我们的专家还发现了一起针对安卓电视盒的进攻，约有 1,300,000 台设备受到后门攻击，这种新后门感染系统区域，并且在攻击者的命令下可以下载并安装第三方软件。

此外，我们的病毒分析师还发现，多种能够加大恶意安卓软件分析难度并试图并绕过反病毒软件侦测的技术越来越多地被不法分子所利用。这些技术手段包括对 ZIP 存档格式（ZIP 格式是安卓应用程序 APK 文件的基础）的各种操作、对程序配置文件 AndroidManifest.xml 的操作等等。这些技术最常见出现在银行木马中。

过去一年的趋势

展示广告d 恶意软件仍是最常见的威胁
银行木马活动增加
网络犯罪分子更多地使用简单的银行木马 Android.Banker，仅窃取网上银行账户的登录数据以及短信验证码
攻击者越来越多地通过更改APK 应用格式及其结构组件来绕过侦测，增加恶意软件的分析难度
勒索木马 Android.Locker 和点击器木马 Android.Click 的侦测率上升
GooglePlay目录出现众多新威胁

2024年最值得关注的事件

去年 5 月，我公司专家通报在色情玩具控制应用和运动跟踪软件中侦测到木马点击器 Android.Click.414.origin，这两款程序均通过 Google Play 目录传播，总安装量超过 1,500,000 次。 Android.Click.414.origin 具有模块化架构，利用组件执行相应任务，比如，木马可暗中打开广告网站并在网站执行各种操作，包括滚动浏览网页内容、填写输入栏、将网页静音并截屏进行图内容分析后点击所需区域。此外，Android.Click.414.origin 还将被感染设备的详细信息传输给控制服务器。同时，这个点击器对特定用户不会进行进攻：木马不会在安装中文界面语言的设备启动。

软件Love Spouse和QRunning的某些版本隐藏有木马 Android.Click.414.origin

9月份，我们的专家发布安卓电视机顶盒感染后门 Android.Vo1d 的案例分析详情。这种模块结构的恶意软件入侵了197个国家用户近130万台设备，入侵后将其组件放置在系统区域，并根据攻击者的命令，秘密下载并安装第三方软件。

感染后门 Android.Vo1d 的机顶盒数量最多的国家

11月我公司病毒分析师以 Android.FakeApp.1669木马为例，介绍了攻击者如何使用 DNS协议隐藏恶意软件和控制服务器之间进行的通信。 Android.FakeApp.1669是一种相当原始的木马，可执行的任务仅限于加载指定的网站。与大多数类似威胁的不同，这种木马是从恶意 DNS 服务器的 TXT 记录获取目标站点地址，且使用的是开源 dnsjava 库修改后的代码。同时，Android.FakeApp.1669 仅在通过某些通讯提供商连接到互联网时才会显现恶意功能，在其他情况下会作为无害软件运行。

Android.FakeApp.1669 的一个变种利用工具Linux dig查询 DNS 服务器时返回的目标域 TXT 记录示例

统计数据

根据Dr.Web安卓移动设备保护产品Dr.Web Security Space的侦测统计，2024 年最常见的威胁是恶意软件，占侦测总数的 74.67%。紧随其后的是广告应用，占比为 10.96%。风险程序是第三大常见程序，占 10.55%。第四位是不良软件，用户遭遇该类软件的概率为 3.82%。

根据Dr.Web安卓移动设备保护产品的侦测统计，2024年各类型威胁的分布情况如下：

恶意应用程序

Android.HiddenAds 家族的广告木马再次成为最常见的安卓恶意软件。在过去的一年里，这类木马在 Dr.Web 反病毒软件恶意应用侦测总量中的份额增加了 0.34 个百分点，达到侦测量的 31.95%。

这一家族成员中最位活跃的是 Android.HiddenAds.3956 （占该家族成员侦测次数的 15.10% 和恶意软件总侦测量的 4.84%），几年来用户经常遭遇的恶意软件 Android.HiddenAds.1994 的众多变种之一。 Android.HiddenAds.3956 其他变种于 2023 年问世，我们曾预测可能会在该家族中占据主导地位，事实确实如此。 2024年出现的新变种 Android.HiddenAds.3980、Android.HiddenAds.3989、 Android.HiddenAds.3994、Android.HiddenAds.655.origin、Android.HiddenAds.657.origin 等也开始广泛传播。

与此同时，木马子家族 Android.HiddenAds.Aegis 也更加引人注目。与其他大多数 Android.HiddenAds 恶意软件不同，这一子家族能够自启动并具有一些其他特征。在Dr.Web反病毒软件所保护的设备上最常侦测到的变种是 Android.HiddenAds.Aegis.1、 Android.HiddenAds.Aegis.4.origin、 Android.HiddenAds.Aegis.7.origin 和 Android.HiddenAds.Aegis.1.origin。

第二常见的恶意软件是 Android.FakeApp 家族木马，攻击者利用这类木马实施各种欺诈。去年这类木马占恶意软件侦测总量的 18.28%，比前年增加了 16.45 个百分点。此类木马通常会加载用于进行网络钓鱼和网络欺诈的不良网站。

排名第三的是具有间谍功能的木马 Android.Spy，份额为 11.52%（与 2023 年相比下降了 16.7 个百分点）。与上一年一样，该家族传播最广泛的成员是 Android.Spy.5106，占恶意软件侦测总数的5.95％。

2024年，用于下载和安装其他程序并能够执行任意代码的恶意软件传播趋势各有不同：与上年相比，下载器 Android.DownLoader 的份额下降了0.49个百分点，降至1.69%，木马 Android.Mobifun 的份额下降了0.15个百分点，降至0.10%，木马 Android.Xiny 的份额下降了0.14个百分点至 0.13%。而木马 Android.Triada 和 Android.RemoteCode 侦测量增加，分别占比2.74%（增长0.6个百分点）和3.78%（增长0.95个百分点）。

受软件打包器保护的恶意应用 Android.Packed 侦测量从7.98%下降至5.49%，几乎回到了2022年的水平。广告木马 Android.MobiDash 的攻击数量也从10.06%下降到至5.38%。与此同时，勒索木马 Android.Locker 和木马 Android.Proxy 的侦测数量均略有增加，分别从1.15%、0.57%上升到1.60%和0.81%，后者使用被感染的安卓设备来重定向进攻者的网络流量。此外，能够打开广告网站和点击网页的恶意软件 Android.Click 的活动明显增加，从0.82％增加到3.56％。

2024 年侦测到的十大最常见恶意应用程序：

Android.FakeApp.1600: 加载其设置中所指定网站的木马程序。这一恶意软件的已知变种加载的网站是一个在线赌场。
Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.HiddenAds.3956
Android.HiddenAds.3851
Android.HiddenAds.655.origin
Android.HiddenAds.3994
Android.HiddenAds.657.origin: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Click.1751: 嵌入WhatsAppMessenger修改版并伪装成Google库的木马。使用修改版程序时，Android.Click.1751 向控制服务器发出请求。收到的响应是两个链接，其中一个针对俄语用户，另一个针对其他语言用户。然后，木马会按照从服务器接收的内容显示一个对话框，用户点击确认按钮后会在浏览器打开相应的链接。
Android.HiddenAds.Aegis.1: 一种木马程序，会隐藏在安卓设备上显示烦人的广告。属于 Android.HiddenAds 的一个子家族，在很多方面与该家族的其他成员有所不同。例如，此类木马在安装后能够自行启动。此外，还实施了一种保证其服务始终保持运行的机制。在某些情况下还能使用安卓操作系统的隐藏功能。
Android.MobiDash.7815: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。

不良软件

2024年最常见的不良应用是 Program.FakeMoney.11，占的52.10%，也就是不良软件侦测总量的一半。此应用属于的应用程序家族宣称功能是用户通过完成各种任务就可以赚钱，但实际上最终不会支付任何真正的奖励。

Dr.Web反病毒软件将其侦测为Program.CloudInject.1 的软件排名第二，占比为占比19.21%，比上年提高9.75个百分点。此类软件是通过云服务CludInject修改的程序，修改过程中添加了危险权限和其目的无法控制混淆代码。

Program.FakeAntiVirus.1 连续两年活跃度下降，跌至第三，占比 10.07%，比 2023 年下降了 9.35 个百分点。该应用程序是模仿反病毒软件的操作，侦测不存在的威胁，并建议安卓设备用户购买所谓完整版本来“修复”所谓已发现的问题。

在过去的一年里，用户遭遇各种用于监视和控制活动的程序。此类软件既可以在设备所有者同意的情况下收集数据，也可以在用户不知情的情况下收集数据，也就是实际变成了间谍工具。受 Dr.Web 保护的设备上最常侦测到的监控程序是 Program.TrackView.1.origin （占 2.40%）、 Program.SecretVideoRecorder.1.origin（占 2.03%）、 Program.wSpy.3.origin (占 0.98%)、Program.SecretVideoRecorder.2.origin（占0.90%）、 Program.Reptilicus.8.origin（占0.64%）、Program.wSpy.1.origin（占0.39%）和 Program.MonitorMinor.11（占 0.38%）。

此外，安卓用于 Program.Opensite.2.origin 也广泛传播，其功能是加载指定网站并显示广告，占不良软件侦测总数的 0.60%。

下图是2024年最常侦测到的10个不良应用程序：

Program.FakeMoney.11
Program.FakeMoney.7: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: 通过安卓设备的内置摄像头进行背景照片和视频拍摄的各种应用程序。可隐身运行并在进行拍摄的通知，还能将应用程序图标和相关信息更改为假图标和假信息。这些功能使其具有潜在风险。
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.Reptilicus.8.origin: 一个可监视安卓设备所有者的应用程序，可获取设备位置信息、收集短信通信和社交网络对话数据、监听电话和周围环境、截取屏幕截图、跟踪键盘输入，并能从设备复制文件和执行其他操作。
Program.Opensite.2.origin: 同类型的安卓程序，其功能是加载指定的网站并显示广告。此类应用程序经常伪装成其他软件。例如，有些变种以 YouTube 视频播放器为幌子传播，会加载真实的服务网站并利用接通的广告 SDK显示广告横幅。

风险程序

工具 Tool.SilentInstaller 的功能是让用户无需安装即可运行安卓应用程序，再次成为最常侦测到的风险程序，此类工具占风险应用程序侦测量的三分之一。最常见的变种是 Tool.SilentInstaller.17.origin （16.17%）、 Tool.SilentInstaller.14.origin（9.80%）、 Tool.SilentInstaller.7.origin（3.25%）和 Tool.SilentInstaller.6.origin（2.99％）。

其他常见的风险程序是使用工具NP Manager修改的应用程序。这种工具能在目标软件中嵌入一个特殊模块，嵌入后绕过数字签名验证。 Dr.Web 反病毒软件将此类程序侦测为 Tool.NPMod 家族的各种变种。其中，侦测到最多的变种是 Tool.NPMod.1。在过去一年中这些程序的侦测量增加，占风险程序侦测量的 16.49%，比 2023 年高出 11.68 个百分点。与此同时，被侦测为 Tool.NPMod.2的经NP Manager 工具修改过的软件占比也大幅增加，为 7.92%。这样，该家族成员的侦测量占到所有风险程序侦测量的近四分之一。

受打包器 Tool.Packer.1.origin 保护的应用程序也是否活跃，占13.17%，比上一年增加了 12.38 个百分点。此外，Tool.Androlua.1.origin 的侦测数量从 3.10% 增加到 3.93%，这是一个框架，用于修改已安装的安卓程序并执行可能具有恶意的 Lua 脚本。

与此同时，2023年的侦测较多的工具家族 Tool.LuckyPatcher 的活动略有下降，从14.02%下降到8.16%。这些工具用于添加从互联网下载的脚本来修改安卓程序。受 Tool.Obfuscapk 混淆器工具保护的程序以及受打包程序 Tool.ApkProtector 保护的程序侦测量也有所下降，分别是从 3.22% 下降到 1.05%，从 10.14% 下降到 3.39%。

2024年安卓设备上最常侦测到的十种风险应用程序如下：

Tool.NPMod.1
Tool.NPMod.2: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.Packer.1.origin: 一种专门用于保护安卓应用程序免遭修改和逆向工程的打包实用工具，本身不是恶意软件，但可以用来保护不良程序和木马。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。
Tool.Androlua.1.origin: 此记录用于侦测一系列使用 Lua 脚本编程语言开发的安卓程序专用框架的风险版本。 Lua应用的主要逻辑位于相应的脚本中，这些脚本在执行之前由解释器进行加密和解密。通常，这种框架会默认请求访问许多系统权限，其执行的 Lua 脚本能够利用收到的权限执行各种恶意操作。
Tool.Packer.3.origin: 侦测代码被NPManager工具加密和混淆的安卓程序。

广告应用

2024 年最常见的广告软件是新的 Adware.ModAd 家族，占侦测总数的 47.45%。上一年位居第一的 Adware.Adpush 家族降至第二，占比为 14.76%（侦测量下降了 21.06 个百分点）。排名第三的是新的广告应用家族 Adware.Basement，占8.68%。

其他广告软件家族的传播情况是 Adware.Airpush 占比从8.59%下降到4.35%、Adware.Fictus 占比从4.41%下降到3.29%、 Adware.Leadbolt 占比从4.37%下降到2.26%、Adware.ShareInstall 占比从5.04%下降到1.71%。 2023 年排名第二的 Adware.MagicPush 广告程序显著减少，未能进入前十名，下滑至第十一位，占比为 1.19%（下降了 8.39 个百分点）。

2024年安卓设备上最常见的10个广告应用如下图所示：

Adware.ModAd.1: 此记录用于侦测 WhatsApp 通讯程序的一些被修改版本 (mods)，其功能中嵌入了在使用通讯程序时通过网页显示下载指定链接的代码。这些互联网地址会重定向到广告网站，例如在线赌场和博彩公司以及成人网站。
Adware.Basement.1: 显示不良广告的应用程序，通常会将用户引导至恶意和欺诈网站，与不良程序 Program.FakeMoney.11 共享一个通用的代码库。
Adware.Fictus.1
Adware.Fictus.1.origin: 网络犯罪分子将此广告模块嵌入流行的安卓游戏和程序的克隆版本。模块使用专门的net2share打包程序与程序集成。以这种方式创建的软件副本通过各种应用商店传播，安装后会显示不需要的广告。
Adware.Adpush.21846
Adware.AdPush.39.origin: 可集成到安卓程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在Android应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.ShareInstall.1.origin: 可以集成到安卓程序中的广告模块，安卓操作系统锁机屏显示广告通知。
Adware.Youmi.4: 此记录用于侦测在安卓设备主屏幕放置广告快捷方式的不良广告模块。
Adware.Inmobi.1: 此记录用于侦测某些SDK Inmobi 广告版本，这些版本能够拨打电话以及将事件添加到安卓设备日历中。

GooglePlay中的威胁

2024 年我公司病毒分析师在 Google Play 目录中发现的威胁超过 200 种，总下载量超过 26,700,000 次。其中除了木马 Android.Click.414.origin，还有广告木马 Android.HiddenAds 等多种木马，打着各种软件的幌子进行传播，如照片编辑器、条形码扫描软件、图片集，甚至还有所谓的让智能手机免遭窥探的“防盗”警报器。此类木马安装后会隐藏自身图标，并开始不断显示广告，覆盖系统和其他程序的界面，干扰设备的正常使用。

2024 年在 Google Play 发现的广告木马示例。Android.HiddenAds.4013 藏身于照片编辑器； Android.HiddenAds.4034 藏身于图片收集器Cool Darkness Wallpaper； Android.HiddenAds.4025 藏身于条形码扫描软件QR Code Assistant, Android.HiddenAds.656.origin 藏身于警报软件Warning Sound GBD

我们的技术专家还侦测到攻击者使用复杂的软件打包程序来保护的各种木马程序。

应用Lie Detector Fun Prank 中藏有木马 Android.Packed.57156，软件Speaker Dust and Water Cleaner中藏有有打包器保护的木马 Android.Packed.57159。

侦测到的恶意软件还包括用于各种欺诈模式的 Android.FakeApp 家族成员。大部分此类木马的主要任务是打开指定的链接，但在特定条件下也可以完成其所声明的软件功能。其中许多都是以各种金融程序（例如参考和培训手册、盈利能力计算器、股票交易应用程序、家庭会计工具）、笔记本、日记、测验和调查参与程序等的名义进行传播。木马下载的是投资诈骗网站。

加载诈骗网站链接的 Android.FakeApp 木马示例： Android.FakeApp.1681 (SenseStrategy)、 Android.FakeApp.1708 (QuntFinanzas)

部分 Android.FakeApp 假冒程序是以各类游戏的名义进行传播，其中许多可以提供游戏功能，但主要任务是加载在线赌场和博彩公司网站。

加载在线赌场和博彩公司网站的 Android.FakeApp 假冒游戏木马示例 Android.FakeApp.1622 (3D Card Merge Game)、Android.FakeApp.1630 (Crazy Lucky Candy)

这样家族的部分木马再次伪装成求职应用程序，这种骗局是加载虚假的招聘列表，提示用户通过提供个人信息来创建“简历”。另一些情况是木马可能会提示潜在受害者通过通讯工具联系所谓的“雇主”。事实上，潜在的受害者的信是写给了犯罪分子，而犯罪分子会试图引诱他们落入各种诈骗陷阱。

伪装成求职应用的 Android.FakeApp 木马示例： Android.FakeApp.1627 (Aimer)、 Android.FakeApp.1703 (FreeEarn)

此外，Google Play中再次出现为用户订阅付费服务的木马应用，其中之一是 Android.Subscription.22，假冒照片编辑器InstaPhoto Editor进行传播。

为用户订阅付费服务的木马 Android.Subscription.22

Android.Joker 和 Android.Harly 家族成员也属此类木马，具有模块化架构。前者能够从互联网上下载辅助组件，而后者的特点是通常将必要的模块以加密形式存储在其资源环境中。

为用户订阅付费服务的木马示例。Android.Joker.2280 藏于星座算运应用，Android.Harly.87 藏于游戏BlockBuster

除了恶意软件，我公司专家还在 Google Play 中发现了新的不良软件，其中有 Program.FakeMoney.11 和 Program.FakeMoney.14的各种变种。这些程序属于同一类应用，其用户可以通过执行各种任务（通常是靠刷广告）来获得虚拟奖励，声称奖励可以兑换成现金或奖品，但为了提取“赚到的”钱，用户需要积累一定数额的奖励。然而事实上即便积累达到数额，用户最终也根本得不到任何实际的提现。

Program.FakeMoney.11 借游戏Copper Boom进行传播，而 Program.FakeMoney.14 打着的幌子是游戏Merge Party

此外，我们的病毒分析师在过去一年里在Google Play 不断发现了新的广告程序，其中包括内置广告模块 Adware.StrawAd 的应用和游戏，能够显示来自各种服务提供商的广告。

内置广告模块 Adware.StrawAd 的应用示例： Crazy Sandwich Runner (Adware.StrawAd.1)、 Poppy Punch Playtime (Adware.StrawAd.3)、 Finger Heart Matching (Adware.StrawAd.6)、 Toimon Battle Playground (Adware.StrawAd.9)

通过Google Play 传播的还有广告应用 Adware.Basement，其广告经常将用户引至恶意和诈骗网站。值得注意的是，该家族与恶意程序 Program.FakeMoney.11 具有共同的代码库。

不良广告应用 Adware.Basement 示例： Lie Detector: Lie Prank Test、 TapAlarm:Don't touch my phone和Magic Voice Changer — Adware.Basement.1； Auto Clicker:Tap Auto — Adware.Basement.2

银行木马

根据安卓移动设备保护产品Dr.Web Security Space的侦测统计，2024年侦测到的银行木马数量占受保护设备恶意软件侦测总量的6.29%，比去年增加2.71个百分点。从一月份其银行木马活动持续减弱，但春季开始活跃起来。第三季度侦测量基本持平，之后再次开始增长，并在十一月份达到峰值。

2024年，已知银行木马家族再次广泛传播，其中包括恶意软件 Coper, Hydra (Android.BankBot.1048.origin、 Android.BankBot.563.origin)、 Ermac (Android.BankBot.1015.origin、 Android.BankBot.15017)、 Alien (Android.BankBot.745.origin、 Android.BankBot.1078.origin)、 Anubis (Android.BankBot.670.origin)。此外还记录到使用Cerberus家族木马 Cerberus (Android.BankBot.11404)、 GodFather (Android.BankBot.GodFather.3、 Android.BankBot.GodFather.14.origin)和 Zanubis (Android.BankBot.Zanubis.7.origin) 的进攻。

在过去一年中，攻击者一直在积极传播间谍木马Android.SpyMax，该木马具有多种恶意功能，包括远程控制被感染设备，也被广泛用作银行木马。该家族最初包含的是多功能 RAT 木马 SpyNote（RAT - 远程访问木马）。但在其源代码泄露之后，开始出现各种变种，例如CraxsRAT、G700 RAT。 Dr.Web Security Space 的移动设备的侦测统计数据显示，该家族的成员从 2023 年下半年开始变得更加活跃，侦测数量几乎逐月增长。这一趋势目前仍未改变。

Android.SpyMax 木马病毒针对的是全球用户。去年不法分子利用此木马对俄罗斯用户发动了多起攻击，46.23% 的侦测都记录到是专门针对这一受众。这些恶意软件程序在巴西（占侦测量的 35.46%）和土耳其（占侦测量的 5.80%）安卓设备用户中的传播也最为活跃。

值得注意的是，这些恶意程序在俄罗斯的传播主要不是通过垃圾邮件或传统的网络钓鱼，而是在电话诈骗过程中进行。诈骗者打电话给潜在受害者时通常会试图让其相信自己是银行或执法机构的工作人员，通知出现了所谓的问题，比如有人试图从银行账户或贷款中窃取资金，或者相反，诈骗者会说国家有补贴。当诈骗者确认已获取用户信任后，他们会诱导用户安装所谓的“反病毒更新”、“银行应用”或其他程序来“确保安全交易”。事实上，这样的程序中就隐藏着木马 Android.SpyMax。

2024 年俄罗斯用户还遭遇银行木马家族 Falcon (Android.BankBot.988.origin、Android.Banker.5703) 和 Mamont (Android.Banker.637.origin、Android.Banker.712.origin)。此外，还记录到银行木马 Android.Banker.791.origin 和 Android.Banker.829.origin 对俄罗斯和乌兹别克斯坦安卓设备用户的进攻以及银行木马 Android.Banker.802.origin 对俄罗斯、阿塞拜疆和乌兹别克斯坦用户的进攻，而木马 Android.Banker.757.origin 进攻对象是俄罗斯、乌兹别克斯坦、塔吉克斯坦和哈萨克斯坦用户。

我们的技术人员再次记录到木马 MoqHao (Android.Banker.367.origin、Android.Banker.430.origin、 Android.Banker.470.origin、 Android.Banker.593.origin) 进攻包括东南亚和亚太国家在内的多个国家的用户。其他木马病毒针对的也是这一目标群体。例如，韩国 Android 设备用户就曾遇到木马家族Fakecalls (Android.BankBot.919.origin、Android.BankBot.14423、Android.Banker.5297)、 IOBot (Android.BankBot.IOBot.1.origin) 和 Wroba (Android.Banker.360.origin)的进攻，Wroba 其他变种(Android.BankBot.907.origin、Android.BankBot.1128.origin)进攻的是日本用户。

中国用户好遭受到木马 Android.Banker.480.origin 的威胁，越南用户遭受到 Android.BankBot.1111.origin 的威胁。同时，攻击者还利用木马TgToxic（Android.BankBot.TgToxic.1）攻击印度尼西亚、泰国和台湾的信贷机构客户，利用 GoldDigger木马（Android.BankBot.GoldDigger.3）攻击泰国和越南用户。

再次记录到针对伊朗用户的攻击，包括 Android.Banker.709.origin、Android.Banker.5292、 Android.Banker.777.origin、Android.BankBot.1106.origin 等银行木马。对土耳其银行客户的攻击使用的木马还有Tambir 家族的成员（Android.BankBot.1104.origin、 Android.BankBot.1099.origin、Android.BankBot.1117.origin）也在针中被发现。

印度安卓设备用户中广泛传播的银行恶意软件有 Android.Banker.797.origin、Android.Banker.817.origin 和 Android.Banker.5435，伪装与信贷机构 Airtel Payments Bank、 PM KISAN 和 IndusInd Bank有关的软件。此外，银行木马 Rewardsteal（Android.Banker.719.origin、Android.Banker.5147、 Android.Banker.5443）的活动仍在持续，其主要目标是 Axis 银行、HDFC 银行、SBI、ICICI 银行、RBL 银行和花旗银行的印度客户。

在拉丁美洲国家，PixPirate 木马 (Android.BankBot.1026.origin) 的活动再次出现，针对的是巴西银行的客户。

欧洲用户主要是木马Anatsa（Android.BankBot.Anatsa.1.origin）和 Copybara（Android.BankBot.15140、 Android.BankBot.1100.origin）的攻击目标。后者主要针对意大利、英国和西班牙用户。

2024 年我公司病毒分析师记录到不法分子更加频繁地使用一些技术手段来保护安卓恶意程序（主要是银行木马）绕过分析和侦测的。具体来说，攻击者对APK文件的基础ZIP格式进行各种操作，使许多使用标准算法处理 ZIP 档案的静态分析工具无法正确处理此类被“损坏”文件。同时，木马会被安卓操作系统视为常规程序，正常进行安装和运行。

还有一种常见的技术是更改APK 内部本地文件头结构中的 compression method 和 compressed size 。攻击者故意在 compressed size 和 uncompressed size 指定不正确的值，或者在 compression method 中写入不正确或不存在的压缩方法。另一个手段是指定一种进行压缩，在这种情况下， compressed size 和 uncompressed size 应该匹配，而不法分子故意将其设为不匹配。

另一种常用的方法是在 ECDR（End of Central Directory Record中央目录记录结束）和 CD（Central Directory中央目录文件标头，也就是压缩文件中文件和参数数据所在位置）中使用不正确的磁盘数据。对于完整的压缩文件来说，这两个参数应一致，而网络犯罪分子为其指定不同的值，造成不是一个完整压缩文件，而是一个多存档的假象。

还有一种常见的技术是在压缩文件中某些文件的本地文件标头中加入加密标志，而实际上这些文件并未加密，造成压缩文件在分析过程中会被错误读取。

除了更改 APK 文件的结构外，病毒编写者还使用了其他方法，例如修改安卓应用配置文件 AndroidManifest.xml。比如在文件的属性文件中添加了垃圾字节 b'\x00'，导致文件读取出错。

趋势前瞻

过去一年表明，网络犯罪分子仍在不断进攻安卓设备用户来牟取私利，其主要工具仍然是广告和银行木马、具有间谍软件功能的恶意应用以及诈骗软件。可以预见，2025 年还会出现此类新威胁。

尽管Google Play 已采取措施提高其安全性，但这个应用商店仍然会是安卓威胁传播的来源之一。因此，不能排除出现新恶意应用和不良应用可能性。

去年发现的又一起安卓操作系统电视机顶盒感染案例表明病毒编写者正在扩展攻击设备的类型。很有可能攻击者不仅会再次向此类设备发动进攻，而且还会在其他安卓设备中继续寻找进攻目标。

此外，病毒编写者可能会继续大肆引入新的技术方法来逃避对恶意程序的分析和侦测。

我公司专家持将续监控移动网络威胁的发展并确保我公司产品用户设备的安全。为了提高您设备安全性，建议安装 Dr.Web 反病毒软件对抗恶意软件、不良程序和风险程序，让诈骗手段和其他安全威胁无机可乘。

DoctorWeb：2024年第四季度移动设备病毒活动综述

Thu, 26 Dec 2024 07:00:00 GMT

2024年12月26日

根据Dr.Web产品对安卓移动设备的侦测统计，2024年第四季度在受保护设备最常侦测到的恶意软件是广告木马Android.HiddenAds，其次是用于各种诈骗模式的恶意应用Android.FakeApp，传播量第三的是具有各种恶意功能Android.Siggen家族木马。

第四季度我公司专家在GooglePlay目录中发现了许多新威胁，其中多个Android.FakeApp木马、为用户订阅收费服务的属于Android.Subscription和Android.Joker两个家族的恶意软件，还有Android.HiddenAds家族新出现的广告木马。此外，不法分子传播的恶意应用中有的使用了很复杂的打包器。

第四季度主要移动安全事件：

Android.HiddenAds广告木马和Android.FakeApp家族恶意应用十分活跃
大量恶意威胁利用GooglePlay目录进行传播

Dr.WebforAndroid保护产品统计信息

Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。
Android.HiddenAds.655.origin
Android.HiddenAds.657.origin: 用于不断显示广告的木马，Android.HiddenAds家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.Packed.57083: 受打包器ApkProtector保护的恶意应用程序，其中有银行木马、间谍软件和其他恶意软件。
Android.Click.1751: 嵌入WhatsAppMessenger修改版并伪装成Google库的木马。使用修改版程序时，Android.Click.1751向控制服务器发出请求。收到的响应是两个链接，其中一个针对俄语用户，另一个针对其他语言用户。然后，木马会按照从服务器接收的内容显示一个对话框，用户点击确认按钮后会在浏览器打开相应的链接。

Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为Tool.CloudInject添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。
Program.SecretVideoRecorder.1.origin: 可侦测通过Android设备的内置摄像头拍摄背景照片和视频的不同版本应用程序。此程序可以静默运行，关闭录制通知，并可将应用程序图标和描述更改为假图标和假内容。这一功能存在潜在危险。

Tool.NPMod.1: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.SilentInstaller.14.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行，并自动获得相同的权限。
Tool.LuckyPatcher.1.origin: 一个实用工具程序，用于修改已安装的安卓应用程序（为其创建补丁），更改其操作逻辑或绕过某些限制。例如，利用此工具用户可以禁用网银程序中的root访问验证或在游戏中获得无限资源。创建补丁时此工具从互联网下载专门的脚本，而这些脚本来自公共数据库可以由任何人创建。此类脚本的功能也可能是恶意的，因此创建的补丁可能会带来潜在的危险。
Tool.Packer.1.origin: 一种专门的加壳工具，用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序，但既可用于保护正常程序，也可用于保护木马程序。
Tool.Androlua.1.origin: 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。

Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件Program.FakeMoney.11共享一个共同的代码库。
Adware.Fictus.1.origin: 攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中，集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发，安装后显示不良广告。
Adware.AdPush.3.origin
Adware.Adpush.21846: 可集成到Android程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。

GooglePlay中的威胁

2024年第四季度，我公司病毒实验室再次在GooglePlay目录中侦测到60多种新威胁，其中大多是Android.FakeApp家族的木马，其中一些伪装为和金融活动相关程序，如投资应用程序、手册和培训教程，还冒充其他软件，如日记本、笔记本等等。这些木马的主要任务是加载诈骗网站。

众多Android.FakeApp木马中的QuntFinanzas和TradingNews加载的诈骗网站

我们的专家还发现木马Android.FakeApp.1669出现新变种，该木马隐藏在各种应用程序中并会以下载在线赌场网站。Android.FakeApp.1669特别之处是从DNS恶意服务器的TXT文件中获取目标站点的地址，而且仅在用户是通过某些网络供应商连接到互联网时才会显现恶意功能出来。

木马Android.FakeApp.1669的新变种示例。不法分子将WordCount程序冒充文本工具，而Splitit:ChecksandTips谎称的功能是用于在咖啡馆和餐馆支付账单和计算小费。

在GooglePlay新发现的威胁还有Android.HiddenAds广告木马家族的几个新成员，这些木马会在被感染设备隐身。

照片编辑软件CoolFixPhotoEnhancer中隐藏有广告木马Android.HiddenAds.4013

此外还侦测到有的木马有复杂打包器保护，如Android.Packed.57156、Android.Packed.57157和Android.Packed.57159。

有打包器保护的木马：应用程序LieDetectorFunPrank和peakerDustandWaterCleaner

我们的技术人员还侦测到一种为用户订阅收费服务的恶意软件Android.Subscription.22。

InstaPhotoEditor并没有进行其所宣称的照片编辑，而是给用户办理了收费服务

同时不法分子再度传播Android.Joker家族的木马，其功能也是为用户订阅收费服务。

短信通讯软件SmartMessages和第三方键盘软件CoolKeyboard试图暗中为受害者注册付费服务

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Google Play中的恶意应用：攻击者如何利用DNS协议让木马和控制服务器隐秘通信

Mon, 11 Nov 2024 01:00:00 GMT

2024 年 11 月 XX 日

许多Android.FakeApp木马的功能是跟踪各种网站链接跳转，从技术角度来看，此类恶意软件相当原始。启动后这些木马会收到打开指定网址的命令，因此安装了木马的用户在设备上看到的不是预期的程序或游戏，而是不良网站的内容。然而，有时在此类假冒应用中会出现一些值得注意的样本， Android.FakeApp.1669就是其中一个，与大多数类似威胁不同，使用的是修改后的 dnsjava 库，并通过此库从包含目标网络链接的恶意 DNS 服务器接收配置。此外，只有当用户通过某些提供商（例如移动互联网）连接到互联网时木马才会收到此类配置。在其他情况下，木马活动根本不会显现。

Android.FakeApp.1669存在大量变种，这些变种打着不同应用的幌子进行传播，包括通过应用商店 Google Play进行传播。目前已知木马变体在此官方安卓应用商店的下载量已至少 2,150,000 次。

隐藏Android.FakeApp.1669的应用示例

下面列出的是 Doctor Web公司反病毒分析师在 Google Play 上发现的 Android.FakeApp.1669 变种。此间我们的专家侦测到的木马还有更多，但其中一些已在此应用商店消失。

应用名称	下载量
Split it: Checks and Tips	1 000 000+
FlashPage parser	500 000+
BeYummy - your cookbook	100 000+
Memogen	100 000+
Display Moving Message	100 000+
WordCount	100 000+
Goal Achievement Planner	100 000+
DualText Compare	100 000+
Travel Memo	100 000+ (已下降)
DessertDreams Recipes	50 000+
Score Time	10 000+

启动时Android.FakeApp.1669会向控制服务器进行 DNS 查询，以获取与目标域名关联的 TXT 记录。但只有当受感染的设备是通过一定的提供商（比如移动互联网提供商）连接到网络时，服务器才会将此记录提供给木马。这些 TXT 记录通常包含的是域名信息和一些其他技术信息，但Android.FakeApp.1669接收的记录包含加密的恶意软件配置。

发送 DNS 查询Android.FakeApp.1669使用的是经过修改的dnsjava开源库代码。

该木马的所有变种都与特定域名相关联，这样 DNS 服务器可以传输其各自不同的配置名。此外，每个被感染的设备都有一个对其专用的目标域子域名，其中包含设备的相关数据，包括敏感数据：

设备的型号和品牌;
屏幕尺寸;
标识符（由两个数字组成：第一个是木马应用程序的安装时间，第二个是随机数值）;
电池是否正在充电以及当前电量;
是否启用厂商设置。

例如，隐藏在应用Goal Achievement Planner中的Android.FakeApp.1669在分析过程中向服务器请求的 TXT记录对应的是域 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com.，藏身于软件Split it: Checks and Tips中的变种接收的记录对应 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital.，而DessertDreams Recipes中的变种接收的记录对应 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com.。

在分析某Android.FakeApp.1669变种的过程中DNS 服务器收到木马通过 Linux工具dig 发出的查询时返回的目标域 TXT 记录示例

解密TXT记录需完成一系列步骤：

将字符行反转；
解密Base64;
解压gzip;
按字符÷分行。

解密后的记录（此示例为Goal Achievement Planner中的木马接收的TXT记录)：

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

记录中包含一个链接，木马会将其加载到其窗口的 WebView覆盖主界面。此链接指向一长串重定向的网站，最终是在线赌场网站。Android.FakeApp.1669 实际上是一个显示所加载网站的内容Web 应用，而不是在 Google Play 应用商店声明的功能

恶意软件显示的是在线赌场网站，而不是预期的功能

同时，当木马不是通过目标提供商访问互联网连接以及离线模式时，会执行所声明的程序功能，当然前提是此变种的编写者确实为其设定了非恶意功能。

木马未从控制服务器接收配置并以正常程序启动

移动设备保护产品Dr.Web Security Space能成功侦测并删除Android.FakeApp.1669的所有已知变种，因此此类木马不会对我们的用户构成威胁。

失陷指标

Android.FakeApp.1669更多详情

DoctorWeb：2024年第三季度移动设备病毒活动综述

Tue, 01 Oct 2024 00:00:00 GMT

2024.10.01

根据Dr.Web产品对安卓移动设备的侦测统计，2024年第三季度在受保护设备最常侦测到的是不法分子用于各种诈骗模式的Android.FakeApp，其次是Android.HiddenAds木马广告应用，传播量第三的是Android.Siggen家族的代表，这些软件具有各种恶意功能，很难归于有专项功能的家族.

与此同时，我们的技术人员在8月份侦测了一个新的木马Android.Vo1d，感染了近1,300,000台安卓操作系统的电视机顶盒。此后门将其组件置于机顶盒的系统区域，并在攻击者的命令下悄悄下载并安装第三方程序。

此外，我公司专家在GooglePlay目录中发现了许多新威胁，其中包括新的假冒软件和多个广告木马。

第三季度主要移动安全事件：

侦测到Android.Vo1d后门，被其感染的电视机顶盒超过一百万台
Android.FakeApp家族恶意应用十分活跃
Android.HiddenAds广告木马十分活跃
GooglePlay目录中再次出现新威胁

Dr.WebforAndroid保护产品统计信息

Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。
Android.HiddenAds.3994: 用于不断显示广告的木马，Android.HiddenAds家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.MobiDash.7815
Android.MobiDash.7813: 显示烦人广告的木马程序，是可供软件开发人员内置到应用程序的软件模块。
Android.Click.1751: 嵌入WhatsAppMessenger修改版并伪装成Google库的木马。使用修改版程序时，Android.Click.1751向控制服务器发出请求。收到的响应是两个链接，其中一个针对俄语用户，另一个针对其他语言用户。然后，木马会按照从服务器接收的内容显示一个对话框，用户点击确认按钮后会在浏览器打开相应的链接。

Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为Tool.CloudInject添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.SecretVideoRecorder.1.origin: 可侦测通过Android设备的内置摄像头拍摄背景照片和视频的不同版本应用程序。此程序可以静默运行，关闭录制通知，并可将应用程序图标和描述更改为假图标和假内容。这一功能存在潜在危险。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

Tool.Packer.1.origin: 一种专门的加壳工具，用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序，但既可用于保护正常程序，也可用于保护木马程序。
Tool.SilentInstaller.17.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行，并自动获得相同的权限。
Tool.NPMod.1
Tool.NPMod.2: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.LuckyPatcher.1.origin: 一个实用工具程序，用于修改已安装的安卓应用程序（为其创建补丁），更改其操作逻辑或绕过某些限制。例如，利用此工具用户可以禁用网银程序中的root访问验证或在游戏中获得无限资源。创建补丁时此工具从互联网下载专门的脚本，而这些脚本来自公共数据库可以由任何人创建。此类脚本的功能也可能是恶意的，因此创建的补丁可能会带来潜在的危险。

Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件Program.FakeMoney.11共享一个共同的代码库。
Adware.Fictus.1.origin: 攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中，集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发，安装后显示不良广告。
Adware.Adpush.21846
Adware.AdPush.39.origin: 可集成到Android程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。

GooglePlay中的威胁

2024年第三季度，我公司病毒实验室再次在GooglePlay目录中侦测到新威胁，其中由Android.FakeApp家族的多种新木马应用，假冒各种热门软件。其中一些再次被攻击者伪装为和金融活动相关程序，如投资应用程序、金融培训手册、各种家庭会计等。其中一些能提供所声称的功能，但主要功能是加载诈骗网站，欺骗潜在的受害者可通过股票投资、商品交易、加密货币等轻松赚钱，并以访问“服务”为幌子，要求注册帐户或填写参与申请，以此获取用户个人信息。

值得一提的是有一个Android.FakeApp木马不法分子是将其伪装为在线交友软件，而实际上加载的还是打着“投资”名义的诈骗网站。

其他Android.FakeApp木马还是假冒游戏。某些情况下会加载在线赌场和博彩网站。

在新出现的假冒程序中，我公司专家还发现了一些伪装成求职工具的木马新变种。此类恶意软件会下载虚假的招聘信息，并邀请潜在受害者通过即时通讯工具联系雇主（实际上，联系到的“雇主”是骗子）或创建“简历”，目的是获取用户个人信息。

我公司反病毒分析师还在GooglePlay上侦测到Android.HiddenAds家族的另一个木马，将自己伪装成各种类型的应用程序，如图像收集软件、照片编辑器、条形码扫描仪，安装后会隐藏其在主屏幕菜单中的图标，之后就开始显示烦人的广告。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Doctor Web：2024年2月移动设备病毒活动综述

Mon, 01 Apr 2024 02:00:00 GMT

2024.04.01

根据Dr.Web产品对安卓移动设备的侦测统计，2024年2月份在受保护设备最常侦测到的是显示不良广告的Android.HiddenAds木马广告应用，与1月相比其进攻的频繁程度增加了73.26%。而另一木马家族Android.MobiDash的进攻量则下降了58.85%。

间谍软件Android.Spy的侦测量下降了27.33%，银行木马侦测量下降了18.77%，而勒索木马Android.Locker 的侦测量则增加了29.85%.。

2月份主要移动安全事件：

Android.HiddenAds广告木马活动激增
银行木马和间谍木马软件活动减弱
勒索木马活动增加

Dr.Web for Android保护产品统计信息

Android.HiddenAds.3956
Android.HiddenAds.3851: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Spy.5106: 各种木马，为WhatsApp非官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.HiddenAds.Aegis.1
Android.HiddenAds.Aegis.4.origin: 能够在 Android 设备隐身并显示烦人的广告的木马程序，很多地方与 Android.HiddenAds 家族的其他成员有所不同，例如，这些木马能够在安装后自行启动。此外，还具备允许其服务始终保持运行的机制。在某些情况下，还能使用 Android 操作系统的隐藏功能。

Program.CloudInject.1: 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web 病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。
Program.SecretVideoRecorder.1.origin: 可侦测通过Android设备的内置摄像头拍摄背景照片和视频的不同版本应用程序。此程序可以静默运行，关闭录制通知，并可将应用程序图标和描述更改为假图标和假内容。这一功能存在潜在危险。

Tool.NPMod.1: 使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。

Adware.ModAd.1: WhatsApp Messenger 的某些修改版，内含代码可在使用 Messenger 时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.Adpush.21846
Adware.AdPush.39.origin: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Doctor Web：2024年1月移动设备病毒活动综述

Fri, 29 Mar 2024 03:00:00 GMT

2024.03.29

根据Dr.Web产品对安卓移动设备的侦测统计，2024年1月，用户最常遭遇的是Android.HiddenAds木马广告应用。与 2023 年 12 月相比，侦测频率增加了 54.45%。与此同时，另一个流行的广告木马家族Android.MobiDash的活跃成度基本没有变化，仅增长了0.9%。

各种银行木马家族的攻击数量增长了17.04%，Android.Spy间谍木马的攻击数量增长了11.16%，而Android.Locker勒索木马的攻击数量仅增长了0.92%。

同时，我告诉技术人员在 Google Play目录中发现了新威胁，有新的不良广告模块家族系列 Adware.StrawAd，以及Android.FakeApp 家族用来实施各种欺诈活动的木马程序。

1月主要趋势

Android.HiddenAds广告木马活动增加
银行木马和间谍木马软件活动增加
勒索木马活动略有减弱
Google Play 目录出现新的恶意应用和广告软件

Dr.Web for Android保护产品统计信息最常见的恶意软件

Android.HiddenAds.3851
Android.HiddenAds.3831: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Spy.5106
Android.Spy.4498: 各种木马，为WhatsApp非官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.MobiDash.7805: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。

Program.CloudInject.1: 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web 病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.FakeMoney.7: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

Tool.NPMod.1: 使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。

Adware.StrawAd.1: 内置不良广告模块Adware.StrawAd.1.origin的安卓应用，再设备解锁屏幕显示各种广告服务供应商的广告。
Adware.AdPush.39.origin
Adware.Adpush.21846: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。

Google Play中的威胁

2024 年 1 月初我公司反病毒实验室发现 Google Play 目录中的许多游戏内置了不良广告平台：

Crazy Sandwich Runner
Purple Shaker Master
Poppy Punch Playtime, Meme Cat Killer
Toiletmon Camera Playtime
Finger Heart Matching
Toilet Monster Defense
Toilet Camera Battle
Toimon Battle Playground

这一平台是一个专门的软件模块，以加密形式存储在软件资源目录。用户进行屏幕解锁时，会显示不同广告服务提供商的广告。 Dr.Web 反病毒软件将 Adware.StrawAd.1.origin判别为 Adware.StrawAd 家族软件。

同样在一月份，我公司技术人员再次侦测到Android.FakeApp 家族的多个的恶意软件，比如木马Android.FakeApp.1579隐藏在Pleasant Collection应用程序，假冒是漫画书城软件。

然而，其实际功能只有一个，就是加载欺诈性的互联网资源，其中一些网站谎称是“成人”类别游戏在内的游戏网站。下面是截图示例：

在这个应用中“开始”游戏之前潜在的受害者要回答几个问题，然后应用会以验证年龄为借口要求提供个人信息和银行卡信息。

Android.FakeApp家族中新添成员再次假冒游戏，已添加到Dr.Web病毒库，分别是Android.FakeApp.1573、Android.FakeApp.1574、 Android.FakeApp.1575、 Android.FakeApp.1577和 Android.FakeApp.32.origin。

某些情况下这些假冒应用会加载在线赌场或博彩公司。以下是游戏示例：

加载的网站示例：

其他几个木马的功能也是加载在线赌场和博彩网站。因此，Android.FakeApp.1576 隐藏在化妆培训程序 Contour Casino Glam 和表情包创建工具 Fortune Meme Studio 。 Android.FakeApp.1578 假冒一款名为 Lucky Flash Casino Light 的手电筒应用。

安装后会执行其所宣称的功能，但一段时间后就会开始加载目标站点。

此外，攻击者还以金融应用程序、参考书、社会调查程序和其他软件为幌子，传播各种版本的木马Android.FakeApp.1564 和 Android.FakeApp.1580。

这些假冒程序加载欺诈性的金融网站，谎称这些网站是代表知名公司提供各种服务。例如，用户“可以”成为投资者或提高理财知识。而“访问”特定服务就需要填写调查问卷并使用个人信息注册一个帐户。

加载站点示例：

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

Doctor Web：2023年12月移动设备病毒活动综述

Tue, 30 Jan 2024 01:00:00 GMT

2024.01.30

根据Dr.Web产品对安卓移动设备的侦测统计，12月份Android.HiddenAds木马广告再次是用户最常受到的攻击，但其进攻的频繁程度叫上个月所下降53.89%。此外，银行木马和间谍软件的活动也有所减弱，分别下降0.88%和10.83%。

12月份，我公司技术人员在 Google Play 目录中再次发现多个用于各种诈骗模式的Android.FakeApp欺诈程序。此外，还侦测到多个新的恶意网站，攻击者通过这些网站分发Android 和iOS虚假加密钱包应用程序。

12月主要趋势

Android.HiddenAds广告木马活动减弱
银行木马和间谍木马软件活动减弱
Google Play 目录出现新的恶意应用
侦测到传播移动设备虚假加密钱包的新网站

Dr.Web for Android保护产品统计信息

Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.HiddenAds.3831
Android.HiddenAds.3851: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.MobiDash.7805: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。
Android.Click.1751: 嵌入 WhatsApp Messenger 修改版并伪装成 Google库的木马。使用修改版程序时，Android.Click.1751 向控制服务器发出请求。收到的响应是两个链接，其中一个针对俄语用户，另一个针对其他语言用户。然后，木马会按照从服务器接收的内容显示一个对话框，用户点击确认按钮后会在浏览器打开相应的链接。

Program.CloudInject.1: 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web 病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.FakeMoney.7: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.SecretVideoRecorder.1.origin: 通过Android设备的内置摄像头进行背景照片和视频拍摄的各种应用程序。可隐身运行并在进行拍摄的通知，还能将应用程序图标和相关信息更改为假图标和假信息。这些功能使其具有潜在风险。

Tool.NPMod.1: 使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.ApkProtector.16.origin: 受ApkProtector打包器保护的安卓应用程序。此加壳程序本身不是恶意的，但攻击者可以利用其来编写木马软件和不良程序，目的是加大反病毒软件的侦测难度。

Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。
Adware.Adpush.21846
Adware.AdPush.39.origin: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.Fictus.1.origin: 网络犯罪分子将此广告模块嵌入流行的安卓游戏和程序的克隆版本。模块使用专门的 net2share 打包程序与程序集成。以这种方式创建的软件副本通过各种应用商店传播，安装后会显示不需要的广告。

Google Play中的威胁

2023 年 12 月我公司病毒分析师在 Google Play 目录中侦测到Android.FakeApp 家族的新恶意软件。其中Android.FakeApp.1564 是假冒可以记录债务的应用，木马Android.FakeApp.1563隐藏在调查问卷程序中，而Android.FakeApp.1569 则谎称是一种有助于提高效率并养成良好生活习惯的工具。

所有这些假冒程序都会加载诈骗性金融网站，这些网站复制银行、新闻机构和其他知名组织真实网站的设计。此外，还使用了相应的名称和徽标。此类诈骗网站邀请用户成为投资者、接受金融知识培训或接受经济援助等，同时要求用户提供个人数据，谎称注册账户才可获得相关服务。

木马加载的虚假网站示例：

Android.FakeApp.1566、Android.FakeApp.1567和Android.FakeApp.1568 假冒的是游戏：

其实加载的不总是游戏，有时是如下例所示的博彩网站和在线赌场。

木马以游戏模式运行示例：

加载的网站示例：

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

Doctor Web：2023年11月移动设备病毒活动综述

Thu, 21 Dec 2023 01:00:00 GMT

2023.12.21

Dr.Web for Android侦测统计数据显示，2023年11月在受保护设备遭遇Android.HiddenAds家族和Android.MobiDash家族的广告木马的情况减少，减幅分别为25.03%和35.87%。此外，受保护设备银行木马和间谍软件的侦测量也有所降低，分别减少3.53%和17.10%。

11月不法分子继续利用 Google Play 目录传播恶意应用程序，我公司技术人员侦测到二十多个用于各种诈骗活动的Android.FakeApp假冒程序木马，还有能够为安卓设备用户暗中订阅收费访问的一个新的木马。

11月主要趋势

广告木马活动减弱
银行木马和间谍木马软件活动减弱
Google Play 目录出现新的恶意应用

Dr.Web for Android保护产品统计信息

Android.HiddenAds.3831
Android.HiddenAds.3697: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.MobiDash.7805: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。
Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.Spy.5864: Dr.Web 反病毒软件利用此病毒记录侦测隐藏在即时通讯软件WhatsApp的多个第三方修改版本中的木马程序。攻击者使用此恶意软件来监视用户。例如，可搜索受害者设备上的文件并将其上传到远程服务器、从电话簿中收集数据、获取被感染设备的相关信息、对环境进行录音以进行窃听等。

Program.CloudInject.1: 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web 病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.FakeMoney.7: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.TrackView.1.origin: 利用安卓设备监控用户的应用程序。使用这种程序，攻击者可确定目标设备的位置，使用摄像头录制视频和拍照、监听麦克风、进行录音等其它恶意活动。

Tool.NPMod.1: 使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。

Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。
Adware.AdPush.36.origin
Adware.AdPush.39.origin
Adware.Adpush.21846: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。

Google Play中的威胁

2023 年 11 月我公司病毒分析师在 Google Play 目录中侦测到Android.FakeApp 家族的新恶意软件。其中一些假冒金融活动相关程序传播，包括所谓的培训和咨询应用程序、家庭会计、投资服务访问工具等，包括 Android.FakeApp.1497、Android.FakeApp.1498、Android.FakeApp.1499、Android.FakeApp.1526、Android.FakeApp.1527 和 Android.FakeApp.1536，其主要功能是下载邀请用户成为投资者的诈骗网站，诱骗用户提供个人数据。

另一个假冒程序 Android.FakeApp.1496 隐藏在访问法律信息的咨询应用中，加载的一个网站谎称可帮助投资者获得法律帮助并挽回损失的资金。

下图是此木马下载的网站如。访客必须先回答几个问题，然后填写一份表格才能获得免费的“律师咨询”。

另外一些木马再次冒充为游戏，有Android.FakeApp.1494、Android.FakeApp.1503、Android.FakeApp.1504、Android.FakeApp.1533 和 Android.FakeApp.1534。在某些情况下，这些软件确实可以充当游戏，但其主要功能是加载在线赌场和博彩公司网站。

此类软件作为游戏运行时的示例：

其中一个软件加载的博彩网站：

我们的专家还发现了又一个为用户订阅付费服务的恶意程序。攻击者将其冒充为可使用手势控制安卓设备的 Air Swipes 应用进行传播。

启动后，这个木马会加载同盟服务的网站，通过此服务进行订阅：

如果受害者在未连接互联网时启动此软件或目标站点不可访问时，该程序会显示为冒充的应用程序，但不会提供任何有用的功能，而是会报告错误。 Dr.Web反病毒软件将这一木马应用程序侦测为Android.Subscription.21。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

Doctor Web：2023年10月移动设备病毒活动综述

Wed, 22 Nov 2023 00:00:00 GMT

2023.11.22

Dr.Web for Android侦测统计数据显示，2023年10月在受保护设备最常侦测到的是Android.HiddenAds家族的广告木马，较上月活动增加了46.16%。Android.MobiDash广告木马家族应用的进攻也有所增加，增幅为18.27%和10.73%。

10 月份，我公司技术人员在 Google Play 目录中发现了新的恶意应用程序，其中包括用于各种诈骗活动的Android.FakeApp假冒程序木马，还有能够将被感染的设备转变为代理服务器的木马应用Android.Proxy.4gproxy。

10月主要趋势

广告木马活动加剧
银行木马和间谍木马软件活动加剧
Google Play 目录出现新的恶意应用

Dr.Web for Android保护产品统计信息

Android.HiddenAds.3831
Android.HiddenAds.3697: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Spy.4498
Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.MobiDash.7804: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。

Program.CloudInject.1: 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web 病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.FakeMoney.7: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.SecretVideoRecorder.1.origin: 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行，不显示录影通知，并可偷换应用图标和描述。这些功能都属风险功能。

Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.WAppBomber.1.origin: 在即时通讯 WhatsApp中群发消息的安卓工具。需要对用户电话簿的访问权限。

Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。
Adware.MagicPush.1: 内置于安卓应用的广告模块，在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件，或者需要阻止垃圾邮件或优化设备的功耗，并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
Adware.AdPush.39.origin
Adware.AdPush.36.origin: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。

Google Play中的威胁

2023 年 10 月我公司病毒分析师在 Google Play 目录中侦测到50多个新的恶意应用程序，包括木马程序Android.Proxy.4gproxy.1、 Android.Proxy.4gproxy.2、Android.Proxy.4gproxy.3和Android.Proxy.4gproxy.4，将被感染的设备变成代理服务器，通过这些设备偷偷传输第三方流量。第一种木马的各种变种打着“照片拼图”游戏、对抗失眠的 Sleepify 程序以及用于与聊天机器人互动的Rizzo The AI chatbot工具的幌子进行传播。第二个隐藏在天气预报应用程序 Premium Weather Pro 中。第三个被藏在Turbo Notes 笔记本软件中。第四个假冒 Draw E 应用程序传播，谎称可使用AI创建图像。

这些恶意程序种集成了工具4gproxy（Dr.Web将其侦测为Tool.4gproxy），能够将安卓设备作为代理服务器使用。这一工具本身无害，可以用于正常目的。然而，这些木马来是在没有用户参与和明确同意的情况下将设备作为代理服务器使用。

同时，我们的专家还发现了数十个Android.FakeApp家族的新木马，其中一些再次以金融应用程序为幌子进行传播（例如Android.FakeApp.1459、Android.FakeApp.1460、Android.FakeApp.1461、Android.FakeApp.1462、Android.FakeApp.1472、Android.FakeApp.1474 和 Android.FakeApp.1485）。这些木马的主要任务是加载诈骗网站，诱惑潜在受害者成为所谓投资者。攻击者通过邀请访客投资所谓有利可图的金融项目来向用户索取个人数据。

其他假冒程序（Android.FakeApp.1433、Android.FakeApp.1444、Android.FakeApp.1450、Android.FakeApp.1451、Android.FakeApp.1455、Android.FakeApp.1457、Android.FakeApp.1476 等）再次伪装成各种游戏。在某些情况下加载的不是游戏，而是在线赌场或博彩公司网站。

这些木马应用作为游戏运行的示例：

加载是在线赌场或博彩公司网站示例：

木马 Android.FakeApp.1478 执行的任务类似：木马在一个用于阅读体育类新闻和文章的程序中，并可以加载博彩网站。

此外，还发现了谎称可以帮助安卓设备使用者找到工作的新木马。其中一个名为 Rixx (Android.FakeApp.1468)，另一个名为 Catalog (Android.FakeApp.1471)。这些恶意应用程序启动后，会显示虚假的招聘列表。当潜在受害者试图回应其中一则招聘时，会被要求在在相应页面提供个人信息，或通过即时通讯工具（例如 WhatsApp 或 Telegram）联系所谓“雇主”。

以下是其中一个恶意程序的运行示例。木马会显示伪装成简历编写窗口的网络钓鱼表，或建议通过即时通讯工具联系“雇主”。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

Doctor Web：2023年9月移动设备病毒活动综述

Thu, 26 Oct 2023 01:00:00 GMT

2023.10.26

9月初我公司发布了对 Android.Pandora.2的研究报告，这一后门软件感染设备后将其组成僵尸网络，在进攻者的指挥下实施DDoS攻击。本月中旬，我公司专家介绍了恶意应用家族Android.Spy.Lydia，是针对伊朗用户的多功能间谍软件木马。这一家族的恶意应用伪装成用于进行在线交易的金融平台，根据进攻者的命令执行各种恶意操作，包括拦截并发送短信、收集电话簿中的联系人信息、窃取剪贴板内容、加载钓鱼网站等。Android.Spy.Lydia可用于各种欺诈模式，可用于窃取个人数据。此外，进攻者还可以利用窃取受害者的金钱。

Dr.Web for Android侦测统计数据显示，2023年9月用户任遭受恶意应用的进攻较上月有所减弱。例如， Android.HiddenAds 和 Android.MobiDash广告木马家族应用的进攻分别减少了11.73%和26.30%。间谍木马侦测量降低25.11%，勒索软件 Android.Locker减少10.52%，银行木马活动减少4.51%。与此同时，安卓设备用户遭受不良广告软件的频率增加了 14.32%。

9 月份在Google Play侦测到许多新威胁，其中包括用于各种欺诈活动的Android.FakeApp家族木马、为受害者订阅付费服务的Android.Joker家族恶意程序以及 Android.HiddenAds木马广告应用。

9月主要趋势

恶意软件活动减弱
Google Play出现多个新的恶意应用

本月移动威胁

9 月份我公司发布了对恶意软件 Android.Pandora.2的详细分析报告。这一恶意软件主要针对西班牙语用户。第一个攻击案例记录发生在 2023 年 3 月。

这一木马应用程序感染操作系统为Android TV 的智能电视和机顶盒，通过被解密的固件版本入侵，或是在用户安装观看盗版在线视频程序的木马版时感染设备。

Android.Pandora.2的主要功能是根据进攻者的指令进行各种类型的DDoS攻击。此外，该恶意软件还可以执行许多其他操作，例如安装自身更新和替换系统主机文件。

我公司病毒分析师的研究表明，病毒编写者在编写此木马时使用了Linux.Mirai编写人的代码。自2016年以来Linux.Mirai被广泛用于感染IoT设备（物联网设备）以对各种网站进行DDoS攻击。

Dr.Web for Android保护产品统计信息

Android.HiddenAds.3697: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.Packed.57083: 利用打包器ApkProtector的恶意应用，其中有银行木马、间谍软件及其他恶意软件。
Android.Pandora.17: 侦测下载并安装后门木马Android.Pandora.2的恶意应用程序。不法分子大多将此类下载程序嵌入到面向西班牙语用户的智能电视应用程序。
Android.MobiDash.7804: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。

Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.FakeMoney.7: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.CloudInject.1: 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web 病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.SecretVideoRecorder.1.origin: 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行，不显示录影通知，并可偷换应用图标和描述。这些功能都属风险功能。
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。
Tool.Packer.3.origin: 侦测代码被 NP Manager 工具加密和混淆的安卓程序。
Tool.ApkProtector.16.origin: 受打包器ApkProtector保护的安卓应用，这一工具背身无害，但不法分子可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。

Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。
Adware.MagicPush.1: 内置于安卓应用的广告模块，在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件，或者需要阻止垃圾邮件或优化设备的功耗，并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
Adware.AdPush.39.origin
Adware.AdPush.36.origin: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。

Google Play中的威胁

2023 年 9 月我公司病毒分析师在 Google Play 目录中侦测到多个新的恶意应用程序，包括不断显示广告的木马程序。进攻者将其伪装成Agent Shooter (Android.HiddenAds.3781)、Rainbow Stretch (Android.HiddenAds.3785)、Rubber Punch 3D (Android.HiddenAds.3786) 和 Super Skibydi Killer (Android.HiddenAds.3787) 等游戏进行传播。这些木马安装到安卓设备后会试图隐藏自身，避免被用户发现。手段是将主屏幕上图标替换为透明版本，并将名称替换为空白图标。此外，这些木马还可以冒充 Google Chrome 浏览器，用相应的副本替换图标。当用户单击被替换的图标时，木马程序会启动浏览器并继续在后台运行。这样木马不会引人注意，从而降低了被过早删除的可能性。此外，如果恶意软件中断运行，用户会重新启动它，误以为是在启动浏览器。

我们的专家还侦测到 Android.FakeApp家族的新的假冒程序。其中一些（Android.FakeApp.1429、Android.FakeApp.1430、Android.FakeApp.1432、Android.FakeApp.1434、Android.FakeApp.1435 等）假冒金融程序传播，如股票交易应用程序、投资、家庭会计等方面的参考书和培训手册。事实上，这些应用的主要任务是加载诈骗网站，进一步诱骗潜在受害者成为所谓的“投资者”。

另外一些程序（例如Android.FakeApp.1433、Android.FakeApp.1436、Android.FakeApp.1437、Android.FakeApp.1438、Android.FakeApp.1439 和 Android.FakeApp.1440）假冒各种形式的游戏。在某些情况下也确实有游戏功能，但主要功能是加载在线赌场网站。

这些恶意软件游戏模式的示例：

起加载的在线赌场：

与此同时，Google Play 目录中还侦测到Android.Joker 家族的一个新的木马程序，这一家族木马给安卓设备用户注册付费服务，其中一个隐藏在一个图像集合应用程序“Beauty Wallpaper HD”中；根据我公司的分类被命名为Android.Joker.2216。另一种病毒假冒在线聊天软件 Love Emoji Messenger进行传播，被命名为 Android.Joker.2217添加到 Dr.Web 病毒库中。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

Doctor Web：2023年8月移动设备病毒活动综述

Wed, 27 Sep 2023 03:00:00 GMT

2023.09.27

Dr.Web for Android侦测统计数据显示，2023年8月用户任遭受Android.MobiDash和Android.HiddenAds广告木马家族应用的进攻，与7月相比，前者侦测量增加72.23%，后者侦测量则减少了8.87%。

受保护设备间谍木马和勒索软件侦测量分别降低13.88%和18.14%，银行木马活动则增加了2.13%。

8月Google Play再次出现新的恶意软件。

7月主要趋势

Android.MobiDash广告木马活动大大加剧
Android.HiddenAds广告木马活动减弱
间谍木马和勒索木马活动减弱
银行木马进攻量增加

Dr.Web for Android保护产品统计信息

Android.HiddenAds.3697: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.MobiDash.7802: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。
Android.Packed.57083: 利用打包器ApkProtector的恶意应用，其中有银行木马、间谍软件及其他恶意软件。
Android.Pandora.7: 侦测下载并安装后门木马Android.Pandora.2的恶意应用程序。不法分子大多将此类下载程序嵌入到面向西班牙语用户的智能电视应用程序。

Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.FakeMoney.7
Program.FakeMoney.8: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.SecretVideoRecorder.1.origin: 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行，不显示录影通知，并可偷换应用图标和描述。这些功能都属风险功能。
Program.wSpy.1.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。

Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.ApkProtector.16.origin: 受打包器ApkProtector保护的安卓应用，这一工具背身无害，但不法分子可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。

Adware.AdPush.39.origin
Adware.AdPush.36.origin: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。
Adware.MagicPush.1: 内置于安卓应用的广告模块，在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件，或者需要阻止垃圾邮件或优化设备的功耗，并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。

Google Play中的威胁

2023 年 8 月，在 Google Play 目录中发现了一个木马，是Android.HiddenAds.3766，以图像收集应用Exquisite Wallpaper Collection进行传播，实际上主要功能是不断显示广告。同时，Android.HiddenAds.3766 会尝试隐藏自身，将主屏幕图标替换为透明版本，并将名称更改为空白。在某些情况下，恶意软件会将其替换为 Google Chrome 浏览器图标的副本，单击该图标时，不会启动恶意应用程序，而是启动浏览器本身。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

操纵的“艺术”：诈骗者利用移动设备远程管理软件窃取资金

Fri, 22 Sep 2023 02:00:00 GMT

2023 年 9 月 22 日

Doctor Web公司通报广大用户，使用远程桌面访问程序进行不法活动的案件数量在不断增加。攻击者最常使用的程序是 RustDesk。

由于最近多家银行的数据库片段被泄露，不法分子获取了客户的个人数据，并利用这些数据来获得受害者的信任。犯罪分子冒充银行客服人员，称受害者账户发现可疑活动，可能会导致金钱损失，而防止被窃需在设备安装一个“安全”程序，并建议用户打开应用程序商店并在搜索栏中输入“Sberbank support”、“VTB support”等进行查找。

来源： nakopi-deneg.ru

而事实上，直到最近，在Google Play输入此类搜索短语的结果中位于顶部的都是AweSun 远程桌面、RustDesk 远程桌面和 AnyDesk 远程桌面等程序。这种情况是由于 Google Play 上的应用程序排名系统要顾及用户在输入特定搜索查询后所选择的应用程序。使用关键字“bank_name support”搜索应用程序时，错误点击远程管理应用程序的链接的人越多，Google Play 就越会向用户推荐此类程序。

需要注意的是，远程控制程序本身并不具有恶意，但问题出现在可能被用来实施非法行为。

安装应用程序后，诈骗者会要求受害者提供独有 ID，然后就会完全控制设备。通过访问设备可以从受害者的帐户进行付款和转账。在这种情况下，受害人无法证明黑客攻击和撤回交易，因为从银行的角度来看，与支付系统交互的是客户的设备。

Google 目前已将 RustDesk 应用程序从 Google Play 商店删除。因此，攻击者已将其活动转移，通过各种网站来实施远程控制诈骗，如网站hххps://помощникбанков[.]рф。

这些网站会邀请访问者下载上面提到的 RustDesk。在某些情况下，为了更具说服力，所下载应用程序的名称和图标已替换为与特定银行相对应的名称和图标。来自“满意用户”的所谓评论也有加强对用户的心理影响。

Dr.Web反病毒软件将RustDesk侦测为Tool.RustDesk.1.origin，其变种侦测为Android.FakeApp.1426。为提高安全性起见URL 过滤器组件会阻止对恶意站点的访问，从而防止用户成为受害者。

Doctor Web公司提醒您：

接听银行和其他组织的电话时要保持警惕。
切勿应他人要求在您的设备上安装程序。
请勿与任何人分享短信或推送通知中的代码。
不要与“银行员工”交谈。如果您收到有关帐户被划款的消息，请挂断电话，然后可自行拨打银行卡所示电话号码打通银行进行核实。

Tool.RustDesk.1.origin更多详情

Android.FakeApp.1426更多详情

失陷指标:

помощникбанков[.]рф
поддержкабанка[.]рф
поддержка-банка[.]рф
цбподдержка[.]рф
поддержкацб[.]рф
24поддержка[.]рф

sha1:2fcee98226ef238e5daa589fb338f387121880c6
sha1:f28cb04a56d645067815d91d079b060089dbe9fe
sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
sha1:535ecea51c63d3184981db61b3c0f472cda10092
sha1:ee406a21dcb4fe02feb514b9c17175ee95625213

Doctor Web：2023年7月移动设备病毒活动综述

Fri, 15 Sep 2023 02:00:00 GMT

2023.09.15

Dr.Web for Android侦测统计数据显示，2023年7月用户遭受到Android.HiddenAds广告木马家族应用进攻的情况比6月增加33.48%，而Android.MobiDash恶意广告木马家族应用侦测量则减少了24.11%。与6月相比，间谍软件活动降幅为2.81%，银行木马活动增加2.31%，而Android.Locker家族勒索软件的进攻增加了8.53%。

7月Google Play再次出现新威胁，包括不法分子用来盗窃安卓设备银行加密币的木马，还有为用户订阅收费服务的新的恶意应用。

7月主要趋势

Android.HiddenAds广告木马活动加剧
Android.MobiDash广告木马活动减弱
银行木马和间谍木马软件活动加剧
Google Play出现新威胁

Dr.Web for Android保护产品统计信息

Android.HiddenAds.3697: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.Packed.57083: 利用打包器ApkProtector的恶意应用，其中有银行木马、间谍软件及其他恶意软件。
Android.Pandora.7
Android.Pandora.5: 侦测下载并安装后门木马Android.Pandora.2的恶意应用程序。不法分子大多将此类下载程序嵌入到面向西班牙语用户的智能电视应用程序。

Program.FakeMoney.7
Program.FakeMoney.8: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.SecretVideoRecorder.1.origin: 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行，不显示录影通知，并可偷换应用图标和描述。这些功能都属风险功能。
Program.SnoopPhone.1.origin: 用于暗中监视安卓设备持有人的软件。可读取短信，获取来电信息，进行设备定位并进行环境录音。

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。
Tool.ApkProtector.16.origin: 受打包器ApkProtector保护的安卓应用，这一工具背身无害，但不法分子可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。
Tool.Packer.3.origin: 侦测代码被 NP Manager加密和混淆的安卓程序。

Adware.Fictus.1.origin: 一种广告模块，网络罪犯将其嵌入到常用的 Android 游戏和应用程序的克隆版本中，借助专门的 net2share 打包程序集成到程序中。以这种方式创建的软件副本通过各种应用程序商店传播，安装后会显示各种不良广告。
Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.MagicPush.3: 内置于安卓应用的广告模块，在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件，或者需要阻止垃圾邮件或优化设备的功耗，并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
Adware.AdPush.39.origin: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。

Google Play中的威胁

2023年7月，Doctor Web反病毒实验室在Google Play目录侦测到木马程序Android.CoinSteal.105，其功能是窃取加密币。不法分子将其冒充为 P2B 加密币交易所和P2B official，以与其类似的名称传播：P2B Trade: Realize The P2Pb2b。

下图左边是真实程序的截图，右边是木马应用的截图。

假冒产品得到加密币博主的推广，安装数量达到原版的两倍。

启动后，这一木马会在 WebView 中打开不法分子设定的流量分配系统站点，从该站点执行到其他资源的重定向链。目前，这一木马加载的是加密货币交易所的官方网站 https://p2pb2b.com，但其他网站也可能成为加载对象，包括诈骗内容、广告等等。

加载加密货币交易网站后，Android.CoinSteal.105会向其中注入JS脚本，并借助此脚本替换用户输入的加密钱包地址，通过这种手段提取加密货币。

此外，网络犯罪分子再次通过 Google Play 传播为安卓设备用户订阅付费服务的木马，。其中一个是隐藏在可与虚拟宠物进行互动的交互式应用程序Desktop Pets – Lulu的木马Android.Harly.80。

其他属于 Android.Joker 家族并添加到Dr.Web 病毒数据库的新木马分别命名为 Android.Joker.2170、Android.Joker.2171 和 Android.Joker.2176。第一个内置于用于在锁屏显示电池充电信息的程序Cool Charging Animation。第二个隐藏在用于记录操作并跟踪好习惯和坏习惯智能计数器Smart Counter。第三个冒充是可改变主屏幕背景设计的 4K 高清壁纸图像集传播。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

Android.Spy.Lydia 家族木马伪装成伊朗在线交易平台

Wed, 13 Sep 2023 00:00:00 GMT

2023 年 9 月 13 日

Doctor Web 发现 Android.Spy.Lydia 木马家族出现新版本，这些木马可在被感染的安卓设备执行多种间谍功能，并且能让不法分子远程控制这些设备，窃取个人信息和金钱。同时，这些木马具有保护机制，会检查是否是在模拟器或测试设备启动。一旦发现这种情况木马就会停止运行。

木马通过伪装成金融网站的恶意网站进行传播，例如在线交易所，不法分子设计这些网站主要针对的是伊朗居民。此类站点的一个示例是 hxxp[:]//biuy.are-eg[.]com/dashbord。

潜在的受害者访问网站后会被要求输入个人数据：姓氏、名字、父名、手机号码和身份证号码。输入所需信息后，设备会打开页面 hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php，通知进行交易需下载并安装专门软件。然而，点击下载按钮后，受害者加载的并不是预期的正常程序，而是 Android.Spy.Lydia.1木马的一个变种。

启动后，木马会从 hxxp[:]//teuoi[.]com 网站得到钓鱼网站的链接，然后不启动浏览器，而是通过 WebView组件在设备屏幕显示网站。我公司技术人员得到的恶意软件版本打开的链接是：hxxps[:]//my-edalatsaham[.]sbs/fa/app.php。

WebView加载的钓鱼网页截图：

这是用于输入国民身份证号码的表格，不法分子谎称随后将按照此号码进行“股息支付”。在这一步木马会将识别码以及设备已被感染的信息发送到控制服务器。

感染后，木马通过WebSocket协议连接到远程主机ws[:]//httpiamaloneqs[.]xyz:80，并等待接收会同时发送到所有已感染设备的指令。每一指令都配备有其目标设备的识别码。下面的截图显示的是 C&C 服务器发送到僵尸网络的指令。

Android.Spy.Lydia家族木马能够执行以下功能：

收集设备已安装应用的相关信息
在应用列表隐藏或显示自己的图标
关闭设备声音
将短信内容传输到服务器或指定号码
将剪贴板内容传输到服务器
向指定号码发送任意内容的短信
将电话簿中的联系人列表传输到服务器
向电话簿添加新的联系人
使用WebView组件加载指定的网站

这些功能能够让不法分子通过木马拦截 SMS 消息、确定潜在受害者使用哪些银行应用程序并实施诈骗。例如，犯罪分子可以读取银行短信，获取有关帐户余额和交易的详细信息，从而能够在进行诈骗时轻易获得用户信任。此外，利用A2P技术（从应用程序发送短信）和短信转发协议中的漏洞，诈骗者可以假冒银行发送虚假消息，要求用户采取某些使银行账户的安全面临风险操作。读取受害者的通讯信息后，诈骗者可以假冒其认识人来“借钱”、求助支付账单等。而且这些木马盗窃账户相关信息后可以让不法分子绕过双重素身份验证，获得对银行账户的掌控权。

这种类型的攻击正在迅速蔓延：根据俄罗斯央行的数据，2023 年第二季度非法交易量增加了 28.5%。在此期间，攻击者共窃取了 36 亿卢布。

Doctor Web 提醒不要从可疑来源下载软件，在意外收到来自银行和其他组织的电话或消息时需谨慎行事。此外，我们强烈建议您安装反病毒软件。

用于保护安卓设备的反病毒软件Dr.Web Security Space能够侦测 Android.Spy.Lydia家族木马并解除其威胁，保护用户的设备，防止个人信息和账号被窃。

失陷指标

Android.Spy.Lydia.1 更多详情

Doctor Web：2023年6月移动设备病毒活动综述

Wed, 06 Sep 2023 03:00:00 GMT

2023.09.06

Dr.Web for Android侦测统计数据显示，2023年6月用户遭受到Android.HiddenAds广告木马家族应用进攻的情况增加10.93%，而Android.MobiDash恶意广告木马家族应用侦测量则减少了15.94。与5月相比，间谍软件活动降幅为47.15%，银行木马减少12.23%。同时，银行遭遇Android.Locker家族勒索软件进攻的情况则增加了46.30%。

6月Google Play再次出现新威胁，包括Android.FakeApp假冒应用以及为用户订阅收费服务的Android.Joker家族的新木马。

6月主要趋势

Android.HiddenAds广告木马活动加剧
Android.MobiDash广告木马活动减弱
银行木马和间谍木马软件活动减弱
Google Play出现新威胁

Dr.Web for Android保护产品统计信息

Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.HiddenAds.3697: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Packed.57083: 利用打包器ApkProtector的恶意应用，其中有银行木马、间谍软件及其他恶意软件。
Android.MobiDash.7795: 用于不断显示广告的木马，是嵌入应用的广告模块。
Android.Pandora.7: 侦测下载并安装后门木马Android.Pandora.2的恶意应用程序。不法分子大多将此类下载程序嵌入到面向西班牙语用户的智能电视应用程序。

Program.FakeMoney.7
Program.FakeMoney.8: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.SecretVideoRecorder.1.origin: 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行，不显示录影通知，并可偷换应用图标和描述。这些功能都属风险功能。
Program.Reptilicus.8.origin: 间谍软件，用于暗中监视安卓设备持有人。可进行设备定位并读取往来通讯，包括常用即时通讯软件中的通讯和短信，监听通话和环境，截屏并记录键盘输入，并可进行其他恶意操作。

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。
Tool.ApkProtector.16.origin: 受打包器ApkProtector保护的安卓应用，这一工具背身无害，但不法分子可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。

Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。
Adware.MagicPush.3
Adware.MagicPush.1: 内置于安卓应用的广告模块，在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件，或者需要阻止垃圾邮件或优化设备的功耗，并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
Adware.AdPush.39.origin: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。

Google Play中的威胁

2023年6月我公司技术人员在Google Play中发现新的Android.FakeApp家族的恶意软件威胁，假冒与金融有关的软件，如信息查询、家庭会计、证券交易所信息软件等，如Android.FakeApp.1382、Android.FakeApp.1383、Android.FakeApp.1384、Android.FakeApp.1385、Android.FakeApp.1386、Android.FakeApp.1387等等，其实际功能是家族投资诈骗网站。

其他软件假冒游戏，如Android.FakeApp.1390、Android.FakeApp.1396、Android.FakeApp.1400和Android.FakeApp.1401，某些情况下会家族在线赌场。

以下是假冒游戏运行程序的示例，以及所加载的网站：

此外，6 月份还发现了Android.Joker 家族新的木马程序，为受害者订阅有偿服务，藏身于Funny Prank Sounds, Beauty 4K Wallpaper和Chat SMS，根据 Dr.Web 反病毒分类，分别被命名为获得名称 Android.Joker.2143、Android.Joker.2152 和 Android.Joker.2154。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

Doctor Web：2023年5月移动设备病毒活动综述

Wed, 28 Jun 2023 05:00:00 GMT

2023.06.28

Dr.Web for Android侦测统计数据显示，2023年5月用户遭受到Android.HiddenAds和Android.MobiDash广告木马家族应用进攻的情况分别减少9.04%和6.3%。与上个月相比，间谍软件活动降幅为120.53%，最常见的是藏身于通讯软件WhatsApp某些非官方版本中的各种间谍木马，包括Android.Spy.5106。与4月相比，银行木马活动减少55.33%，勒索软件活动减少28.26%。

5月份我公司技术人员再次在Google Play侦测到Android.FakeApp家族用于诈骗活动的假冒游戏软件，实际上加载的是线上赌场。此外，再次出现为用户订阅收费服务的木马软件。

五月主要趋势

广告木马活动减弱
间谍木马活动激增
银行木马和勒索软件活动减弱
Google Play应用商店再次出现新威胁

Dr.Web for Android保护产品统计信息

Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.HiddenAds.3697: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Packed.57083: 利用打包器ApkProtector的恶意应用，其中有银行木马、间谍软件及其他恶意软件。
Android.MobiDash.7783: 用于不断显示广告的木马，是嵌入应用的广告模块。
Android.Spy.SpinOk.1: 使用内置营销 SDK 检测应用程序，这种 SDK通过各种任务、迷你游戏和所谓的抽奖系统来保持用户对程序的兴趣。此模块具有隐藏的间谍功能，能收集有关 Android 设备文件的信息并将其传输给攻击者，还可以替换剪贴板内容并将其上传到远程服务器。

Program.FakeMoney.7
Program.FakeMoney.8: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.wSpy.1.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.SecretVideoRecorder.1.origin: 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行，不显示录影通知，并可偷换应用图标和描述。这些功能都属风险功能。

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
Tool.SilentInstaller.17.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。

Adware.MagicPush.3
Adware.MagicPush.1: 内置于安卓应用的广告模块，在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件，或者需要阻止垃圾邮件或优化设备的功耗，并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
Adware.AdPush.36.origin: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.Inmobi.1: 一些能够拨打电话并将事件添加到安卓设备日历的广告模块 SDK Inmobi版本。

Threats on Google Play

5月我公司技术人员在Google Play中发现新的 Android.FakeApp家族的恶意软件威胁，其中有Android.FakeApp.1352、Android.FakeApp.1354、Android.FakeApp.1348、Android.FakeApp.1357、Android.FakeApp.1358、Android.FakeApp.1359和Android.FakeApp.1360。这些恶意软件假冒游戏，实际上加载的是线上赌场。

这些木马以游戏模式运行并下载在线赌场的示例：

同时，不法分子再次通过Google Play传播为受害者订阅付费服务的木马。其中一个是 Android.Harly.66，她隐藏在一个动画角色互动游戏Screen Desktop Pet中。其他木马则假冒 Stud Finder 金属探测器程序、图片搜索工具Picture Search和名为 Relaxing Stickers 的 WhatsApp 表情包集进行传播，这些木马Dr.Web分类分别被命名为Android.Joker.2117、Android.Joker.2118和Android.Joker.2119。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

陷落指标

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products

Free download

Doctor Web：2023年4月移动设备病毒活动综述

Wed, 14 Jun 2023 01:00:00 GMT

2023.06.14

Dr.Web for Android侦测统计数据显示，2023年4月用户遭受到Android.HiddenAds广告木马家族应用进攻的情况减少16.13%，而Android.MobiDash家族木马的进攻则增加40.42%，此类恶意应用是传播最广的安卓威胁。

与上个月相比，间谍软件活动降幅为27.89%，最常见的是藏身于通讯软件WhatsApp某些非官方版本中的各种间谍木马，包括Android.Spy.5106 和Android.Spy.4498。

与3月相比，银行木马活动增加32.38%，勒索软件Android.Locker活动增加14.83%。

我公司技术人员4月份再次在Google Play侦测到Android.FakeApp家族用于诈骗活动的假冒软件，此外，不法分子还利用Google Play传播为用户订阅收费服务的Android.Joker家族木马软件。

一月主要趋势

Android.MobiDash广告木马活动加剧
Android.HiddenAds广告木马活动减弱
银行木马和勒索软件活动加剧
Google Play应用商店再次出现新威胁

Dr.Web for Android保护产品统计信息

Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.MobiDash.7783: 用于不断显示广告的木马，是嵌入应用的广告模块。
Android.Packed.57083: 利用打包器ApkProtector的恶意应用，其中有银行木马、间谍软件及其他恶意软件。
Android.HiddenAds.3597
Android.HiddenAds.3558: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。

Program.FakeMoney.7
Program.FakeMoney.8: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.wSpy.1.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.SecretVideoRecorder.1.origin: 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行，不显示录影通知，并可偷换应用图标和描述。这些功能都属风险功能。

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。

Adware.MagicPush.1
Adware.MagicPush.3: 内置于安卓应用的广告模块，在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件，或者需要阻止垃圾邮件或优化设备的功耗，并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
Adware.AdPush.36.origin: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.Youmi.4: 在安卓设备的主屏幕放置广告标签的不良广告模块。

Google Play中的威胁

月我公司技术人员在Google Play中发现30多个Android.FakeApp家族的恶意软件威胁，其中一些（Android.FakeApp.1320、 Android.FakeApp.1329、Android.FakeApp.1331、 Android.FakeApp.1336、Android.FakeApp.1340、 Android.FakeApp.1347等等）假冒金融类应用，如投资手册和指南、交易工具、社会调查软件等等。实际功能是加载诈骗网站，骗取受害人个人信息和钱财。

另一些软件，如Android.FakeApp.1322、Android.FakeApp.1326、Android.FakeApp.1330、Android.FakeApp.1334、Android.FakeApp.1337和Android.FakeApp.26.origin则冒充游戏软件，而实际加载的是在线赌场。

以下示例是这些软件运行的两种可能情况。一种游戏功能可用，第二种情况则加载目标站点。

此外，我公司技术人员还侦测到不法分子谎称为寻职软件的诈骗程序，这些Android.FakeApp, до家族软件被命名为Android.FakeApp.1324 和Android.FakeApp.1307添加到Dr.Web病毒库。这些应用诱骗用户在专门网页输入个人信息或是利用通讯软件与所谓的用人单位取得联系。

同时，不法分子还通过Google Play传播木马Android.Joker.2106，为受害者订阅付费服务。这一木马藏身于功能是创建并使用签名的应用程序中。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

陷落指标

Your Android needs protection.

Use Dr.Web

The first Russian anti-virus for Android

Over 140 million downloads—just from Google Play

Available free of charge for users of Dr.Web home products

Free download

Threats to mobile devices

DoctorWeb：2025年第三季度移动设备病毒活动综述

第三季度主要移动安全事件：

Dr.WebforAndroid保护产品统计信息

GooglePlay中的威胁

DoctorWeb：2025年第二季度移动设备病毒活动综述

第二季度主要移动安全事件：

Dr.Web for Android保护产品统计信息

最常见的恶意软件

最常见的不良软件

最常见的风险程序

最常见的广告软件

GooglePlay中的威胁

DoctorWeb：2025年第一季度移动设备病毒活动综述

第一季度主要移动安全事件：

Dr.WebforAndroid保护产品统计信息

最常见的恶意软件

最常见的不良软件

最常见的风险程序

最常见的广告软件

GooglePlay中的威胁

DoctorWeb：2024年移动威胁年度报告

过去一年的趋势

2024年最值得关注的事件

统计数据

恶意应用程序

不良软件

风险程序

广告应用

GooglePlay中的威胁

银行木马

趋势前瞻

DoctorWeb：2024年第四季度移动设备病毒活动综述

第四季度主要移动安全事件：

Dr.WebforAndroid保护产品统计信息

GooglePlay中的威胁

Google Play中的恶意应用：攻击者如何利用DNS协议让木马和控制服务器隐秘通信

DoctorWeb：2024年第三季度移动设备病毒活动综述

第三季度主要移动安全事件：

Dr.WebforAndroid保护产品统计信息

GooglePlay中的威胁

Doctor Web：2024年2月移动设备病毒活动综述

2月份主要移动安全事件：

Dr.Web for Android保护产品统计信息

Doctor Web：2024年1月移动设备病毒活动综述

1月主要趋势

Dr.Web for Android保护产品统计信息 最常见的恶意软件

Google Play中的威胁

Your Android needs protection.

Use Dr.Web

Doctor Web：2023年12月移动设备病毒活动综述

12月主要趋势

Dr.Web for Android保护产品统计信息

Google Play中的威胁

Your Android needs protection.

Use Dr.Web

Doctor Web：2023年11月移动设备病毒活动综述

11月主要趋势

Dr.Web for Android保护产品统计信息

Google Play中的威胁

Your Android needs protection.

Use Dr.Web

Doctor Web：2023年10月移动设备病毒活动综述

10月主要趋势

Dr.Web for Android保护产品统计信息

Google Play中的威胁

Your Android needs protection.

Use Dr.Web

Doctor Web：2023年9月移动设备病毒活动综述

9月主要趋势

本月移动威胁

Dr.Web for Android保护产品统计信息

Google Play中的威胁

Your Android needs protection.

Use Dr.Web

Doctor Web：2023年8月移动设备病毒活动综述

7月主要趋势

Dr.Web for Android保护产品统计信息

Google Play中的威胁

Your Android needs protection.

Dr.Web for Android保护产品统计信息最常见的恶意软件