病毒新闻

Doctor Web：2025年第三季度病毒活动综述

Wed, 01 Oct 2025 01:00:00 GMT

2025.10.01

Dr.Web产品侦测统计信息显示，2025年第三季度侦测到的威胁总数与第二季度相比降低4.23%。独特威胁数量增加2.17%。受保护设备上最常侦测到的是不良广告软件、广告木马和恶意脚本。电子邮件流量中最常见的威胁是各种恶意脚本、后门软件和木马程序。包括木马下载器、木马投放器（trojian-dropper）和盗窃密码的木马。

受到勒索木马感染的用户最常遇到的加密器是 Trojan.Encoder.35534、Trojan.Encoder.35209 和 Trojan.Encoder.35067。

7月份我公司技术专家通告窃取加密货币和密码 Trojan.Scavenger 家族木马正在传播。攻击者将其伪装成游戏修改程序、作弊程序和补丁进行传播。这些木马病毒利用合法的应用程序进行启动，利用的手段中包括DLL搜索顺序劫持漏洞。

8月，我们的病毒分析师预警多功能移动设备后门 Android.Backdoor.916.origin 正在传播，该后门主要针对的是俄罗斯企业。网络犯罪分子通过远程控制后门来窃取机密数据并进行监视活动。

同月，我公司反病毒实验室发布关于Scaly Wolf组织针对一家俄罗斯机械工程公司发起的针对性攻击的研究报告。攻击者使用多种恶意工具，其中最主要的是模块式后门Updatar。攻击者试图利用这一后门获取被感染计算机的机密数据。

第三季度，互联网分析师再度发现多个虚假的Telegram网站以及欺诈性的金融资源。此外，在过去三个月中，我们的专家在 Google Play 上记录到数十个恶意应用和不良应用，其中包括给用户订阅付费服务的 Android.Joker 木马和 Android.FakeApp 假冒应用。

第三季度主要趋势

在受保护设备侦测到的威胁数量下降
进攻所使用的独特新威胁数量增加
出现新的即时通讯软件Telegram伪网站及金融类诈骗网络资源
专门窃取加密货币和密码的 Trojan.Scavenger 恶意软件在持续传播
Android.Backdoor.916.origin 后门程序被用于监视俄罗斯商界人士和窃取机密数据
广告木马 Android.MobiDash 成为安卓设备的主要威胁
广告木马 Android.HiddenAds 活跃度连续两个季度持续下降
Google Play出现众多新威胁

Doctor Web统计服务收集的数据

2025年第三季度最常见威胁：

VBS.KeySender.7: 恶意脚本，无限循环搜索带有文本 mode extensions、разработчика 和 розробника 的窗口，并向其发送Escape 按钮被按事件，迫使窗口关闭。
Adware.Downware.20091: 广告软件，经常用于盗版软件的中转安装器。
Trojan.Siggen31.34463: 用Go编程语言编写的木马程序，专门用于向目标系统植入各类挖矿工具和广告软件。为DLL文件形式，存储路径为 %appdata%\utorrent\lib.dll。木马利用 torrent 客户端 uTorrent 的 DLL 搜索顺序劫持漏洞来进行启动。
Adware.Ubar.20: 捆绑安装不良软件的 torrent 客户端。
JS.Siggen5.44590: 被植入公共 JavaScript 库 es5-ext-main 的恶意代码，会在软件包安装到处于俄罗斯时区的服务器时展示特定的消息。

邮箱流量恶意程序统计数据

W97M.DownLoader.2938: 利用 Microsoft Office文档漏洞的木马下载器家族，功能是将其他恶意软件下载到受攻击的计算机。
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Microsoft Office 漏洞利用程序，可执行任意代码。
JS.Phishing.745: 用于生成钓鱼网页的恶意 JavaScript 脚本。
JS.Muldrop.371: 在系统安装有效负载的恶意 JavaScript 脚本。

加密器

2025年第三季度勒索木马受害者的文件解密申请量较第二季度上升3.02%。

Doctor Web公司技术支持部门接收到的解密申请量动态：

2025年第二季度最常见的加密器：

Trojan.Encoder.35534 — 占用户申请的 26.99%
Trojan.Encoder.35209 — 占用户申请的 3.07%
Trojan.Encoder.35067 — 占用户申请的 2.76%
Trojan.Encoder.41542 — 占用户申请的 2.15%
Trojan.Encoder.29750 — 占用户申请的 1.84%

网络诈骗

2025年第三季度，我公司互联网分析师再次记录到出现虚假 Telegram网站，其中包括诈骗者用来获取用户帐户访问权限的网站：

此外，金融类欺诈网站再度活跃。其中一个以所谓的苹果公司打造的"未来投资平台"——Apple Trade AI为诱饵，诱骗用户上钩。网络犯罪分子向潜在受害者承诺每月赚取金额可超过4000美元，但用户需注册并提供个人信息才能"使用"服务。

其他诈骗网络平台则打着"参与Meta全新投资平台"的旗号，承诺用户能"建立月入4000美元以上的稳定收入来源"，但想要使用该"平台"的用户必须先完成问卷调查及注册流程。

我们的专家还发现了一批新型投资仿冒平台，声称可以通过WhatsApp中的交易机器人获利。

而使用这些承诺的服务前是要求潜在受害者提供以下个人数据：

部分欺诈网站是专门针对特定国家受众，其中一些瞄准的是独联体国家用户，犯罪分子以"开启封闭的投资市场"为诱饵，宣称可通过金融平台INSIDER X获得独家投资渠道。用户被要求"提交申请"并在提供个人信息后才能参与。

一个针对俄罗斯用户设计的诈骗模式是邀请用户参与问卷调查，并承诺之后可访问一个与大型油气企业及俄政务门户网站有着所谓关联的"投资平台"。

还有一些欺诈网站则冒充俄罗斯银行的官方服务平台，以"周赚五万卢布起"为诱饵诱导用户注册：

其他多个国家也再次出现的类似诈骗模式，其中一个网站针对的是吉尔吉斯斯坦用户，打着"全民计划"的旗号，以投资该国规模最大的企业为诱饵：

另一个网站则谎称与某格鲁吉亚银行有关联，可让用户加入一个所谓的"投资平台"：

类似的诈骗手段还有仿冒哈萨克斯坦一家银行的官网，承诺用户每月最少可赚取6万坚戈：

另一个在线资源的诈骗者是伪装成一家土耳其石油和天然气公司，为潜在受害者提供所谓成为投资平台会员的机会，承诺“每天收入可高达 9,000 里拉”：

与此同时，诈骗者继续利用各种政府支付和补偿政策进行诈骗。在一个针对哈萨克斯坦用户的不良网站上谎称访问者可以查询政府补偿金，并可获得高达500万坚戈的补偿金：

了解Dr.Web不建议访问网站更多详情

移动设备恶意软件和不良软件

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025年第三季度，在受保护的设备上最频繁侦测的是 Android.MobiDash 广告木马。之前排在第一的 Android.HiddenAds 与上一季度相比退居第二，排在之后的是恶意虚假程序 Android.FakeApp。

与第二季度相比银行木马 Android.BankBot 家族的攻击增加，而 Android.Banker 和 Android.SpyMax 家族木马在受保护设备的侦测频率有所降低。

八月，我公司公司的专家发布对多功能后门程序 Android.Backdoor.916.origin 的研究报告。网络犯罪分子利用这个后门窃取机密数据并对俄罗斯商界人士进行监视活动。

在过去的三个月Google Play官方应用商店中发现的恶意及不良软件已超过70个，其中包括给用户自动订阅付费服务的 Android.Joker 木马、虚假应用 Android.FakeApp 以及谎称可将虚拟奖励兑换成真实货币的软件 Program.FakeMoney.16。

第三季度主要移动安全事件：

广告木马 Android.MobiDash 活动增加
广告木马 Android.HiddenAds 活动减弱
银行木马 Android.BankBot 侦测量增加
银行木马 Android.Banker 和间谍软件 Android.SpyMax 攻击次数减少
Android.Backdoor.916.origin 后门程序被用于监视俄罗斯商界人士
Google Play目录中出现新威胁

2025年第三季度份移动威胁更多详情请参阅移动威胁综述。

DoctorWeb：2025年第三季度移动设备病毒活动综述

Wed, 01 Oct 2025 00:00:00 GMT

2025.10.01

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025年第三季度侦测最多的是会不断显示广告的 Android.MobiDash 广告木马，与上一季度相比在受保护设备的侦测量上升18.19%。

广告木马 Android.HiddenAds。侦测量退居第二，近三个月用户遭遇此类木马的频率降低71.85%。这些恶意应用程序会通过隐藏图标来避免被用户发现和删除，并会显示广告，包括全屏视频。

排在第三的还是用于各种诈骗模式的恶意虚假程序 Android.FakeApp，其侦测量降低7.49%。这些木马病毒经常不是执行其声称预期功能，而是加载各种网站，包括诈骗和恶意网站，以及在线赌场和博彩网站。

最常见的银行木马仍然是 Android.Banker 家族成员，但其活动量下降了 38.88%。攻击者利用这些银行木马访问银行账户并窃取资金。这些木马的功能包括显示钓鱼窗口窃取登录名和密码、模仿合法银行应用程序的外观、拦截短信获取一次性验证码等等。

排在其后的是木马 Android.BankBot，其侦测频率上升了 18.91%。这些木马也是通过拦截确认码来访问用户的网上银行账户。这些银行木马病毒还可以执行网络犯罪分子的各种命令，有些甚至可用于远程控制被感染的设备。

排名前三的恶意软件还包括基于间谍木马 SpyNote 源代码的 Android.SpyMax 家族成员。与第二季度相比其侦测率下降 17.25%。这些恶意软件具有广泛的恶意功能，其中包括远程控制设备的功能。

8 月份，我们通报了多功能后门 Android.Backdoor.916.origin 的传播活动，网络犯罪分子利用这个后门窃取机密数据并监视安卓设备用户。攻击者通过各种通讯应用向潜在受害者发送消息，建议从消息附带的 APK 文件安装“杀毒软件”。Doctor Web 的反毒实验室早在 2025 年 1 月就侦测到了这种恶意软件的第一个个版本，并自此持续监控其发展情况。我公司专家认为该后门是用于定向攻击，所以目的并非是大规模传播。网络犯罪分子的主要进攻目标是俄罗斯企业。

第三季度，Google Play 上出现了大量恶意和不良应用，总安装量超过 1,459,000 次。其中包括数十个用于诱骗受害者注册付费服务 Android.Joker 木马以及 Android.FakeApp 欺诈程序。此外，我们的恶意软件分析师还发现了另一个谎称用户可将虚拟奖励兑换成真实货币的程序。

第三季度主要移动安全事件：

广告木马 Android.MobiDash 活动增加
广告木马 Android.HiddenAds 活动减弱
银行木马 Android.BankBot 侦测量增加
银行木马 Android.Banker 和间谍软件 Android.SpyMax 攻击次数减少
Android.Backdoor.916.origin 后门程序被用于监视俄罗斯商界人士
Google Play目录中出现新威胁

Dr.WebforAndroid保护产品统计信息

最常见的恶意软件

Android.MobiDash.7859: 显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。
Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。
Android.HiddenAds.673.origin: 用于不断显示广告的木马，Android.HiddenAds 家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.Triada.5847: 侦测用于保护木马免受分析和侦测的 Android.Triada 木马加壳程序。攻击者通常将其与直接嵌入了木马的恶意 Telegram 通讯模块结合使用。

Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.CloudInject.5
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

最常见的风险程序

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.LuckyPatcher.2.origin: 一种能够修改已安装Android应用（为其创建补丁）的工具，功能是改变其运行逻辑或绕过某些限制。例如，用户可借助此工具尝试禁用银行应用对ROOT权限的检测，或在游戏中获取无限资源。该工具会从网络下载专门编写的脚本来创建补丁，而这些脚本可由任何用户编写并上传至公共数据库。此类脚本可能包含恶意功能，因此生成的补丁可能具有潜在风险。
Tool.Androlua.1.origin: 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。

最常见的广告软件

Adware.AdPush.3.origin
Adware.Adpush.21846: 一类可嵌入安卓应用的广告模块，通过展示容易误导用户的通知进行广告推送，如将广告伪装成操作系统通知的样式。此外，这些模块还能收集多种敏感数据，并具备下载其他应用并静默触发其安装的能力。
Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.Youmi.4: 在安卓设备桌面上创建广告快捷方式的不良广告插件。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件 Program.FakeMoney.11 共享一个共同的代码库。

GooglePlay中的威胁

2025 年第三季度，我公司反病毒分析师在 Google Play 目录中发现超过50个属于 Android.Joker 家族的木马程序，这些木马伪装成各种软件进行传播，包括即时通讯工具、各类系统辅助工具、图像编辑软件、摄影应用、文档处理程序等等，功能是擅自为用户订阅付费服务。

其中一个木马化身名为"Clean Boost"的安卓系统优化软件（Android.Joker.2412），另一个打着的名号是文本转换工具"Convert Text to PDF"（Android.Joker.2422）。

此外，我们的专家再度发现用于诈骗活动的安卓仿冒应用 Android.FakeApp。与以往一样，网络犯罪分子将其中部分软件伪装成金融类工具，如金融资讯查询手册、投资教学指南、投资服务平台接入程序等。这些仿冒应用会加载欺诈网站。另一些 Android.FakeApp 木马则伪装成游戏，在特定条件下不提供宣称的功能，而是会跳转至博彩网站和线上赌场。

伪装成金融应用程序的 Android.FakeApp 木马示例。Android.FakeApp.1889 向用户提供所谓的金融知识测试，而 Android.FakeApp.1890 则声称可发展投资智商

我们的专家还发现了一个不良软件 Program.FakeMoney.16，以"Zeus Jackpot Mania"应用的形式传播。用户使用该软件可获得虚拟奖励，而应用称能将这些奖励兑换成真实货币并提现。

Google Play中的 Program.FakeMoney.16

"提现"时该程序会要求用户提供一系列信息，但受害者最终根本不会获得任何资金。

Program.FakeMoney.16 要求用户提供完整姓名及银行账户信息

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

DoctorWeb：2025年第二季度移动设备病毒活动综述

Tue, 01 Jul 2025 07:00:00 GMT

2025.07.01

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025 年第二季度，在受保护的设备上最频繁侦测的是 Android.HiddenAds 广告木马。但与上一季度相比，用户遭遇此类木马的频率降低 8.62%。排在之后的是广告木马 Android.MobiDash, 进攻量增加 11.17%，第三的恶意虚假程序 Android.FakeApp 活动量降低 25.17%。

来自 Android.Banker 家族的攻击较上一季度增加 73,15%。同时，Android.BankBot 和 Android.SpyMax 家族木马在受保护设备的侦测频率有所降低，降幅分别为 37.19% 和 19.14%。

四月份我公司专家通报侦测到木马 Android.Clipper.31 。该恶意软件预置在多款低档安卓智能手机的固件，隐藏在 WhatsApp 通讯程序的修改版中。该恶意软件拦截在 Messenger 中发送和接收的消息，在其中搜索 Tron 和以太坊加密钱包地址，并将其替换为属于诈骗者的地址。同时，该木马会隐藏替换，欸感染设备的用户在这样的消息中看到的还是“正确的”钱包。此外，Android.Clipper.31 将所有 jpg、png 和 jpeg 图像发送到远程服务器，以便搜索受害者加密钱包的助记词。

此外，我们的反病毒分析师还通报恶意软件 Android.Spy.1292.origin 监视俄罗斯军事人员。网络犯罪分子将其嵌入到 Alpine Quest 地图软件的一个版本中，通过攻击者的虚假 Telegram 频道和一个俄罗斯安卓应用程序商店进行传播。Android.Spy.1292.origin 向攻击者传输各种机密数据。包括用户帐户、手机号码、电话簿中的联系人、设备地理位置信息以及存储在设备上的文件。根据攻击者的命令，该木马可以窃取指定的文件。病毒编写者特别感兴趣的是通过常用即时通讯工具传输的机密文件，以及 Alpine Quest 程序位置日志文件。

过去 3 个月中我公司技术人员在Google Play 目录中发现了数十种威胁。其中包括恶意软件和不良广告软件。

第二季度主要移动安全事件：

广告木马 Android.HiddenAds 活动减弱
广告木马 Android.MobiDash 活动增加
银行木马 Android.Banker 侦测量增加
银行木马 Android.BankBot 和间谍软件 Android.SpyMax 攻击次数减少
侦测到隐藏在多款安卓智能手机固件中的加密货币窃取木马
侦测到针对俄罗斯军事人员的间谍木马
Google Play目录中出现新威胁

Dr.Web for Android保护产品统计信息

最常见的恶意软件

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.4213: 用于不断显示广告的木马， Android.HiddenAds 家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.MobiDash.7859: 显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。
Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。

最常见的不良软件

Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。
Program.SecretVideoRecorder.1.origin: 利用安卓设备的内置摄像头进行照片和视频后台拍摄应用程序的不同版本。该程序可以静默运行，禁用录制通知，并可纂改将图标和描述。这些功能使其具有潜在的危险性。

最常见的风险程序

Tool.NPMod.3
Tool.NPMod.1: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.Androlua.1.origin: 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。
Tool.SilentInstaller.14.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行，并自动获得相同的权限。
Tool.Packer.1.origin: 一种专门的加壳工具，用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序，但既可用于保护正常程序，也可用于保护木马程序。

最常见的广告软件

Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.AdPush.3.origin: 可集成到Android程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件 Program.FakeMoney.11 共享一个共同的代码库。
Adware.Fictus.1.origin: 攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中，集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发，安装后显示不良广告。
Adware.Jiubang.1: 不良安卓广告软件，在安装应用程序时显示推荐安装其他程序的横幅。

GooglePlay中的威胁

2025 年第二季度，我公司反病毒分析师在 Google Play 目录中发现了数十种威胁，其中包括各种 Android.FakeApp 伪程序。这些木马再次以金融应用的名义大肆传播，实际功能是加载诈骗网站。

Android.FakeApp.1863 和 Android.FakeApp.1859 — 两例侦测到的木马。第一个隐藏在程序TPAO中，针对的是土耳其用户，打着让用户“轻松管理存款和收入”的幌子。第二个应用伪装成“财务助理”Quantum MindPro，主要针对法语用户。

此类假冒程序的另一个常见掩护仍是游戏。在某些情况下会加载在线赌场和博彩公司的网站，而非游戏功能。

Android.FakeApp.1840 (Pino Bounce) — 可加载在线赌场网站的假游戏之一

与此同时，我们的专家还发现了新的不良广告软件 Adware.Adpush.21912。该程序中隐藏在包含加密货币 Coin News Promax 信息材料的软件中。用户点击 Adware.Adpush.21912 展示的通知时，这个软件会将其控制服务器指定的链接加载到 WebView。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Doctor Web：2025年第二季度病毒活动综述

Tue, 01 Jul 2025 03:00:00 GMT

2025.07.01

Dr.Web产品侦测统计信息显示，2025年第2季度侦测到的威胁总数与第一季度相比降低7.38%。独特威胁数量也下降了23.10%。受保护设备上最常侦测到的是广告软件、后门程序、广告木马和恶意脚本。电子邮件流量中最常见的威胁是木马下载器、各种恶意脚本以及木马投放器（trojian-dropper）。

受到勒索木马感染的用户最常遇到的加密器是 Trojan.Encoder.35534、Trojan.Encoder.35209 和 Trojan.Encoder.29750。

今年 4 月，我公司反病毒分析师通报在多款安卓智能手机的固件中发现了木马，网络犯罪分子利用这些木马来窃取加密货币。此外，我们的专家还发现了一种安卓木马，攻击者将其嵌入到一款常用地图程序一个版本中，用于监视俄罗斯军方人员。

第二季度，我们的互联网分析师发现了许多新的欺诈网站，其中包括所谓的教育平台网站，谎称可接受在线培训并提高资质，更多的是以投资为名承诺可轻松赚快钱的网站。

移动设备的侦测统计数据显示，Android.HiddenAds 广告木马的活动有所减少，但该恶意软件家族仍然是最常见的安卓威胁。与此同时，我们的反病毒实验室第二季度在Google Play目录中发现了许多新的威胁。

第一季度主要趋势

在受保护设备侦测到的威胁数量下降
进攻所使用的独特新威胁数量减少
出现许多打着教育和金融幌子的诈骗网站
记录到利用常用安卓设备地图软件对俄罗斯军事人员进行间谍木马攻击
在多款安卓智能手机固件中侦测到用于窃取加密货币的木马
Android.HiddenAds 广告木马仍是传播最广泛的安卓威胁之一
Google Play出现新的恶意软件和不良应用

Doctor Web统计服务收集的数据

2025年第二季度最常见威胁：

VBS.KeySender.6: 恶意脚本，无限循环搜索带有文本 mode extensions、разработчика 和 розробника 的窗口，并向其发送Escape 按钮被按事件，迫使窗口关闭。
Adware.Downware.20091: 广告软件，经常用于盗版软件的中转安装器。
Trojan.BPlug.4242
Trojan.BPlug.3814: WinSafe 浏览器插件的恶意组件，为 JavaScript 脚本，用于在浏览器不断显示广告。
Trojan.Siggen30.53926: 经攻击者修改的Electron框架主机进程，模仿Steam应用程序组件（Steam Client WebHelper）并加载JavaScript后门。

邮箱流量恶意程序统计数据

JS.Siggen5.44590: 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
JS.Inject: 利用JavaScript语言编写的恶意脚本家族，将恶意脚本嵌入网页的HTML代码。
Win32.HLLW.Rendoc.3: 一种网络蠕虫，通过可移动存储介质等进行传播。
W97M.DownLoader.2938: 利用 Microsoft Office文档漏洞的木马下载器家族，功能是将其他恶意软件下载到受攻击的计算机。
PDF.Phisher.867: 钓鱼群发邮件中使用的PDF文档。

加密器

2025年第二季度，勒索木马受害者的文件解密申请量较第一季度下降了 14.65%。

Doctor Web公司技术支持部门接收到的解密申请量动态：

2025年第二季度最常见的加密器：

Trojan.Encoder.35534 — 占用户申请的 24.41％
Trojan.Encoder.35209 — 占用户申请的 4.41％
Trojan.Encoder.29750 — 占用户申请的 2.71％
Trojan.Encoder.35067 — 占用户申请的 2.71%
Trojan.Encoder.41868 — 占用户申请的 2.71％

网络诈骗

2025 年第二季度我公司的互联网分析师发现了许多谎称与教育有关的欺诈网站，提供所谓的职业培训的互联网资源。例如，专为哈萨克斯坦用户设计的名为SMM Academy 和 LearnIT KZ 的广告是可以“在 3 个月内获得 SMM 经理的职业技能”并“成为数据分析师”。

另一些网站吸引潜在受害者的是各种课程，包括英语和资本管理技能课程，分别来自EnglishPro 和 FinCourse两个平台：

一个名为“金融教育”的欺诈性服务网站声称可以帮助提高金融知识水平，可让访问者“掌握理财，保障未来”：

而要“访问”这些网站所广告宣传的内容，需先注册个人数据，包括姓名、手机号码、电子邮件地址等。这些数据积累到犯罪分子手后可用于各种诈骗模式。

与此同时，还出现了新的伪投资项目的诈骗网站，网络犯罪分子常常将这些网站伪装得看似与知名公司和服务相关。例如，其中一个项目为用户提供参与人工智能技术创新项目的机会，打着是幌子是奥迪汽车公司的一项服务，谎称可以实现加密货币的自动交易并可保证高收入，而“访问”这个服务则需要先支付 250 欧元的启动金。

另一个“投资项目”声称与社交网络 TikTok 有关，要求访问这个诈骗网站的人完成一份简短的调查，然后提供个人信息注册，谎称注册后可访问网站所承诺的服务：

此外，再次发现伪装成 WhatsApp官方网站资源的诈骗网站。其中一家欺骗访客获取数字币，每枚“每天可赚取 15 欧元”，还谎称只剩下160 枚数字币，但在开始“用数字币赚钱”前必须提供个人信息并注册一个账户。事实上，注册后并不会收到任何数字资产，而个人数据却会落入了骗子的手中。

另一个虚假的 WhatsApp 网站宣传的是独特研发技术的交易机器人访问权限，称用户可“启动 WhatsApp Bot 并自动赚钱”。当然，权限需要注册个人数据，而这些数据自然会传送给攻击者。

诈骗者还将目标锁定为特定国家的用户。例如，俄罗斯居民遭遇的诈骗网站是提供通过某种投资服务 “让他们的梦想成真”。攻击者设计此类资源使用的是相同的模板，仅仅是改变一下外观以及不存在的所谓投资平台的名称。

值得注意的是，基于相同模板的网站还针对其他国家的用户，如乌兹别克斯坦：

本季度发现的另一个欺诈网站诱骗对象是居住在欧洲的俄语用户。网络犯罪分子承诺者可以通过名为 LevelUPTrade 的平台所谓“新一代创新金融方案”获得每周高达 1,000 欧元的收入：

法国用户可能遭遇的是骗子提供可赚取 3,500 欧元的自动交易软件TraderA，当然这个软件其实根本不存在的：

对墨西哥居民骗子们准备的是“智能交易系统”QuantumIA，是已知的伪交易系统 Quantum System 或 QuantumAI 的一个变体，声称该系统可以使用量子计算和人工智能技术在金融市场进行自动交易。

另一个诈骗网站称代表一家大型银行向墨西哥用户提供投资服务，承诺在短时间内注册即可赚取 16,000 墨西哥比索，前提是必须提供个人信息。

德国用户面临的是成为虚假交易平台 Lucrosa Infinity 受害者的风险，这个平台多年来一直被网络犯罪分子以各种形式利用。其中一个欺诈网站的宣传是“现在开始投资，打开经济自由之门”：

网络犯罪分子向加拿大人提供的是使用“独特”服务的机会，称这些服务可以通过投资和交易加密货币获得高收入。已发现的欺诈网站宣传的是BitcoinFusionPro 和 BitcoinReaction 等“平台”，客户“仅”投资 350 加元，每天就可赚取 1000 加元：

波兰用户也会遇到过类似的虚假网站。其中一个向潜在受害者承诺利用“世界上最先进的加密货币管理软件”每天可赚取 950 至 2,200 美元：

另一个网站则是称投资250欧元每天可赚取 700 欧元：

另一个诈骗资源向波兰用户承诺借助自动化的 Click Money 系统可“在家工作并赚取可观的收入”，没有交易经验的人每年也可赚取高达 64,000,000 波兰兹罗提的金额：

了解Dr.Web不建议访问网站更多详情

移动设备恶意软件和不良软件

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025年第二季度，在受保护的设备上最频繁侦测的是 Android.HiddenAds 广告木马。但与上一季度相比，用户遭遇此类木马的频率有所降低。排在之后的是广告木马 Android.MobiDash 和恶意虚假程序 Android.FakeApp，前者的活动增加，后者活动量降低。

银行木马的活动也有增有减。如来自 Android.Banker 家族的攻击增加。同时，Android.BankBot 和 Android.SpyMax 家族木马在受保护设备的侦测频率有所降低。

第二季度，我公司专家在多款安卓智能手机的固件中侦测到木马 Android.Clipper.31。该恶意软件隐藏在 WhatsApp 通讯程序的修改版中，用于窃取被感染设备所有者的加密货币。此外，我们的反病毒分析师还发现恶意软件 Android.Spy.1292.origin。网络犯罪分子将其嵌入到 Alpine Quest 地图软件的一个版本中，并用它来监视俄罗斯军事人员。

过去 3 个月中在Google Play 目录中发现了数十种威胁。其中包括恶意软件 Android.FakeApp 和新的不良广告软件 Adware.Adpush.21912。

第二季度主要移动安全事件：

广告木马 Android.HiddenAds 活动减弱
广告木马 Android.MobiDash 活动增加
银行木马 Android.Banker 侦测量增加
银行木马 Android.BankBot 和间谍软件 Android.SpyMax 攻击次数减少
侦测到隐藏在多款安卓智能手机固件中的加密货币窃取木马
侦测到针对俄罗斯军事人员的间谍木马
Google Play目录中出现新威胁

2025年第二季度份移动威胁更多详情请参阅移动威胁综述。

Doctor Web：2025年第一季度病毒活动综述

Thu, 27 Mar 2025 12:39:22 GMT

2025.03.27

Dr.Web产品侦测统计信息显示，2025年第一季度侦测到的威胁总数与 2024 年第四季度相比增加 7.23%。与此同时，独特威胁数量减少近三分之一（ 27.59%）。这表明攻击者在一定程度上更频繁使用相同的恶意软件和不良程序来增加攻击强度，其中传播最广的是具有各种功能的恶意脚本、广告木马和广告软件。

电子邮件流量中最常侦测到的是木马投放器和下载器、广告软件、恶意脚本以及用于向受攻击电脑启动各种威胁的木马。

受到勒索木马感染的用户最常遇到的加密器是 Trojan.Encoder.35534 、Trojan.Encoder.35209 和 Trojan.Encoder.35067。

今年 1 月，我公司反病毒实验室侦测到一个利用多个不同恶意软件发起的门罗币挖掘活动。攻击者使用隐写术，这种技术可以将一个数据隐藏在其他数据中，如隐在图像中。

与此同时，我们的互联网分析师记录到第一季度窃取 Telegram用户账户的欺诈网站数量有所增加。

在移动威胁方面，针对安卓操作系统的广告木马和一些银行木马家族的活动有所增加。此外，我公司技术人员在 Google Play 目录中侦测到数十个新的恶意应用程序。

第一季度主要趋势

在受保护设备侦测到的威胁数量增加
独特新威胁较上季度数量减少
以窃取 Telegram 账户未目的的钓鱼网站数量增加
安卓设备多种常见广告和银行木马病毒家族的活动有所增加
• Google Play出现新威胁

Doctor Web统计服务收集的数据

2025年第一季度最常见威胁：

VBS.KeySender.6: 恶意脚本，无限循环搜索带有文本 mode extensions、разработчика 和 розробника 的窗口，并向其发送Escape 按钮被按事件，迫使窗口关闭。
Adware.Downware.20091: 广告软件，经常用于盗版软件的中转安装器。
Trojan.BPlug.4242: WinSafe 浏览器插件的恶意组件，为 JavaScript 脚本，用于在浏览器不断显示广告。
JS.Siggen5.44590: 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
Trojan.Siggen30.53926: 经攻击者修改的Electron框架主机进程，模仿Steam应用程序组件（Steam Client WebHelper）并加载JavaScript后门。

邮箱流量恶意程序统计数据

JS.Siggen5.44590: 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
JS.Inject: 利用JavaScript语言编写的恶意脚本家族，将恶意脚本嵌入网页的HTML代码。
Trojan.AVKill.63950: 在Windows 操作系统计算机安装后门 JS.BackDoor.42 的植入程序。
Trojan.Inject5.13806: 使用 AutoIt 脚本语言创建的针对 Windows 计算机的恶意程序，能启动多个系统进程并向其中注入间谍软件 Trojan.Fbng，攻击者可将这种间谍软件用作银行木马。

加密器

2025年第一季度，勒索木马受害者的文件解密申请量较去年第四季度下降了9.34%。

Doctor Web公司技术支持部门接收到的解密申请量动态：

2025年第一季度最常见的加密器：

Trojan.Encoder.35534 — 占用户申请的11.89％
Trojan.Encoder.35209 —占用户申请的5.95％
Trojan.Encoder. 35067 —占用户申请的3.57%
Trojan.Encoder.38200 —占用户申请的2.38％
Trojan.Encoder.37369 —占用户申请的1.98％

网络诈骗

2025 年第一季度，我公司互联网分析师注意到出现了许多新的用于窃取 Telegram帐户钓鱼网站。最常见的是虚假的登录页面和支持页面，页面显示用户因违反服务条款出现的问题。

虚假网店也再次广泛传播，攻击者邀请潜在受害者登录账户。

假冒俄罗斯某网店的虚假网站的账户钓鱼页面

我们的专家继续记录到提供各种所谓“优惠”的欺诈网站，诸如可轻松赚钱、获得礼物、参与促销活动等等。其中一个专门针对英国用户设计，诱骗用户获取所谓的“限量版”交通卡，声称这是专门为某运输公司周年纪念而设计，可以让用户长期免费使用公共交通服务。

诈骗网站诱骗用户获取所谓的First Essex 和 Oyster “促销”卡可免费乘坐公共交通工具

获卡钱用户必须回答几个问题，然后玩游戏，打开装有礼物的虚拟盒子（ “有奖”为预定）。 “中奖”后，用户需要提供个人信息并支付 2 英镑才能“收到”此卡。当然，受害者的个人信息和金钱都会落入犯罪分子手中。

页面显示用户打开游戏盒中卡，但必须提供个人信息并支付 2 英镑

支付所谓促销交通卡的银行卡信息输入表

欺诈者继续推荐各种具有“独特”算法的交易平台来吸引潜在受害者，包括所谓基于人工智能技术的算法。诈骗者还会使用名人以及真实公司和服务坐幌子，声称与之关联。场景之一仍然是承诺可借助 Telegram、WhatsApp 和其他公司的一些专门服务来赚钱。

一些网站则宣传各种人工智能平台，例如 Telegram AI 和 WHATSAPP AI，谎称在这些平台通过“自动交易系统”每月可以带来 14,000 欧元的收入：

其他网站利用的是交易机器人，声称这些交易机器人是软件所有者亲自创建的工具出现。例如，其中一个网站承诺“Pavel Durov机器人”Telegram.AI 可让用户每月赚取 2,500 欧元，而另一个网站则提供所谓由马克•扎克伯格创建的 WhatsApp 机器人，每天最多可赚取 500 欧元。

另一个诈骗网站提供所谓的“Telegram 平台”注册服务，称该平台可直接通过智能手机浏览器运行，自动交易国际公司的股票，每月可带来 10,000 欧元的收入：

另一网站则承诺利用 WhatsApp 人工智能算法可为“每个欧洲人”每月带来 5,000 欧元的收入：

人工智能骗局的一个常见形式是 Wealth Formula平台，称通过分析大量数据可以在瞬间完成交易。这个并不存在系统的所谓各种网站让访问者观看信息视频并可在“危机解决办公室”注册并获得咨询。诈骗者主要针对欧洲用户，尤其是捷克用户，承诺可“终生”获得每天 1,000 欧元的收入。而潜在受害者被要求至少支付 250 欧元才能访问该系统。

其他类似的场景也普遍使用，如可使用某种专门软件可创收。例如，一家网站诱骗捷克用户利用“世界上最智能的加密软件”每天赚取数万克朗：

另一个欺诈门户网站承诺使用某交易软件“10K EVERY DAY APP”每月收入可超过 470 万克朗：

与此同时，用户仍会遭遇以投资为幌子的虚假网站，攻击的是各国居民。例如，骗子又针对哈萨克斯坦的网民推出了一个通过石油和天然气交易获得收入的平台：

许多其他网站诱骗方式是称通过交易哈萨克斯坦、俄罗斯、中国和其他国家的股票可“及早赚取最大收益”：

俄罗斯和吉尔吉斯斯坦的用户也会遇到类似谎称可以通过交易石油和天然气赚钱的网站:

另一个欺诈性互联网资源则是邀请罗马尼亚用户加入 BRUA 天然气管道项目，并承诺每周可获得 3,000 列伊：

承诺以福利、社会补助等形式向民众提供国家支持的网站仍然具有一定的诱惑力。例如攻击者试图引诱俄罗斯用户访问一个假冒的国家服务门户网站。其中一个网站要求提供个人数据，谎称可以参与石油和天然气公司的红利支付，并可获得政府的奖金：

另一个欺诈网站打着一家大型银行的名义向哈萨克斯坦的每一位居民承诺现金援助：

虚假投资服务网站，包括假冒俄罗斯信贷机构的虚假网站仍然存在，其中许多模仿真实的银行门户网站，以尽可能地迷惑用户。

提供“投资服务”的假冒俄罗斯银行网站示例

了解Dr.Web不建议访问网站更多详情

移动设备恶意软件和不良软件

根据Dr.Web产品对安卓移动设备的侦测统计，2025年第一季度份在受保护设备最常侦测到的是广告木马 Android.HiddenAds 和 Android.MobiDash 以及假冒应用 Android.FakeApp，与去年第四季度相比，活动都有所增加。此外，用户还常遭遇银行木马 Android.BankBot 和 Android.Banker。2024 年几乎全年攻击次数都在增加的间谍木马 Android.SpyMax 侦测频率却有所下降。

我格式技术专家再次在 Google Play 目录中发现大量威胁，其中包括用于各种欺诈模式的木马、用于窃取加密货币的恶意软件以及广告木马。

第一季度主要移动安全事件：

广告木马 Android.HiddenAds 和 Android.MobiDash 活动增加
银行木马 Android.BankBot 和 Android.Banker 活动增加
间谍软件 Android.SpyMax 攻击次数减少
Google Play目录中再次出现新威胁

2025年第一季度份移动威胁更多详情请参阅移动威胁综述。

DoctorWeb：2025年第一季度移动设备病毒活动综述

Thu, 27 Mar 2025 00:00:00 GMT

2025.03.27

根据Dr.Web产品对安卓移动设备的侦测统计，2025年第一季度在安卓受保护设备最常侦测到的恶意软件仍是广告木马 Android.HiddenAds，而且与去年第四季度相比侦测频率增加了一倍多。排名第二的仍然是攻击者用于各种诈骗活动的恶意应用程序 Android.FakeApp，其活动增加了近8％。排名第三的是 Android.MobiDash 家族的广告木马，其正常量增加了近4倍。

许多银行木马的活动也多有增加，如 Android.BankBot 和 Android.Banker 家族木马的攻击次数分别增加了20.68%和151.71%。与此同时，2024年全年活动量几乎都在增长的 Android.SpyMax 木马病毒侦测率比上一季度却降低了41.94%。

在过去3个月中，我公司专家在GooglePlay目录中发现了数十种新威胁。除了传统的大量 Android.FakeApp 木马外，我公司反病毒实验室还侦测到用于窃取加密货币的恶意程序以及不断显示广告的木马。

第一季度主要移动安全事件：

广告木马活动加剧
银行木马 Android.BankBot 和 Android.Banker 攻击次数增加
间谍木马 Android.SpyMax 的活动减少
在 Google Play 侦测到大量新的恶意应用程序

Dr.WebforAndroid保护产品统计信息

最常见的恶意软件

Android.HiddenAds.657.origin
Android.HiddenAds.655.origin
Android.HiddenAds.4214: 用于不断显示广告的木马，Android.HiddenAds 家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。
Android.MobiDash.7859: 显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。

最常见的不良软件

Program.FakeMoney.11
Program.FakeMoney.14: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

最常见的风险程序

Tool.NPMod.1: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.Androlua.1.origin: 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。
Tool.SilentInstaller.14.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行，并自动获得相同的权限。
Tool.LuckyPatcher.1.origin: 一个实用工具程序，用于修改已安装的安卓应用程序（为其创建补丁），更改其操作逻辑或绕过某些限制。例如，利用此工具用户可以禁用网银程序中的root访问验证或在游戏中获得无限资源。创建补丁时此工具从互联网下载专门的脚本，而这些脚本来自公共数据库可以由任何人创建。此类脚本的功能也可能是恶意的，因此创建的补丁可能会带来潜在的危险。
Tool.Packer.1.origin: 一种专门的加壳工具，用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序，但既可用于保护正常程序，也可用于保护木马程序。

最常见的广告软件

Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件 Program.FakeMoney.11 共享一个共同的代码库。
Adware.AdPush.3.origin
Adware.Adpush.21846: 可集成到Android程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Fictus.1.origin: 攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中，集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发，安装后显示不良广告。

GooglePlay中的威胁

2025年第一季度，我公司病毒实验室再次在GooglePlay目录中侦测到几十种新的恶意软件，其中大多是木马 Android.HiddenAds.4213 和 Android.HiddenAds.4215 的不同变种。这些木马会在受感染的设备隐藏自身后在其他程序和操作系统界面显示广告。这些木马嵌在各种照片和视频效果应用以及照片编辑器、图像集和女性健康日记应用中。

藏身于TimeShiftCam和FusionCollageEditor中的广告木马 Android.HiddenAds

我们的技术专家还发现了用于窃取加密货币的恶意程序 Android.CoinSteal.202、Android.CoinSteal.203 和 Android.CoinSteal.206 旨在，打着Raydium和AerodromeFinance区块链平台以及Dydx加密货币交易所官方软件的幌子进行传播。

软件Raydium和DydxExchange实际上是用于窃取加密货币的木马

启动时，恶意应用程序会提示潜在受害者连接加密钱包需输入助记词（种子短语），但实际上，输入的数据会被传输给攻击者。为了进一步误导用户，输入助记词的格式会伪装成是来自其他加密平台的请求。下例就是 Android.CoinSteal.206 显示的假冒加密货币交易所PancakeSwap的钓鱼页面。

与此同时，假冒程序家族 Android.FakeApp 仍旧在GooglePlay进行传播，其中许多是被骗子伪装成与金融活动相关的应用程序，包括教程工具、获取投资服务的工具以及跟踪个人财务状况的程序。这些假冒软件会下载各种钓鱼网站，目的包括用于收集个人数据。

假冒金融软件的恶意软件 Android.FakeApp 示例：“聪明用钱”—Android.FakeApp.1803、EconomicUnion—Android.FakeApp.1777

另一些 Android.FakeApp 木马在特定条件下会加载博彩公司和在线赌场网站，以各种游戏和其他软件（例如打字训练器和绘图指南）为幌子进行传播，其中有 Android.FakeApp.1669 木马的新变种。

加载在线赌场和博彩公司网站而非宣称功能的假冒恶意软件示例

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

DoctorWeb：2024年病毒活动年度报告

Thu, 30 Jan 2025 03:00:00 GMT

2025年1月30日

2024年，使用AutoIt脚本语言编写的恶意软件再次成为最常见威胁之一，这些恶意软件嵌入其他恶意应用程序进行传播，会增加侦测难度。广告木马和各种恶意脚本也非常活跃。电子邮件流量中最常见的是恶意脚本。此外，各种木马程序、钓鱼文档和可执行任意代码的漏洞进攻也通过垃圾邮件进行传播。

在移动威胁中，最常见的是广告木马、恶意间谍软件和不良广告软件。过去一年中手机银行木马的活动一直呈上升趋势。与此同时，我们的病毒实验室在 Google Play 目录中发现了数百个新的恶意和不良程序。

网络诈骗分子的活动十分活跃，不断“推出”新的诈骗手段。

与2023年相比，勒索木马受害用户申请文件解密的数量有所减少。与此同时，我们的技术专家侦测到诸多与信息安全相关的事件。在过去的一年中，我公司调查了几起定向进攻事件，发现了又一起Android 操作系统电视机顶盒的感染事件，并击退了一次针对我公司自身基础设施的进攻。

年度主要趋势

AutoIt脚本语言编写的木马仍在广泛传播
恶意脚本成为最常见的威胁之
电子邮件中存在的安全威胁主要是恶意脚本和各种木马程序
记录到新的定向进攻
攻击者越来越多地利用 eBPF 技术来隐藏其恶意活动
勒索软件受害者文件解密请求数量减少
网络诈骗分子活动频繁
针对移动设备的银行木马数量增多
在 Google Play 目录中侦测到众多新威胁

2024年最值得关注的事件

1 月份，我公司技术专家通报了木马挖矿程序 Trojan.BtcMine.3767，这个挖矿程序隐藏在盗版程序中，通过专门创建的 Telegram 频道和多个互联网网站进行传播，感染了数万台 Windows 计算机，其进驻被攻击的系统的方式是在调度程序中为自己创建自动运行任务，并将自己添加到 Windows Defender的排除项。随后会将直接负责挖掘加密货币的组件注入 explorer.exe 进程（Windows 资源管理器）。还能执行许多其他恶意操作，例如安装非文件 rootkit、阻止访问网站和禁用操作系统更新。

3月份，我们发布我们发布了关于针对俄罗斯机械工程领域企业定向进攻的研究报告。对该事件的调查显示，感染分多阶段进行，并且攻击者使用了多种恶意应用程序，其中最令研究人员感兴趣的是后门 JS.BackDoor.60，用于攻击者和被感染计算机之间的交互作用。该木马采用自身的JavaScript框架，由主体和辅助模块组成，能够从被感染设备窃取文件、跟踪键盘输入、创建屏幕截图、下载自身更新，并可通过下载新模块来扩展功能。

5 月份，我公司病毒分析师在成人玩具控制应用 Love Spouse以及运动记录应用 QRunning中发现中发现一个木马点击器，将其命名为 Android.Click.414.origin。这两个包含木马的应用都是通过 Google Play 来进行传播。Android.Click.414.origin 伪装成一个收集调试信息的组件，植入到这些程序的多个新版本。稍后Love Spouse 的开发人员发布了不再包含这一木马的更新版本，而第二个程序的编写者没有做出任何反应。Android.Click.414.origin 具有模块化架构，利用其组件可以执行各种恶意操作，包括收集被感染设备数据、暗中加载网页、显示广告、执行点击并与加载页面的内容进行互动。

7 月份，我们通报著名的 TgRat 远程访问木马出现了 Linux 版本，该木马用于对计算机进行定向进攻。命名为 Linux.BackDoor.TgRat.2, 的新变种是在接到一家托管服务运营商提出的申请后我公司技术人员对其信息安全事件进行调查的过程中被发现的。 Dr.Web 反病毒软件在这家运营商的一个客户的服务器上侦测到一个可疑文件，经分析是一个安装木马的后门植入程序。攻击者通过一个Telegram隐蔽群使用与木马连接的 Telegram 机器人来控制 Linux.BackDoor.TgRat.2，利用Telegram从被感染的系统下载文件、截取屏幕截图、远程执行命令或使用聊天中的附件功能将文件上传到计算机。

9月初，我公司网站发布了一篇关于针对俄罗斯一家大型货运铁路运输企业发起的定向进攻以失败告终的文章。在此几个月前，该公司的信息安全团队发现到一封带有附件的可疑电子邮件。我们的病毒分析师对其进行了分析，发现邮件是一个伪装成 PDF 文档的 Windows 快捷方式，其中写有启动 PowerShell 命令解释器的参数。打开此快捷方式会导致目标系统同时被多个网络间谍恶意软件的分阶段感染，其中一个恶意软件是 Trojan.Siggen27.11306，利用Yandex浏览器的CVE-2024-6473 漏洞进行DLL搜索（DLL Search Order Hijacking）。这个木马将一个恶意DLL库放置到浏览器安装目录中，而恶意DLL库的名称是负责保证应用程序启动安全的系统组件 Wldp.dll 的名称。由于恶意文件位于应用程序文件夹，当应用程序启动时，木马库会利用浏览器漏洞获得更高优先级而被优先加载，同时还获得了浏览器本身的所有权限。该漏洞后来已打上了补丁。

不久之后，我们的专家报告了针对Android 操作系统电视机顶盒的又一起攻击。此次攻击活动使用的 Android.Vo1d 恶意软件感染了 197 个国家/地区的近 1,300,000 台设备，是一个模块化后门，会将其组件放置在系统区域，并可根据攻击者的命令秘密下载并运行其他应用程序。

此外，9月份还记录了一次针对我公司资源的定向攻击。我公司技术人员迅速阻止了破坏公司基础设施的企图，成功击退了这次攻击，而且我们的用户均未因此次进攻受到影响。

十月份，我公司病毒分析师通报在对安装有 Redis 数据库管理系统的设备所遭受的攻击进行研究的过程中发现发现多个针对 Linux 操作系统的新恶意程序。因这种数据库管理系统各种漏洞，成为网络犯罪分子发动进攻的目标。侦测到的新恶意威胁包括后门、植入程序以及一个rootkit 新变种，其功能是在被感染设备上安装 Skidmap 挖矿木马。这个挖矿木马自 2019 年以来就一直活跃，其主要目的是利用企业资源，包括大型服务器和云环境。

同月，我们的反病毒实验室发现了一场的通过传播恶意软件来挖掘和窃取加密货币的大规模活动，有超过 28,000 名用户受到此次攻击的影响，其中大部分在俄罗斯。这些木马隐藏在盗版软件中，并通过在 GitHub 平台上创建的诈骗网站进行分发。此外，病毒编写者还在YouTube平台发布的视频下放置了下载恶意应用的链接。

11月份，我们的专家侦测出木马程序 Android.FakeApp.1669, 的多个新变种，其恶意功能是下载网站。与大多数同类恶意软件不同，Android.FakeApp.1669 是从恶意 DNS 服务器的 TXT 记录中获取目标网站的地址，并使用开源 dnsjava 库经修改后的代码。同时，该木马只有通过某些网络关于商连接到互联网时才会表现出恶意活动。在其他情况下则会是无害软件。

2024 年底，在应一位客户提交的请求进行安全事件调查过程中，我公司反病毒实验室的专家发现了一个主要针对东南亚用户的活跃的黑客活动。网络犯罪分子在攻击过程中使用了多种恶意应用程序，采用了在病毒编写者中刚刚开始流行的方法和技术，其中之一是eBPF技术（extended Berkeley Packet Filter），该技术是用于扩展对 Linux OS 网络子系统和进程的控制。不法分子运用此技术掩盖恶意网络活动和流程、收集敏感信息以及绕过防火墙和入侵检测系统。另一种技术是将木马设置存储在公共平台（如 GitHub 平台和博客），而不是控制服务器上。此次攻击的第三个特点是后渗透框架与恶意应用相结合。虽然此类后渗透框架可用于数字系统的安全审计，本身并不具有恶意，但其功能和漏洞数据库的存在增加了攻击者的技术手段。

病毒传播情况

根据2024年Dr.Web反病毒产品侦测统计数据，侦测到的威胁总数较2023年增长了26.20%。新威胁数量增长51.22%。最常见是作为其他恶意程序的一部分来进行传播的AutoIt脚本语言木马，这种传播方式增加了对木马的侦测难度。此外，用户还经常遭遇各类恶意脚本和广告木马。

JS.Siggen5.44590: 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
Trojan.AutoIt.1224
Trojan.AutoIt.1131
Trojan.AutoIt.1124
Trojan.AutoIt.1222: 用AutoIt脚本语言编写的木马 Trojan.AutoIt.289 的打包版本，作为一些恶意应用，如挖矿程序、后门和自传播模块的一部分进行传播。Trojan.AutoIt.289 执行各种恶意操作，使主要的有效恶意负载难以被侦测。
Trojan.StartPage1.62722: 替换浏览器起始页的恶意程序。
Trojan.BPlug.3814: WinSafe浏览器插件的恶意组件，是在浏览器不断显示广告的JavaScript脚本。
VBS.KeySender.6: 恶意脚本，无限循环搜索带有文本mode extensions, разработчика和розробника的窗口，并向其发送Escape 按钮被按事件，迫使窗口关闭。
BAT.AVKill.37: 木马程序 Trojan.AutoIt.289的组件。该脚本用于启动其他恶意软件组件，将其安装到Windows 任务计划器的自启动程序，并将其添加到反病毒 Windows Defender的排除项。
Trojan.Unsecure.7: 一种利用Windows 操作系统的 AppLocker 策略阻止启动反病毒软件和其他软件的木马。

电子邮件流量中最常见的威胁是恶意脚本和木马程序，例如后门、恶意软件加载器和投放器、具有间谍软件功能的木马、用于加密货币挖掘的恶意应用等。攻击者还进行网络钓鱼文件群发，通常是热门网站的虚假登录页面。此外，用户遭遇的安全威胁还有利用 Microsoft Office 文档漏洞的蠕虫和恶意软件。

JS.Siggen5.44590: 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
JS.Inject: 用JavaScript编写的恶意脚本家族，将恶意脚本嵌入网页的HTML代码。
LNK.Starter.56: 以特殊方式生成的快捷方式，通过移动驱动器传播，带有磁盘图标来误导用户。打开时会启动与快捷方式本身位于同一介质的隐藏目录中的VBS恶意脚本。
Win32.HLLW.Rendoc.3: 一种网络蠕虫，可通过移动存储介质等方式进行传播。
Exploit.CVE-2018-0798.4: 利用MicrosoftOffice软件漏洞进攻,可执行任意代码。
Trojan.AutoIt.1122: 用AutoIt脚本语言编写的木马 Trojan.AutoIt.289的打包版本，作为一些恶意应用，如挖矿程序、后门和自传播模块的一部分进行传播。Trojan.AutoIt.289执行各种恶意操作，使主要的有效恶意负载难以被侦测。
Trojan.SpyBot.699: 多模块银行木马。网络犯罪分子利用该木马在被感染的设备下载并运行各种应用程序并可执行任意代码。
VBS.BtcMine.13
VBS.BtcMine.12: 恶意 VBS 脚本，用于暗中进行加密货币的挖掘。

加密器

与2023年相比，2024年DoctorWeb病毒实验室收到的木马勒索软件受害用户解密申请减少了33.05%。下图显示的是解密申请数量的动态统计：

2024年最常见的勒索软件：

Trojan.Encoder.35534 (占用户申请的13.13%): 也称为Mimic。在搜索加密目标文件时，该木马会使用合法程序Everything中用于即时搜索Windows计算机文件的库everything.dll。
Trojan.Encoder.3953 (占用户申请的12.10%): 具有多个不同版本和变种的加密器，使用CBC模式的AES-256算法加密文件。
Trojan.Encoder.26996 (占用户申请的7.44%): 该勒索软件还被称为STOPRansomware，能尝试从远程服务器获取私钥，如果失败，则使用硬编码的私钥。这是少数使用Salsa20流算法加密数据的勒索软件木马之一。
Trojan.Encoder.35067 （占用户申请的2.21%）: 一种名为Macop的加密器（该木马的变种之一是Trojan.Encoder.30572）。体积很小，大约30-40 KB。部分原因是该木马没有携带第三方加密库，而是只使用 CryptoAPI 函数进行加密和密钥生成。加密文件使用 AES-256 算法，密钥本身使用 RSA-1024 加密。
Trojan.Encoder.37369（占用户申请的2.10%）: 勒索软件#Cylance的众多变种之一，使用 ChaCha12 算法和 Curve25519（X25519）椭圆曲线密钥交换方案来加密文件。

网络诈骗

2024 年我公司的互联网分析师一直在追踪活动频繁的网络诈骗，不法分子在不断使用传统和新的诈骗模式来欺骗用户。在俄罗斯最普遍的的互联网诈骗手段依然是使用多种样式的诈骗网站，比如假冒知名在线购物平台和社交网络，以其名义进行所谓的促销和大酬宾。在此类网站上总是会显示用户“赢得”奖励，而获得实际并不存在的奖品需要支付“手续费”。

假冒俄罗斯一家网店的诈骗性网站向访问者提供参加所谓的抽奖机会

虚假社交网站邀请“试运气”，谎称可以赢取大额现金奖励和其他礼物

此类骗局的常用模式之一仍然是虚假的家用电器和电子产品网店和网站，提供所谓的折扣价服务。通常，支付“订单”时会建议使用网上银行或银行卡，而去年诈骗分子也开始使用SBP服务（快速支付系统）。

虚假的家用电器和电子产品商店网站承诺提供所谓巨额折扣

诈骗网站将 SBP列为“订单”付款方式

“免费”彩票诈骗也依然很受不法分子欢迎，谎称在线抽奖一定会“中奖”，但获得奖品用户还必须支付“手续费”。

谎报用户彩票中了 314906 卢布，页面显示需支付“手续费”才能“领取”奖金

虚假金融网站也依然是诈骗分子的武器。热门诱饵包括获取国家或私营公司的支付款、投资石油和天然气行业、投资培训、使用“独特”的自动化系统或“经过验证的”策略来交易加密货币和股票只赚不亏等等。攻击者还利用媒体名人的名字来吸引用户的注意力。下面是此类站点的示例。

诈骗网站称“在专设WhatsApp平台上每月可赚取高达 10,000 欧元”

俄罗斯当红艺人 Shaman“分享成功平台”，每月可带来 14,000 美元的可观收入

假冒一家石油和天然气公司的网站提供所谓投资服务，承诺可赚取 15 万卢布

冒充银行投资服务的诈骗网站

与此同时，去年我们的技术人员也发现确定了新的诈骗模式。比如假借大公司之名邀请用户参与有关所提供服务质量的有奖调查。此类假冒网站还包括虚假的信贷机构网站，要求用户提供敏感个人数据，包括姓名、与银行账户关联的手机号码以及银行卡号。

一个假银行网站邀请参与以“提高服务质量”为目的调查，奖励 6,000 卢布

其他国家用户也是此类假网站的追捕对象。例如下面这个网站承诺欧洲用户投资有前景的经济领域将获得红利：

下面这个网站则宣传“谷歌推出的全新投资平台”，谎称利用此平台可以赚取 1000 欧元：

另一个诈骗性在线资源针对的是斯洛伐克用户，谎称使用某种投资服务“每月收入超过 192,460 美元”：

阿塞拜疆居民的收入状况也可以显著改善，每月收入可达 1000 马纳特，所要做的只是参与简短的调查，并获得与阿塞拜疆石油和天然气公司有关的服务：

每逢年底，诈骗者通常会利用新年这一话题来制作此类虚假网站。例如，以下虚假加密货币交易网站承诺向俄罗斯用户提供贺年奖：

另一个网站则打着一家投资公司的幌子向访问者提供所谓贺年礼金：

下面这个诈骗资源承诺向哈萨克斯坦用户“新年优惠”，可获取大笔独立日庆祝款：

在过去的一年里，我们的互联网分析师还发现许多其他网络钓鱼网站，其中包括虚假的在线培训服务。例如，其中一个网站模仿真实互联网资源的外观，并提供编程课程。 “获得教程咨询”，要求用户提供个人信息。

一个伪装成教育服务在线资源的虚假网站

伪装成各种在线投票网站的钓鱼网站仍在继续尝试窃取 Telegram 用户帐户。其中，“儿童画比赛投票”网站再度大肆传播。潜在受害者会被要求提供手机号码，谎称是用来确认声音和接收一次性代码。然而，这样的网站上输入此代码时，用户实际上是为诈骗者打开了帐户访问权限。

以儿童绘画比赛在线“投票”为饵的钓鱼网站

其他类似网站提供的是 Telegram Premium 的“免费”订阅。用户被要求登录自己的账户，但在这些网站上输入的敏感数据会被传输给攻击者，使其可以窃取账户。值得注意的是，这些钓鱼链接的传播方式包括通过这个即时通讯工具本身进行传播，而消息中目标网站的实际地址通常与用户看到的不符。

Telegram 中的网络钓鱼消息，要求点击指定链接来“激活”Telegram Premium 订阅。链接文本实际上与目标地址不符

点击诈骗邮件中的链接后加载的钓鱼网站

点击上一页的按钮后，网站会显示一个登录页面，看起来很像真正的 Telegram 登录页面

网络犯罪分子还利用垃圾邮件来分发诈骗网站链接。在过去的一年里，我们的互联网分析师记录了大量不同垃圾邮件的群发活动，比如针对日本用户的钓鱼邮件群发。诈骗者以某个信贷机构的名义向潜在受害者发送购买信息，欺骗用户点击提供的链接可以了解“付款”的详细信息。事实上，链接指向的是网络钓鱼资源。

钓鱼邮件谎称是银行向日本用户提供支付详细信息

另一种常见的模式是诈骗者以信贷机构的名义发送当月银行卡费用的虚假通知。同时，电子邮件文本中的钓鱼网站链接经常会有伪装，降低收件人的警惕性。

用户在垃圾邮件中看到的是银行网站真实地址的链接，但点击后会被转至诈骗页面

还有一个垃圾邮件群发活动针对的是欧洲用户。如比利时用户收到的网络钓鱼邮件声称用户的银行账户已被“冻结”。“解除冻结”需点击一个链接，而这个链接实际上打开的是诈骗网站。

不良电子邮件威胁收件人其银行账户已被“冻结”

去年还记录到其他垃圾邮件群发，如针对英语受众的邮件。在一次垃圾邮件群发中潜在受害者收到的消息是要求他们确认已收到大额汇款，邮件中的链接指向一个网上银行的钓鱼登录页面，与信贷机构网站上的真实页面十分类似。

垃圾邮件称用户需要确认已到账 1218.16 美元

俄罗斯用户最常遇到的垃圾邮件是引诱潜在受害者访问上面已提及的常见钓鱼网站的垃圾邮件。常见的垃圾信息主题包括网店奖品和折扣、免费彩票以及投资服务。下面是此类邮件的截图。

邮件假冒一家网店谎称有“抽奖”的机会

邮件假冒一家信贷机构提议“成为一名成功的投资者”

邮件假冒电子产品商店，谎称激活促销代码可获得折扣

移动设备威胁

根据移动设备保护产品 Dr.Web Security Space 的侦测统计数据，木马 Android.HiddenAds, 再次成为2024 年最常见的安卓恶意软件，这类木马会在被感染设备隐身并展示广告，其侦测量占恶意软件侦测总数的三分之一以上。该家族最活跃的成员包括 Android.HiddenAds.3956、Android.HiddenAds.3851、Android.HiddenAds.655.origin和 Android.HiddenAds.3994。与此同时，用户遭遇的还有其变种 Android.HiddenAds.Aegis，该变种能够在安装后自动启动。其他常见的恶意应用程序是用于各种诈骗活动的木马Android.FakeApp和间谍木马Android.Spy。

最活跃的不良软件是 Program.FakeMoney、 Program.CloudInject 和 Program.FakeAntiVirus家族的成员。第一个家族是邀请用户执行各种任务来获得虚拟奖励，宣称然后可以将虚拟奖励提现，但实际上用户不会收到任何付款。第二个家族是经过修改的程序，在通过专门的云服务进行修改时添加不受控制的代码和许多危险的权限。第三类不良软件是模仿反病毒软件的运行，侦测不存在的威胁并要求用户购买完整版本来修复所谓的安全“问题”。

工具 Tool.SilentInstaller 允许在不安装安卓应用的情况下运行运行，再次成为最常侦测到的风险软件，占此类程序侦测量的三分之一以上。使用工具NP Manager（侦测为 Tool.NPMod）修改的应用程序也已越来越多，此类程序内置有特殊模块，在修改后可绕过数字签名验证。经常侦测到的风险出现还有受 Tool.Packer.1.origin 打包程序保护的应用以及 Tool.Androlua.1.origin 框架，该框架可修改已安装的 Android 程序并执行可能具有恶意的 Lua 脚本。

传播最广泛的广告软件是新的 Adware.ModAd 家族，占近一半的侦测量。这个家族是经过特殊修改的WhatsApp版本，其功能中嵌入了下载广告链接的代码。侦测量第二的是 Adware.Adpush 家族成员，第三为另一个新家族Adware.Basement。

与 2023 年相比，2024 年针对安卓操作系统的银行木马活动略有增加。与此同时，我们的专家注意到，网络犯罪分子越来越多地使用多种技术手段来保护恶意软件（包括银行恶意软件），提高对其进行分析和侦测的难度。这些技术手段包括对 ZIP 存档格式（APK 文件的基础）和 Android 程序配置文件 AndroidManifest.xml 进行各种操作。

另外值得注意的是恶意应用程序 Android.SpyMax 的广泛传播。攻击者积极使用这种间谍软件作为银行木马，特别针对的是俄罗斯用户（占侦测次数的 46.23%）以及巴西（占侦测次数的 35.46%）和土耳其（占侦测次数的 5.80%）的安卓设备用户。

去年一年中，我公司病毒分析师在 Google Play 目录中发现了 200 多种不同的威胁。其中包括订阅付费服务的木马、间谍木马、诈骗软件和广告软件。这些应用的总计下载量至少有 26,700,000 次。此外，我们的专家还记录到另一起针对安卓操作系统的电视机顶盒的攻击：模块化后门 Android.Vo1d 感染了来自 197 个国家的近 1,300,000 台用户的设备。该木马将其组件放置在系统区域，根据攻击者的指令，可从互联网上秘密下载并安装第三方软件。

有关 2024年移动设备威胁的更多信息，请参阅我们的年度报告。

趋势前瞻

过去一年发生的事件再次证明了现代网络威胁形势的多样性。攻击者感兴趣的包括大型目标（企业和政府部门），也包括普通用户。我们调查的定向进攻中所使用的恶意软件所具备的功能表明，病毒编写者正在不断寻找新的技术手段来改进其进行恶意活动方法。随着时间的推移，新技术不可避免地会被针对面更广的威胁所采用。因此2025年，可能会出现更多利用eBPF技术来隐藏恶意活动的木马。此外，我们还应该预见到会出现新的定向进攻，包括利用漏洞进行的进攻。

网络犯罪分子的主要目的之一就是非法盈利，因此新的一年里银行和广告木马活动会有所增加况。此外，用户可能遭遇更多具有间谍软件功能的恶意软件。

同时，不仅 Windows 电脑用户会继续面临安全风险，Linux 和 macOS 等其他操作系统的用户也将成为进攻目标。移动威胁也将继续蔓延。安卓设备用户尤其应该警惕新的间谍软件、银行木马以及恶意和不良广告应用。不排除再次出现感染电视、电视机顶盒和其他安卓设备的可能性。此外，Google Play 目录中也可能会出现新的威胁。

The Anti-virus Times

Infinite horizons

DoctorWeb：2024年移动威胁年度报告

Thu, 30 Jan 2025 02:00:00 GMT

2025年1月30日

2024年，最常见的安卓威胁再度是显示广告的木马。与前一年相比，诈骗软件、勒索木马、点击器和银行木马的活动有所增加。银行木马中仅窃取网银登录信息和短信确认码的较简单的银行木马相比 2023 年更加常见。

不良软件中，最活跃的是一些要求用户执行各种任务来获得虚拟奖励的应用程序，宣称用户可以将这些奖励兑换现。最常见风险程序是可运行无需安装的安卓应用程序的工具软件。最活跃的广告软件是即时通讯程序WhatsApp经过特殊修改的版本，其功能中嵌入了下载广告链接的代码。

在过去一年里，我公司病毒分析师在 Google Play 目录中发现了数百种新威胁，这些威胁的总下载量超过 26,700,000 次，其中有恶意软件（包括间谍软件木马）、不良应用和广告软件。

我们的专家还发现了一起针对安卓电视盒的进攻，约有 1,300,000 台设备受到后门攻击，这种新后门感染系统区域，并且在攻击者的命令下可以下载并安装第三方软件。

此外，我们的病毒分析师还发现，多种能够加大恶意安卓软件分析难度并试图并绕过反病毒软件侦测的技术越来越多地被不法分子所利用。这些技术手段包括对 ZIP 存档格式（ZIP 格式是安卓应用程序 APK 文件的基础）的各种操作、对程序配置文件 AndroidManifest.xml 的操作等等。这些技术最常见出现在银行木马中。

过去一年的趋势

展示广告d 恶意软件仍是最常见的威胁
银行木马活动增加
网络犯罪分子更多地使用简单的银行木马 Android.Banker，仅窃取网上银行账户的登录数据以及短信验证码
攻击者越来越多地通过更改APK 应用格式及其结构组件来绕过侦测，增加恶意软件的分析难度
勒索木马 Android.Locker 和点击器木马 Android.Click 的侦测率上升
GooglePlay目录出现众多新威胁

2024年最值得关注的事件

去年 5 月，我公司专家通报在色情玩具控制应用和运动跟踪软件中侦测到木马点击器 Android.Click.414.origin，这两款程序均通过 Google Play 目录传播，总安装量超过 1,500,000 次。 Android.Click.414.origin 具有模块化架构，利用组件执行相应任务，比如，木马可暗中打开广告网站并在网站执行各种操作，包括滚动浏览网页内容、填写输入栏、将网页静音并截屏进行图内容分析后点击所需区域。此外，Android.Click.414.origin 还将被感染设备的详细信息传输给控制服务器。同时，这个点击器对特定用户不会进行进攻：木马不会在安装中文界面语言的设备启动。

软件Love Spouse和QRunning的某些版本隐藏有木马 Android.Click.414.origin

9月份，我们的专家发布安卓电视机顶盒感染后门 Android.Vo1d 的案例分析详情。这种模块结构的恶意软件入侵了197个国家用户近130万台设备，入侵后将其组件放置在系统区域，并根据攻击者的命令，秘密下载并安装第三方软件。

感染后门 Android.Vo1d 的机顶盒数量最多的国家

11月我公司病毒分析师以 Android.FakeApp.1669木马为例，介绍了攻击者如何使用 DNS协议隐藏恶意软件和控制服务器之间进行的通信。 Android.FakeApp.1669是一种相当原始的木马，可执行的任务仅限于加载指定的网站。与大多数类似威胁的不同，这种木马是从恶意 DNS 服务器的 TXT 记录获取目标站点地址，且使用的是开源 dnsjava 库修改后的代码。同时，Android.FakeApp.1669 仅在通过某些通讯提供商连接到互联网时才会显现恶意功能，在其他情况下会作为无害软件运行。

Android.FakeApp.1669 的一个变种利用工具Linux dig查询 DNS 服务器时返回的目标域 TXT 记录示例

统计数据

根据Dr.Web安卓移动设备保护产品Dr.Web Security Space的侦测统计，2024 年最常见的威胁是恶意软件，占侦测总数的 74.67%。紧随其后的是广告应用，占比为 10.96%。风险程序是第三大常见程序，占 10.55%。第四位是不良软件，用户遭遇该类软件的概率为 3.82%。

根据Dr.Web安卓移动设备保护产品的侦测统计，2024年各类型威胁的分布情况如下：

恶意应用程序

Android.HiddenAds 家族的广告木马再次成为最常见的安卓恶意软件。在过去的一年里，这类木马在 Dr.Web 反病毒软件恶意应用侦测总量中的份额增加了 0.34 个百分点，达到侦测量的 31.95%。

这一家族成员中最位活跃的是 Android.HiddenAds.3956 （占该家族成员侦测次数的 15.10% 和恶意软件总侦测量的 4.84%），几年来用户经常遭遇的恶意软件 Android.HiddenAds.1994 的众多变种之一。 Android.HiddenAds.3956 其他变种于 2023 年问世，我们曾预测可能会在该家族中占据主导地位，事实确实如此。 2024年出现的新变种 Android.HiddenAds.3980、Android.HiddenAds.3989、 Android.HiddenAds.3994、Android.HiddenAds.655.origin、Android.HiddenAds.657.origin 等也开始广泛传播。

与此同时，木马子家族 Android.HiddenAds.Aegis 也更加引人注目。与其他大多数 Android.HiddenAds 恶意软件不同，这一子家族能够自启动并具有一些其他特征。在Dr.Web反病毒软件所保护的设备上最常侦测到的变种是 Android.HiddenAds.Aegis.1、 Android.HiddenAds.Aegis.4.origin、 Android.HiddenAds.Aegis.7.origin 和 Android.HiddenAds.Aegis.1.origin。

第二常见的恶意软件是 Android.FakeApp 家族木马，攻击者利用这类木马实施各种欺诈。去年这类木马占恶意软件侦测总量的 18.28%，比前年增加了 16.45 个百分点。此类木马通常会加载用于进行网络钓鱼和网络欺诈的不良网站。

排名第三的是具有间谍功能的木马 Android.Spy，份额为 11.52%（与 2023 年相比下降了 16.7 个百分点）。与上一年一样，该家族传播最广泛的成员是 Android.Spy.5106，占恶意软件侦测总数的5.95％。

2024年，用于下载和安装其他程序并能够执行任意代码的恶意软件传播趋势各有不同：与上年相比，下载器 Android.DownLoader 的份额下降了0.49个百分点，降至1.69%，木马 Android.Mobifun 的份额下降了0.15个百分点，降至0.10%，木马 Android.Xiny 的份额下降了0.14个百分点至 0.13%。而木马 Android.Triada 和 Android.RemoteCode 侦测量增加，分别占比2.74%（增长0.6个百分点）和3.78%（增长0.95个百分点）。

受软件打包器保护的恶意应用 Android.Packed 侦测量从7.98%下降至5.49%，几乎回到了2022年的水平。广告木马 Android.MobiDash 的攻击数量也从10.06%下降到至5.38%。与此同时，勒索木马 Android.Locker 和木马 Android.Proxy 的侦测数量均略有增加，分别从1.15%、0.57%上升到1.60%和0.81%，后者使用被感染的安卓设备来重定向进攻者的网络流量。此外，能够打开广告网站和点击网页的恶意软件 Android.Click 的活动明显增加，从0.82％增加到3.56％。

2024 年侦测到的十大最常见恶意应用程序：

Android.FakeApp.1600: 加载其设置中所指定网站的木马程序。这一恶意软件的已知变种加载的网站是一个在线赌场。
Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.HiddenAds.3956
Android.HiddenAds.3851
Android.HiddenAds.655.origin
Android.HiddenAds.3994
Android.HiddenAds.657.origin: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Click.1751: 嵌入WhatsAppMessenger修改版并伪装成Google库的木马。使用修改版程序时，Android.Click.1751 向控制服务器发出请求。收到的响应是两个链接，其中一个针对俄语用户，另一个针对其他语言用户。然后，木马会按照从服务器接收的内容显示一个对话框，用户点击确认按钮后会在浏览器打开相应的链接。
Android.HiddenAds.Aegis.1: 一种木马程序，会隐藏在安卓设备上显示烦人的广告。属于 Android.HiddenAds 的一个子家族，在很多方面与该家族的其他成员有所不同。例如，此类木马在安装后能够自行启动。此外，还实施了一种保证其服务始终保持运行的机制。在某些情况下还能使用安卓操作系统的隐藏功能。
Android.MobiDash.7815: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。

不良软件

2024年最常见的不良应用是 Program.FakeMoney.11，占的52.10%，也就是不良软件侦测总量的一半。此应用属于的应用程序家族宣称功能是用户通过完成各种任务就可以赚钱，但实际上最终不会支付任何真正的奖励。

Dr.Web反病毒软件将其侦测为Program.CloudInject.1 的软件排名第二，占比为占比19.21%，比上年提高9.75个百分点。此类软件是通过云服务CludInject修改的程序，修改过程中添加了危险权限和其目的无法控制混淆代码。

Program.FakeAntiVirus.1 连续两年活跃度下降，跌至第三，占比 10.07%，比 2023 年下降了 9.35 个百分点。该应用程序是模仿反病毒软件的操作，侦测不存在的威胁，并建议安卓设备用户购买所谓完整版本来“修复”所谓已发现的问题。

在过去的一年里，用户遭遇各种用于监视和控制活动的程序。此类软件既可以在设备所有者同意的情况下收集数据，也可以在用户不知情的情况下收集数据，也就是实际变成了间谍工具。受 Dr.Web 保护的设备上最常侦测到的监控程序是 Program.TrackView.1.origin （占 2.40%）、 Program.SecretVideoRecorder.1.origin（占 2.03%）、 Program.wSpy.3.origin (占 0.98%)、Program.SecretVideoRecorder.2.origin（占0.90%）、 Program.Reptilicus.8.origin（占0.64%）、Program.wSpy.1.origin（占0.39%）和 Program.MonitorMinor.11（占 0.38%）。

此外，安卓用于 Program.Opensite.2.origin 也广泛传播，其功能是加载指定网站并显示广告，占不良软件侦测总数的 0.60%。

下图是2024年最常侦测到的10个不良应用程序：

Program.FakeMoney.11
Program.FakeMoney.7: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: 通过安卓设备的内置摄像头进行背景照片和视频拍摄的各种应用程序。可隐身运行并在进行拍摄的通知，还能将应用程序图标和相关信息更改为假图标和假信息。这些功能使其具有潜在风险。
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.Reptilicus.8.origin: 一个可监视安卓设备所有者的应用程序，可获取设备位置信息、收集短信通信和社交网络对话数据、监听电话和周围环境、截取屏幕截图、跟踪键盘输入，并能从设备复制文件和执行其他操作。
Program.Opensite.2.origin: 同类型的安卓程序，其功能是加载指定的网站并显示广告。此类应用程序经常伪装成其他软件。例如，有些变种以 YouTube 视频播放器为幌子传播，会加载真实的服务网站并利用接通的广告 SDK显示广告横幅。

风险程序

工具 Tool.SilentInstaller 的功能是让用户无需安装即可运行安卓应用程序，再次成为最常侦测到的风险程序，此类工具占风险应用程序侦测量的三分之一。最常见的变种是 Tool.SilentInstaller.17.origin （16.17%）、 Tool.SilentInstaller.14.origin（9.80%）、 Tool.SilentInstaller.7.origin（3.25%）和 Tool.SilentInstaller.6.origin（2.99％）。

其他常见的风险程序是使用工具NP Manager修改的应用程序。这种工具能在目标软件中嵌入一个特殊模块，嵌入后绕过数字签名验证。 Dr.Web 反病毒软件将此类程序侦测为 Tool.NPMod 家族的各种变种。其中，侦测到最多的变种是 Tool.NPMod.1。在过去一年中这些程序的侦测量增加，占风险程序侦测量的 16.49%，比 2023 年高出 11.68 个百分点。与此同时，被侦测为 Tool.NPMod.2的经NP Manager 工具修改过的软件占比也大幅增加，为 7.92%。这样，该家族成员的侦测量占到所有风险程序侦测量的近四分之一。

受打包器 Tool.Packer.1.origin 保护的应用程序也是否活跃，占13.17%，比上一年增加了 12.38 个百分点。此外，Tool.Androlua.1.origin 的侦测数量从 3.10% 增加到 3.93%，这是一个框架，用于修改已安装的安卓程序并执行可能具有恶意的 Lua 脚本。

与此同时，2023年的侦测较多的工具家族 Tool.LuckyPatcher 的活动略有下降，从14.02%下降到8.16%。这些工具用于添加从互联网下载的脚本来修改安卓程序。受 Tool.Obfuscapk 混淆器工具保护的程序以及受打包程序 Tool.ApkProtector 保护的程序侦测量也有所下降，分别是从 3.22% 下降到 1.05%，从 10.14% 下降到 3.39%。

2024年安卓设备上最常侦测到的十种风险应用程序如下：

Tool.NPMod.1
Tool.NPMod.2: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.Packer.1.origin: 一种专门用于保护安卓应用程序免遭修改和逆向工程的打包实用工具，本身不是恶意软件，但可以用来保护不良程序和木马。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。
Tool.Androlua.1.origin: 此记录用于侦测一系列使用 Lua 脚本编程语言开发的安卓程序专用框架的风险版本。 Lua应用的主要逻辑位于相应的脚本中，这些脚本在执行之前由解释器进行加密和解密。通常，这种框架会默认请求访问许多系统权限，其执行的 Lua 脚本能够利用收到的权限执行各种恶意操作。
Tool.Packer.3.origin: 侦测代码被NPManager工具加密和混淆的安卓程序。

广告应用

2024 年最常见的广告软件是新的 Adware.ModAd 家族，占侦测总数的 47.45%。上一年位居第一的 Adware.Adpush 家族降至第二，占比为 14.76%（侦测量下降了 21.06 个百分点）。排名第三的是新的广告应用家族 Adware.Basement，占8.68%。

其他广告软件家族的传播情况是 Adware.Airpush 占比从8.59%下降到4.35%、Adware.Fictus 占比从4.41%下降到3.29%、 Adware.Leadbolt 占比从4.37%下降到2.26%、Adware.ShareInstall 占比从5.04%下降到1.71%。 2023 年排名第二的 Adware.MagicPush 广告程序显著减少，未能进入前十名，下滑至第十一位，占比为 1.19%（下降了 8.39 个百分点）。

2024年安卓设备上最常见的10个广告应用如下图所示：

Adware.ModAd.1: 此记录用于侦测 WhatsApp 通讯程序的一些被修改版本 (mods)，其功能中嵌入了在使用通讯程序时通过网页显示下载指定链接的代码。这些互联网地址会重定向到广告网站，例如在线赌场和博彩公司以及成人网站。
Adware.Basement.1: 显示不良广告的应用程序，通常会将用户引导至恶意和欺诈网站，与不良程序 Program.FakeMoney.11 共享一个通用的代码库。
Adware.Fictus.1
Adware.Fictus.1.origin: 网络犯罪分子将此广告模块嵌入流行的安卓游戏和程序的克隆版本。模块使用专门的net2share打包程序与程序集成。以这种方式创建的软件副本通过各种应用商店传播，安装后会显示不需要的广告。
Adware.Adpush.21846
Adware.AdPush.39.origin: 可集成到安卓程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在Android应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.ShareInstall.1.origin: 可以集成到安卓程序中的广告模块，安卓操作系统锁机屏显示广告通知。
Adware.Youmi.4: 此记录用于侦测在安卓设备主屏幕放置广告快捷方式的不良广告模块。
Adware.Inmobi.1: 此记录用于侦测某些SDK Inmobi 广告版本，这些版本能够拨打电话以及将事件添加到安卓设备日历中。

GooglePlay中的威胁

2024 年我公司病毒分析师在 Google Play 目录中发现的威胁超过 200 种，总下载量超过 26,700,000 次。其中除了木马 Android.Click.414.origin，还有广告木马 Android.HiddenAds 等多种木马，打着各种软件的幌子进行传播，如照片编辑器、条形码扫描软件、图片集，甚至还有所谓的让智能手机免遭窥探的“防盗”警报器。此类木马安装后会隐藏自身图标，并开始不断显示广告，覆盖系统和其他程序的界面，干扰设备的正常使用。

2024 年在 Google Play 发现的广告木马示例。Android.HiddenAds.4013 藏身于照片编辑器； Android.HiddenAds.4034 藏身于图片收集器Cool Darkness Wallpaper； Android.HiddenAds.4025 藏身于条形码扫描软件QR Code Assistant, Android.HiddenAds.656.origin 藏身于警报软件Warning Sound GBD

我们的技术专家还侦测到攻击者使用复杂的软件打包程序来保护的各种木马程序。

应用Lie Detector Fun Prank 中藏有木马 Android.Packed.57156，软件Speaker Dust and Water Cleaner中藏有有打包器保护的木马 Android.Packed.57159。

侦测到的恶意软件还包括用于各种欺诈模式的 Android.FakeApp 家族成员。大部分此类木马的主要任务是打开指定的链接，但在特定条件下也可以完成其所声明的软件功能。其中许多都是以各种金融程序（例如参考和培训手册、盈利能力计算器、股票交易应用程序、家庭会计工具）、笔记本、日记、测验和调查参与程序等的名义进行传播。木马下载的是投资诈骗网站。

加载诈骗网站链接的 Android.FakeApp 木马示例： Android.FakeApp.1681 (SenseStrategy)、 Android.FakeApp.1708 (QuntFinanzas)

部分 Android.FakeApp 假冒程序是以各类游戏的名义进行传播，其中许多可以提供游戏功能，但主要任务是加载在线赌场和博彩公司网站。

加载在线赌场和博彩公司网站的 Android.FakeApp 假冒游戏木马示例 Android.FakeApp.1622 (3D Card Merge Game)、Android.FakeApp.1630 (Crazy Lucky Candy)

这样家族的部分木马再次伪装成求职应用程序，这种骗局是加载虚假的招聘列表，提示用户通过提供个人信息来创建“简历”。另一些情况是木马可能会提示潜在受害者通过通讯工具联系所谓的“雇主”。事实上，潜在的受害者的信是写给了犯罪分子，而犯罪分子会试图引诱他们落入各种诈骗陷阱。

伪装成求职应用的 Android.FakeApp 木马示例： Android.FakeApp.1627 (Aimer)、 Android.FakeApp.1703 (FreeEarn)

此外，Google Play中再次出现为用户订阅付费服务的木马应用，其中之一是 Android.Subscription.22，假冒照片编辑器InstaPhoto Editor进行传播。

为用户订阅付费服务的木马 Android.Subscription.22

Android.Joker 和 Android.Harly 家族成员也属此类木马，具有模块化架构。前者能够从互联网上下载辅助组件，而后者的特点是通常将必要的模块以加密形式存储在其资源环境中。

为用户订阅付费服务的木马示例。Android.Joker.2280 藏于星座算运应用，Android.Harly.87 藏于游戏BlockBuster

除了恶意软件，我公司专家还在 Google Play 中发现了新的不良软件，其中有 Program.FakeMoney.11 和 Program.FakeMoney.14的各种变种。这些程序属于同一类应用，其用户可以通过执行各种任务（通常是靠刷广告）来获得虚拟奖励，声称奖励可以兑换成现金或奖品，但为了提取“赚到的”钱，用户需要积累一定数额的奖励。然而事实上即便积累达到数额，用户最终也根本得不到任何实际的提现。

Program.FakeMoney.11 借游戏Copper Boom进行传播，而 Program.FakeMoney.14 打着的幌子是游戏Merge Party

此外，我们的病毒分析师在过去一年里在Google Play 不断发现了新的广告程序，其中包括内置广告模块 Adware.StrawAd 的应用和游戏，能够显示来自各种服务提供商的广告。

内置广告模块 Adware.StrawAd 的应用示例： Crazy Sandwich Runner (Adware.StrawAd.1)、 Poppy Punch Playtime (Adware.StrawAd.3)、 Finger Heart Matching (Adware.StrawAd.6)、 Toimon Battle Playground (Adware.StrawAd.9)

通过Google Play 传播的还有广告应用 Adware.Basement，其广告经常将用户引至恶意和诈骗网站。值得注意的是，该家族与恶意程序 Program.FakeMoney.11 具有共同的代码库。

不良广告应用 Adware.Basement 示例： Lie Detector: Lie Prank Test、 TapAlarm:Don't touch my phone和Magic Voice Changer — Adware.Basement.1； Auto Clicker:Tap Auto — Adware.Basement.2

银行木马

根据安卓移动设备保护产品Dr.Web Security Space的侦测统计，2024年侦测到的银行木马数量占受保护设备恶意软件侦测总量的6.29%，比去年增加2.71个百分点。从一月份其银行木马活动持续减弱，但春季开始活跃起来。第三季度侦测量基本持平，之后再次开始增长，并在十一月份达到峰值。

2024年，已知银行木马家族再次广泛传播，其中包括恶意软件 Coper, Hydra (Android.BankBot.1048.origin、 Android.BankBot.563.origin)、 Ermac (Android.BankBot.1015.origin、 Android.BankBot.15017)、 Alien (Android.BankBot.745.origin、 Android.BankBot.1078.origin)、 Anubis (Android.BankBot.670.origin)。此外还记录到使用Cerberus家族木马 Cerberus (Android.BankBot.11404)、 GodFather (Android.BankBot.GodFather.3、 Android.BankBot.GodFather.14.origin)和 Zanubis (Android.BankBot.Zanubis.7.origin) 的进攻。

在过去一年中，攻击者一直在积极传播间谍木马Android.SpyMax，该木马具有多种恶意功能，包括远程控制被感染设备，也被广泛用作银行木马。该家族最初包含的是多功能 RAT 木马 SpyNote（RAT - 远程访问木马）。但在其源代码泄露之后，开始出现各种变种，例如CraxsRAT、G700 RAT。 Dr.Web Security Space 的移动设备的侦测统计数据显示，该家族的成员从 2023 年下半年开始变得更加活跃，侦测数量几乎逐月增长。这一趋势目前仍未改变。

Android.SpyMax 木马病毒针对的是全球用户。去年不法分子利用此木马对俄罗斯用户发动了多起攻击，46.23% 的侦测都记录到是专门针对这一受众。这些恶意软件程序在巴西（占侦测量的 35.46%）和土耳其（占侦测量的 5.80%）安卓设备用户中的传播也最为活跃。

值得注意的是，这些恶意程序在俄罗斯的传播主要不是通过垃圾邮件或传统的网络钓鱼，而是在电话诈骗过程中进行。诈骗者打电话给潜在受害者时通常会试图让其相信自己是银行或执法机构的工作人员，通知出现了所谓的问题，比如有人试图从银行账户或贷款中窃取资金，或者相反，诈骗者会说国家有补贴。当诈骗者确认已获取用户信任后，他们会诱导用户安装所谓的“反病毒更新”、“银行应用”或其他程序来“确保安全交易”。事实上，这样的程序中就隐藏着木马 Android.SpyMax。

2024 年俄罗斯用户还遭遇银行木马家族 Falcon (Android.BankBot.988.origin、Android.Banker.5703) 和 Mamont (Android.Banker.637.origin、Android.Banker.712.origin)。此外，还记录到银行木马 Android.Banker.791.origin 和 Android.Banker.829.origin 对俄罗斯和乌兹别克斯坦安卓设备用户的进攻以及银行木马 Android.Banker.802.origin 对俄罗斯、阿塞拜疆和乌兹别克斯坦用户的进攻，而木马 Android.Banker.757.origin 进攻对象是俄罗斯、乌兹别克斯坦、塔吉克斯坦和哈萨克斯坦用户。

我们的技术人员再次记录到木马 MoqHao (Android.Banker.367.origin、Android.Banker.430.origin、 Android.Banker.470.origin、 Android.Banker.593.origin) 进攻包括东南亚和亚太国家在内的多个国家的用户。其他木马病毒针对的也是这一目标群体。例如，韩国 Android 设备用户就曾遇到木马家族Fakecalls (Android.BankBot.919.origin、Android.BankBot.14423、Android.Banker.5297)、 IOBot (Android.BankBot.IOBot.1.origin) 和 Wroba (Android.Banker.360.origin)的进攻，Wroba 其他变种(Android.BankBot.907.origin、Android.BankBot.1128.origin)进攻的是日本用户。

中国用户好遭受到木马 Android.Banker.480.origin 的威胁，越南用户遭受到 Android.BankBot.1111.origin 的威胁。同时，攻击者还利用木马TgToxic（Android.BankBot.TgToxic.1）攻击印度尼西亚、泰国和台湾的信贷机构客户，利用 GoldDigger木马（Android.BankBot.GoldDigger.3）攻击泰国和越南用户。

再次记录到针对伊朗用户的攻击，包括 Android.Banker.709.origin、Android.Banker.5292、 Android.Banker.777.origin、Android.BankBot.1106.origin 等银行木马。对土耳其银行客户的攻击使用的木马还有Tambir 家族的成员（Android.BankBot.1104.origin、 Android.BankBot.1099.origin、Android.BankBot.1117.origin）也在针中被发现。

印度安卓设备用户中广泛传播的银行恶意软件有 Android.Banker.797.origin、Android.Banker.817.origin 和 Android.Banker.5435，伪装与信贷机构 Airtel Payments Bank、 PM KISAN 和 IndusInd Bank有关的软件。此外，银行木马 Rewardsteal（Android.Banker.719.origin、Android.Banker.5147、 Android.Banker.5443）的活动仍在持续，其主要目标是 Axis 银行、HDFC 银行、SBI、ICICI 银行、RBL 银行和花旗银行的印度客户。

在拉丁美洲国家，PixPirate 木马 (Android.BankBot.1026.origin) 的活动再次出现，针对的是巴西银行的客户。

欧洲用户主要是木马Anatsa（Android.BankBot.Anatsa.1.origin）和 Copybara（Android.BankBot.15140、 Android.BankBot.1100.origin）的攻击目标。后者主要针对意大利、英国和西班牙用户。

2024 年我公司病毒分析师记录到不法分子更加频繁地使用一些技术手段来保护安卓恶意程序（主要是银行木马）绕过分析和侦测的。具体来说，攻击者对APK文件的基础ZIP格式进行各种操作，使许多使用标准算法处理 ZIP 档案的静态分析工具无法正确处理此类被“损坏”文件。同时，木马会被安卓操作系统视为常规程序，正常进行安装和运行。

还有一种常见的技术是更改APK 内部本地文件头结构中的 compression method 和 compressed size 。攻击者故意在 compressed size 和 uncompressed size 指定不正确的值，或者在 compression method 中写入不正确或不存在的压缩方法。另一个手段是指定一种进行压缩，在这种情况下， compressed size 和 uncompressed size 应该匹配，而不法分子故意将其设为不匹配。

另一种常用的方法是在 ECDR（End of Central Directory Record中央目录记录结束）和 CD（Central Directory中央目录文件标头，也就是压缩文件中文件和参数数据所在位置）中使用不正确的磁盘数据。对于完整的压缩文件来说，这两个参数应一致，而网络犯罪分子为其指定不同的值，造成不是一个完整压缩文件，而是一个多存档的假象。

还有一种常见的技术是在压缩文件中某些文件的本地文件标头中加入加密标志，而实际上这些文件并未加密，造成压缩文件在分析过程中会被错误读取。

除了更改 APK 文件的结构外，病毒编写者还使用了其他方法，例如修改安卓应用配置文件 AndroidManifest.xml。比如在文件的属性文件中添加了垃圾字节 b'\x00'，导致文件读取出错。

趋势前瞻

过去一年表明，网络犯罪分子仍在不断进攻安卓设备用户来牟取私利，其主要工具仍然是广告和银行木马、具有间谍软件功能的恶意应用以及诈骗软件。可以预见，2025 年还会出现此类新威胁。

尽管Google Play 已采取措施提高其安全性，但这个应用商店仍然会是安卓威胁传播的来源之一。因此，不能排除出现新恶意应用和不良应用可能性。

去年发现的又一起安卓操作系统电视机顶盒感染案例表明病毒编写者正在扩展攻击设备的类型。很有可能攻击者不仅会再次向此类设备发动进攻，而且还会在其他安卓设备中继续寻找进攻目标。

此外，病毒编写者可能会继续大肆引入新的技术方法来逃避对恶意程序的分析和侦测。

我公司专家持将续监控移动网络威胁的发展并确保我公司产品用户设备的安全。为了提高您设备安全性，建议安装 Dr.Web 反病毒软件对抗恶意软件、不良程序和风险程序，让诈骗手段和其他安全威胁无机可乘。

网络医生，这样的图片打哪儿来的？非法挖掘加密货币开始使用隐写术

Fri, 24 Jan 2025 17:31:16 GMT

2025.01.24

在分析遥测数据的过程中，DoctorWeb公司反病毒实验室的专家发现了一个恶意软件样本，经研究，发现这些样本是一个门罗币（Monero，一种加密货币）挖掘活动的组成部分。这一挖矿活动的实施依靠的是相互关联的恶意链，其中两个恶意链采用的技术是运行能够从BMP图像文件中提取恶意负载的脚本。

这个挖矿活动的启动很可能是在2022年，当时曾侦测到一个可执行文件Services.exe，是一个用于运行VBscript脚本的.NET应用程序。该脚本通过连接攻击者服务器并执行响应中收到的脚本和文件来实现后门功能，在受害者的电脑下载恶意文件ubr.txt。这个恶意文件是一个PowerShell解释器脚本，但其扩展名ps1被更改为了txt。

脚本ubr.txt会检查被感染计算机是否已安装有挖矿软件，发现后会将其替换为攻击者所需的版本。该脚本安装的文件包括挖矿软件SilentCryptoMiner及其设置，黑客利用这一软件来挖掘门罗币。

我们已经多次发布有关攻击者使用这一挖矿软件的文章，这个软件备受进攻者的青睐，原因是配置简单，具备可挖掘各种加密货币的高级功能，能够屏蔽诊断工具，而且支持利用网络面板远程控制僵尸网络中的所有挖矿机。

在此次发现的挖矿活动中，挖矿软件的文件被伪装成各种其他软件，比如用于Zoom视频通话的软件（ZoomE.exe和ZoomX.exe)，或是Windows服务(Service32.exe和Service64.exe)等。存在多个恶意文件组合，且名称不同，但执行的都是相同的任务——删除其他挖矿软件，安装新的挖矿软件并为其提供更新。

PowerShell-脚本 ubr.txt

挖矿软件还会访问域getcert[.]net中带有加密货币挖掘设置的文件m.txt。其他恶意挖矿链也会使用这一资源。

文件m.txt，包含挖矿软件的设置

之后进攻者修改了攻击方法，使其更加诡异，并使用了隐写术。

隐写术是一种将一段信息隐藏在另一段信息中的方法。只是对数据进行加密会引起注意，与加密技术的是，隐写术可以将信息秘密隐藏，例如隐藏在图像中。许多网络安全专家都认为，利用隐写术来绕过安全保护措施的进攻方法将会越来越常见。

左侧图片（原始照片拍摄者是 Marek Piwnicki）包含DoctorWeb公司徽标的隐藏图像

第二条较新的攻击链则是通过Amadey木马来实现，木马运行PowerShell脚本Async.ps1，该脚本从合法图像托管网站imghippo.com下载BMP图像。使用隐写算法，从图像中提取两个可执行文件：Trojan.PackedNET.2429窃取程序和有效载荷，其功能是：

禁用要求提升管理员权限的UAC请求，
为内置的反病毒软件WindowsDefender添加诸多排除项，
禁用Windows中的通知，
创建一个名为“用户”的新任务，路径是\Microsoft\Windows\WindowsBackup\。

脚本 Async1.ps 的内容

在执行任务过程中会访问攻击者的域名，其DNSTXT记录中包含后续有效载荷的存储地址。下载后会解压BMP格式图像存档并启动以下文件：

Cleaner.txt—用于删除任何其他挖矿软件的PowerShell脚本，
m.txt—从m.bmp和IV.bmp图像中提取有效载荷的PowerShell脚本。图像中的有效载荷是SilentCryptoMiner挖矿软件和运行这一软件的注入器，
Net.txt—用于读取windowscdn[.]site和buyclients[.]xyz域中DNSTXT记录的脚本。该记录包含指向raw.githack[.]com服务的有效载荷链接。

DNSTXT记录是DNS标准记录的扩展，是用于验证域的文本，可合法使用。但是，域名所有者可以在其中输入任意数据，如像本例挖矿活动中输入的就是指向有效载荷的链接。

恶意图像存档内容

挖矿软件发模块在不断发展。最近，其编写者已开始使用合法资源来托管恶意图像，并使用GitHub平台来存储有效载荷。此外，还发现了新的模块，其功能是检查启动软件的环境是否是沙箱和虚拟机。

将运行中的应用程序名称与网络安全人员所常用的侦测工具名称进行核对的模块

挖矿软件设置中指定的一个钱包创建于2022年5月，截至今日，已有340XMR转入此钱包。然而，由于这种加密货币的汇率正经历着大幅波动，因此骗子的利润可能在600万至750万卢布之间。从算力波动（电脑有规律地开关机）来看，参与本次挖矿活动主要是位于同一时区的普通用户。平均哈希率为每秒330万次哈希，也就是说，被感染的机器每40小时会为攻击者赚取1XMR。

这次挖矿活动只是基于隐写术的网络威胁的冰山一角，也更凸显了在数字空间要保持警惕的重要性。DoctorWeb公司给用户建议依旧是仅安装来自可信来源的软件，不要打开可疑链接，从互联网下载文件时不要禁用反病毒保护。

进攻图解

失陷指标

SilentCryptoMiner 更多详情

PowerShell.Starter.98 更多详情

PowerShell.DownLoader.1640 更多详情

Trojan.PackedNET.2429 更多详情

VBS.DownLoader.2822 更多详情

DoctorWeb：2024年第四季度移动设备病毒活动综述

Thu, 26 Dec 2024 07:00:00 GMT

2024年12月26日

根据Dr.Web产品对安卓移动设备的侦测统计，2024年第四季度在受保护设备最常侦测到的恶意软件是广告木马Android.HiddenAds，其次是用于各种诈骗模式的恶意应用Android.FakeApp，传播量第三的是具有各种恶意功能Android.Siggen家族木马。

第四季度我公司专家在GooglePlay目录中发现了许多新威胁，其中多个Android.FakeApp木马、为用户订阅收费服务的属于Android.Subscription和Android.Joker两个家族的恶意软件，还有Android.HiddenAds家族新出现的广告木马。此外，不法分子传播的恶意应用中有的使用了很复杂的打包器。

第四季度主要移动安全事件：

Android.HiddenAds广告木马和Android.FakeApp家族恶意应用十分活跃
大量恶意威胁利用GooglePlay目录进行传播

Dr.WebforAndroid保护产品统计信息

Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。
Android.HiddenAds.655.origin
Android.HiddenAds.657.origin: 用于不断显示广告的木马，Android.HiddenAds家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.Packed.57083: 受打包器ApkProtector保护的恶意应用程序，其中有银行木马、间谍软件和其他恶意软件。
Android.Click.1751: 嵌入WhatsAppMessenger修改版并伪装成Google库的木马。使用修改版程序时，Android.Click.1751向控制服务器发出请求。收到的响应是两个链接，其中一个针对俄语用户，另一个针对其他语言用户。然后，木马会按照从服务器接收的内容显示一个对话框，用户点击确认按钮后会在浏览器打开相应的链接。

Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为Tool.CloudInject添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。
Program.SecretVideoRecorder.1.origin: 可侦测通过Android设备的内置摄像头拍摄背景照片和视频的不同版本应用程序。此程序可以静默运行，关闭录制通知，并可将应用程序图标和描述更改为假图标和假内容。这一功能存在潜在危险。

Tool.NPMod.1: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.SilentInstaller.14.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行，并自动获得相同的权限。
Tool.LuckyPatcher.1.origin: 一个实用工具程序，用于修改已安装的安卓应用程序（为其创建补丁），更改其操作逻辑或绕过某些限制。例如，利用此工具用户可以禁用网银程序中的root访问验证或在游戏中获得无限资源。创建补丁时此工具从互联网下载专门的脚本，而这些脚本来自公共数据库可以由任何人创建。此类脚本的功能也可能是恶意的，因此创建的补丁可能会带来潜在的危险。
Tool.Packer.1.origin: 一种专门的加壳工具，用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序，但既可用于保护正常程序，也可用于保护木马程序。
Tool.Androlua.1.origin: 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。

Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件Program.FakeMoney.11共享一个共同的代码库。
Adware.Fictus.1.origin: 攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中，集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发，安装后显示不良广告。
Adware.AdPush.3.origin
Adware.Adpush.21846: 可集成到Android程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。

GooglePlay中的威胁

2024年第四季度，我公司病毒实验室再次在GooglePlay目录中侦测到60多种新威胁，其中大多是Android.FakeApp家族的木马，其中一些伪装为和金融活动相关程序，如投资应用程序、手册和培训教程，还冒充其他软件，如日记本、笔记本等等。这些木马的主要任务是加载诈骗网站。

众多Android.FakeApp木马中的QuntFinanzas和TradingNews加载的诈骗网站

我们的专家还发现木马Android.FakeApp.1669出现新变种，该木马隐藏在各种应用程序中并会以下载在线赌场网站。Android.FakeApp.1669特别之处是从DNS恶意服务器的TXT文件中获取目标站点的地址，而且仅在用户是通过某些网络供应商连接到互联网时才会显现恶意功能出来。

木马Android.FakeApp.1669的新变种示例。不法分子将WordCount程序冒充文本工具，而Splitit:ChecksandTips谎称的功能是用于在咖啡馆和餐馆支付账单和计算小费。

在GooglePlay新发现的威胁还有Android.HiddenAds广告木马家族的几个新成员，这些木马会在被感染设备隐身。

照片编辑软件CoolFixPhotoEnhancer中隐藏有广告木马Android.HiddenAds.4013

此外还侦测到有的木马有复杂打包器保护，如Android.Packed.57156、Android.Packed.57157和Android.Packed.57159。

有打包器保护的木马：应用程序LieDetectorFunPrank和peakerDustandWaterCleaner

我们的技术人员还侦测到一种为用户订阅收费服务的恶意软件Android.Subscription.22。

InstaPhotoEditor并没有进行其所宣称的照片编辑，而是给用户办理了收费服务

同时不法分子再度传播Android.Joker家族的木马，其功能也是为用户订阅收费服务。

短信通讯软件SmartMessages和第三方键盘软件CoolKeyboard试图暗中为受害者注册付费服务

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Doctor Web：2024年第四季度病毒活动综述

Thu, 26 Dec 2024 06:00:00 GMT

2024年12月26日

Dr.Web产品侦测统计信息显示，2024年第四季度侦测到的威胁总数较第三季度下降了1.53%。与此同时，独特新威胁数量增长了94.43%。最常到的威胁是广告应用和广告木马、恶意脚本以及隐身于其他恶意应用来增加侦测难度木马。电子邮件流量中最常侦测到的是恶意脚本、广告木马和挖矿木马。此外，具有间谍功能的恶意软件活动有所增加。

第四季度份加密器受害者的最常遭遇的是Trojan.Encoder.35534、Trojan.Encoder.35067和Trojan.Encoder.26996。

移动设备侦测量最多的再次是Android.HiddenAds家族的广告木马。同时我公司技术专家在Google Play侦测到大量安全威胁。

第四季度主要趋势

广告应用和广告木马占侦测量之首
独特新威胁较上季度数量大增
邮箱流量中间谍软件活动加剧
大量木马通过Google Play进行传播

Doctor Web统计服务收集的数据

第四季度最常见威胁：

Adware.Downware.20091: 广告软件，经常用于盗版软件的中转安装器。
VBS.KeySender.6: 恶意脚本，无限循环搜索带有文本 mode extensions、разработчика 和 розробника 的窗口，并向其发送Escape 按钮被按事件，迫使窗口关闭。
JS.Siggen5.44590: 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
Trojan.BPlug.4210: WinSafe 浏览器插件的恶意组件，为 JavaScript 脚本，用于在浏览器不断显示广告。
Trojan.Starter.8242: 启动挖矿木马的恶意程序。

邮箱流量恶意程序统计数据

JS.Siggen5.44590: 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
JS.Inject: 利用JavaScript语言编写的恶意脚本家族，将恶意脚本嵌入网页的HTML代码。
LNK.Starter.56: 专门生成的快捷方式，通过移动驱动器传播，并带有磁盘图标来误导用户。打开时会启动与快捷方式位于同一介质的隐藏目录中的恶意 VBS 脚本。
Win32.HLLW.Rendoc.3: 一种通过移动存储器传播的网络蠕虫。
Trojan.Fbng.123: 一种木马间谍软件，也称为 Formbook。功能是从被感染的设备窃取各种数据，包括窃取浏览器、电子邮件客户端、即时通讯和其他软件中保存的密码，拦截在网页输入的数据，跟踪键盘（进行键盘记录）并进行屏幕截图。此外，还能下载和启动其他程序以及充当后门，执行攻击者的各种命令。

加密器

第四季度，勒索木马受害者的文件解密申请量较第三季度下降了18.96%。

Doctor Web公司技术支持部门接收到的解密申请量动态：

第四季度最常见的加密器：

Trojan.Encoder.35534 —占用户申请的22.63%
Trojan.Encoder. 35067 —占用户申请的3.91%
Trojan.Encoder.26996 —占用户申请的3.35%
Trojan.Encoder.35209 —占用户申请的3.07%
Trojan.Encoder.38200 —占用户申请的3.07%

网络诈骗

2024 年第四季度，攻击者假借各种投资机会进行欺诈的模式仍在大肆使用。 “访问”投资服务要求用户注册个人数据，而这些数据最终会落入欺诈者手中。此类网站很多国家的用户都有遭遇。

谎称与世界银行有关的欺诈网站承诺欧洲用户投资经济前景看好的领域可获得红利

针对斯洛伐克用户的欺诈网站提供所谓投资服务，谎称是“每月收入可超 192,460 美元”的机会

诈骗者冒充大型银行和石油天然气公司，向亚美尼亚和摩尔多瓦的用户提供所谓的“股票赚钱”的服务

虚假的阿塞拜疆石油天然气公司网站，承诺访问者每月收入可达 1,000 马纳特

所谓的“谷歌新投资平台”的网站邀请访客参与一项调查并获得一项服务的使用权限，可赚取 1000 欧元

一个针对俄罗斯用户的欺诈网站承诺每月可收入最低 15 万卢布

我公司专家还注意到此类网站的内容会出现季节性变化。在新年前夕，诈骗者开始更频繁地使用所谓来自银行、石油天然气公司、加密货币交易所和其他组织的礼物为诱饵。例如，一个虚假网站谎称依据一些“名单”俄罗斯用户可从加密货币交易所收到现金付款。而检查自己是否有权获取此类付款，用户需要参与一项调查并提供个人数据。

虚假的加密货币交易网站向俄罗斯用户提供所谓“贺年款”

另一个诈骗网站则称一家石油天然气公司提供“新年优惠”，为纪念哈萨克斯坦独立，该国用户每月可以收到 20 万至 100 万坚戈。而“接到”付款必须要先在网站输入个人信息来提交“申请”。

打着“新年优惠”幌子的欺诈网站承诺向哈萨克斯坦用户支付大笔费用以庆祝独立日

同时，我们的互联网分析师还记录到假冒的俄罗斯银行网站，这些网站邀请潜在受害者参加有关服务质量的调查，并称参与可获得奖励。用户需要提供个人数据，例如姓名、与银行账户关联的手机号码以及银行卡号。

假冒银行网站的示例，复制信贷机构真实网站的设计并邀请潜在受害者参与调查获取奖金

参与调查需输入个人信息表

此外，还发现了提供所谓在线培训（例如编程）的欺诈网站。向接受培训的访客需留下联系信息才能获得具体培训计划。

提供在线编程课程的网站。 “获取咨询”需提供个人信息。

网络诈骗者仍在试图窃取 Telegram 帐户。2024 年第四季度再次出现了伪装成各种在线投票的钓鱼网站，例如“儿童绘画比赛”投票。 “确认”投票需要提供一个手机号码来接收验证码。然而，在虚假网站输入所谓的验证码实际上是为诈骗者提供了帐户的访问权限。

邀请访问者参与儿童绘画比赛投票的诈骗网站

计票系统”要求“确认投票”，需输入手机号码接收一次性代码来进行确认

受害者输入收到的代码实际上是让诈骗者获取了访问其 Telegram 帐户的权限

了解Dr.Web不建议访问网站更多详情

移动设备恶意软件和不良软件

根据Dr.Web产品对安卓移动设备的侦测统计，2024年第四季度份在受保护设备最常侦测到的是显示不良广告的Android.HiddenAds木马广告应用，恶意应用Android.FakeApp和Android.Siggen。同时，我公司技术人员Google Play目录中再次侦测到大量新威胁。

第四季度份主要移动安全事件：

Android.HiddenAds广告木马和Android.FakeApp诈骗软件最为活跃。
Google Play目录中再次出现新的恶意应用。

2024年第四季度份移动威胁更多详情请参阅移动威胁综述。

eBPF技术被黑客应用及其他木马技术新动向

Wed, 11 Dec 2024 03:00:00 GMT

2024年12月11日

在对另一起网络事件的分析过程中，DoctorWeb公司反病毒分析师发现一场黑客活动正在暗中进行，并且此次进攻所采用的技术出现了不少新动向。

一家客户怀疑其计算机设施遭到黑客攻击后联系我公司进行调查。在对客户数据进行分析的过程中，我公司反病毒分析师发现多起类似的感染病例，由此我们确认，一场恶意进攻正在积极活动。黑客的活动主要针对东南亚地区，在攻击过程中使用了一系列分别在不同阶段起作用的恶意软件。遗憾的是，我们未能完全确定黑客是如何获得被感染计算机的初始访问权的，但我们复原重建了后续攻击的整个过程。此次攻击最值得注意的是使用了eBPF技术（extended Berkeley Packet Filter——可扩展数据包过滤器）。

开发eBPF技术的目的是加强对Linux操作系统网络子系统和进程操作的控制。这一展现出了相当大的潜力，吸引了大型IT公司的关注：几乎从出现的那一刻起，就包括了谷歌、华为、英特尔和Netflix等巨头就加入了eBPF基金会，参与技术的进一步研发。然而，黑客也对eBPF产生了兴趣。

攻击者将EBPF所提供的广泛功能用于隐藏网络活动和进程、收集敏感信息，并可绕过防火墙和入侵检测系统。检测此类恶意软件难度极高，因此在ART定向攻击中使用可长期掩盖黑客的活动。

我们所分析的事件中攻击者正是利用了这项技术，同时将两个Rootkit下载到了被感染的计算机。第一个安装的是eBPFrootkit，用于隐藏了另一个rootkit的运行，而第二个rootkit是内核模块，接下来就是将远程访问木马安装到系统。该木马的特点是支持多种流量隧道技术，使其能够与处于隐网的攻击者进行通信并掩盖命令传输。

2023年以来，eBPF恶意软件一直在增加，出现了基于该技术的多个恶意软件家族，包括Boopkit、BPFDoor和Symbiote。而eBPF技术漏洞也时有出现，这让情况变得更糟。目前已知的eBPF漏洞有217个，其中对约100个漏洞的识别发生在2024年。

此次黑客进攻的另一个不寻常特征是使用了一种相当有创意的木马设置存储方法。之前大多是使用专用服务器来存储木马设置，现在则越来越多的情况是恶意软件的配置存储在公共平台上的公共访问区域。我们所分析的木马软件访问的就是Github平台，甚至还有一个中文博客的页面。采用这种方法可以减少被感染计算机因流量而引起用户的怀疑，因为与之交互的是安全的网络节点，而且攻击者也不用再操心维护对保存木马配置的控制服务器的访问。应该是使用可公开访问的服务来控制木马的做法并不新鲜，黑客此前曾使用过Dropbox、GoogleDrive、OneDrive，还有Discord。然而，这些服务在许多国家（首先是在中国）被区域封锁，对黑客的吸引力也相应降低。而大多数网络供应商都提供对Github的访问，因此也就受到了进攻者的青睐。

存储在Gitlab和网络安全博客页面的设置。出奇的是，攻击者是在这个博客页面请求帮助解密第三方代码，而实际上这个代码是发送给木马的一个命令参数。

此次黑客进攻还有一个特殊之处是将木马作为后运作框架的一部分，后运作框架就是在获得计算机访问权限后进一步进行攻击的阶段所使用的软件包。此类框架本身并不禁止使用，提供安全审计服务的公司也在使用。最常见的工具是CobaltStrike和Metasploit，可自动执行大量检查并具有内置的漏洞数据库。

CobaltStrike构建的网络示例（来源：开发者网站）

当然，框架的这种能力大受黑客欢迎。2022年，CobaltStrike软件的黑客版本开始被广泛使用，导致黑客活动激增。CobaltStrike大部分基础设施的位于中国。需要指出的是，制造商正在努力监控框架的安装，并且执法机构也在不断封锁具有黑客版本的服务器。因此，目前不法分子开始转向使用开源码框架，用于扩展和修改被感染设备与控制服务器之间的网络活动。对于进攻者而言，这种策略的可取之处还在于可减少攻击者所用基础设施被发现的可能性。

所有在分析此次安全事件中识别的威胁均已添加至我公司恶意软件数据库；此外，eBPF恶意程序的行为特征也已添加至启发式算法。

Trojan.Siggen28.58279更多详情]

失陷指标

超28000名用户遭受加密货币挖矿窃取木马的影响

Tue, 08 Oct 2024 01:00:00 GMT

2024.10.08

Doctor Web反病毒分析师发现，用于挖掘和窃取加密货币的恶意软件正在大规模持续传播，这些木马以办公程序、游戏作弊程序和在线交易机器人为幌子安装到受害者的计算机。

在对我公司产品用户的云遥测数据进行例行分析期间，我反病毒实验室技术人员发现了一种程序伪装成Windows操作系统组件（StartMenuExperienceHost.exe，同名合法进程负责的是响应管理开始菜单），活动是否可疑，会联系远程网络节点并等待外部连接，连接后会立即启动命令行cmd.exe解释器。

伪装成系统组件是一个网络工具Ncat，用于利用命令行在网络传输数据的合法目的，而我们发现的可疑活动帮助还原了安全事件原委，确定了在这次事件中恶意软件企图感染计算机，被Dr.Web反病毒软件成功阻止。

感染源是攻击者在GitHub平台建立的诈骗网站（需要申明的是该平台规则禁止此类活动），从这一网站下载程序即会发生感染。另外一种感染途径是恶意软件链接出现在Youtube托管视频的相关描述，单击链接就会下载一个自解压的加密存档。该存档受密码保护，目的是防止反病毒软件对其进行自动扫描。输入黑客在下载页面指定的密码后，会在受害者计算机上的文件夹%ALLUSERSPROFILE%\jedist 解压以下一组临时文件：

UnRar.exe — RAR存档解压器；
WaR.rar — RAR存档；
Iun.bat — 创建执行脚本Uun.bat任务的脚本，会重启计算机后删除自身；
Uun.bat — 经混淆处理的脚本，会解压文件WaR.rar，启动其中的文件ShellExt.dll和UTShellExt.dll，之后会删除由Iun.bat创建的任务和文件夹jedist及其所有内容。

文件ShellExt.dll是一个AutoIt语言解释器，本身无恶意。但这并非文件的真实名称。不法分子将ShellExt.dll中的名称为AutoIt3.exe的原文件进行了重命名，伪装成将存档器功能集成到Windows菜单的中WinRAR程序库。启动后解释器会启动从工具Uninstall Tool借用的文件UTShellExt.dll，该库被加入了使用有效的数字签名的AutoIt 恶意脚本附。此脚本执行后会解压有效负载，负载其中的所有文件都经过深度混淆。

AutoIt语言是一种用于为Windows操作系统创建自动化脚本和工具的编程语言，因易于学习和功能广泛而受到不同用户（包括病毒编写者在内）的欢迎。一些反病毒程序已将任何由AutoIt编译的脚本侦测为恶意脚本。

文件UTShellExt.dll执行以下功能：

在进程列表中查找正在运行的调试软件。该脚本包含大约50个调试工具名称，一旦识别出其中一个工具的进程，则脚本会结束自己的运行
如果未发现调试软件，会将继续攻击所需文件解压到被感染的系统，其中有些文件本身网络通信所必需“干净”文件，其余文件则执行恶意操作
创建系统事件，以便使用Ncat启用网络访问并加载BAT和DLL文件；更改注册表，以便使用IFEO技术拦截应用程序启动
IFEO (Image File Execution Options) — 是Windows操作系统为软件开发人员提供的功能，例如，在应用程序启动时自动启动调试器。但IFEO 技术可以让攻击者进驻系统，只需更改调试器的路径，将其改为恶意文件的相应路径，以便每次启动合法应用程序时，恶意应用程序也会启动。这样黑客就“挂上钩”的不仅是Windows操作系统的系统服务，还有与Google Chrome和Microsoft Edge浏览器的更新进程（MoUsoCoreWorker.exe、svchost.exe、TrustedInstaller.exe、GoogleUpdate.exe和MicrosoftEdgeUpdate.exe）。
禁止对步骤2中创建的文件夹和文件进行删除、写入和修改
禁用Windows操作系统恢复服务
利用Telegram向攻击者发送有关被感染计算机的技术特征、名称、操作系统版本以及已安装的反病毒软件的相关信息。

暗中执行加密货币挖矿和窃取功能的文件是DeviceId.dll和7zxa.dll。. 两个文件都是使用Process Hollowing技术嵌入到explorer.exe进程（Windows Explorer）。第一个文件是.NET 开发环境的合法库，但其中加入恶意AutoIt脚本，用于启动挖矿程序SilentCryptoMiner 。这个挖矿程序有着挖掘加密货币的多种配置，且可隐蔽挖矿过程，并可远程控制。

库7zxa.dll伪装成7-Zip归档器的一个组件，是一个Clipper。此类恶意软件用于监视剪贴板数据，将其替换或转发给攻击者。此次监控的是剪贴板中是否出现代表钱包地址特征的典型符号序列，会将其替换为攻击者指定的符号序列。截至本文发布时，可以确定仅凭借此Clipper黑客盗窃额已超过6000美元。

Process Hollowing技术是将可信任进程转为暂停状态，用恶意代码覆盖其内存中的代码，然后恢复进程，因此使用这种技术会出现同名进程的副本。在我们的案例中，用户计算机上共出现三个 explorer.exe进程，这本身就很可疑，因为通常此进程应为单一进程。

遭受此次网络犯罪袭击的用户超过28,000人，其中绝大多数是俄罗斯居民。此外，白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也出现了大量感染病例。受害者的计算机是在安装盗版流行程序时被感染，因此要防止此类事件，我们的建议是从官方来源下载软件、使用开源同类程序并使用反病毒软件。 Dr.Web产品成功抵御此次威胁，为用户提供可靠保护。

Trojan.AutoIt.1443

失陷指标

攻击者上钩：利用安装易受攻击的Redis数据库的服务器捕获到rootkit新变种，其功能是隐藏加密货币“挖矿”进程

Thu, 03 Oct 2024 01:00:00 GMT

2024年10月3日

DoctorWeb公司反病毒分析师侦测到rootkit新变种。这一新变种在被感染的Linux计算机安装挖矿木马Skidmap，rootkit为操作系统内核的恶意模块，通过替换处理器负载和网络活动的相应信息来隐藏挖矿木马的活动。此次攻击为规模行进攻，主要针对企业部门的大型服务器和云环境，原因是利用这些资源可实现挖矿效率的最大化。

Redis数据库管理系统是世界上最常用的数据库管理系统之一，像X（之前名为Twitter）、AirBnB、Amazon这样的大公司都在使用Redis服务器。这种系统的优点很明显：拥有最大的性能，同时对资源需求最小且支持各种数据类型和语言编程。但也有弱点：由于Redis的应用最初并不是在网络外围，因此默认配置仅支持基本的安全功能，并且6.0之前的版本缺乏访问控制和加密机制。此外，每年专业媒体都会出现发现Redis漏洞的报道，如，2023年就记录到12个漏洞，其中3个被确定为“重大”漏洞。服务器被攻破后被安装挖矿软件而受到损害的报导日渐增多，引起我公司反病毒实验室的兴趣，我们的技术专家决定对此类攻击进行一次直接观察。为此，我们决定在停用保护机制的情况下启动我们的Redis服务器，以此为饵坐等不速之客。在这一年的时间里，这台服务器每个月都遭受到10次到14,000次攻击，而最近服务器上出现了我们的分析师等待已久的恶意软件Skidmap。而且，还有令人意想不到的收获：在这起进攻中，网络犯罪分子使用了一种隐藏挖矿活动的新方法，并且同时安装了四个后门。

有关Skidmap木马的第一份报告出现于2019年。这种木马挖矿程序具有一定的定向性，主要是出现在企业网络，因为利用企业资源秘密挖矿可以获得最大的回报。尽管此木马出现已有五年之久，但其运行原理并未发生改变，一直是利用漏洞或不正确的软件设置安装到系统。黑客在我们的诱饵服务器向系统cron调度程序添加了任务，每10分钟启动一个脚本来下载释放器Linux.MulDrop.142（或其变种Linux.MulDrop.143）。这个可执行文件会检查操作系统的内核版本，禁用SELinux安全模块后解压rootkit文件Linux.Rootkit.400、挖矿程序Linux.BtcMine.815和后门文件Linux.BackDoor.Pam.8/9、Linux.BackDoorSSH.425/426以及用于进行远程访问的木马Linux.BackDoor.RCTL.2。该释放器的一个显着特征是文件相当大，包含支持各种Linux版本的可执行文件。我们所观察到的是释放器主体中有大约60个文件，分别支持服务器经常使用的多个Debian和RedHatEnterpriseLinux版本.

安装后，rootkit会拦截系统调用，以便生成虚假信息来响应管理员输入的诊断指令。被拦截的函数包括CPU平均负载报告、多个端口的网络活动报告以及显示文件夹中的文件列表的函数。Rootkit还会检查所有已加载的内核模块，并阻止那些能够侦测其存在的模块运行。所有这些功能使其可以完全隐藏加密货币挖矿活动的包括计算、发送哈希值和接收任务在内的所有进程。

此次攻击还包括由释放器安装后门，目的是保存并向攻击者发送所有有关SSH授权的数据，以及系统所有帐户主密码数据。而且发送时所有密码均使用凯撒密码进行额外加密，偏移量为4个字母。

为进一步扩大对被黑系统的控制能力，攻击者还安装了RAT木马Linux.BackDoor.RCTL.2。利用这个木马可以向被感染的服务器发送命令，并使用由木马自行建立的加密连接从服务器接收所有类型的数据。

执行挖矿功能的是程序xmrig，可挖掘多种加密货币，其中最知名的是门罗币，由于其在交易时完全匿名，在暗网极受欢迎。发现服务器集群中有被rootkit隐藏的挖矿软件是一项相当不简单的事情，在缺乏有关资源消耗的可靠信息情况下，唯一可以猜测到被入侵的只是异乎寻常的电能消耗和热量释出。攻击者还能更改矿工设置，在挖矿性能和维持设备运行速度之间提供最佳平衡，从而进一步降低秘密挖矿被发现的可能性。

Skidmap恶意软件家族的演变体现在攻击模式的复杂化：启动的程序相互调用、禁用保护系统、干扰大量系统工具和服务的运行、下载rootkit等，这些都使对此类事件的应对工作变得异常复杂。

所有此次侦测到的威胁均已添加到Dr.Web病毒库，不会对我公司产品的用户构成威胁。

失陷指标

Linux.MulDrop.142更多详情

Linux.MulDrop.143更多详情

Linux.MulDrop.144更多详情

Linux.Rootkit.400更多详情

DoctorWeb：2024年第三季度病毒活动综述

Tue, 01 Oct 2024 00:00:00 GMT

2024.10.01

Dr.Web产品侦测统计信息显示，2024年第三季度份侦测到的威胁总数较第二季度增长10.81%，新威胁数量下降4.73%。最常侦测到的威胁仍是广告应用。恶意脚本、广告木马和藏身于其他木马以增加侦测难度的恶意软件也十分常见。电子邮件流量中最常见的是恶意脚本和利用MicrosoftOffice文档漏洞的应用。

安卓移动设备最常见的威胁是用于诈骗目的的Android.FakeApp木马、Android.HiddenAds广告木马以及具有不同功能的恶意软件Android.Siggen。与此同时，我们的技术人员在8月份侦测了一个新的木马Android.Vo1d，感染了近1,300,000台安卓操作系统的电视机顶盒。此外，第三季度我公司反病毒实验室在GooglePlay目录中发现了许多新威胁。

第三季度主要趋势

广告应用再次成为侦测量最多的威胁
邮箱流量中的威胁主要是恶意脚本和钓鱼文件
侦测到感染量超过1,000,000台安卓电视机顶盒的安卓后门Android.Vo1d
GooglePlay目录出现新威胁

DoctorWeb统计服务收集的数据

第三季度最常见威胁：

Adware.Downware.20091
Adware.Downware.20477: 广告软件，经常用于盗版软件的中转安装器。
JS.Siggen5.44590: 添加到公共JavaScript库es5-ext-main中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
Trojan.StartPage1.62722: 替换浏览器起始页的恶意程序。
Adware.Ubar.20: 向设备安装不良软件的torrent客户端。

邮箱流量恶意程序统计数据

JS.Siggen5.44590: 添加到公共JavaScript库es5-ext-main中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
JS.Inject: 利用JavaScript语言编写的恶意脚本家族，将恶意脚本嵌入网页的HTML代码。
LNK.Starter.56: 检测专门方式生成的快捷方式，该快捷方式通过可移动驱动器分发，利用磁盘图标来误导用户。打开时会从与快捷方式位于同一介质的隐藏目录启动恶意VBS脚本。
W97M.DownLoader.6154: 利用MicrosoftOffice文档漏洞的木马下载程序，用于将其他恶意程序下载到被攻击的计算机上。
Trojan.AutoIt.1410: 用AutoIt脚本语言编写的木马Trojan.AutoIt.289的打包版本，作为一些恶意应用，如挖矿程序、后门和自传播模块的一部分进行传播。Trojan.AutoIt.289执行各种恶意操作，使主要的有效恶意负载难以被侦测。

加密器

2024年第三季度用户因木马勒索软件而提交的文件解密请求量较第二季度下降了15.73%。

DoctorWeb公司技术支持部门接收到的解密申请量动态：

第三季度最常见的加密器：

Trojan.Encoder.35534 — 19.38%
Trojan.Encoder.3953 — 9.42%
Trojan.Encoder.38200 — 3.99%
Trojan.Encoder.26996 — 2.89%
Trojan.Encoder.35067 — 2.72%

网络诈骗

2024年第三季度，进行在线诈骗的不法分子继续传播带有各种网络钓鱼链接的垃圾邮件。例如，俄语用户再次收到冒名知名网店发送的消息，其中有些是邀请参加抽奖或接收礼物，而一旦点击此类电子邮件中的链接，用户会被带到假借“接收”所谓特定奖品或奖金来骗取用户支付佣金的欺诈网站。

诈骗者谎称知名网店向用户提供所谓208760卢布“奖金”的邮件

另一些信件则是称用户在一家大型电子商店购买商品可获得折扣，邮件中的链接指向的是一个假冒网站，模仿店家官网的设计风格。下“订单”时要求用户提供个人信息以及银行卡信息。

激活促销码”购买电子产品的欺诈邮件

诈骗者还大量发送与金融相关的垃圾邮件，如大额汇款入账“确认”函。下面是针对英语用户的此类信件示例，其中的链接指向一个登录银行客户帐户的钓鱼页面，外观与信贷机构真实网站的登录页面类似。

谎称用户需要确认收到1218.16美元的邮件

假冒账户登录的钓鱼页面

在针对日本受众的信件也再次出现所谓来自信贷机构的虚假通知。例如当月银行卡消费信息。其中一封邮件中的钓鱼网站的链接经过了伪装处理：用户在信中看到的是真实银行网站的链接地址，但点击这些链接后进入的是诈骗网站。

信中所有链接实际指向都是钓鱼网站

法语用户（如比利时用户）接收到的钓鱼邮件是银行账户“被封”通知，所谓用于“解锁”账户的链接实际上打开的是诈骗网站。

诈骗者借“封号”引起用户恐慌

针对俄罗斯用户大量传播的垃圾邮件则是再次假借知名银行名义邀请潜在受害者成为投资者。此类邮件中的链接以获取投资服务访问权限为幌子，诱骗用户提供个人信息。

假借银行名义邀请用户参加所谓测试并成为投资者的钓鱼邮件

同时，我公司互联网分析师还发现一些新的网络钓鱼网站是专门针对加密货币所有者。其中一个假借一家大型加密货币交易所的名义通知用户有比特币转账未入账，“完成”入账需支付相应“费用”，当然，实际上受害者并没有收到什么货币转账，而是把自己的资产转给了骗子。

诈骗网站谎称用户有未入账的比特币转账

此外，还发现了模仿VKontakte社交网络外观的钓鱼网站，邀请访客打开几个装有礼物的虚拟盒子来参加某种抽奖活动。当潜在受害者因打开了所谓“正确”的盒子而赢得一大笔钱后，会看到支付一定费用才能获得“奖金”的通知。

诈骗网站邀请访问者“试试运气”

访问者“获得”194562卢布的通知

了解Dr.Web不建议访问网站更多详情

移动设备恶意软件和不良软件

根据Dr.Web产品对安卓移动设备的侦测统计，2024年第三季度份在受保护设备最常侦测到的是用于各种诈骗模式的Android.FakeApp家族恶意应用，其次是Android.HiddenAds木马广告应用，侦测量第三的是木马Android.Siggen。

在过去的三个月里，我公司专家在GooglePlay目录中发现了许多新威胁，其中包括各种版本的Android.FakeApp和Android.HiddenAds木马。此外，还记录到针对Android操作系统电视机顶盒的进攻：Android.Vo1d后门感染了来自197个国家用户的约1,300,000台设备。此后门将其组件置于机顶盒的系统区域，并在攻击者的命令下悄悄下载并安装第三方程序。

第三季度份主要移动安全事件：

侦测到Android.Vo1d后门，被其感染的电视机顶盒超过一百万台
Android.FakeApp家族恶意应用十分活跃
Android.HiddenAds广告木马十分活跃
GooglePlay目录中再次出现新威胁

第三季度份移动威胁更多详情请参阅移动威胁综述.

DoctorWeb：2024年第三季度移动设备病毒活动综述

Tue, 01 Oct 2024 00:00:00 GMT

2024.10.01

根据Dr.Web产品对安卓移动设备的侦测统计，2024年第三季度在受保护设备最常侦测到的是不法分子用于各种诈骗模式的Android.FakeApp，其次是Android.HiddenAds木马广告应用，传播量第三的是Android.Siggen家族的代表，这些软件具有各种恶意功能，很难归于有专项功能的家族.

与此同时，我们的技术人员在8月份侦测了一个新的木马Android.Vo1d，感染了近1,300,000台安卓操作系统的电视机顶盒。此后门将其组件置于机顶盒的系统区域，并在攻击者的命令下悄悄下载并安装第三方程序。

此外，我公司专家在GooglePlay目录中发现了许多新威胁，其中包括新的假冒软件和多个广告木马。

第三季度主要移动安全事件：

侦测到Android.Vo1d后门，被其感染的电视机顶盒超过一百万台
Android.FakeApp家族恶意应用十分活跃
Android.HiddenAds广告木马十分活跃
GooglePlay目录中再次出现新威胁

Dr.WebforAndroid保护产品统计信息

Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。
Android.HiddenAds.3994: 用于不断显示广告的木马，Android.HiddenAds家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.MobiDash.7815
Android.MobiDash.7813: 显示烦人广告的木马程序，是可供软件开发人员内置到应用程序的软件模块。
Android.Click.1751: 嵌入WhatsAppMessenger修改版并伪装成Google库的木马。使用修改版程序时，Android.Click.1751向控制服务器发出请求。收到的响应是两个链接，其中一个针对俄语用户，另一个针对其他语言用户。然后，木马会按照从服务器接收的内容显示一个对话框，用户点击确认按钮后会在浏览器打开相应的链接。

Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为Tool.CloudInject添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.SecretVideoRecorder.1.origin: 可侦测通过Android设备的内置摄像头拍摄背景照片和视频的不同版本应用程序。此程序可以静默运行，关闭录制通知，并可将应用程序图标和描述更改为假图标和假内容。这一功能存在潜在危险。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

Tool.Packer.1.origin: 一种专门的加壳工具，用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序，但既可用于保护正常程序，也可用于保护木马程序。
Tool.SilentInstaller.17.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行，并自动获得相同的权限。
Tool.NPMod.1
Tool.NPMod.2: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.LuckyPatcher.1.origin: 一个实用工具程序，用于修改已安装的安卓应用程序（为其创建补丁），更改其操作逻辑或绕过某些限制。例如，利用此工具用户可以禁用网银程序中的root访问验证或在游戏中获得无限资源。创建补丁时此工具从互联网下载专门的脚本，而这些脚本来自公共数据库可以由任何人创建。此类脚本的功能也可能是恶意的，因此创建的补丁可能会带来潜在的危险。

Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件Program.FakeMoney.11共享一个共同的代码库。
Adware.Fictus.1.origin: 攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中，集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发，安装后显示不良广告。
Adware.Adpush.21846
Adware.AdPush.39.origin: 可集成到Android程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。

GooglePlay中的威胁

2024年第三季度，我公司病毒实验室再次在GooglePlay目录中侦测到新威胁，其中由Android.FakeApp家族的多种新木马应用，假冒各种热门软件。其中一些再次被攻击者伪装为和金融活动相关程序，如投资应用程序、金融培训手册、各种家庭会计等。其中一些能提供所声称的功能，但主要功能是加载诈骗网站，欺骗潜在的受害者可通过股票投资、商品交易、加密货币等轻松赚钱，并以访问“服务”为幌子，要求注册帐户或填写参与申请，以此获取用户个人信息。

值得一提的是有一个Android.FakeApp木马不法分子是将其伪装为在线交友软件，而实际上加载的还是打着“投资”名义的诈骗网站。

其他Android.FakeApp木马还是假冒游戏。某些情况下会加载在线赌场和博彩网站。

在新出现的假冒程序中，我公司专家还发现了一些伪装成求职工具的木马新变种。此类恶意软件会下载虚假的招聘信息，并邀请潜在受害者通过即时通讯工具联系雇主（实际上，联系到的“雇主”是骗子）或创建“简历”，目的是获取用户个人信息。

我公司反病毒分析师还在GooglePlay上侦测到Android.HiddenAds家族的另一个木马，将自己伪装成各种类型的应用程序，如图像收集软件、照片编辑器、条形码扫描仪，安装后会隐藏其在主屏幕菜单中的图标，之后就开始显示烦人的广告。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

超百万安卓机顶盒被“空白”

Thu, 12 Sep 2024 17:58:32 GMT

2024年9月12日

Doctor Web公司技术专家侦测到一个新的安卓机顶盒感染病例。被命名为Android.Vo1d新恶意软件已感染了197个国家/地区用户的近1,300,000台设备。这是一个后门，能将其组件安装到系统区域，在攻击者的指挥下秘密下载和安装第三方软件。

2024年8月，有几个用户因Dr.Web反病毒软件在其设备上侦测到系统文件区域发生变化联系了我公司技术支持。侦测到系统文件区域发生变化的机型是：

电视机顶盒机型	厂家声明的系统版本
R4	Android 7.1.2; R4 Build/NHG47K
TV BOX	Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP	Android 10.1; KJ-SMART4KVIP Build/NHG47K

不同机型的感染迹象相似，在此仅以最早侦测到的一例来加以介绍。木马更改了机顶盒的以下对象:

install-recovery.sh
daemonsu

此外，文件系统中出现了4个新文件：

/system/xbin/vo1d
/system/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real

文件vo1d和wd—就是我们所发现的木马Android.Vo1d的组件。

该木马的编写者使用“vo1d”命名木马组件的原因可能是试图将其伪装成系统程序/system/bin/vold。该恶意软件也由此文件名称而得名（将小写字母“l”替换为数字“1”）。此外，这个拼写与“void”（英文“空白”一词）相近。

文件install-recovery.sh是大多数安装设备都有的一个脚本，在操作系统启动时启动，包含指定元素自动运行的数据。如果恶意软件具有root访问权限并且能够写入系统目录/system，那么恶意软件就可以将自身添加到此脚本（或者创建一个包含自身的脚本），这样就可在被感染设备立足）。Android.Vo1d写入脚本的是自动启动组件wd。

被修改后的文件install-recovery.sh

文件daemonsu存在于许多有root权限的安装设备上，由系统启动，负责向用户打开root权限。Android.Vo1d在此文件中进行了注册自身，同时设置了自动启动模块wd。

文件debuggerd通常是一个用于生成错误报告的守护进程，但在被感染机顶盒，这个文件已被替换为启动组件wd的脚本。

本例中脚本副本文件debuggerd_real替换的原文件是debuggerd。我公司专家认为，木马编写者的意图是将原文件debuggerd移至debuggerd_real并保持运行功能。然而，感染可能发生了两次，木马移至此路径的是脚本副本，结果造成设备上出现了两个木马脚本，真正的程序文件debuggerd已不复存在。

联系我公司技术的其他用户被感染的设备上的文件列表略有不同：

daemonsu( 类似文件vo1d—Android.Vo1d.1);
wd(Android.Vo1d.3);
debuggerd( 与前面介绍的脚本类似);
debuggerd_real( debuggerd工具的原文件);
install-recovery.sh( 用于加载自身所含对象的脚本).

对所有这些文件进行研究后我们看到，木马编写者将Android.Vo1d植入系统至少使用了三种不同的方法：修改文件install-recovery.sh和daemonsu，以及替换程序debuggerd。这样，只要系统中存在一个目标文件，就可以达到后续设备重新启动时自动运行木马的目的。

Android.Vo1d的主要功能隐藏在两个协同运行的组件vo1d(Android.Vo1d.1)和wd(Android.Vo1d.3)中。Android.Vo1d.1模块负责启动Android.Vo1d.3并监控其活动，必要时会重新启动进程。此外，根据控制服务器的命令，此模块还能下载并运行可执行文件。而Android.Vo1d.3模块安装到设备并启动其主体中加密的守护进程(Android.Vo1d.5)，这一守护进程也具备下载和启动可执行文件的功能，此外，还会跟踪指定目录中是否出现应用程序的APK文件，出现后便会将其安装到设备。

我公司病毒分析师进行调查表明，感染Android.Vo1d后门的设备约达1,300,000台，分布在近200个国家，其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚发现了较多的感染病例。

感染设备数量最多的国家

传播Android.Vo1d的攻击者选择电视机顶盒作为目标的一个可能原因是此类设备通常操作系统是陈旧的安卓版本上，这些版本没有修复漏洞，并且厂家不再提供更新。例如，联系我们的用户的设备的系统是Android7.1，虽然一些用户设备表明的是更新的版本Android10和Android12。对于低档产品来说，厂商的这种做法并不罕见：设备实际使用的是老版本操作系统，为吸引买家而声称是较高版本。

此外，用户经常会错误地将机顶盒视为比智能手机安全的设备。因此，不太可能为机顶盒安装反病毒软件，在下载第三方应用程序或安装非官方固件时便会面临遭遇恶意软件的风险。

目前，此次机顶盒后门感染的源头尚不清楚。一种可能的媒介可能是中介恶意软件利用操作系统漏洞获取了root权限，另一种可能是使用了具有root访问权限的非官方固件版本。

Dr.Web Security Space移动设备保护产品能够侦测Android.Vo1d木马的所有已知变种，在具备root访问权限的情况下能够对感染的设备进行清除

失陷指标

Android.Vo1d.1更多详情

Android.Vo1d.3更多详情

Android.Vo1d.5更多详情

Doctor Web：2024年第二季度病毒活动综述

Mon, 01 Jul 2024 02:00:00 GMT

2024.07.01

Dr.Web产品侦测统计信息显示，2024年第二季度份最常侦测到的威胁仍是不良广告程序、广告木马和藏身于其他木马以增加侦测难度的恶意软件。邮箱流量中传播最广的是各种恶意脚本和钓鱼文件。

第二季度份加密器受害者的最常遭遇的是Trojan.Encoder.3953 、Trojan.Encoder.35534 和Trojan.Encoder.26996。

移动设备侦测量最多的是Android.HiddenAds家族的广告木马、Android.FakeApp家族恶意软件和间谍木马Android.Spy。同时我公司技术专家发现在Google Play 再次出现安全威胁。

第二季度主要趋势

不良广告程序和广告木马十分huoy
邮箱流量中的威胁主要是恶意脚本和钓鱼文件
Android.HiddenAds家族广告木马再次成为安卓设备侦测量最多的安全威胁

Doctor Web统计服务收集的数据

第二季度最常见威胁：

Adware.Downware.20091
Adware.Downware.20477: 广告软件，经常用于盗版软件的中转安装器。
Trojan.StartPage1.62722: 替换浏览器起始页的恶意程序。
Trojan.AutoIt.1224:  侦测用AutoIt 脚本语言编写的Trojan.AutoIt.289程序打包版本。与一组恶意应用程序一同传播，包括挖矿软件、后门和自传播模块。Trojan.AutoIt.289能够执行各种恶意操作，加大侦测主要加载内容的难度。
JS.Siggen5.44590: 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。

邮箱流量恶意程序统计数据

JS.Siggen5.44590: 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
JS.Inject: 利用JavaScript语言编写的恶意脚本家族，将恶意脚本嵌入网页的HTML代码。
PDF.Phisher.693
PDF.Phisher.707: 钓鱼群发邮件中的PDF文件。

加密器

Doctor Web公司技术支持部门接收到的解密申请量动态：

第二季度最常见的加密器：

Trojan.Encoder.3953 — 18.43%
Trojan.Encoder.35534 — 9.22%
Trojan.Encoder.26996 — 8.75%
Trojan.Encoder.35067 — 2.07%
Trojan.Encoder.37369 — 1.61%

危险网站

2024 年第二季度我公司技术专家记录到针对日本用户的网络钓鱼电子邮件群发事件。诈骗者假冒银行向潜在受害者发送购买付款通知，可点击通知中的链接来了解“付款”详情，而实际上此链接是定向到网络钓鱼资源。

在第二季度发现的欺诈网站中，我们的互联网分析师还注意到一种模仿真实电子钱包网站（如 Payeer）外观的网络钓鱼资源，用于窃取用户的登录账户信息。

此外，网络犯罪分子继续试图获取各种即时通讯的帐户访问权限，其中一种手段是利用要求输入账户信息的虚假登录页面。下面的示例中是要求潜在的受害者使用二维码或手机号码登录 Telegram。而用户一旦进行这种操作，其帐户登录信息就会被攻击者截获。

与此同时，针对俄语用户的欺诈网站也继续出现，其中为潜在受害者提供所谓免费抽彩的网站仍然很常见，网站上显示用户收到一张彩票，如果用户查验，结果一定是“中奖”，但“收到”奖金需要提供银行卡详细信息并支付某种佣金或银行转账手续费。

下面显示的是此类诈骗网站的一个示例。首先模拟的是“免费”彩票的注册，然后演示所谓的在线抽奖直播：

然后显示用户“赢得”了 314906 卢布，但要“收到”奖金，必须提供银行卡信息。而且还需支付501卢布的“转账手续费”：

假冒网络商店页面（例如电子产品和家用电器网店）也仍然是网络骗子常用手段。攻击者通过“折扣”、“优惠券”和各种“促销” 等低价购买畅销产品广告来引诱潜在受害者。在此类网站 “下单”时，通常会要求用户通过网上银行或信用卡付款。然而，我们的技术专家提请俄罗斯用户注意，快速支付系统 SBP也已开始被诈骗者使用。

下面的截图是模仿电子零售连锁店在线资源的虚假网站示例：

订购所谓的打折“产品”后会出现订单信息：

而支付方式之一就是快速支付系统 SBP：

了解Dr.Web不建议访问网站更多详情

移动设备恶意软件和不良软件

根据Dr.Web产品对安卓移动设备的侦测统计，2024年第二季度份在受保护设备最常侦测到的是显示不良广告的Android.HiddenAds木马广告应用，其次是Android.FakeApp家族恶意应用，侦测量第三的是间谍软件Android.Spy。

与此同时，Google Play目录中再次出现多种威胁，其中包括Android.FakeApp家族的新木马、不良应用 Program.FakeMoney.11 以及为用户订阅付费服务的木马 Android.Harly.87。

第二季度份主要移动安全事件：

Android.HiddenAds广告木马最为活跃
Google Play目录中再次出现多种威胁

第二季度份移动威胁更多详情请参阅移动威胁综述。

DoctorWeb：2023年病毒活动年度报告

Mon, 13 May 2024 02:00:00 GMT

2024年5月13日

2023年，使用AutoIt脚本语言编写的应用Trojan.AutoIt再次成为最活跃的威胁之一。因为是嵌入其他恶意应用程序进行传播，增加侦测难度。广告木马Trojan.BPlug和各种恶意脚本也非常活跃。电子邮件流量中最常见的是恶意脚本和网络钓鱼文档。此外，攻击者还大肆传播利用MicrosoftOffice文档漏洞的恶意软件。通过电子邮件传播的威胁还有各种木马应用。

与上一年相比，2023年用户申请文件解密的数量有所减少。与此同时，银行木马程序的侦测量也有所减少。

过去的一年发生了一系列不同寻常的信息安全事件。春季我公司技术人员记录到一次感染AndroidTV智能电视和机顶盒的安卓木马进攻。夏季我公司病毒分析师侦测到一种用于窃取加密货币的木马。这个木马隐藏在一些盗版的Windows10版本中，感染计算机后会感染系统的EFI分区。秋天我们报告了间谍木马应用对伊朗安卓用户的攻击，窃取受害者的个人数据和钱财。此外，我们公司还就Openfire消息服务器出现恶意插件发出警告，这些恶意插件利用了Openfire软件中的一个漏洞，可执行攻击者的各种命令。

在移动威胁中，最常见的是广告木马、恶意间谍软件和不良广告软件。GooglePlay目录中发现了许多新的恶意应用，总安装量接近5亿。我们的专家还侦测到再次出现的窃取的木马，不仅针对安卓操作系统用户，也针对iOS设备的所有者。

我公司互联网分析师在过去一年持续记录到网络钓鱼资源。诈骗使用的多是银行、网店、石油和天然气公司的虚假网站。

年度主要趋势

使用AutoIt脚本语言编写的木马广泛传播
显示广告的恶意软件广泛传播
木马勒索事件数量减少
出现新的银行木马家族
GooglePlay目录出现众多新威胁
网络诈骗者活动频繁
恶意电子邮件流量中恶意脚本和网络钓鱼文档居多

2023年最值得关注的事件

2023年5月，DoctorWeb发布对木马模块Android.Spy.SpinOk的分析报告，此木马模块是作为营销工具提供给安卓游戏和程序的开发者，但同时具有间谍功能，能够收集设备存储文件的相关信息并将其传输给攻击者，还能够替换剪贴板的内容并将其上传到远程服务器。此外，这种木马模块还可以显示广告。我们的病毒分析师在GooglePlay下载量超过4.21亿次的一百多个应用程序中发现了该模块的存在。此分析报告发布后，SpinOk开发人员就该模块归类为恶意的原因联系了我公司，随后模块更新至2.4.2版本，删除了木马功能。

6月，我们的专家发现了恶意应用Trojan.Clipper.231，功能是窃取加密货币，内置于许多盗版的Windows10中，感染计算机时会渗透到系统EFI分区，将剪贴板中的加密钱包地址替换为诈骗者指定的地址。在被侦测时，攻击者已利用此木马窃取了价值约19,000美元的加密货币。

7月份我公司发现了一起针对Windows用户的攻击，使用的是模块化的木马加载程序Trojan.Fruity.1。利用加载器攻击者可以使用不同类型的恶意应用感染计算机。同时网络犯罪分子还采取多种手段来增加攻击成功机率。例如，将Trojan.Fruity.1嵌入受欢迎程序安装程序，通过恶意网站进行传播，由于木马具有的模块化架构，感染目标系统的过程为多级感染。此外，启动Trojan.Fruity.1组件使用的是正常的应用程序，在感染系统时木马还会尝试绕过反病毒保护。

9月初，我们公司发布了对Android.Pandora.2后门的研究报告，该后门主要攻击的是西班牙语用户。该木马的各种变种通过被破解的固件版本以及用于非法在线观看视频的木马软件来感染安卓操作系统的智能电视和机顶盒。2023年3月记录到大量涉及Android.Pandora.2的攻击事件。该木马程序的第一批变种早在2017年7月就已添加到Dr.Web病毒库。

不久后，我们通报了以伊朗安卓设备用户为主要进攻目标的Android.Spy.Lydia家族木马，这些恶意软件让攻击者能够对受感染设备进行远程访问，具有间谍软件功能，可用来窃取用户的个人信息和钱财。

9月底，我公司发布Openfire消息服务器出现恶意插件JSP.BackDoor.8，恶意插件利用的是服务器的漏洞CVE-2023-32315。黑客利用该漏洞可访问被感染服务器的文件系统并将服务器纳入僵尸网络。DoctorWeb病毒实验室专家在调查针对我公司客户基础设施的加密木马进攻时发现了这种木马插件。在用户安装有易受攻击的Openfire软件的服务器利用恶意插件实现了编码器进攻。JSP.BackDoor.8插件是用Java创建的后门，可以攻击者发送的GET和POST申请形式执行许多命令。攻击者利用插件还可以获得受感染服务器的相关信息，例如网络连接信息、IP地址、用户信息和系统内核版本。

病毒传播情况

2023年Dr.Web反病毒产品侦测统计数据的分析显示，侦测到的威胁总数较2022年增长了12.27%。新威胁数量增长21.70%。最引人注目的是作为其他恶意程序的一部分来进行传播的木马应用，这种传播方式增加了器侦测的难度。此外，用户还经常遭遇广告木马和各类恶意脚本。

Trojan.BPlug.3814
Trojan.BPlug.4087: WinSafe浏览器插件的恶意组件，是在浏览器不断显示广告的JavaScript脚本。
Trojan.AutoIt.1224
Trojan.AutoIt.1131
Trojan.AutoIt.1124
Trojan.AutoIt.1122
Trojan.AutoIt.1147: 用AutoIt脚本语言编写的木马Trojan.AutoIt.289的打包版本，作为一些恶意应用，如挖矿程序、后门和自传播模块的一部分进行传播。Trojan.AutoIt.289执行各种恶意操作，使主要的有效恶意负载难以被侦测。
BAT.Hosts.187: 用Windows命令解释器语言编写的恶意脚本。通过添加特定的域列表来修改hosts主机文件。
Trojan.Hosts.51189: 一种修改Windows操作系统计算机主机文件内容的木马程序。
BAT.Starter.457: 用Windows命令解释器语言编写的恶意脚本，在目标计算机运行各种恶意应用程序。

2023年电子邮件流量中最常见的威胁是恶意脚本和网络钓鱼文档，通常是伪造的账户信息输入域名，冒充流行网站的登录，将受害者输入的数据传输给攻击者。而利用MicrosoftOffice文档漏洞的恶意程序也再次广泛传播。

JS.Inject: 用JavaScript编写的恶意脚本家族，将恶意脚本嵌入网页的HTML代码。
PDF.Phisher.458
PDF.Phisher.455
PDF.Phisher.474
PDF.Phisher.456
PDF.Phisher.486
PDF.Phisher.463: 钓鱼邮件中使用的PDF文件。
Exploit.CVE-2018-0798.4: 利用MicrosoftOffice软件漏洞进攻,可执行任意代码。
LNK.Starter.56: 以特殊方式生成的快捷方式，通过移动驱动器传播，带有磁盘图标来误导用户。打开时会启动与快捷方式本身位于同一介质的隐藏目录中的VBS恶意脚本。

加密器

与2022年相比，2023年DoctorWeb病毒实验室收到的木马勒索软件受害用户解密申请减少了28.84%。下图显示的是解密申请数量的动态统计：

2023年最常见的勒索软件：

Trojan.Encoder.26996 (占用户申请的21.35%: 该勒索软件还被称为STOPRansomware，能尝试从远程服务器获取私钥，如果失败，则使用硬编码的私钥。这是少数使用Salsa20流算法加密数据的勒索软件木马之一。
Trojan.Encoder.3953 (占用户申请的18.87%）: 具有多个不同版本和变种的加密器，使用CBC模式的AES-256算法加密文件。
Trojan.Encoder.35534 (占用户申请的6.00%）: 也称为Mimic。在搜索加密目标文件时，该木马会使用合法程序Everything中用于即时搜索Windows计算机文件的库everything.dll。
Trojan.Encoder.34027 (占用户申请的2.18%）: 此勒索软件也称为TargetCompany或Tohnichi，使用AES-128、Curve25519和ChaCha20算法来加密文件。
Trojan.Encoder.35209 (占用户申请的2.01%）: 一种名为Conti的加密器（该木马的一个变种是Trojan.Encoder.33413）。使用AES-256算法加密文件。

网络诈骗

2023 年，Doctor Web 的互联网分析师记录到大量欺诈活动，并发现了许多网络钓鱼网站。金融行业成为犯罪分子最常利用的钓饵：大约 60% 已识别的不良互联网资源模仿的是信贷机构网站。常见的假冒网页包括网上银行的虚假登录页面和虚假调查问卷的页面。网络犯罪分子试图利用这些伪造页面获取用户的个人数据和访问网上银行账户的详细账户信息。

此外，攻击者还继续打着获取收入的幌子引诱潜在受害者访问诈骗网站，比如投资与大型石油和天然气公司相关的所谓服务，还有是获取某些能保证高额利润的所谓自动交易平台。涉及“领取”国家社会福利的各种形式的诈骗也再次屡见不鲜。此类网站的钓鱼骗局最终都是用户在回答一些简单的问题后要提供个人信息才能注册帐户，并且获取转款的前提是必须支付所谓的“手续费”。实际上受害人不会收到任何转账。

下面的屏幕截图是金融诈骗网站的示例。第一种情况是谎称俄罗斯一家大型石油和天然气公司邀请用户访问“投资平台”。第二个是一项投资服务，谎称与一家欧洲银行有关。第三种是伪造的 “自动化交易系统”，名称为 Quantum UI、Quantum System 等。

与各种“促销”、“奖励”和“礼物”相关的网络钓鱼方式也再次不断出现。诈骗者引诱潜在受害者访问网上商店、零售商、在线售票平台等虚假网站，谎称可参加抽奖、获得礼物或奖金，或者可以更优惠的价格购买特定产品。攻击者的意图试图窃取受害者的钱财和银行卡数据。

下面的屏幕截图是此类欺诈网站的示例。

第一个是模仿俄罗斯家电电商网站外观的虚假网站：

诈骗者提供的所谓打折商品要求通过潜在受害者银行卡付款或通过网上银行转账。

下面一个欺诈网站是以网络商店的名义邀请访问者参加所谓的“抽奖”：

潜在受害者“赢得”所谓的巨额现金奖励后会被要求支付手续费。

以俄罗斯知名网店官方网站风格设计的诈骗性在线资源：

参与现金奖励的“抽奖”，用户需要先回答几个问题。网站模拟的抽奖会让受害者获胜，但必须支付“手续费”才能“收到”所谓的奖金。

向访问者提供“免费”彩票的网络钓鱼网站：

中奖的用户必须支付“手续费”才能收到奖金。

2023年夏天，诈骗者变得更加活跃，在各种网站上提供所谓的法律服务，谎称可以重新办理丢失的证件或是购买俄罗斯、独联体国家和其他国家的证件。此类网站的“服务”范围包括高等教育文凭、驾驶执照、各种证书、证明等。使用可疑服务的用户不仅是为不存在的服务进行付费而遭受金钱损失，同时还会泄露他们的个人数据。此外，购买虚假文件违反法律，这可能会担负法律责任。以下是是提供可疑服务的网站截图。

谎称可以购买俄罗斯联邦公民护照的网站：

出售高等教育文凭、证书、驾驶执照和其他证件的网站：

秋季Doctor Web 互联网分析师记录到以税务机关名义发送网络钓鱼电子邮件的事件。这些信件包含一个网站链接，称用户在这个网站可以检查工作单位是否遵守个人数据保护法，但首先需要完成一项调查，然后提供个人信息，谎称可以“获得调查结果和免费的专家建议”。回答问题后，访问者会被要求提供电话号码和电子邮箱。

同时，去年我们的专家还提醒用户利用 Telegraph 博客平台进行诈骗的案件有所增加。攻击者在平台发布网络钓鱼帖子，包含指向各种不良网站的链接。而且指向欺诈内容页面的链接在分发前会先利用链接缩短服务转换。

下面的屏幕截图是此类欺诈性帖子的示例。用户被提示激活某个帐户，但单击 “CONFIRM”按钮时会被重定向到网络钓鱼站点。

移动设备威胁

根据Dr.Web for Android的侦测统计，2023年最常见的安卓恶意软件是显示不良广告的木马Android.HiddenAds，占侦测到的恶意软件的31.61%，其中最活跃的威胁是Android.HiddenAds.3697 ，在受保护设备的侦测量占比为 10.72%。侦测量第二的是具有间谍功能的木马程序Android.Spy，为28.22%，其中，最常侦测到的木马是Android.Spy.5106（占20.80%）。 Android.MobiDash广告木马以10.06%的占比排在第三。

最活跃的不良软件是 Program.FakeMoney.7（占不良软件侦测量的 29.90%）。这种软件让用户通过完成各种任务来赚钱，但实际上并没有支付任何奖励。排在第二的是 Program.FakeAntiVirus.1（占侦测数的 19.42%），通过模仿防病毒软件的操作，侦测不存在的威胁，目的是让用户购买所谓程序的完整版本来“解决”问题。通过 CloudInject 云服务修改过的应用程序排在第三位，份额为 9.46%。此类程序（Dr.Web反病毒软件将其侦测为Program.CloudInject.1）添加了危险权限和无法控制其用途的混淆代码。

与去年一样，工具Tool.SilentInstaller在侦测数量上再次在潜在危险程序中排在了第一位（占潜在危险软件侦测案例的 48.89%）。通过这类工具可以不安装就运行 Android 应用程序，可能被被网络犯罪分子用来启动恶意软件。排在第二的是占比 14.02% 的工具 Tool.LuckyPatcher ，功能是通过添加从互联网下载的脚本来修改安卓应用程序。排名第三的是受 Tool.ApkProtector 软件包保护的应用程序，份额为 10.14%。

2023 年最常见的广告软件家族是 Adware.Adpush，占有害广告软件侦测量的 35.82%。第二个最常侦测到的家族是 Adware.MagicPush，所占份额为 9.58%。第三位是Adware.Airpush广告模块家族，占侦测量的8.59%。

去年，我公司病毒分析师在 Google Play 目录中发现了 440 多个恶意应用程序，总下载量至少为 4.28 亿次。在侦测到的威胁中，有超过 100 个程序内置有具备间谍软件功能的木马模块 Android.Spy.SpinOk。此外，我们的反病毒实验室还侦测到超过300个用于各种欺诈方式的Android.FakeApp木马应用。我们的专家还发现了木马程序 Android.Proxy.4gproxy，能够将被感染的设备变成代理服务器，将其用于暗中传输第三方流量。侦测到的威胁中还有 Android.HiddenAds 系列广告木马、间谍软件Android.Spy.1092.origin和盗窃加密货币的Android.CoinSteal.105。为用户订阅付费服务的木马家族Android.Subscription 出现了新木马。与此同时，为受害者订阅付费服务的木马Android.Joker和Android.Harly也再次通过Google Play进行传播。

与2022年相比，2023年安卓平台银行木马的侦测数量减少了近一半。尽管如此，这些木马的攻击地域再次涉及了许多国家。此外，除了已知银行木马的活动，我公司病毒分析师记录到新家族的出现，其中许多针对的是俄罗斯和伊朗用户。

同时，我们的专家多次侦测到恶意网站在传播 Android 和 iOS 设备虚假加密钱包，目的是窃取加密货币。

有关 2023 年移动设备威胁的更多信息，请参阅我们的年度报告。

趋势前瞻

2023 年广告木马应用程序的广泛传播表明，网络犯罪分子的首要任务之一仍然是非法赚取收入。 AutoIt 脚本语言中木马程序的大量使用也证实了这一点，这些木马程序常被用加入木马挖矿程序，提高其侦测难度。2024 年，病毒编写者用来以牺牲受害者利益为代价来充实自己腰包的恶意软件很将是网络犯罪主要武器。

与此同时，尽管银行木马的攻击总数有所下降，但此类恶意应用的发展并未停止，新家族的出现就是明证，这种趋势可能会持续。

网络诈骗依然会是现实的网络威胁。随着技术的发展，攻击者在套用经过验证的欺骗方案的同时，肯定会开始越来越多地使用新的欺骗方式，包括使用AI技术的诈骗。

我们预计包括 Google Play 等官方应用程序商店在内会出现更多的移动设备威胁，而且新的恶意软件可能不仅会出现在安卓设备，还会出现在其他平台，特别是 iOS设备。

对 Openfire 软件的攻击再次表明了安装更新和保持您所使用的程序是最新版本的重要性。到 2024 年，网络犯罪分子还可能会利用各种漏洞发起新的攻击，包括定向进攻。

和 Dr.Web 一起扩展知识

反病毒真相

教程

教育活动

手册

DoctorWeb：2023年移动威胁年度报告

Wed, 17 Apr 2024 02:00:00 GMT

2024年4月17日

2023年，最常见的安卓威胁是显示广告的木马。与前一年相比，间谍木马的活动有所减少，排在Dr.Web反病毒产品在受保护的设备威胁侦测量的第二位。尽管银行木马的侦测率也有所下降，但此类威胁仍在不断发展，仍对世界各地的用户构成严重威胁。去年，出现了大量新的安卓银行木马家族，其许多针对的是俄罗斯和伊朗用户。

诈骗活动仍然十分猖獗，不法分子使用各种恶意应用实施各种诈骗模式。

网络犯罪分子也从未忘记利用GooglePlay目录。DoctorWeb反病毒实验室一年之内在这一官方应用商店发现了400多个木马程序，总下载量至少达到4.28亿次。

此外，我们的专家还侦测到窃取加密货币的新木马，而且进攻的对象不仅是安卓设备，也包括iOS操作系统的设备。

过去一年的趋势

广告木马活动增加
银行木马活动减少
出现新的安卓银行木马，进攻目标是俄罗斯和伊朗的用户
GooglePlay目录出现众多新威胁
诈骗活动持续高发
出现窃取安卓和iOS操作系统设备用户加密货币的新木马

2023年最值得关注的事件

去年5月，我公司技术人员在GooglePlay 发现了100多个内嵌SpinOk模块的应用程序，该模块宣称的功能是嵌入安卓游戏和程序的专门营销平台，目的是通过迷你游戏、任务系统和所谓的抽奖来让用户继续使用应用。然而，该模块因具有间谍功能而添加到Dr.Web病毒库，被命名为Android.Spy.SpinOk。模块能收集安卓设备存储文件的相关信息，并将其传输给攻击者，还可以替换剪贴板的内容并将其上传到远程服务器。此外，该模块还能以横幅的形式显示广告，下图为一些示例。

内嵌Android.Spy.SpinOk的应用程序总下载量超过4.21亿次。SpinOk开发商联系我公司后对该模块进行了修正，平台的当前版本2.4.2已不再包含木马功能。

去年9月初，我们公司发布了对Android.Pandora.2后门的研究报告，该后门主要攻击的是西班牙语用户。2023年3月记录到大量涉及Android.Pandora.2的攻击事件。该木马程序的第一批变种早在2017年7月就已添加到Dr.Web病毒库。该木马的各种变种通过被破解的固件版本以及用于非法在线观看视频的木马软件来感染安卓操作系统的智能电视和机顶盒。传播这种后门软件的站点示例：

该木马将受感染设备纳入僵尸网络，并能够根据攻击者的命令执行各种类型的DDoS攻击，还可以执行许多其他操作，包括安装自身的更新和替换系统主机文件。我们的专家所进行的分析表明，病毒编写者在创建此木马时，使用了Linux.Mirai编写者的部分代码，而Linux.Mirai自2016年以来就被广泛用于感染物联网（IoT）设备并对各种网站进行DDoS攻击。

同月，我公司病毒分析师就针对伊朗用户的多功能间谍木马Android.Spy.Lydia发布报告。这一家族的木马是伪装成在线交易的金融平台，能够按照攻击者的命令执行各种恶意操作，如拦截并发送短信、收集电话簿中的联系人信息、窃取剪贴板内容、加载钓鱼网站等。Android.Spy.Lydia木马可用于各种诈骗模式，可用于窃取个人数据。此外，攻击者利用这些木马还可以窃取受害者的钱财。

9月底，我们公司通告利用移动设备远程管理程序进行诈骗的案例在不断增加，攻击者借助这些程序能够完全控制安卓设备。网络犯罪分子冒充是信贷机构的客服，向潜在受害者通报其银行账户出现“可疑交易”，并建议在GooglePlay查找和下载一个“银行支持应用”。事实上，不法分子建议银行安装的是一个远程桌面访问工具，最常见的是RustDeskRemoteDesktop。该实用程序在GooglePlay被下架后，攻击者开始通过诈骗网站传播这个工具。在某些情况下，为了使其更有迷惑力，不法分子还将其名称和图标替换为与特定银行相对应的名称和图标。该程序的此类木马版本我公司产品侦测为Android.FakeApp.1426。

与此同时，我公司专家在2023年继续发现各种恶意网站，网络犯罪分子通过这些网站传播可安装到安卓和iOS设备的虚假加密钱包，其功能是窃取加密货币。

统计数据

2023年，恶意软件再次成为最常见的安卓威胁，占Dr.Web反病毒产品侦测总数的86.71%。广告应用以5.80%的占比位居第二。潜在危险程序成为第三大常见程序，是受保护的设备威胁侦测量的5.74%，而不良程序占比为1.75%。

根据Dr.Web安卓移动设备保护产品的侦测统计，各类型威胁的分布情况如下：

恶意应用程序

最常见的恶意安卓应用程序是Android.HiddenAds家族的广告木马。与2022年相比，在Dr.Web反病毒侦测到的恶意软件总量中的占比增加了4.72个百分点，达到31.61%。

该家族中最活跃的成员是Android.HiddenAds.3697，在受保护设备侦测率为10.72%。多年来，该恶意程序的各种变种在侦测数量上一直处于首位。例如，2021年最常见的是变种Android.HiddenAds.1994，2022年则变成Android.HiddenAds.3018。除了2023年的Android.HiddenAds.3697之外，我们的专家还发现了该木马的许多其他版本。其中包括Android.HiddenAds.3697、Android.HiddenAds.3831、Android.HiddenAds.3851和Android.HiddenAds.3956。随着时间的推移，其中也有可能出现占比最多的一个。

第二常见恶意软件的是具有间谍功能的Android.Spy木马家族。与2022年相比，在Dr.Web反病毒产品侦测到的恶意软件总量中占比下降了14.01个百分点，降至28.22%。其中最活跃的是Android.Spy.5106，占所有恶意软件侦测的20.80%。如将该木马的早期变种Android.Spy.4498和Android.Spy.4837一并计算，则份额达到24.32%，几乎占整个侦测量的四分之一。

Android.MobiDash家族广告木马排名第三。与去年同期相比，其在恶意软件侦测总量中的份额增加了5.25个百分点，达到10.06%。

2023年，用于下载和安装其他程序以及能够执行任意代码的恶意应用程序的活动持续下降，Android.DownLoader木马侦测量下降了1.58个百分点，降至2.18%，Android.Triada下降了0.99个百分点，降至2.14%，Android.RemoteCode下降了0.01个百分点，降至2.83%。Android.Mobifun侦测份额下降了0.33个百分点，降至0.25%，Android.Xiny侦测份额下降了0.21个百分点，降至0.27%。

与此同时，使用Android.FakeApp恶意假冒软件进行的攻击数量有所增加，攻击者将其用于各种诈骗模式。去年，这些假冒软件在Dr.Web反病毒软件侦测到的恶意软件总量中所占的份额增加了0.85个百分点，达到1.83%。

2023年，勒索木马Android.Locker的活跃度有所下降，在恶意软件侦测总量中的占比从1.50%下降到1.15%。与此同时，加持打包软件保护的各种类型的Android.Packed恶意软件的侦测数量有所增加，侦测率上升5.22个百分点，达到7.98%。

2023年最常侦测到的十种恶意应用程序如下图所示：

Android.Spy.5106
Android.Spy.4498: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.HiddenAds.3697
Android.HiddenAds.3558
Android.HiddenAds.3831
Android.HiddenAds.3597: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Packed.57083: 利用打包器ApkProtector的恶意应用，其中有银行木马、间谍软件及其他恶意软件。
Android.MobiDash.7783
Android.MobiDash.7802: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。
Android.Pandora.7: 侦测下载并安装后门木马Android.Pandora.2的恶意应用程序。不法分子大多将此类下载程序嵌入到面向西班牙语用户的智能电视应用程序。

不良软件

2023年最常见的不良应用是Program.FakeMoney.7，占此类威胁侦测总量的29.90%，也就是几乎达到三分之一。此应用属于的应用程序家族宣称功能是用户通过完成各种任务就可以赚钱，但实际上最终不会支付任何真正的奖励。

2022年的最常见的Program.FakeAntiVirus.1一年后以19.42%的侦测占比跌至第二位。该应用程序是模仿反病毒软件的操作，侦测不存在的威胁，并建议安卓设备用户购买所谓完整版本来“修复”所谓已发现的问题。

排名第三的程序是通过云服务CludInject修改的程序，占比为9.46%。Dr.Web反病毒软件将此类应用侦测为Program.CloudInject.1。修改过程中添加了危险权限和其目的无法控制混淆代码。

和上一年一样，2023年用户经常遭遇能监控用户行为并收集用户各种信息的程序。攻击者可以使用此类应用程序来非法监视安卓设备的使用者。在受Dr.Web保护的设备上，此类软件最常被侦测到的是Program.SecretVideoRecorder.1.origin（占3.84%的案例）、Program.wSpy.1.origin（占3.24%的案例）、Program.SecretVideoRecorder.2。origin（占案例的2.25%）、Program.wSpy.3.origin（占案例的1.68%）、Program.SnoopPhone.1.origin（占案例的1.11%）、Program.Reptilicus.8.origin（占案例的0.98%）和Program.WapSniff.1.origin（0.83%的案例）。

下图是2023年最常侦测到的10个不良应用程序：

Program.FakeMoney.7
Program.FakeMoney.8
Program.FakeMoney.3: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject)添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: 通过安卓设备的内置摄像头进行背景照片和视频拍摄的各种应用程序。可隐身运行并在进行拍摄的通知，还能将应用程序图标和相关信息更改为假图标和假信息。这些功能使其具有潜在风险。
Program.wSpy.1.origin
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.SnoopPhone.1.origin: 用于暗中监视安卓设备持有人的软件。可读取短信，获取来电信息，进行设备定位并进行环境录音。

风险程序

2023年，工具Tool.SilentInstaller（无需安装即可运行安卓应用程序）再次成为最常侦测到的风险程序。这些工具本身没有恶意功能，但攻击者可以利用它们来启动恶意软件。此类工具占风险应用程序侦测量的48.89%，也就是几乎一半，但与2022年相比，其份额下降了17.94个百分点。第二常见的是Tool.LuckyPatcher家族的工具，借助该工具可以添加从互联网下载的脚本来修改安卓程序。这些工具占风险软件侦测量的14.02%。排名第三的是受Tool.ApkProtector加壳程序保护的程序，其侦测数量增加了5.33个百分点，达到10.14%。

与此同时，受其他打包器家族保护的应用程序的侦测数量也有所增加：Tool.Packer家族的侦测份额从3.58%增加到4.74%，Tool.Ultima家族的份额从0.05%增加到1.04%。

另一个常见的风险软件是工具NPManager，其功能是修改安卓应用程序以使用内置模块绕过数字签名验证。Dr.Web反病毒软件将利用这种方式修改过的程序侦测为Tool.NPMod。此类应用的份额为4.81%。

在受保护设备上侦测到使用混淆器工具Tool.Obfuscapk修改的程序的频率较低，与2022年相比，其占比从5.01%下降到3.22%。

2023年安卓设备上最常侦测到的十种风险应用程序如下：

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
Tool.SilentInstaller.17.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。
Tool.ApkProtector.16.origin
Tool.ApkProtector.10.origin: 受ApkProtector打包器保护的安卓应用程序。此加壳程序本身不是恶意的，但攻击者可以利用其来编写木马软件和不良程序，目的是加大反病毒软件的侦测难度。
Tool.NPMod.1: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.Packer.3.origin: 侦测代码被NPManager工具加密和混淆的安卓程序。
Tool.Obfuscapk.1: 侦测受混淆器工具Obfuscak保护的应用程序。该工具用于自动修改和混淆安卓应用程序的源代码，加大逆向工程的难度。攻击者使用这种工具来保护恶意软件和其他危险程序，防止其被反病毒软件侦测。

广告应用

2023年最流行的广告软件是内置于安卓程序的Adware.Adpush家族广告模块，占侦测量的三分之一以上，达到35.82%（与2022年相比，其份额下降了24.88个百分点）。第二常见的是新家族Adware.MagicPush的成员，所占份额为9.58%。Adware.Airpush模块位居第三，占比为8.59%（增长3.24个百分点）。

常见广告应用还包括 Adware.ShareInstall家族成员，其份额从0.06%增加到5.04%、Adware.Fictus（从2.58%增加到4.41%）、Adware.Leadbolt（从3.31%增加到4.37%）、Adware.Jiubang（从2.83%增长至3.22%）和Adware.Youmi（从0.06%增长至2.20%）。

与此同时，一年前排名第二的Adware.SspSdk模块甚至没有进入2023年最常见的十大广告应用家族，是受保护安卓设备上侦测到的广告软件的1.49%。

2023年安卓设备上最常见的10个广告应用如下图所示：

Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android操作系统锁机屏显示广告。
Adware.MagicPush.1
Adware.MagicPush.3: 内置于安卓应用的广告模块，在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件，或者需要阻止垃圾邮件或优化设备的功耗，并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
Adware.Fictus.1
Adware.Fictus.1.origin: 网络犯罪分子将此广告模块嵌入流行的安卓游戏和程序的克隆版本。模块使用专门的net2share打包程序与程序集成。以这种方式创建的软件副本通过各种应用商店传播，安装后会显示不需要的广告。
Adware.AdPush.36.origin
Adware.AdPush.39.origin: 可集成到Android程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin
Adware.Airpush.24.origin: 嵌在Android应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.Jiubang.2: 可内置于安卓程序的广告模块，覆盖其他应用程序窗口显示横幅广告。

GooglePlay中的威胁

2023年，我公司反病毒实验室在GooglePlay目录中发现了440多个恶意应用程序，这些应用程序的总下载量至少为428,434,576次。除了上面提到的许多带有内置木马模块的程序Android.Spy.SpinOk外，我们的专家还发现了数百个Android.FakeApp家族的木马。这些恶意应用程序被网络犯罪分子用来实施各种诈骗，以各种软件为幌子进行传播。在某些情况下这些应用确实会提供其所宣称的功能，但其主要功能是根据远程服务器的命令加载目标站点。

攻击者将其中许多木马伪装为和金融活动相关的程序，比如培训和参考手册书、家庭会计、访问证券交易所信息和交易的工具、用于专项调查的应用程序等。

此类假冒程序会加载诈骗网站，以知名公司的名义邀请潜在受害者通过投资、交易加密货币来赚钱，在某些情况下，还宣称会得到公司股票或来自国家的某种补贴付款。而“访问”特定服务，需要用户首先回答几个问题，然后提供个人数据。

以下是这些木马加载的诈骗网站的示例。在第一个案例中，攻击者向用户提供了某个投资平台的访问权限，谎称该平台与俄罗斯一家大型石油和天然气公司有关。在第二个案例中，诈骗者则借俄罗斯联邦中央银行的名义邀请用户“开始利用数字卢布赚钱”。

一些假冒程序以游戏为幌子传播，实际上是下载在线赌场和博彩公司的网站。

此类木马应用作为游戏运行的示例：

加载的博彩公司和在线赌场网站的示例：

其他Android.FakeApp木马以体育为幌子进行传播，包括假冒合法博彩公司的官方软件、各种体育运动信息手册、比赛信息应用、体育新闻应用等等：

这些木马可以作为一般软件运行，但其功能可能与宣称的功能有所不同，并可下载各种互联网资源。

以下是这些木马作为无害应用运行的示例：其中两个是作为游戏启动，第三个显示足球比赛信息。

同样的程序后来开始加载博彩公司服务网站：

还有一些虚假应用是假借求职程序欺骗用户进行安装：

Android.FakeApp木马的此类变种向潜在受害者显示从诈骗网站下载的虚假招聘信息。当用户尝试回复其中一个“招聘”时，要么会被要求通过即时通讯工具（例如WhatsApp或Telegram）联系“雇主”，要么是需填写个人信息表，并谎称是为了编写和发送简历。

2023年，Android.FakeApp假冒程序的下载诈骗性互联网资源所涉及的内容在不断扩大。多年来网络犯罪分子一直使用的手段是借虚构的金融网站来引诱用户访问，与此同时，我们的专家注意到出现了伪装成法律类应用程序（例如信息手册）的木马变种，比如宣称可以帮助遭受“投资”诈骗的受害者拿回损失的钱财。事实上，这些应用程序下载的是另一个常规的诈骗网站，要求访客回答几个问题，然后留下个人信息，只不过借口是会“获得律师的免费咨询”。

下面是一个“法律服务”网站的例子，宣称遭受投资诈骗的受害者可以通过该网站咨询律师并有机会找回损失的钱款：

2023年，我公司反病毒实验室在GooglePlay上还发现了许多其他恶意程序，其中包括新家族Android.Proxy.4gproxy的木马，是将被感染的设备变成代理服务器，并通过这些设备暗中传输第三方流量。这些恶意程序有一个内置的工具4gproxy（作为风险软件Tool.4gproxy添加到Dr.Web病毒库），其功能是将设备作为代理服务器使用。工具本身无害，可正常使用。然而，对Android.Proxy.4gproxy木马而言，代理服务器功能是在没有用户参与和明确同意的情况下进行的。

此外，我们的专家还发现了Android.HiddenAds家族的几个新广告木马：Android.HiddenAds.3785、Android.HiddenAds.3781、Android.HiddenAds.3786和Android.HiddenAds.3787。安装到安卓设备后这些木马会马上试图将主屏幕图标替换为透明版本并将名称替换为空白图标，以此来瞒过用户。同时，木马还可以冒充GoogleChrome浏览器，使用其图标的副本来替换自己的图标。单击此类修改过的图标时，木马会启动浏览器来误导受害者，但同时继续在后台运行。这样不仅降低了被发现的机率，而且增加了进行长期活动的机会：因为如果由于某种原因木马停止了允许，用户会把木马当作浏览器重新启动。在木马Android.HiddenAds.3766中也发现了类似的功能，该木马也是通过GooglePlay进行的传播。

另一个侦测到的威胁是使用AhMythAndroidRat远程控制工具(RAT)的木马间谍Android.Spy.1092.origin，以应用程序SimAnalyst为幌子进行传播，宣称的功能是巴基斯坦用户可以借助该应用程序根据电话号码找到号码所有者的信息。

AhMythAndroidRat间谍工具的标准版本具有广泛的功能，例如跟踪设备的位置，通过内置摄像头拍照并通过麦克风记录环境，拦截短信，还可以获取电话簿中的通话信息和联系人信息。然而，由于在GooglePlay上架的应用程序对许多敏感功能的访问受到限制，因此我们的病毒分析师发现的间谍软件版本的功能有限，可以跟踪设备的位置，窃取通知内容、照片和视频等各种媒体文件，以及通过即时通讯软件传输并本地存储的文件。

我们的专家在GooglePlay还发现了一个窃取加密货币的木马程序Android.CoinSteal.105。攻击者试图将其冒充为官方应用程序P2B和P2Bofficial，并以类似的名称进行传播：P2BTrade:RealizeTheP2Pb2b。

下面左图是假程序的页面，右图是官方正版软件。

假冒应用程序甚至得到了加密货币博主宣传，结果其安装量是真实应用程序的两倍。

启动后，Android.CoinSteal.105在WebView中打开攻击者指定的流量分配系统网站，从该网站执行一系列向其他互联网资源的重定向，例如加载了P2B加密货币交易所的官方网站https://p2pb2b.com。该木马在网站注入了JS脚本，通过JS脚本替换用户提现时输入的钱包地址。其他网站也可能成为目标网站，如诈骗网站、广告网站等。

我公司反病毒实验室在GooglePlay中发现的威胁还有Android.Subscription家族的新木马-Android.Subscription.19、Android.Subscription.20和Android.Subscription.21。这些木马打着正常程序的幌子，会加载合作联盟网站，为安卓设备所有者订阅付费服务。此类木马可以自行激活服务，或是要求潜在受害者提供手机号码。

这些恶意应用程序加载的用于订阅付费服务的网站示例：

2023年GooglePlay还出现了其他为用户订阅付费服务的恶意应用程序，比如Android.Joker和Android.Harly家族的20多个木马，其中包括Android.Joker.1991、Android.Joker.2000、Android.Joker.2117、Android.Joker.2152、Android.Joker.2176、Android.Joker.2217、Android.Harly.13、Android.Harly.25、Android.Harly.66、Android.Harly.80等。

银行木马

根据Dr.Web安卓移动设备保护产品的侦测统计，2023年侦测到的银行木马数量较上年下降了46.97%，占受保护设备恶意软件侦测总量的3.58%，比去年同期减少了0.84个百分点。上半年银行木马活动最为活跃，1月份侦测数量最多。在二月份急剧下降之后再次开始增长，并在四月份达到局部峰值。继5月份攻击数量再次下降后，直到年底，侦测到的银行木马数量基本保持在同一水平。

网络犯罪分子之前常用的银行木马在2023年仍然活跃，其中有Anubis家族木马(Android.BankBot.761.origin、Android.BankBot.919.origin、Android.BankBot.1002.origin)和Wroba家族木马(Android.Banker.360.origin).Wroba家族(Android.BankBot.907.origin)主要进攻的是日本用户，而中国安卓设备用户主要遭遇的是木马Android.Banker.480.origin。

同时我们的专家也发现银行木马攻击出现新趋势。最引人注目的是新出现新木马家族，其中许多是针对的是俄罗斯用户。此类恶意应用程序包括使用Tasker事件调度程序编写的恶意应用Android.Banker.5127和Android.Banker.5273，伪装成各种服务的Android.Banker.597.origin、Android.Banker.592.origin和Android.Banker.5235，如KoronaPay、Divinchik18+、Yandex、Rostelecom和OnlyFans以及其他木马。

对俄罗斯用户的攻击还使用了Android.Banker.637.origin、Android.Banker.632.origin、Android.Banker.633.origin和Android.Banker.635.origin，攻击者以各种程序为幌子进行传播，如冒充与各种流媒体服务（如STAR）相关的软件、“成人”软件。

此外，在俄罗斯大量传播的银行木马还有Android.BankBot.1062.origin、Android.BankBot.1093.origin和Android.BankBot.1098.origin。这些木马随后扩大攻击范围，针对的是乌兹别克斯坦用户。DoctorWeb病毒分析师还发现大量针对伊朗用户的银行木马。其中有Android.BankBot.1088.origin、Android.BankBot.14871、Android.BankBot.1083.origin、Android.Banker.5292、Android.Banker.5233、Android.Banker.5276和Android.Banker.5379。此外，攻击者使用安卓银行木马Tambir（Android.BankBot.1099.origin）进攻土耳其的安卓设备用户。

Rewardsteal家族银行木马也相当活跃(Android.Banker.562.origin、Android.Banker.5138、Android.Banker.5141、Android.Banker.588.origin、Android.Banker.611.origin)。其中，最常见的变种针对的是ICICI银行、HDFC银行、SBI、Axis银行、花旗银行、RBL银行的用户。

趋势前瞻

网络犯罪分子的主要动机仍然是物质利益，因此2024年仍会出现不法分子用于获取非法收入的新恶意软件将会。最有可能的新恶意软件会是广告木马、银行木马、诈骗应用和间谍软件。

GooglePlay目录中出现的新恶意软件的可能性仍将存在，但不排除攻击者将越来越多地使用其他途径来传播恶意软件，如借助恶意网站。

很可能会再次出现窃取Android和iOS设备用户加密货币的新木马。

为了保护自己免受入侵者的攻击并保护您的钱财和机密数据，建议在所有我公司产品支持的设备安装Dr.Web反病毒软件。DoctorWeb则将继续监控网络威胁领域的发展趋势，并向我们的用户及时通报信息安全领域的重要事件。

失陷指标