Doctor Web：2017年1月移动设备病毒活动综述

2017.01.31

2017年第一个月Doctor Web公司技术人员侦测到一种入侵Play Store程序运行进程并暗中从Google Play目录下载应用程序的安卓木马。随后病毒分析人员对一种新银行木马进行了研究，病毒编写者已将这一木马的源代码发布到了互联网上。此外，1月份还出现了另一种安卓银行木马，伪装成游戏Super Mario Run进行传播，而真正的游戏目前并不支持安卓设备。技术人员还在Google Play目录中侦测到一种锁定安卓移动设备和平板电脑屏幕的勒索木马。

本月移动威胁

1月初Doctor Web公司病毒分析人员侦测到木马 Android.Skyfin.1.origin，该木马能够入侵Play Store运行进程、窃取机密信息并暗中从Google Play目录下载应用，人为提高其下载量。 Android.Skyfin.1.origin特点如下：:

传播其他试图获取root权限并在系统目录安装木马的恶意程序； 从Play Store窃取账户数据等机密信息，冒充Play Store运行并暗中从Google Play下载程序； 下载应用程序后将其保存到内存卡，但不安装，防止引起被感染移动设备用户怀疑； 在Google Play对不法分子指定的程序进行虚假评论。

该木马更多详情请参阅Doctor Web公司网站发布的新闻。

Dr.Web安卓反病毒产品收集的统计数据

• Android.Loki.34
  一种用来下载其他木马的恶意程序。
• Android.Xiny.26.origin
  下载并安装各种应用程序的木马。还能够显示烦人的广告。
• Android.DownLoader.337.origin
  一种下载其他恶意应用的木马。
• Android.Triada.161.origin
  执行各种恶意操作的多功能木马代表。
• Android.Mobifun.7
  一种用于下载其他安卓应用的木马。

• Adware.Adpush.7
• Adware.Airpush.31.origin
• Adware.Leadbolt.12.origin
• Adware.WalkFree.2.origin
• Adware.Appsad.3.origin

嵌入到安卓应用的不良程序模块，用于在移动设备中显示烦人的广告.

安卓银行木马

1月份安卓智能手机和平板电脑用户受到了银行木马Android.BankBot.140.origin的威胁。病毒编写者将该木马伪装成游戏Super Mario Run进行传播。目前这一游戏实际上仅支持iOS设备，不法分子采取这种手段诱使对此游戏感兴趣的用户安装恶意程序。

Android.BankBot.140.origin 发现用户启用银行应用程序后，会在其窗口上方显示钓鱼窗口，诱使用户输入登陆账户的用户名和密码。此外，在打开Play Store程序时木马会显示虚假的Google Play付费服务设置窗口，骗取用户银行卡信息。

1月中旬，Doctor Web公司病毒分析人员侦测到银行木马 Android.BankBot.149.origin，其源代码已被病毒编写者发布到互联网。这一恶意应用发现有银行远程服务和付费系统程序启动后，会在程序上方显示要求输入用户账号和密码的虚假窗口。此外， Android.BankBot.149.origin还会在Play Store程序上方显示钓鱼窗口，骗取银行卡信息。

该木马还会拦截并隐藏短信、跟踪被感染设备的GPS定位、窃取电话簿信息并向所有号码群发消息。 Android.BankBot.149.origin更多详情请参阅Doctor Web公司发布的新闻。

Google Play中的木马

1月份Google Play目录中出现勒索木马 Android.Locker.387.origin，该木马受特殊打包器保护，增加了对其进行分析和侦测的难度。即便如此，Dr.Web安卓反病毒产品还是成功将其侦测，命名为Android.Packed.15893。这一木马伪装成优化电池的程序Energy Rescue进行传播。启动后， Android.Locker.387.origin会寻求移动设备管理员权限，锁定被感染智能手机或平板电脑，要求支付解锁。对于俄罗斯、乌克兰和白俄罗斯用户，这一勒索木马没有进行攻击。

除了锁定安卓设备， Android.Locker.387.origin还能够窃取电话簿中的联系方式和所有短信消息。

同以往一样，网络犯罪分子仍将安卓移动设备作为攻击目标，并针对安卓移动平台编写了很多新恶意应用。所以Doctor Web公司建议用户安装能够成功侦测安卓木马等危险应用的Dr.Web安卓反病毒软件来保护智能手机和平板电脑。