Defend what you create

Other Resources

Close

Library
My library

+ Add to library

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

Your tickets

Profile

Back to news

木马加载器使通过手机进行犯罪的不法分子获利

 

2014.04.22


Doctor Web公司已经多次通知用户各种安卓木马的出现,这些木马能够在受感染的移动设备上非法安装各种应用。通过此类非法操作犯罪分子不仅成功传播自己的恶意产品,还能够通过安装合法软件获利。Doctor Web公司的病毒分析师发现一例最新木马加载器,再次证明不法分子对使用类似工具的兴趣越来越大。


Doctor Web公司的技术人员侦测到的最新恶意应用利用Dropper进行传播,被命名为Android.MulDrop.18.origin,已经添加到病毒数据库中。

screenscreen


该木马开始运行后,使用专门的库解密包含在其资源中的两个apk安装包,之后利用DexClassLoader方法(即无需用户参与)将其中的可执行dex文件下载到内存中,Dr.Web反病毒软件已侦测到这两个文件,分别命名为Android.DownLoader.57.originAndroid.DownLoader.60.origin。这些恶意软件成功激活后会连接远程服务器,获取需要在移动设备中下载的应用列表。一定的时间间隔后,控制服务器回应该请求时会指令其下载不同文件,其中有已经公司病毒分析师确认的已知恶意软件和新的恶意软件,分属于不同家族,如木马Android.SmsSendAndroid.Backdoor。这样一来,不法分子能够利用相应的恶意软件类型对安卓设备用户实施各种各样的攻击,从普通的短信木马到复杂的木马间谍。此外,类似恶意软件加载器还有一种可能的使用方法,就是传播合法的应用程序和游戏,不法分子可以因用户安装这些应用和游戏获得回扣。


screen


需要注意的是,虽然木马在试图安装下载的软件时需要用户确认该操作,然而总有一些不够谨慎的用户会同意安装。


现在Doctor Web公司的技术人员已经侦测到Android.MulDrop.18.origin第二个变种,与第一个变种不同,包含了病毒数据库中木马加载器的非加密版本:Android.DownLoader.59.originAndroid.DownLoader.61.origin。其与远程服务器进行联系的机制与恶意软件Android.DownLoader.57.originAndroid.DownLoader.60.origin有一些不同,但是最终目的并没有改变,仍然是下载并安装其他安卓应用程序。


Dr.Web for Android反病毒产品为用户提供可靠保护,使用户免受此类威胁的侵扰。

欢迎使用大蜘蛛保护您的安卓设备

在线购买 免费使用

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

俄罗斯Dr.Web反病毒产品研发厂商

研发始自1992年

Dr.Web产品用户遍布世界200多个国家

2007年起提供反病毒服务

全天支持

© Doctor Web
2003 — 2019

Doctor Web公司是俄罗斯信息安全反病毒保护产品厂商,产品商标为Dr.Web。Dr.Web产品研发始自1992年。