2023.03.02
Dr.Web for Android侦测统计数据显示,2023年1月用户遭受到更多广告木马应用的威胁,其中传播最广的是家族应用,与12月相比占比增加18.04%。
同时,与去年最后一个月相比,银行木马和勒索软件活动加剧,分别增加2.63%和20.71% ,而间谍软件活动有所减弱。
我公司技术人员再次在Google Play侦测到大量新威胁,其中有诈骗应用和为用户订阅收费服务的木马软件。
#一月主要趋势
- 显示广告的恶意软件活动加剧
- 银行木马和勒索软件活动加剧
- 间谍软件活动有所减弱
- Google Play应用商店再次出现新威胁
Dr.Web for Android保护产品统计信息
最常见的恶意软件
- Android.HiddenAds.3558
- 用于不断显示广告的木马,假冒热门应用,通过其他恶意软件传播,某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后,此类木马会通过去掉自己在主屏幕的应用图标来隐身。
- Android.Spy.5106
- Android.Spy.4498
- 各种木马,为WhatsApp分官方版本变异版本,能够盗窃其他应用的通知,还可向用户推荐各种不知名来源的软件,在使用通讯软件时显示可远程编写的对话窗口。
- Android.Packed.57083
- 利用打包器ApkProtector的恶意应用,其中有银行木马、间谍软件及其他恶意软件。
- Android.MobiDash.7360
- 用于不断显示广告的木马,是嵌入应用的广告模块。
最常见的不良软件
- Program.FakeMoney.7
- Program.FakeMoney.3
- Program.FakeMoney.8
- 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励,欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
- Program.FakeAntiVirus.1
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.SecretVideoRecorder.1.origin
- 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行,不显示录影通知,并可偷换应用图标和描述。这些功能都属风险功能。
最常见的风险程序
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.17.origin
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.7.origin
- 风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
- Tool.ApkProtector.16.origin
- 受打包器ApkProtector保护的安卓应用,这一工具背身无害,但不法分子可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。
最常见的广告模块
内置于安卓应用的广告模块,用于在移动设备不断显示广告。不同家族和不同变种有不同的功能,包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。
- Adware.Fictus.1.origin
- 一种广告模块,网络罪犯将其嵌入到常用的 Android 游戏和应用程序的克隆版本中,借助专门的 net2share 打包程序集成到程序中。 以这种方式创建的软件副本通过各种应用程序商店传播,安装后会显示各种不良广告。
- Adware.SspSdk.1.origin
- 可嵌于 Android 应用程序中的专用广告模块。会在包含此模块程序关闭后显示广告。 因此,用户更难确定烦人广告的来源。
- Adware.AdPush.36.origin
- 可集成到 Android 程序的广告模块家族中的一个模块,用于显示误导用户的广告。 例如,显示类似操作系统消息的通知。 此外,此家族的模块能够收集大量私密数据,还能够下载其他应用程序并启动安装。
- Adware.Airpush.7.origin
- 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。 不同版本和变种可能显示的是广告、弹出窗口或横幅。 不法分子经常利用这些模块建议用户安装各种软件,借此传播恶意软件。 此外,此类模块能够将各种私密信息传输到远程服务器。
- Adware.Hero.1.origin
- 模块化广告应用程序家族的一个组件,以推送通知和横幅的形式在 Android 设备屏幕显示广告。 此外,获取相应的系统权限后还能够安装和删除程序。
Google Play中的威胁
1月我公司技术人员在Google Play中发现多个新威胁。其中包括 Android.Joker 和 Android.Harly家族功能相似的多组件木马,为受害者订阅付费服务。 前者从互联网下载辅助模块,后者则以加密的形式存储于自身资源。 例如,根据 Dr.Web 分类被命名为 Android.Joker.1991 的木马就隐藏在名为 Phone Number Tracker 的应用程序中,通过电话号码跟踪订户的位置。 Android.Joker.1998 恶意软件假冒名为 Phone Cleaner Lite 的系统性能优化工具进行传播。Android.Joker.1999 和 Android.Joker.2008 则被伪装成 Funny Messenger 和 Mind Message SMS 短信通讯工具。而Android.Joker.2000 木马j借 Easy Photo Collage 图像编辑器为幌子诱骗用户进行安装
Android.Harly.13 和 Android.Harly.25 分别隐藏在名为 Honey Video & Photo Maker的 视频编辑器和替代启动器 Joy Live Wallpaper & Launcher 中。
还侦测到的另一个威胁是程序Sim Analyst,谎称巴基斯坦用户可以利用该程序通过电话号码找到有关其他用户的信息。 事实上,不法分子时利用工具的幌子传播一个基于远程控制实用程序 (RAT) AhMyth Android Rat 的间谍应用。 这一新木马已添加到 Dr.Web 病毒库,被命名为Android.Spy.1092.origin。
AhMyth Android Rat 间谍工具的基本版已具有广泛的功能,包括跟踪设备的位置、通过内置摄像头拍照、通过麦克风记录环境、拦截短信,还可以获取通话和电话簿联系人的信息。 然而,由于通过 Google Play 传播的应用程序对许多敏感功能的访问受到限制,此版本的间谍功能也受到限制:可以跟踪设备位置、窃取通知内容、窃取照片和视频等各种媒体文,以及通过即时通讯工具传输并存储于设备本地的文件。
此外,我们的技术人员还发现了二十多个用于各种欺诈目的Android.FakeApp 假冒程序。这些假冒常用应用传播的软件会接收远程服务器的命令,下载包括钓鱼网站在内的各种网站。
其中一些假冒的是游戏:
在某些情况下,比如点击广告中的特制链接后进行的安装,这些软件展示的不是用户预期的功能,而是在线赌场网站。
以下就是截图示例,一种情况下用户看到的是游戏。一种是赌场网站。
其他假冒应用程序以金融应用和各种工具为幌子进行传播,谎称用户可以进行家庭记账、参与各种调查、接受培训并提高金融知识水平、开始投资或获得免费股票。 事实上,这些程序的主要功能是下载欺诈网站。
以下是这些软件可下载的欺诈网站示例。 向潜在受害者显示误导性信息,或是要求现参与调查。 然后输入个人数据注册一个帐户,而后需等待“专家”的回电或是回收到某种“最佳报价”。
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备,抵御恶意程序和不良程序。
陷落标识
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
Free download