2023.09.15
7月Google Play再次出现新威胁,包括不法分子用来盗窃安卓设备银行加密币的木马,还有为用户订阅收费服务的新的恶意应用。
7月主要趋势
- Android.HiddenAds广告木马活动加剧
- Android.MobiDash广告木马活动减弱
- 银行木马和间谍木马软件活动加剧
- Google Play出现新威胁
Dr.Web for Android保护产品统计信息
- Android.HiddenAds.3697
- 用于不断显示广告的木马,假冒热门应用,通过其他恶意软件传播,某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后,此类木马会通过去掉自己在主屏幕的应用图标来隐身。
- Android.Spy.5106
- 各种木马,为WhatsApp分官方版本变异版本,能够盗窃其他应用的通知,还可向用户推荐各种不知名来源的软件,在使用通讯软件时显示可远程编写的对话窗口。
- Android.Packed.57083
- 利用打包器ApkProtector的恶意应用,其中有银行木马、间谍软件及其他恶意软件。
- Android.Pandora.7
- Android.Pandora.5
- 侦测下载并安装后门木马Android.Pandora.2的恶意应用程序。 不法分子大多将此类下载程序嵌入到面向西班牙语用户的智能电视应用程序。
- Program.FakeMoney.7
- Program.FakeMoney.8
- 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励,欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
- Program.FakeAntiVirus.1
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.SecretVideoRecorder.1.origin
- 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行,不显示录影通知,并可偷换应用图标和描述。这些功能都属风险功能。
- Program.SnoopPhone.1.origin
- 用于暗中监视安卓设备持有人的软件。可读取短信,获取来电信息,进行设备定位并进行环境录音。
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.6.origin
- 风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
- Tool.LuckyPatcher.1.origin
- 用于修改已安装安卓应用的工具,为应用打补丁,更改其工作逻辑或绕过某些限制。 例如,用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本,但任何人都可以创建这些脚本并将其添加到公共数据库。 此类脚本的功能也可能是恶意的,因此创建的补丁可能存在潜在危险。
- Tool.ApkProtector.16.origin
- 受打包器ApkProtector保护的安卓应用,这一工具背身无害,但不法分子可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。
- Tool.Packer.3.origin
- 侦测代码被 NP Manager加密和混淆的安卓程序。
- Adware.Fictus.1.origin
- 一种广告模块,网络罪犯将其嵌入到常用的 Android 游戏和应用程序的克隆版本中,借助专门的 net2share 打包程序集成到程序中。 以这种方式创建的软件副本通过各种应用程序商店传播,安装后会显示各种不良广告。
- Adware.ShareInstall.1.origin
- 可集成到Android程序中的广告模块,在Android 操作系统锁机屏显示广告。
- Adware.Airpush.7.origin
- 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。 不同版本和变种可能显示的是广告、弹出窗口或横幅。 不法分子经常利用这些模块建议用户安装各种软件,借此传播恶意软件。 此外,此类模块能够将各种私密信息传输到远程服务器。
- Adware.MagicPush.3
- 内置于安卓应用的广告模块,在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件,或者需要阻止垃圾邮件或优化设备的功耗,并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
- Adware.AdPush.39.origin
- 可集成到 Android 程序的广告模块家族中的一个模块,用于显示误导用户的广告。 例如,显示类似操作系统消息的通知。 此外,此家族的模块能够收集大量私密数据,还能够下载其他应用程序并启动安装。
Google Play中的威胁
2023年7月,Doctor Web反病毒实验室在Google Play目录侦测到木马程序Android.CoinSteal.105,其功能是窃取加密币。 不法分子将其冒充为 P2B 加密币交易所和P2B official,以与其类似的名称传播:P2B Trade: Realize The P2Pb2b。
下图左边是真实程序的截图,右边是木马应用的截图。
假冒产品得到加密币博主的推广,安装数量达到原版的两倍。
启动后,这一木马会在 WebView 中打开不法分子设定的流量分配系统站点,从该站点执行到其他资源的重定向链。 目前,这一木马加载的是加密货币交易所的官方网站 https://p2pb2b.com,但其他网站也可能成为加载对象,包括诈骗内容、广告等等。
加载加密货币交易网站后,Android.CoinSteal.105会向其中注入JS脚本,并借助此脚本替换用户输入的加密钱包地址,通过这种手段提取加密货币。
此外,网络犯罪分子再次通过 Google Play 传播为安卓设备用户订阅付费服务的木马,。其中一个是隐藏在可与虚拟宠物进行互动的交互式应用程序Desktop Pets – Lulu的木马Android.Harly.80。
其他属于 Android.Joker 家族并添加到Dr.Web 病毒数据库的新木马分别命名为 Android.Joker.2170、Android.Joker.2171 和 Android.Joker.2176。 第一个内置于用于在锁屏显示电池充电信息的程序Cool Charging Animation。 第二个隐藏在用于记录操作并跟踪好习惯和坏习惯智能计数器Smart Counter。 第三个冒充是可改变主屏幕背景设计的 4K 高清壁纸图像集传播。
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备,抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
