2023.10.26
Dr.Web for Android侦测统计数据显示,2023年9月用户任遭受恶意应用的进攻较上月有所减弱。例如, Android.HiddenAds 和 Android.MobiDash广告木马家族应用的进攻分别减少了11.73%和26.30%。间谍木马侦测量降低25.11%,勒索软件 Android.Locker减少10.52%,银行木马活动减少4.51%。与此同时,安卓设备用户遭受不良广告软件的频率增加了 14.32%。
9 月份在Google Play侦测到许多新威胁, 其中包括用于各种欺诈活动的Android.FakeApp家族木马、为受害者订阅付费服务的Android.Joker家族恶意程序以及 Android.HiddenAds木马广告应用。
9月主要趋势
- 恶意软件活动减弱
- Google Play出现多个新的恶意应用
本月移动威胁
9 月份我公司 发布了 对恶意软件 Android.Pandora.2的详细分析报告。这一恶意软件主要针对西班牙语用户。第一个攻击案例记录发生在 2023 年 3 月。
这一木马应用程序感染操作系统为Android TV 的智能电视和机顶盒,通过被解密的固件版本入侵,或是在用户安装观看盗版在线视频程序的木马版时感染设备。
Android.Pandora.2的主要功能是根据进攻者的指令进行各种类型的DDoS攻击。 此外,该恶意软件还可以执行许多其他操作,例如安装自身更新和替换系统主机文件。
我公司病毒分析师的研究表明,病毒编写者在编写此木马时使用了Linux.Mirai编写人的代码。自2016年以来Linux.Mirai被广泛用于感染IoT设备(物联网设备)以对各种网站进行DDoS攻击。
Dr.Web for Android保护产品统计信息
- Android.HiddenAds.3697
- 用于不断显示广告的木马,假冒热门应用,通过其他恶意软件传播,某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后,此类木马会通过去掉自己在主屏幕的应用图标来隐身。
- Android.Spy.5106
- 各种木马,为WhatsApp分官方版本变异版本,能够盗窃其他应用的通知,还可向用户推荐各种不知名来源的软件,在使用通讯软件时显示可远程编写的对话窗口。
- Android.Packed.57083
- 利用打包器ApkProtector的恶意应用,其中有银行木马、间谍软件及其他恶意软件。
- Android.Pandora.17
- 侦测下载并安装后门木马Android.Pandora.2的恶意应用程序。 不法分子大多将此类下载程序嵌入到面向西班牙语用户的智能电视应用程序。
- Android.MobiDash.7804
- 用于不断显示广告的木马,为软件模块,应用编写者可将其加入应用。
- Program.FakeAntiVirus.1
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.FakeMoney.7
- 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励,欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
- Program.CloudInject.1
- 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序(归类为 Tool.CloudInject 添加至Dr.Web 病毒库)。 此类程序在远程服务器上进行修改,而有用户(修改者)无法控制修改过程中到底内置了什么。 此外,应用程序还会得到一些危险的权限。 修改后用户可以远程控制这些程序,包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
- Program.SecretVideoRecorder.1.origin
- 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行,不显示录影通知,并可偷换应用图标和描述。这些功能都属风险功能。
- Program.wSpy.3.origin
- 间谍软件,用于暗中监视安卓设备持有人。可读取往来通讯(常用即时通讯软件中的通讯和短信),监听环境,进行设备定位,记录浏览器历史,获取通讯簿、照片和视频访问权限,截屏和拍照。并具有键盘记录器功能。
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.7.origin
- 风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
- Tool.LuckyPatcher.1.origin
- 用于修改已安装安卓应用的工具,为应用打补丁,更改其工作逻辑或绕过某些限制。 例如,用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本,但任何人都可以创建这些脚本并将其添加到公共数据库。 此类脚本的功能也可能是恶意的,因此创建的补丁可能存在潜在危险。
- Tool.Packer.3.origin
- 侦测代码被 NP Manager 工具加密和混淆的安卓程序。
- Tool.ApkProtector.16.origin
- 受打包器ApkProtector保护的安卓应用,这一工具背身无害,但不法分子可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。
- Adware.ShareInstall.1.origin
- 可集成到Android程序中的广告模块,在Android 操作系统锁机屏显示广告。
- Adware.MagicPush.1
- 内置于安卓应用的广告模块,在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件,或者需要阻止垃圾邮件或优化设备的功耗,并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
- Adware.AdPush.39.origin
- Adware.AdPush.36.origin
- 可集成到 Android 程序的广告模块家族中的一个模块,用于显示误导用户的广告。 例如,显示类似操作系统消息的通知。 此外,此家族的模块能够收集大量私密数据,还能够下载其他应用程序并启动安装。
- Adware.Airpush.7.origin
- 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。 不同版本和变种可能显示的是广告、弹出窗口或横幅。 不法分子经常利用这些模块建议用户安装各种软件,借此传播恶意软件。 此外,此类模块能够将各种私密信息传输到远程服务器。
Google Play中的威胁
2023 年 9 月我公司病毒分析师在 Google Play 目录中侦测到多个新的恶意应用程序,包括不断显示广告的木马程序。进攻者将其伪装成Agent Shooter (Android.HiddenAds.3781)、Rainbow Stretch (Android.HiddenAds.3785)、Rubber Punch 3D (Android.HiddenAds.3786) 和 Super Skibydi Killer (Android.HiddenAds.3787) 等游戏进行传播。这些木马安装到安卓设备后会试图隐藏自身,避免被用户发现。手段是将主屏幕上图标替换为透明版本,并将名称替换为空白图标。 此外,这些木马还可以冒充 Google Chrome 浏览器,用相应的副本替换图标。 当用户单击被替换的图标时,木马程序会启动浏览器并继续在后台运行。这样木马不会引人注意,从而降低了被过早删除的可能性。 此外,如果恶意软件中断运行,用户会重新启动它,误以为是在启动浏览器。
我们的专家还侦测到 Android.FakeApp家族的新的假冒程序。 其中一些(Android.FakeApp.1429、Android.FakeApp.1430、Android.FakeApp.1432、Android.FakeApp.1434、Android.FakeApp.1435 等)假冒金融程序传播,如股票交易应用程序、投资、家庭会计等方面的参考书和培训手册。 事实上,这些应用的主要任务是加载诈骗网站,进一步诱骗潜在受害者成为所谓的“投资者”。
另外一些程序(例如Android.FakeApp.1433、Android.FakeApp.1436、Android.FakeApp.1437、Android.FakeApp.1438、Android.FakeApp.1439 和 Android.FakeApp.1440)假冒各种形式的游戏。 在某些情况下也确实有游戏功能,但主要功能是加载在线赌场网站。
这些恶意软件游戏模式的示例:
起加载的在线赌场:
与此同时,Google Play 目录中还侦测到Android.Joker 家族的一个新的木马程序, 这一家族木马给安卓设备用户注册付费服务,其中一个隐藏在一个图像集合应用程序“Beauty Wallpaper HD”中;根据我公司的分类被命名为Android.Joker.2216。 另一种病毒假冒在线聊天软件 Love Emoji Messenger进行传播,被命名为 Android.Joker.2217添加到 Dr.Web 病毒库中。
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备,抵御恶意程序和不良程序。
失陷指标
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
