10 月份,我公司技术人员在 Google Play 目录中发现了 新的恶意应用程序,其中包括用于各种诈骗活动的Android.FakeApp假冒程序木马,还有能够将被感染的设备转变为代理服务器的木马应用Android.Proxy.4gproxy。
10月主要趋势
- 广告木马活动加剧
- 银行木马和间谍木马软件活动加剧
- Google Play 目录出现新的恶意应用
2023.11.22
Dr.Web for Android保护产品统计信息
- Android.HiddenAds.3831
- Android.HiddenAds.3697
- 用于不断显示广告的木马,假冒热门应用,通过其他恶意软件传播,某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后,此类木马会通过去掉自己在主屏幕的应用图标来隐身。
- Android.Spy.4498
- Android.Spy.5106
- 各种木马,为WhatsApp分官方版本变异版本,能够盗窃其他应用的通知,还可向用户推荐各种不知名来源的软件,在使用通讯软件时显示可远程编写的对话窗口。
- Android.MobiDash.7804
- 用于不断显示广告的木马,为软件模块,应用编写者可将其加入应用。
- Program.CloudInject.1
- 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序(归类为 Tool.CloudInject 添加至Dr.Web 病毒库)。 此类程序在远程服务器上进行修改,而有用户(修改者)无法控制修改过程中到底内置了什么。 此外,应用程序还会得到一些危险的权限。 修改后用户可以远程控制这些程序,包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
- Program.FakeAntiVirus.1
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.FakeMoney.7
- 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励,欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
- Program.wSpy.3.origin
- 间谍软件,用于暗中监视安卓设备持有人。可读取往来通讯(常用即时通讯软件中的通讯和短信),监听环境,进行设备定位,记录浏览器历史,获取通讯簿、照片和视频访问权限,截屏和拍照。并具有键盘记录器功能。
- Program.SecretVideoRecorder.1.origin
- 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行,不显示录影通知,并可偷换应用图标和描述。这些功能都属风险功能。
- Tool.LuckyPatcher.1.origin
- 用于修改已安装安卓应用的工具,为应用打补丁,更改其工作逻辑或绕过某些限制。 例如,用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本,但任何人都可以创建这些脚本并将其添加到公共数据库。 此类脚本的功能也可能是恶意的,因此创建的补丁可能存在潜在危险。
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.7.origin
- Tool.SilentInstaller.6.origin
- 风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
- Tool.WAppBomber.1.origin
- 在即时通讯 WhatsApp中群发消息的安卓工具。需要对用户电话簿的访问权限。
- Adware.ShareInstall.1.origin
- 可集成到Android程序中的广告模块,在Android 操作系统锁机屏显示广告。
- Adware.MagicPush.1
- 内置于安卓应用的广告模块,在不使用这些安卓应用时可覆盖操作系统界面显示广告横幅。此类横幅包含误导性信息。大多数情况下会谎报发现可疑文件,或者需要阻止垃圾邮件或优化设备的功耗,并会提示用户打开内置了此类模块的应用程序。用户打开程序时看到的是广告。
- Adware.AdPush.39.origin
- Adware.AdPush.36.origin
- 可集成到 Android 程序的广告模块家族中的一个模块,用于显示误导用户的广告。 例如,显示类似操作系统消息的通知。 此外,此家族的模块能够收集大量私密数据,还能够下载其他应用程序并启动安装。
- Adware.Airpush.7.origin
- 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。 不同版本和变种可能显示的是广告、弹出窗口或横幅。 不法分子经常利用这些模块建议用户安装各种软件,借此传播恶意软件。 此外,此类模块能够将各种私密信息传输到远程服务器。
Google Play中的威胁
2023 年 10 月我公司病毒分析师在 Google Play 目录中侦测到50多个新的恶意应用程序,包括木马程序Android.Proxy.4gproxy.1、 Android.Proxy.4gproxy.2、Android.Proxy.4gproxy.3和Android.Proxy.4gproxy.4,将被感染的设备变成代理服务器,通过这些设备偷偷传输第三方流量。 第一种木马的各种变种打着“照片拼图”游戏、对抗失眠的 Sleepify 程序以及用于与聊天机器人互动的Rizzo The AI chatbot工具的幌子进行传播。 第二个隐藏在天气预报应用程序 Premium Weather Pro 中。 第三个被藏在Turbo Notes 笔记本软件中。 第四个假冒 Draw E 应用程序传播,谎称可使用AI创建图像。
这些恶意程序种集成了工具4gproxy(Dr.Web将其侦测为Tool.4gproxy),能够将安卓设备作为代理服务器使用。 这一工具本身无害,可以用于正常目的。 然而,这些木马来是在没有用户参与和明确同意的情况下将设备作为代理服务器使用。
同时,我们的专家还发现了数十个Android.FakeApp家族的新木马,其中一些再次以金融应用程序为幌子进行传播(例如Android.FakeApp.1459、Android.FakeApp.1460、Android.FakeApp.1461、Android.FakeApp.1462、Android.FakeApp.1472、Android.FakeApp.1474 和 Android.FakeApp.1485)。 这些木马的主要任务是加载诈骗网站,诱惑潜在受害者成为所谓投资者。 攻击者通过邀请访客投资所谓有利可图的金融项目来向用户索取个人数据。
其他假冒程序(Android.FakeApp.1433、Android.FakeApp.1444、Android.FakeApp.1450、Android.FakeApp.1451、Android.FakeApp.1455、Android.FakeApp.1457、Android.FakeApp.1476 等)再次伪装成各种游戏。 在某些情况下加载的不是游戏,而是在线赌场或博彩公司网站。
这些木马应用作为游戏运行的示例:
加载是在线赌场或博彩公司网站示例:
木马 Android.FakeApp.1478 执行的任务类似:木马在一个用于阅读体育类新闻和文章的程序中,并可以加载博彩网站。
此外,还发现了谎称可以帮助安卓设备使用者找到工作的新木马。 其中一个名为 Rixx (Android.FakeApp.1468),另一个名为 Catalog (Android.FakeApp.1471)。 这些恶意应用程序启动后,会显示虚假的招聘列表。当潜在受害者试图回应其中一则招聘时,会被要求在在相应页面提供个人信息,或通过即时通讯工具(例如 WhatsApp 或 Telegram)联系所谓“雇主”。
以下是其中一个恶意程序的运行示例。木马会显示伪装成简历编写窗口的网络钓鱼表,或建议通过即时通讯工具联系“雇主”。
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备,抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
