11月不法分子继续利用 Google Play 目录传播恶意应用程序,我公司技术人员侦测到二十多个用于各种诈骗活动的Android.FakeApp假冒程序木马,还有能够为安卓设备用户暗中订阅收费访问的一个新的木马。
11月主要趋势
- 广告木马活动减弱
- 银行木马和间谍木马软件活动减弱
- Google Play 目录出现新的恶意应用
2023.12.21
Dr.Web for Android保护产品统计信息
- Android.HiddenAds.3831
- Android.HiddenAds.3697
- 用于不断显示广告的木马,假冒热门应用,通过其他恶意软件传播,某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后,此类木马会通过去掉自己在主屏幕的应用图标来隐身。
- Android.MobiDash.7805
- 用于不断显示广告的木马,为软件模块,应用编写者可将其加入应用。
- Android.Spy.5106
- 各种木马,为WhatsApp分官方版本变异版本,能够盗窃其他应用的通知,还可向用户推荐各种不知名来源的软件,在使用通讯软件时显示可远程编写的对话窗口。
- Android.Spy.5864
- Dr.Web 反病毒软件利用此病毒记录侦测隐藏在即时通讯软件WhatsApp的多个第三方修改版本中的木马程序。 攻击者使用此恶意软件来监视用户。 例如,可搜索受害者设备上的文件并将其上传到远程服务器、从电话簿中收集数据、获取被感染设备的相关信息、对环境进行录音以进行窃听等。
- Program.CloudInject.1
- 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序(归类为 Tool.CloudInject 添加至Dr.Web 病毒库)。 此类程序在远程服务器上进行修改,而有用户(修改者)无法控制修改过程中到底内置了什么。 此外,应用程序还会得到一些危险的权限。 修改后用户可以远程控制这些程序,包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
- Program.FakeAntiVirus.1
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.wSpy.3.origin
- 间谍软件,用于暗中监视安卓设备持有人。可读取往来通讯(常用即时通讯软件中的通讯和短信),监听环境,进行设备定位,记录浏览器历史,获取通讯簿、照片和视频访问权限,截屏和拍照。并具有键盘记录器功能。
- Program.FakeMoney.7
- 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励,欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
- Program.TrackView.1.origin
- 利用安卓设备监控用户的应用程序。 使用这种程序,攻击者可确定目标设备的位置,使用摄像头录制视频和拍照、监听麦克风、进行录音等其它恶意活动。
- Tool.NPMod.1
- 使用工具NP Manager修改过的的安卓应用程序。 此类程序中嵌入了一个特殊模块,可修改数字签名并绕过验证。
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.7.origin
- Tool.SilentInstaller.6.origin
- 风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
- Tool.LuckyPatcher.1.origin
- 用于修改已安装安卓应用的工具,为应用打补丁,更改其工作逻辑或绕过某些限制。 例如,用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本,但任何人都可以创建这些脚本并将其添加到公共数据库。 此类脚本的功能也可能是恶意的,因此创建的补丁可能存在潜在危险。
- Adware.ShareInstall.1.origin
- 可集成到Android程序中的广告模块,在Android 操作系统锁机屏显示广告。
- Adware.AdPush.36.origin
- Adware.AdPush.39.origin
- Adware.Adpush.21846
- 可集成到 Android 程序的广告模块家族中的一个模块,用于显示误导用户的广告。 例如,显示类似操作系统消息的通知。 此外,此家族的模块能够收集大量私密数据,还能够下载其他应用程序并启动安装。
- Adware.Airpush.7.origin
- 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。 不同版本和变种可能显示的是广告、弹出窗口或横幅。 不法分子经常利用这些模块建议用户安装各种软件,借此传播恶意软件。 此外,此类模块能够将各种私密信息传输到远程服务器。
Google Play中的威胁
2023 年 11 月我公司病毒分析师在 Google Play 目录中侦测到Android.FakeApp 家族的新恶意软件。 其中一些假冒金融活动相关程序传播,包括所谓的培训和咨询应用程序、家庭会计、投资服务访问工具等,包括 Android.FakeApp.1497、Android.FakeApp.1498、Android.FakeApp.1499、Android.FakeApp.1526、Android.FakeApp.1527 和 Android.FakeApp.1536,其主要功能是下载邀请用户成为投资者的诈骗网站,诱骗用户提供个人数据。
另一个假冒程序 Android.FakeApp.1496 隐藏在访问法律信息的咨询应用中,加载的一个网站谎称可帮助投资者获得法律帮助并挽回损失的资金。
下图是此木马下载的网站如。 访客必须先回答几个问题,然后填写一份表格才能获得免费的“律师咨询”。
另外一些木马再次冒充为游戏,有Android.FakeApp.1494、Android.FakeApp.1503、Android.FakeApp.1504、Android.FakeApp.1533 和 Android.FakeApp.1534。 在某些情况下,这些软件确实可以充当游戏,但其主要功能是加载在线赌场和博彩公司网站。
此类软件作为游戏运行时的示例:
其中一个软件加载的博彩网站:
我们的专家还发现了又一个为用户订阅付费服务的恶意程序。攻击者将其冒充为可使用手势控制 安卓设备的 Air Swipes 应用进行传播。
启动后,这个木马会加载同盟服务的网站,通过此服务进行订阅:
如果受害者在未连接互联网时启动此软件或目标站点不可访问时,该程序会显示为冒充的应用程序,但不会提供任何有用的功能,而是会报告错误。 Dr.Web反病毒软件将这一木马应用程序侦测为Android.Subscription.21。
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备,抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
