Dr.Web — Doctor Web：2023年12月移动设备病毒活动综述

2024.01.30

根据Dr.Web产品对安卓移动设备的侦测统计，12月份Android.HiddenAds木马广告再次是用户最常受到的攻击，但其进攻的频繁程度叫上个月所下降53.89%。此外，银行木马和间谍软件的活动也有所减弱，分别下降0.88%和10.83%。

12月份，我公司技术人员在 Google Play 目录中再次发现多个用于各种诈骗模式的Android.FakeApp欺诈程序。此外，还侦测到多个新的恶意网站，攻击者通过这些网站分发Android 和iOS虚假加密钱包应用程序。

12月主要趋势

Android.HiddenAds广告木马活动减弱
银行木马和间谍木马软件活动减弱
Google Play 目录出现新的恶意应用
侦测到传播移动设备虚假加密钱包的新网站

Dr.Web for Android保护产品统计信息

Android.Spy.5106: 各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.HiddenAds.3831
Android.HiddenAds.3851: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.MobiDash.7805: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。
Android.Click.1751: 嵌入 WhatsApp Messenger 修改版并伪装成 Google库的木马。使用修改版程序时，Android.Click.1751 向控制服务器发出请求。收到的响应是两个链接，其中一个针对俄语用户，另一个针对其他语言用户。然后，木马会按照从服务器接收的内容显示一个对话框，用户点击确认按钮后会在浏览器打开相应的链接。

Program.CloudInject.1: 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web 病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.FakeMoney.7: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.SecretVideoRecorder.1.origin: 通过Android设备的内置摄像头进行背景照片和视频拍摄的各种应用程序。可隐身运行并在进行拍摄的通知，还能将应用程序图标和相关信息更改为假图标和假信息。这些功能使其具有潜在风险。

Tool.NPMod.1: 使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.ApkProtector.16.origin: 受ApkProtector打包器保护的安卓应用程序。此加壳程序本身不是恶意的，但攻击者可以利用其来编写木马软件和不良程序，目的是加大反病毒软件的侦测难度。

Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。
Adware.Adpush.21846
Adware.AdPush.39.origin: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.Fictus.1.origin: 网络犯罪分子将此广告模块嵌入流行的安卓游戏和程序的克隆版本。模块使用专门的 net2share 打包程序与程序集成。以这种方式创建的软件副本通过各种应用商店传播，安装后会显示不需要的广告。

Google Play中的威胁

2023 年 12 月我公司病毒分析师在 Google Play 目录中侦测到Android.FakeApp 家族的新恶意软件。其中Android.FakeApp.1564 是假冒可以记录债务的应用，木马Android.FakeApp.1563隐藏在调查问卷程序中，而Android.FakeApp.1569 则谎称是一种有助于提高效率并养成良好生活习惯的工具。