Dr.Web — Doctor Web：2024年1月移动设备病毒活动综述

2024.03.29

根据Dr.Web产品对安卓移动设备的侦测统计，2024年1月，用户最常遭遇的是Android.HiddenAds木马广告应用。与 2023 年 12 月相比，侦测频率增加了 54.45%。与此同时，另一个流行的广告木马家族Android.MobiDash的活跃成度基本没有变化，仅增长了0.9%。

各种银行木马家族的攻击数量增长了17.04%，Android.Spy间谍木马的攻击数量增长了11.16%，而Android.Locker勒索木马的攻击数量仅增长了0.92%。

同时，我告诉技术人员在 Google Play目录中发现了新威胁，有新的不良广告模块家族系列 Adware.StrawAd，以及Android.FakeApp 家族用来实施各种欺诈活动的木马程序。

1月主要趋势

Android.HiddenAds广告木马活动增加
银行木马和间谍木马软件活动增加
勒索木马活动略有减弱
Google Play 目录出现新的恶意应用和广告软件

Dr.Web for Android保护产品统计信息最常见的恶意软件

Android.HiddenAds.3851
Android.HiddenAds.3831: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.Spy.5106
Android.Spy.4498: 各种木马，为WhatsApp非官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。
Android.MobiDash.7805: 用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。

Program.CloudInject.1: 侦测经 CloudInject 云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web 病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.wSpy.3.origin: 间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。
Program.FakeMoney.7: 谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

Tool.NPMod.1: 使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.LuckyPatcher.1.origin: 用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。

Adware.StrawAd.1: 内置不良广告模块Adware.StrawAd.1.origin的安卓应用，再设备解锁屏幕显示各种广告服务供应商的广告。
Adware.AdPush.39.origin
Adware.Adpush.21846: 可集成到 Android 程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。
Adware.Airpush.7.origin: 嵌在 Android 应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。
Adware.ShareInstall.1.origin: 可集成到Android程序中的广告模块，在Android 操作系统锁机屏显示广告。

Google Play中的威胁

2024 年 1 月初我公司反病毒实验室发现 Google Play 目录中的许多游戏内置了不良广告平台：

Crazy Sandwich Runner
Purple Shaker Master
Poppy Punch Playtime, Meme Cat Killer
Toiletmon Camera Playtime
Finger Heart Matching
Toilet Monster Defense
Toilet Camera Battle
Toimon Battle Playground

这一平台是一个专门的软件模块，以加密形式存储在软件资源目录。用户进行屏幕解锁时，会显示不同广告服务提供商的广告。 Dr.Web 反病毒软件将 Adware.StrawAd.1.origin判别为 Adware.StrawAd 家族软件。

同样在一月份，我公司技术人员再次侦测到Android.FakeApp 家族的多个的恶意软件，比如木马Android.FakeApp.1579隐藏在Pleasant Collection应用程序，假冒是漫画书城软件。

然而，其实际功能只有一个，就是加载欺诈性的互联网资源，其中一些网站谎称是“成人”类别游戏在内的游戏网站。下面是截图示例：

在这个应用中“开始”游戏之前潜在的受害者要回答几个问题，然后应用会以验证年龄为借口要求提供个人信息和银行卡信息。

Android.FakeApp家族中新添成员再次假冒游戏，已添加到Dr.Web病毒库，分别是Android.FakeApp.1573、Android.FakeApp.1574、 Android.FakeApp.1575、 Android.FakeApp.1577和 Android.FakeApp.32.origin。

某些情况下这些假冒应用会加载在线赌场或博彩公司。以下是游戏示例：

加载的网站示例：

其他几个木马的功能也是加载在线赌场和博彩网站。因此，Android.FakeApp.1576 隐藏在化妆培训程序 Contour Casino Glam 和表情包创建工具 Fortune Meme Studio 。 Android.FakeApp.1578 假冒一款名为 Lucky Flash Casino Light 的手电筒应用。