与此同时,我们的技术人员在8月份侦测了一个新的木马Android.Vo1d,感染了近1,300,000台安卓操作系统的电视机顶盒。此后门将其组件置于机顶盒的系统区域,并在攻击者的命令下悄悄下载并安装第三方程序。
此外,我公司专家在GooglePlay目录中发现了许多新威胁,其中包括新的假冒软件和多个广告木马。
2024.10.01
第三季度主要移动安全事件:
- 侦测到Android.Vo1d后门,被其感染的电视机顶盒超过一百万台
- Android.FakeApp家族恶意应用十分活跃
- Android.HiddenAds广告木马十分活跃
- GooglePlay目录中再次出现新威胁
Dr.WebforAndroid保护产品统计信息
- Android.FakeApp.1600
- 能够下载其设置中指定的网站的木马,已知变种加载的是在线赌场。
- Android.HiddenAds.3994
- 用于不断显示广告的木马,Android.HiddenAds家族成员经常假冒正常应用,某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后,此类木马会隐身,比如去掉自己在主屏幕的应用图标。
- Android.MobiDash.7815
- Android.MobiDash.7813
- 显示烦人广告的木马程序,是可供软件开发人员内置到应用程序的软件模块。
- Android.Click.1751
- 嵌入WhatsAppMessenger修改版并伪装成Google库的木马。使用修改版程序时,Android.Click.1751向控制服务器发出请求。收到的响应是两个链接,其中一个针对俄语用户,另一个针对其他语言用户。然后,木马会按照从服务器接收的内容显示一个对话框,用户点击确认按钮后会在浏览器打开相应的链接。
- Program.FakeMoney.11
- 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积,称积累到一定的金额就可用“提现”,但实际上用户根本不可能得到任何付款。
- Program.CloudInject.1
- 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序(归类为Tool.CloudInject添加至Dr.Web病毒库)。此类程序在远程服务器上进行修改,而有用户(修改者)无法控制修改过程中到底内置了什么。此外,应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序,包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
- Program.FakeAntiVirus.1
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.SecretVideoRecorder.1.origin
- 可侦测通过Android设备的内置摄像头拍摄背景照片和视频的不同版本应用程序。此程序可以静默运行,关闭录制通知,并可将应用程序图标和描述更改为假图标和假内容。这一功能存在潜在危险。
- Program.TrackView.1.origin
- 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。
- Tool.Packer.1.origin
- 一种专门的加壳工具,用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序,但既可用于保护正常程序,也可用于保护木马程序。
- Tool.SilentInstaller.17.origin
- 风险平台,允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行,并自动获得相同的权限。
- Tool.NPMod.1
- Tool.NPMod.2
- 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块,可修改数字签名并绕过验证。
- Tool.LuckyPatcher.1.origin
- 一个实用工具程序,用于修改已安装的安卓应用程序(为其创建补丁),更改其操作逻辑或绕过某些限制。例如,利用此工具用户可以禁用网银程序中的root访问验证或在游戏中获得无限资源。创建补丁时此工具从互联网下载专门的脚本,而这些脚本来自公共数据库可以由任何人创建。此类脚本的功能也可能是恶意的,因此创建的补丁可能会带来潜在的危险。
- Adware.ModAd.1
- WhatsAppMessenger的某些修改版,内含代码可在使用Messenger时通过网络图片加载指定链接,利用这些地址重定向到广告网站,例如在线赌场和博彩公司、成人网站。
- Adware.Basement.1
- 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站,与不良软件Program.FakeMoney.11共享一个共同的代码库。
- Adware.Fictus.1.origin
- 攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中,集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发,安装后显示不良广告。
- Adware.Adpush.21846
- Adware.AdPush.39.origin
- 可集成到Android程序的广告模块家族中的一个模块,用于显示误导用户的广告。例如,显示类似操作系统消息的通知。此外,此家族的模块能够收集大量私密数据,还能够下载其他应用程序并启动安装。
GooglePlay中的威胁
2024年第三季度,我公司病毒实验室再次在GooglePlay目录中侦测到新威胁,其中由Android.FakeApp家族的多种新木马应用,假冒各种热门软件。其中一些再次被攻击者伪装为和金融活动相关程序,如投资应用程序、金融培训手册、各种家庭会计等。其中一些能提供所声称的功能,但主要功能是加载诈骗网站,欺骗潜在的受害者可通过股票投资、商品交易、加密货币等轻松赚钱,并以访问“服务”为幌子,要求注册帐户或填写参与申请,以此获取用户个人信息。
值得一提的是有一个Android.FakeApp木马不法分子是将其伪装为在线交友软件,而实际上加载的还是打着“投资”名义的诈骗网站。
其他Android.FakeApp木马还是假冒游戏。某些情况下会加载在线赌场和博彩网站。
在新出现的假冒程序中,我公司专家还发现了一些伪装成求职工具的木马新变种。此类恶意软件会下载虚假的招聘信息,并邀请潜在受害者通过即时通讯工具联系雇主(实际上,联系到的“雇主”是骗子)或创建“简历”,目的是获取用户个人信息。
我公司反病毒分析师还在GooglePlay上侦测到Android.HiddenAds家族的另一个木马,将自己伪装成各种类型的应用程序,如图像收集软件、照片编辑器、条形码扫描仪,安装后会隐藏其在主屏幕菜单中的图标,之后就开始显示烦人的广告。
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备,抵御恶意程序和不良程序。
