第四季度我公司专家在GooglePlay目录中发现了许多新威胁,其中多个Android.FakeApp木马、为用户订阅收费服务的属于Android.Subscription和Android.Joker两个家族的恶意软件,还有Android.HiddenAds家族新出现的广告木马。此外,不法分子传播的恶意应用中有的使用了很复杂的打包器。
2024年12月26日
第四季度主要移动安全事件:
- Android.HiddenAds广告木马和Android.FakeApp家族恶意应用十分活跃
- 大量恶意威胁利用GooglePlay目录进行传播
Dr.WebforAndroid保护产品统计信息
- Android.FakeApp.1600
- 能够下载其设置中指定的网站的木马,已知变种加载的是在线赌场。
- Android.HiddenAds.655.origin
- Android.HiddenAds.657.origin
- 用于不断显示广告的木马,Android.HiddenAds家族成员经常假冒正常应用,某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后,此类木马会隐身,比如去掉自己在主屏幕的应用图标。
- Android.Packed.57083
- 受打包器ApkProtector保护的恶意应用程序,其中有银行木马、间谍软件和其他恶意软件。
- Android.Click.1751
- 嵌入WhatsAppMessenger修改版并伪装成Google库的木马。使用修改版程序时,Android.Click.1751向控制服务器发出请求。收到的响应是两个链接,其中一个针对俄语用户,另一个针对其他语言用户。然后,木马会按照从服务器接收的内容显示一个对话框,用户点击确认按钮后会在浏览器打开相应的链接。
- Program.FakeMoney.11
- 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积,称积累到一定的金额就可用“提现”,但实际上用户根本不可能得到任何付款。
- Program.FakeAntiVirus.1
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.CloudInject.1
- 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序(归类为Tool.CloudInject添加至Dr.Web病毒库)。此类程序在远程服务器上进行修改,而有用户(修改者)无法控制修改过程中到底内置了什么。此外,应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序,包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
- Program.TrackView.1.origin
- 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。
- Program.SecretVideoRecorder.1.origin
- 可侦测通过Android设备的内置摄像头拍摄背景照片和视频的不同版本应用程序。此程序可以静默运行,关闭录制通知,并可将应用程序图标和描述更改为假图标和假内容。这一功能存在潜在危险。
- Tool.NPMod.1
- 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块,可修改数字签名并绕过验证。
- Tool.SilentInstaller.14.origin
- 风险平台,允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行,并自动获得相同的权限。
- Tool.LuckyPatcher.1.origin
- 一个实用工具程序,用于修改已安装的安卓应用程序(为其创建补丁),更改其操作逻辑或绕过某些限制。例如,利用此工具用户可以禁用网银程序中的root访问验证或在游戏中获得无限资源。创建补丁时此工具从互联网下载专门的脚本,而这些脚本来自公共数据库可以由任何人创建。此类脚本的功能也可能是恶意的,因此创建的补丁可能会带来潜在的危险。
- Tool.Packer.1.origin
- 一种专门的加壳工具,用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序,但既可用于保护正常程序,也可用于保护木马程序。
- Tool.Androlua.1.origin
- 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中,这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限,这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。
- Adware.ModAd.1
- WhatsAppMessenger的某些修改版,内含代码可在使用Messenger时通过网络图片加载指定链接,利用这些地址重定向到广告网站,例如在线赌场和博彩公司、成人网站。
- Adware.Basement.1
- 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站,与不良软件Program.FakeMoney.11共享一个共同的代码库。
- Adware.Fictus.1.origin
- 攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中,集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发,安装后显示不良广告。
- Adware.AdPush.3.origin
- Adware.Adpush.21846
- 可集成到Android程序的广告模块家族中的一个模块,用于显示误导用户的广告。例如,显示类似操作系统消息的通知。此外,此家族的模块能够收集大量私密数据,还能够下载其他应用程序并启动安装。
GooglePlay中的威胁
2024年第四季度,我公司病毒实验室再次在GooglePlay目录中侦测到60多种新威胁,其中大多是Android.FakeApp家族的木马,其中一些伪装为和金融活动相关程序,如投资应用程序、手册和培训教程,还冒充其他软件,如日记本、笔记本等等。这些木马的主要任务是加载诈骗网站。
众多Android.FakeApp木马中的QuntFinanzas和TradingNews加载的诈骗网站
我们的专家还发现木马Android.FakeApp.1669出现新变种,该木马隐藏在各种应用程序中并会以下载在线赌场网站。Android.FakeApp.1669特别之处是从DNS恶意服务器的TXT文件中获取目标站点的地址,而且仅在用户是通过某些网络供应商连接到互联网时才会显现恶意功能出来。
木马Android.FakeApp.1669的新变种示例。不法分子将WordCount程序冒充文本工具,而Splitit:ChecksandTips谎称的功能是用于在咖啡馆和餐馆支付账单和计算小费。
在GooglePlay新发现的威胁还有Android.HiddenAds广告木马家族的几个新成员,这些木马会在被感染设备隐身。
照片编辑软件CoolFixPhotoEnhancer中隐藏有广告木马Android.HiddenAds.4013
此外还侦测到有的木马有复杂打包器保护,如Android.Packed.57156、Android.Packed.57157和Android.Packed.57159。
有打包器保护的木马:应用程序LieDetectorFunPrank和peakerDustandWaterCleaner
我们的技术人员还侦测到一种为用户订阅收费服务的恶意软件Android.Subscription.22。
InstaPhotoEditor并没有进行其所宣称的照片编辑,而是给用户办理了收费服务
同时不法分子再度传播Android.Joker家族的木马,其功能也是为用户订阅收费服务。
短信通讯软件SmartMessages和第三方键盘软件CoolKeyboard试图暗中为受害者注册付费服务
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备,抵御恶意程序和不良程序。
