The page may not load correctly.
2025年1月30日
在移动威胁中,最常见的是广告木马、恶意间谍软件和不良广告软件。过去一年中手机银行木马的活动一直呈上升趋势。与此同时,我们的病毒实验室在 Google Play 目录中发现了数百个新的恶意和不良程序。
网络诈骗分子的活动十分活跃,不断“推出”新的诈骗手段。
与2023年相比,勒索木马受害用户申请文件解密的数量有所减少。与此同时,我们的技术专家侦测到诸多与信息安全相关的事件。在过去的一年中,我公司调查了几起定向进攻事件,发现了又一起Android 操作系统电视机顶盒的感染事件,并击退了一次针对我公司自身基础设施的进攻。
1 月份,我公司技术专家通报了木马挖矿程序 Trojan.BtcMine.3767,这个挖矿程序隐藏在盗版程序中,通过专门创建的 Telegram 频道和多个互联网网站进行传播,感染了数万台 Windows 计算机,其进驻被攻击的系统的方式是在调度程序中为自己创建自动运行任务,并将自己添加到 Windows Defender的排除项。随后会将直接负责挖掘加密货币的组件注入 explorer.exe 进程(Windows 资源管理器)。 还能执行许多其他恶意操作,例如安装非文件 rootkit、阻止访问网站和禁用操作系统更新。
3月份,我们发布我们发布了关于针对俄罗斯机械工程领域企业定向进攻的研究报告。对该事件的调查显示,感染分多阶段进行,并且攻击者使用了多种恶意应用程序,其中最令研究人员感兴趣的是后门 JS.BackDoor.60,用于攻击者和被感染计算机之间的交互作用 。该木马采用自身的JavaScript框架,由主体和辅助模块组成,能够从被感染设备窃取文件、跟踪键盘输入、创建屏幕截图、下载自身更新,并可通过下载新模块来扩展功能。
5 月份,我公司病毒分析师在成人玩具控制应用 Love Spouse以及运动记录应用 QRunning中发现中发现一个木马点击器,将其命名为 Android.Click.414.origin。这两个包含木马的应用都是通过 Google Play 来进行传播。Android.Click.414.origin 伪装成一个收集调试信息的组件,植入到这些程序的多个新版本。稍后Love Spouse 的开发人员发布了不再包含这一木马的更新版本,而第二个程序的编写者没有做出任何反应。Android.Click.414.origin 具有模块化架构,利用其组件可以执行各种恶意操作,包括收集被感染设备数据、暗中加载网页、显示广告、执行点击并与加载页面的内容进行互动。
7 月份,我们通报著名的 TgRat 远程访问木马出现了 Linux 版本,该木马用于对计算机进行定向进攻。命名为 Linux.BackDoor.TgRat.2, 的新变种是在接到一家托管服务运营商提出的申请后我公司技术人员对其信息安全事件进行调查的过程中被发现的。 Dr.Web 反病毒软件在这家运营商的一个客户的服务器上侦测到一个可疑文件,经分析是一个安装木马的后门植入程序。攻击者通过一个Telegram隐蔽群使用与木马连接的 Telegram 机器人来控制 Linux.BackDoor.TgRat.2,利用Telegram从被感染的系统下载文件、截取屏幕截图、远程执行命令或使用聊天中的附件功能将文件上传到计算机。
9月初,我公司网站发布了一篇关于针对俄罗斯一家大型货运铁路运输企业发起的定向进攻以失败告终的文章。在此几个月前,该公司的信息安全团队发现到一封带有附件的可疑电子邮件。我们的病毒分析师对其进行了分析,发现邮件是一个伪装成 PDF 文档的 Windows 快捷方式,其中写有启动 PowerShell 命令解释器的参数。打开此快捷方式会导致目标系统同时被多个网络间谍恶意软件的分阶段感染,其中一个恶意软件是 Trojan.Siggen27.11306,利用Yandex浏览器的CVE-2024-6473 漏洞进行DLL搜索(DLL Search Order Hijacking)。这个木马将一个恶意DLL库放置到浏览器安装目录中,而恶意DLL库的名称是负责保证应用程序启动安全的系统组件 Wldp.dll 的名称。由于恶意文件位于应用程序文件夹,当应用程序启动时,木马库会利用浏览器漏洞获得更高优先级而被优先加载,同时还获得了浏览器本身的所有权限。该漏洞后来已打上了补丁。
不久之后,我们的专家报告了针对Android 操作系统电视机顶盒的又一起攻击。此次攻击活动使用的 Android.Vo1d 恶意软件感染了 197 个国家/地区的近 1,300,000 台设备,是一个模块化后门,会将其组件放置在系统区域,并可根据攻击者的命令秘密下载并运行其他应用程序。
此外,9月份还记录了一次针对我公司资源的定向攻击。 我公司技术人员迅速阻止了破坏公司基础设施的企图,成功击退了这次攻击,而且我们的用户均未因此次进攻受到影响。
十月份,我公司病毒分析师通报在对安装有 Redis 数据库管理系统的设备所遭受的攻击进行研究的过程中发现发现多个针对 Linux 操作系统的新恶意程序。因这种数据库管理系统各种漏洞,成为网络犯罪分子发动进攻的目标。侦测到的新恶意威胁包括后门、植入程序以及一个rootkit 新变种,其功能是在被感染设备上安装 Skidmap 挖矿木马。这个挖矿木马自 2019 年以来就一直活跃,其主要目的是利用企业资源,包括大型服务器和云环境。
同月,我们的反病毒实验室发现了一场的通过传播恶意软件来挖掘和窃取加密货币的大规模活动,有超过 28,000 名用户受到此次攻击的影响,其中大部分在俄罗斯。这些木马隐藏在盗版软件中,并通过在 GitHub 平台上创建的诈骗网站进行分发。此外,病毒编写者还在YouTube平台发布的视频下放置了下载恶意应用的链接。
11月份,我们的专家侦测出木马程序 Android.FakeApp.1669, 的多个新变种,其恶意功能是下载网站。与大多数同类恶意软件不同,Android.FakeApp.1669 是从恶意 DNS 服务器的 TXT 记录中获取目标网站的地址,并使用开源 dnsjava 库经修改后的代码。同时,该木马只有通过某些网络关于商连接到互联网时才会表现出恶意活动。在其他情况下则会是无害软件。
2024 年底,在应一位客户提交的请求进行安全事件调查过程中,我公司反病毒实验室的专家发现了一个主要针对东南亚用户的活跃的黑客活动。网络犯罪分子在攻击过程中使用了多种恶意应用程序,采用了在病毒编写者中刚刚开始流行的方法和技术,其中之一是eBPF技术(extended Berkeley Packet Filter),该技术是用于扩展对 Linux OS 网络子系统和进程的控制。不法分子运用此技术掩盖恶意网络活动和流程、收集敏感信息以及绕过防火墙和入侵检测系统。另一种技术是将木马设置存储在公共平台(如 GitHub 平台和博客),而不是控制服务器上。此次攻击的第三个特点是后渗透框架与恶意应用相结合。虽然此类后渗透框架可用于数字系统的安全审计,本身并不具有恶意,但其功能和漏洞数据库的存在增加了攻击者的技术手段。
根据2024年Dr.Web反病毒产品侦测统计数据,侦测到的威胁总数较2023年增长了26.20%。新威胁数量增长51.22%。最常见是作为其他恶意程序的一部分来进行传播的AutoIt脚本语言木马,这种传播方式增加了对木马的侦测难度。此外,用户还经常遭遇各类恶意脚本和广告木马。
电子邮件流量中最常见的威胁是恶意脚本和木马程序,例如后门、恶意软件加载器和投放器、具有间谍软件功能的木马、用于加密货币挖掘的恶意应用等。攻击者还进行网络钓鱼文件群发,通常是热门网站的虚假登录页面。此外,用户遭遇的安全威胁还有利用 Microsoft Office 文档漏洞的蠕虫和恶意软件。
与2023年相比,2024年DoctorWeb病毒实验室收到的木马勒索软件受害用户解密申请减少了33.05%。下图显示的是解密申请数量的动态统计:
2024年最常见的勒索软件:
2024 年我公司的互联网分析师一直在追踪活动频繁的网络诈骗,不法分子在不断使用传统和新的诈骗模式来欺骗用户。在俄罗斯最普遍的的互联网诈骗手段依然是使用多种样式的诈骗网站,比如假冒知名在线购物平台和社交网络,以其名义进行所谓的促销和大酬宾。在此类网站上总是会显示用户“赢得”奖励,而获得实际并不存在的奖品需要支付“手续费”。
假冒俄罗斯一家网店的诈骗性网站向访问者提供参加所谓的抽奖机会
虚假社交网站邀请“试运气”,谎称可以赢取大额现金奖励和其他礼物
此类骗局的常用模式之一仍然是虚假的家用电器和电子产品网店和网站,提供所谓的折扣价服务。通常,支付“订单”时会建议使用网上银行或银行卡,而去年诈骗分子也开始使用SBP服务(快速支付系统)。
虚假的家用电器和电子产品商店网站承诺提供所谓巨额折扣
诈骗网站将 SBP列为“订单”付款方式
“免费”彩票诈骗也依然很受不法分子欢迎,谎称在线抽奖一定会“中奖”,但获得奖品用户还必须支付“手续费”。
谎报用户彩票中了 314906 卢布,页面显示需支付“手续费”才能“领取”奖金
虚假金融网站也依然是诈骗分子的武器。热门诱饵包括获取国家或私营公司的支付款、投资石油和天然气行业、投资培训、使用“独特”的自动化系统或“经过验证的”策略来交易加密货币和股票只赚不亏等等。攻击者还利用媒体名人的名字来吸引用户的注意力。下面是此类站点的示例。
诈骗网站称“在专设WhatsApp平台上每月可赚取高达 10,000 欧元”
俄罗斯当红艺人 Shaman“分享成功平台”,每月可带来 14,000 美元的可观收入
假冒一家石油和天然气公司的网站提供所谓投资服务,承诺可赚取 15 万卢布
冒充银行投资服务的诈骗网站
与此同时,去年我们的技术人员也发现确定了新的诈骗模式。比如假借大公司之名邀请用户参与有关所提供服务质量的有奖调查。此类假冒网站还包括虚假的信贷机构网站,要求用户提供敏感个人数据,包括姓名、与银行账户关联的手机号码以及银行卡号。
一个假银行网站邀请参与以“提高服务质量”为目的调查,奖励 6,000 卢布
其他国家用户也是此类假网站的追捕对象。例如下面这个网站承诺欧洲用户投资有前景的经济领域将获得红利:
下面这个网站则宣传“谷歌推出的全新投资平台”,谎称利用此平台可以赚取 1000 欧元:
另一个诈骗性在线资源针对的是斯洛伐克用户,谎称使用某种投资服务“每月收入超过 192,460 美元”:
阿塞拜疆居民的收入状况也可以显著改善,每月收入可达 1000 马纳特,所要做的只是参与简短的调查,并获得与阿塞拜疆石油和天然气公司有关的服务:
每逢年底,诈骗者通常会利用新年这一话题来制作此类虚假网站。例如,以下虚假加密货币交易网站承诺向俄罗斯用户提供贺年奖:
另一个网站则打着一家投资公司的幌子向访问者提供所谓贺年礼金:
下面这个诈骗资源承诺向哈萨克斯坦用户“新年优惠”,可获取大笔独立日庆祝款:
在过去的一年里,我们的互联网分析师还发现许多其他网络钓鱼网站,其中包括虚假的在线培训服务。例如,其中一个网站模仿真实互联网资源的外观,并提供编程课程。 “获得教程咨询”,要求用户提供个人信息。
一个伪装成教育服务在线资源的虚假网站
伪装成各种在线投票网站的钓鱼网站仍在继续尝试窃取 Telegram 用户帐户。其中,“儿童画比赛投票”网站再度大肆传播。潜在受害者会被要求提供手机号码,谎称是用来确认声音和接收一次性代码。然而,这样的网站上输入此代码时,用户实际上是为诈骗者打开了帐户访问权限。
以儿童绘画比赛在线“投票”为饵的钓鱼网站
其他类似网站提供的是 Telegram Premium 的“免费”订阅。用户被要求登录自己的账户,但在这些网站上输入的敏感数据会被传输给攻击者,使其可以窃取账户。值得注意的是,这些钓鱼链接的传播方式包括通过这个即时通讯工具本身进行传播,而消息中目标网站的实际地址通常与用户看到的不符。
Telegram 中的网络钓鱼消息,要求点击指定链接来“激活”Telegram Premium 订阅。链接文本实际上与目标地址不符
点击诈骗邮件中的链接后加载的钓鱼网站
点击上一页的按钮后,网站会显示一个登录页面,看起来很像真正的 Telegram 登录页面
网络犯罪分子还利用垃圾邮件来分发诈骗网站链接。在过去的一年里,我们的互联网分析师记录了大量不同垃圾邮件的群发活动,比如针对日本用户的钓鱼邮件群发。诈骗者以某个信贷机构的名义向潜在受害者发送购买信息,欺骗用户点击提供的链接可以了解“付款”的详细信息。事实上,链接指向的是网络钓鱼资源。
钓鱼邮件谎称是银行向日本用户提供支付详细信息
另一种常见的模式是诈骗者以信贷机构的名义发送当月银行卡费用的虚假通知。同时,电子邮件文本中的钓鱼网站链接经常会有伪装,降低收件人的警惕性。
用户在垃圾邮件中看到的是银行网站真实地址的链接,但点击后会被转至诈骗页面
还有一个垃圾邮件群发活动针对的是欧洲用户。如比利时用户收到的网络钓鱼邮件声称用户的银行账户已被“冻结”。“解除冻结”需点击一个链接,而这个链接实际上打开的是诈骗网站。
不良电子邮件威胁收件人其银行账户已被“冻结”
去年还记录到其他垃圾邮件群发,如针对英语受众的邮件。在一次垃圾邮件群发中潜在受害者收到的消息是要求他们确认已收到大额汇款,邮件中的链接指向一个网上银行的钓鱼登录页面,与信贷机构网站上的真实页面十分类似。
垃圾邮件称用户需要确认已到账 1218.16 美元
俄罗斯用户最常遇到的垃圾邮件是引诱潜在受害者访问上面已提及的常见钓鱼网站的垃圾邮件。常见的垃圾信息主题包括网店奖品和折扣、免费彩票以及投资服务。下面是此类邮件的截图。
邮件假冒一家网店谎称有“抽奖”的机会
邮件假冒一家信贷机构提议“成为一名成功的投资者”
邮件假冒电子产品商店,谎称激活促销代码可获得折扣
根据移动设备保护产品 Dr.Web Security Space 的侦测统计数据,木马 Android.HiddenAds, 再次成为2024 年最常见的 安卓恶意软件,这类木马会在被感染设备隐身并展示广告,其侦测量占恶意软件侦测总数的三分之一以上。该家族最活跃的成员包括 Android.HiddenAds.3956、Android.HiddenAds.3851、Android.HiddenAds.655.origin和 Android.HiddenAds.3994。与此同时,用户遭遇的还有其变种 Android.HiddenAds.Aegis,该变种能够在安装后自动启动。其他常见的恶意应用程序是用于各种诈骗活动的木马Android.FakeApp和间谍木马Android.Spy。
最活跃的不良软件是 Program.FakeMoney、 Program.CloudInject 和 Program.FakeAntiVirus家族的成员。第一个家族是邀请用户执行各种任务来获得虚拟奖励,宣称然后可以将虚拟奖励提现,但实际上用户不会收到任何付款。第二个家族是经过修改的程序,在通过专门的云服务进行修改时添加不受控制的代码和许多危险的权限。第三类不良软件是模仿反病毒软件的运行,侦测不存在的威胁并要求用户购买完整版本来修复所谓的安全“问题”。
工具 Tool.SilentInstaller 允许在不安装安卓应用的情况下运行运行,再次成为最常侦测到的风险软件,占此类程序侦测量的三分之一以上。使用工具NP Manager(侦测为 Tool.NPMod)修改的应用程序也已越来越多,此类程序内置有特殊模块,在修改后可绕过数字签名验证。经常侦测到的风险出现还有受 Tool.Packer.1.origin 打包程序保护的应用以及 Tool.Androlua.1.origin 框架,该框架可修改已安装的 Android 程序并执行可能具有恶意的 Lua 脚本。
传播最广泛的广告软件是新的 Adware.ModAd 家族,占近一半的侦测量。这个家族是经过特殊修改的WhatsApp版本,其功能中嵌入了下载广告链接的代码。侦测量第二的是 Adware.Adpush 家族成员,第三为另一个新家族Adware.Basement。
与 2023 年相比,2024 年针对安卓操作系统的银行木马活动略有增加。与此同时,我们的专家注意到,网络犯罪分子越来越多地使用多种技术手段来保护恶意软件(包括银行恶意软件),提高对其进行分析和侦测的难度。这些技术手段包括对 ZIP 存档格式(APK 文件的基础)和 Android 程序配置文件 AndroidManifest.xml 进行各种操作。
另外值得注意的是恶意应用程序 Android.SpyMax 的广泛传播。攻击者积极使用这种间谍软件作为银行木马,特别针对的是俄罗斯用户(占侦测次数的 46.23%)以及巴西(占侦测次数的 35.46%)和土耳其(占侦测次数的 5.80%)的 安卓设备用户。
去年一年中,我公司病毒分析师在 Google Play 目录中发现了 200 多种不同的威胁。其中包括订阅付费服务的木马、间谍木马、诈骗软件和广告软件。这些应用的总计下载量至少有 26,700,000 次。此外,我们的专家还记录到另一起针对安卓操作系统的电视机顶盒的攻击:模块化后门 Android.Vo1d 感染了来自 197 个国家的近 1,300,000 台用户的设备。该木马将其组件放置在系统区域,根据攻击者的指令,可从互联网上秘密下载并安装第三方软件。
有关 2024年移动设备威胁的更多信息,请参阅我们的年度报告。
过去一年发生的事件再次证明了现代网络威胁形势的多样性。攻击者感兴趣的包括大型目标(企业和政府部门),也包括普通用户。我们调查的定向进攻中所使用的恶意软件所具备的功能表明,病毒编写者正在不断寻找新的技术手段来改进其进行恶意活动方法。随着时间的推移,新技术不可避免地会被针对面更广的威胁所采用。因此2025年,可能会出现更多利用eBPF技术来隐藏恶意活动的木马。此外,我们还应该预见到会出现新的定向进攻,包括利用漏洞进行的进攻。
网络犯罪分子的主要目的之一就是非法盈利,因此新的一年里银行和广告木马活动会有所增加况。此外,用户可能遭遇更多具有间谍软件功能的恶意软件。
同时,不仅 Windows 电脑用户会继续面临安全风险,Linux 和 macOS 等其他操作系统的用户也将成为进攻目标。移动威胁也将继续蔓延。 安卓设备用户尤其应该警惕新的间谍软件、银行木马以及恶意和不良广告应用。不排除再次出现感染电视、电视机顶盒和其他安卓设备的可能性。此外,Google Play 目录中也可能会出现新的威胁。
