DoctorWeb：2024年移动威胁年度报告

2024年，最常见的安卓威胁再度是显示广告的木马。与前一年相比，诈骗软件、勒索木马、点击器和银行木马的活动有所增加。银行木马中仅窃取网银登录信息和短信确认码的较简单的银行木马相比 2023 年更加常见。

不良软件中，最活跃的是一些要求用户执行各种任务来获得虚拟奖励的应用程序，宣称用户可以将这些奖励兑换现。最常见风险程序是可运行无需安装的安卓应用程序的工具软件。最活跃的广告软件是即时通讯程序WhatsApp经过特殊修改的版本，其功能中嵌入了下载广告链接的代码。

在过去一年里，我公司病毒分析师在 Google Play 目录中发现了数百种新威胁，这些威胁的总下载量超过 26,700,000 次，其中有恶意软件（包括间谍软件木马）、不良应用和广告软件。

我们的专家还发现了一起针对安卓电视盒的进攻，约有 1,300,000 台设备受到后门攻击，这种新后门感染系统区域，并且在攻击者的命令下可以下载并安装第三方软件。

此外，我们的病毒分析师还发现，多种能够加大恶意安卓软件分析难度并试图并绕过反病毒软件侦测的技术越来越多地被不法分子所利用。这些技术手段包括对 ZIP 存档格式（ZIP 格式是 安卓应用程序 APK 文件的基础）的各种操作、对程序配置文件 AndroidManifest.xml 的操作等等。这些技术最常见出现在银行木马中。

2024年最值得关注的事件

去年 5 月，我公司专家通报在色情玩具控制应用和运动跟踪软件中侦测到木马点击器 Android.Click.414.origin，这两款程序均通过 Google Play 目录传播，总安装量超过 1,500,000 次。 Android.Click.414.origin 具有模块化架构，利用组件执行相应任务，比如，木马可暗中打开广告网站并在网站执行各种操作， 包括滚动浏览网页内容、填写输入栏、将网页静音并截屏进行图内容分析后点击所需区域。此外，Android.Click.414.origin 还将被感染设备的详细信息传输给控制服务器。同时，这个点击器对特定用户不会进行进攻：木马不会在安装中文界面语言的设备启动。

软件Love Spouse和QRunning的某些版本隐藏有木马 Android.Click.414.origin

9月份，我们的专家发布安卓电视机顶盒感染后门 Android.Vo1d 的案例分析详情。 这种模块结构的恶意软件入侵了197个国家用户近130万台设备，入侵后将其组件放置在系统区域，并根据攻击者的命令，秘密下载并安装第三方软件。

感染后门 Android.Vo1d 的机顶盒数量最多的国家

11月我公司病毒分析师以 Android.FakeApp.1669木马为例， 介绍了攻击者如何使用 DNS协议隐藏恶意软件和控制服务器之间进行的通信。 Android.FakeApp.1669是一种相当原始的木马，可执行的任务仅限于加载指定的网站。与大多数类似威胁的不同，这种木马是从恶意 DNS 服务器的 TXT 记录获取目标站点地址，且使用的是开源 dnsjava 库修改后的代码。同时，Android.FakeApp.1669 仅在通过某些通讯提供商连接到互联网时才会显现恶意功能，在其他情况下会作为无害软件运行。

Android.FakeApp.1669 的一个变种利用工具Linux dig查询 DNS 服务器时返回的目标域 TXT 记录示例

统计数据

根据Dr.Web安卓移动设备保护产品Dr.Web Security Space的侦测统计，2024 年最常见的威胁是恶意软件，占侦测总数的 74.67%。紧随其后的是广告应用， 占比为 10.96%。风险程序是第三大常见程序，占 10.55%。第四位是不良软件，用户遭遇该类软件的概率为 3.82%。

根据Dr.Web安卓移动设备保护产品的侦测统计，2024年各类型威胁的分布情况如下：

恶意应用程序

Android.HiddenAds 家族的广告木马再次成为最常见的安卓恶意软件。在过去的一年里，这类木马在 Dr.Web 反病毒软件恶意应用侦测总量中的份额增加了 0.34 个百分点，达到侦测量的 31.95%。

这一家族成员中最位活跃的是 Android.HiddenAds.3956 （占该家族成员侦测次数的 15.10% 和恶意软件总侦测量的 4.84%），几年来用户经常遭遇的恶意软件 Android.HiddenAds.1994 的众多变种之一。 Android.HiddenAds.3956 其他变种于 2023 年问世，我们曾预测可能会在该家族中占据主导地位，事实确实如此。 2024年出现的新变种 Android.HiddenAds.3980、Android.HiddenAds.3989、 Android.HiddenAds.3994、Android.HiddenAds.655.origin、Android.HiddenAds.657.origin 等也开始广泛传播。

与此同时，木马子家族 Android.HiddenAds.Aegis 也更加引人注目。与其他大多数 Android.HiddenAds 恶意软件不同，这一子家族能够自启动并具有一些其他特征。 在Dr.Web反病毒软件所保护的设备上最常侦测到的变种是 Android.HiddenAds.Aegis.1、 Android.HiddenAds.Aegis.4.origin、 Android.HiddenAds.Aegis.7.origin 和 Android.HiddenAds.Aegis.1.origin。

第二常见的恶意软件是 Android.FakeApp 家族木马，攻击者利用这类木马实施各种欺诈。 去年这类木马占恶意软件侦测总量的 18.28%，比前年增加了 16.45 个百分点。此类木马通常会加载用于进行网络钓鱼和网络欺诈的不良网站。

排名第三的是具有间谍功能的木马 Android.Spy，份额为 11.52%（与 2023 年相比下降了 16.7 个百分点）。与上一年一样，该家族传播最广泛的成员是 Android.Spy.5106，占恶意软件侦测总数的5.95％。

2024年，用于下载和安装其他程序并能够执行任意代码的恶意软件传播趋势各有不同：与上年相比，下载器 Android.DownLoader 的份额下降了0.49个百分点，降至1.69%，木马 Android.Mobifun 的份额下降了0.15个百分点，降至0.10%，木马 Android.Xiny 的份额下降了0.14个百分点至 0.13%。而木马 Android.Triada 和 Android.RemoteCode 侦测量增加，分别占比2.74%（增长0.6个百分点）和3.78%（增长0.95个百分点）。

受软件打包器保护的恶意应用 Android.Packed 侦测量从7.98%下降至5.49%，几乎回到了2022年的水平。广告木马 Android.MobiDash 的攻击数量也从10.06%下降到至5.38%。与此同时，勒索木马 Android.Locker 和木马 Android.Proxy 的侦测数量均略有增加，分别从1.15%、0.57%上升到1.60%和0.81%，后者使用被感染的 安卓设备来重定向进攻者的网络流量。此外，能够打开广告网站和点击网页的恶意软件 Android.Click 的活动明显增加，从0.82％增加到3.56％。

2024 年侦测到的十大最常见恶意应用程序：

Android.FakeApp.1600

加载其设置中所指定网站的木马程序。这一恶意软件的已知变种加载的网站是一个在线赌场。

Android.Spy.5106

各种木马，为WhatsApp分官方版本变异版本，能够盗窃其他应用的通知，还可向用户推荐各种不知名来源的软件，在使用通讯软件时显示可远程编写的对话窗口。

Android.HiddenAds.3956

Android.HiddenAds.3851

Android.HiddenAds.655.origin

Android.HiddenAds.3994

Android.HiddenAds.657.origin

用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。

Android.Click.1751

嵌入WhatsAppMessenger修改版并伪装成Google库的木马。使用修改版程序时，Android.Click.1751 向控制服务器发出请求。收到的响应是两个链接，其中一个针对俄语用户，另一个针对其他语言用户。然后，木马会按照从服务器接收的内容显示一个对话框，用户点击确认按钮后会在浏览器打开相应的链接。

Android.HiddenAds.Aegis.1

一种木马程序，会隐藏在安卓设备上显示烦人的广告。属于 Android.HiddenAds 的一个子家族，在很多方面与该家族的其他成员有所不同。例如，此类木马在安装后能够自行启动。此外，还实施了一种保证其服务始终保持运行的机制。在某些情况下还能使用安卓 操作系统的隐藏功能。

Android.MobiDash.7815

用于不断显示广告的木马，为软件模块，应用编写者可将其加入应用。

不良软件

2024年最常见的不良应用是 Program.FakeMoney.11，占的52.10%，也就是不良软件侦测总量的一半。 此应用属于的应用程序家族宣称功能是用户通过完成各种任务就可以赚钱，但实际上最终不会支付任何真正的奖励。

Dr.Web反病毒软件将其侦测为Program.CloudInject.1 的软件排名第二，占比为占比19.21%，比上年提高9.75个百分点。 此类软件是通过云服务CludInject修改的程序，修改过程中添加了危险权限和其目的无法控制混淆代码。

Program.FakeAntiVirus.1 连续两年活跃度下降，跌至第三，占比 10.07%，比 2023 年下降了 9.35 个百分点。 该应用程序是模仿反病毒软件的操作，侦测不存在的威胁，并建议安卓设备用户购买所谓完整版本来“修复”所谓已发现的问题。

在过去的一年里，用户遭遇各种用于监视和控制活动的程序。此类软件既可以在设备所有者同意的情况下收集数据，也可以在用户不知情的情况下收集数据， 也就是实际变成了间谍工具。受 Dr.Web 保护的设备上最常侦测到的监控程序是 Program.TrackView.1.origin （占 2.40%）、 Program.SecretVideoRecorder.1.origin（占 2.03%）、 Program.wSpy.3.origin (占 0.98%)、Program.SecretVideoRecorder.2.origin（占0.90%）、 Program.Reptilicus.8.origin（占0.64%）、Program.wSpy.1.origin（占0.39%）和 Program.MonitorMinor.11（占 0.38%）。

此外，安卓用于 Program.Opensite.2.origin 也广泛传播，其功能是加载指定网站并显示广告，占不良软件侦测总数的 0.60%。

下图是2024年最常侦测到的10个不良应用程序：

Program.FakeMoney.11

Program.FakeMoney.7

谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。

Program.CloudInject.1

侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。

Program.FakeAntiVirus.1

侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。

Program.TrackView.1.origin

通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

通过安卓设备的内置摄像头进行背景照片和视频拍摄的各种应用程序。可隐身运行并在进行拍摄的通知，还能将应用程序图标和相关信息更改为假图标和假信息。这些功能使其具有潜在风险。

Program.wSpy.3.origin

间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。

Program.Reptilicus.8.origin

一个可监视安卓设备所有者的应用程序，可获取设备位置信息、收集短信通信和社交网络对话数据、监听电话和周围环境、截取屏幕截图、跟踪键盘输入，并能从设备复制文件和执行其他操作。

Program.Opensite.2.origin

同类型的安卓程序，其功能是加载指定的网站并显示广告。此类应用程序经常伪装成其他软件。例如，有些变种以 YouTube 视频播放器为幌子传播，会加载真实的服务网站并利用接通的广告 SDK显示广告横幅。

风险程序

工具 Tool.SilentInstaller 的功能是让用户无需安装即可运行安卓应用程序，再次成为最常侦测到的风险程序，此类工具占风险应用程序侦测量的三分之一。最常见的变种是 Tool.SilentInstaller.17.origin （16.17%）、 Tool.SilentInstaller.14.origin（9.80%）、 Tool.SilentInstaller.7.origin（3.25%）和 Tool.SilentInstaller.6.origin（2.99％）。

其他常见的风险程序是使用工具NP Manager修改的应用程序。这种工具能在目标软件中嵌入一个特殊模块，嵌入后绕过数字签名验证。 Dr.Web 反病毒软件将此类程序侦测为 Tool.NPMod 家族的各种变种。其中，侦测到最多的变种是 Tool.NPMod.1。在过去一年中这些程序的侦测量增加，占风险程序侦测量的 16.49%，比 2023 年高出 11.68 个百分点。 与此同时，被侦测为 Tool.NPMod.2的经NP Manager 工具修改过的软件占比也大幅增加，为 7.92%。这样，该家族成员的侦测量占到所有风险程序侦测量的近四分之一。

受打包器 Tool.Packer.1.origin 保护的应用程序也是否活跃，占13.17%，比上一年增加了 12.38 个百分点。此外，Tool.Androlua.1.origin 的侦测数量从 3.10% 增加到 3.93%，这是一个框架，用于修改已安装的安卓程序并执行可能具有恶意的 Lua 脚本。

与此同时，2023年的侦测较多的工具家族 Tool.LuckyPatcher 的活动略有下降，从14.02%下降到8.16%。这些工具用于添加从互联网下载的脚本来修改安卓程序。受 Tool.Obfuscapk 混淆器工具保护的程序以及受打包程序 Tool.ApkProtector 保护的程序侦测量也有所下降，分别是从 3.22% 下降到 1.05%，从 10.14% 下降到 3.39%。

2024年安卓设备上最常侦测到的十种风险应用程序如下：

Tool.NPMod.1

Tool.NPMod.2

使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。

Tool.SilentInstaller.17.origin

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。

Tool.Packer.1.origin

一种专门用于保护 安卓应用程序免遭修改和逆向工程的打包实用工具，本身不是恶意软件，但可以用来保护不良程序和木马。

Tool.LuckyPatcher.1.origin

用于修改已安装安卓应用的工具，为应用打补丁，更改其工作逻辑或绕过某些限制。例如，用户可利用这一工具禁用网银软件的根访问检查或在游戏中能够获得无限资源。创建补丁时次工具从互联网下载专门的脚本，但任何人都可以创建这些脚本并将其添加到公共数据库。此类脚本的功能也可能是恶意的，因此创建的补丁可能存在潜在危险。

Tool.Androlua.1.origin

此记录用于侦测一系列使用 Lua 脚本编程语言开发的安卓程序专用框架的风险版本。 Lua应用的主要逻辑位于相应的脚本中，这些脚本在执行之前由解释器进行加密和解密。通常，这种框架会默认请求访问许多系统权限，其执行的 Lua 脚本能够利用收到的权限执行各种恶意操作。

Tool.Packer.3.origin

侦测代码被NPManager工具加密和混淆的安卓程序。

广告应用

2024 年最常见的广告软件是新的 Adware.ModAd 家族，占侦测总数的 47.45%。上一年位居第一的 Adware.Adpush 家族降至第二，占比为 14.76%（侦测量下降了 21.06 个百分点）。 排名第三的是新的广告应用家族 Adware.Basement，占8.68%。

其他广告软件家族的传播情况是 Adware.Airpush 占比从8.59%下降到4.35%、Adware.Fictus 占比从4.41%下降到3.29%、 Adware.Leadbolt 占比从4.37%下降到2.26%、Adware.ShareInstall 占比从5.04%下降到1.71%。 2023 年排名第二的 Adware.MagicPush 广告程序显著减少，未能进入前十名，下滑至第十一位，占比为 1.19%（下降了 8.39 个百分点）。

2024年安卓设备上最常见的10个广告应用如下图所示：

Adware.ModAd.1

此记录用于侦测 WhatsApp 通讯程序的一些被修改版本 (mods)，其功能中嵌入了在使用通讯程序时通过网页显示下载指定链接的代码。这些互联网地址会重定向到广告网站，例如在线赌场和博彩公司以及成人网站。

Adware.Basement.1

显示不良广告的应用程序，通常会将用户引导至恶意和欺诈网站，与不良程序 Program.FakeMoney.11 共享一个通用的代码库。

Adware.Fictus.1

Adware.Fictus.1.origin

网络犯罪分子将此广告模块嵌入流行的安卓游戏和程序的克隆版本。模块使用专门的net2share打包程序与程序集成。以这种方式创建的软件副本通过各种应用商店传播，安装后会显示不需要的广告。

Adware.Adpush.21846

Adware.AdPush.39.origin

可集成到安卓程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。

Adware.Airpush.7.origin

嵌在Android应用程序中显示各种广告的广告模块家族中的一个模块。不同版本和变种可能显示的是广告、弹出窗口或横幅。不法分子经常利用这些模块建议用户安装各种软件，借此传播恶意软件。此外，此类模块能够将各种私密信息传输到远程服务器。

Adware.ShareInstall.1.origin

可以集成到安卓程序中的广告模块，安卓操作系统锁机屏显示广告通知。

Adware.Youmi.4

此记录用于侦测在 安卓设备主屏幕放置广告快捷方式的不良广告模块。

Adware.Inmobi.1

此记录用于侦测某些SDK Inmobi 广告版本，这些版本能够拨打电话以及将事件添加到 安卓设备日历中。

GooglePlay中的威胁

2024 年我公司病毒分析师在 Google Play 目录中发现的威胁超过 200 种，总下载量超过 26,700,000 次。其中除了木马 Android.Click.414.origin，还有广告木马 Android.HiddenAds 等多种木马，打着各种软件的幌子进行传播，如照片编辑器、条形码扫描软件、图片集，甚至还有所谓的让智能手机免遭窥探的“防盗”警报器。 此类木马安装后会隐藏自身图标，并开始不断显示广告，覆盖系统和其他程序的界面，干扰设备的正常使用。

2024 年在 Google Play 发现的广告木马示例。Android.HiddenAds.4013 藏身于照片编辑器 ； Android.HiddenAds.4034 藏身于图片收集器Cool Darkness Wallpaper； Android.HiddenAds.4025 藏身于条形码扫描软件QR Code Assistant, Android.HiddenAds.656.origin 藏身于警报软件Warning Sound GBD

我们的技术专家还侦测到攻击者使用复杂的软件打包程序来保护的各种木马程序。

应用Lie Detector Fun Prank 中藏有木马 Android.Packed.57156， 软件Speaker Dust and Water Cleaner中藏有有打包器保护的木马 Android.Packed.57159。

侦测到的恶意软件还包括用于各种欺诈模式的 Android.FakeApp 家族成员。大部分此类木马的主要任务是打开指定的链接，但在特定条件下也可以完成其所声明的软件功能。 其中许多都是以各种金融程序（例如参考和培训手册、盈利能力计算器、股票交易应用程序、家庭会计工具）、笔记本、日记、测验和调查参与程序等的名义进行传播。木马下载的是投资诈骗网站。

加载诈骗网站链接的 Android.FakeApp 木马示例： Android.FakeApp.1681 (SenseStrategy)、 Android.FakeApp.1708 (QuntFinanzas)

部分 Android.FakeApp 假冒程序是以各类游戏的名义进行传播，其中许多可以提供游戏功能，但主要任务是加载在线赌场和博彩公司网站。

加载在线赌场和博彩公司网站的 Android.FakeApp 假冒游戏木马示例 Android.FakeApp.1622 (3D Card Merge Game)、Android.FakeApp.1630 (Crazy Lucky Candy)

这样家族的部分木马再次伪装成求职应用程序，这种骗局是加载虚假的招聘列表，提示用户通过提供个人信息来创建“简历”。 另一些情况是木马可能会提示潜在受害者通过通讯工具联系所谓的“雇主”。事实上，潜在的受害者的信是写给了犯罪分子，而犯罪分子会试图引诱他们落入各种诈骗陷阱。

伪装成求职应用的 Android.FakeApp 木马示例： Android.FakeApp.1627 (Aimer)、 Android.FakeApp.1703 (FreeEarn)

此外，Google Play中再次出现为用户订阅付费服务的木马应用，其中之一是 Android.Subscription.22，假冒照片编辑器InstaPhoto Editor进行传播。

为用户订阅付费服务的木马 Android.Subscription.22

Android.Joker 和 Android.Harly 家族成员也属此类木马，具有模块化架构。前者能够从互联网上下载辅助组件，而后者的特点是通常将必要的模块以加密形式存储在其资源环境中。

为用户订阅付费服务的木马示例。Android.Joker.2280 藏于星座算运应用，Android.Harly.87 藏于游戏BlockBuster

除了恶意软件，我公司专家还在 Google Play 中发现了新的不良软件，其中有 Program.FakeMoney.11 和 Program.FakeMoney.14的各种变种。 这些程序属于同一类应用，其用户可以通过执行各种任务（通常是靠刷广告）来获得虚拟奖励，声称奖励可以兑换成现金或奖品，但为了提取“赚到的”钱，用户需要积累一定数额的奖励。 然而事实上即便积累达到数额，用户最终也根本得不到任何实际的提现。

Program.FakeMoney.11 借游戏Copper Boom进行传播，而 Program.FakeMoney.14 打着的幌子是游戏Merge Party

此外，我们的病毒分析师在过去一年里在Google Play 不断发现了新的广告程序，其中包括内置广告模块 Adware.StrawAd 的应用和游戏，能够显示来自各种服务提供商的广告。

内置广告模块 Adware.StrawAd 的应用示例： Crazy Sandwich Runner (Adware.StrawAd.1)、 Poppy Punch Playtime (Adware.StrawAd.3)、 Finger Heart Matching (Adware.StrawAd.6)、 Toimon Battle Playground (Adware.StrawAd.9)

通过Google Play 传播的还有广告应用 Adware.Basement，其广告经常将用户引至恶意和诈骗网站。值得注意的是，该家族与恶意程序 Program.FakeMoney.11 具有共同的代码库。

不良广告应用 Adware.Basement 示例： Lie Detector: Lie Prank Test、 TapAlarm:Don't touch my phone和Magic Voice Changer — Adware.Basement.1； Auto Clicker:Tap Auto — Adware.Basement.2

银行木马

根据安卓移动设备保护产品Dr.Web Security Space的侦测统计，2024年侦测到的银行木马数量占受保护设备恶意软件侦测总量的6.29%，比去年增加2.71个百分点。从一月份其银行木马活动持续减弱，但春季开始活跃起来。第三季度侦测量基本持平，之后再次开始增长，并在十一月份达到峰值。

2024年，已知银行木马家族再次广泛传播，其中包括恶意软件 Coper, Hydra (Android.BankBot.1048.origin、 Android.BankBot.563.origin)、 Ermac (Android.BankBot.1015.origin、 Android.BankBot.15017)、 Alien (Android.BankBot.745.origin、 Android.BankBot.1078.origin)、 Anubis (Android.BankBot.670.origin)。此外还记录到使用Cerberus家族木马 Cerberus (Android.BankBot.11404)、 GodFather (Android.BankBot.GodFather.3、 Android.BankBot.GodFather.14.origin)和 Zanubis (Android.BankBot.Zanubis.7.origin) 的进攻。

在过去一年中，攻击者一直在积极传播间谍木马Android.SpyMax，该木马具有多种恶意功能，包括远程控制被感染设备，也被广泛用作银行木马。该家族最初包含的是多功能 RAT 木马 SpyNote（RAT - 远程访问木马）。但在其源代码泄露之后，开始出现各种变种，例如CraxsRAT、G700 RAT。 Dr.Web Security Space 的移动设备的侦测统计数据显示，该家族的成员从 2023 年下半年开始变得更加活跃，侦测数量几乎逐月增长。这一趋势目前仍未改变。

Android.SpyMax 木马病毒针对的是全球用户。去年不法分子利用此木马对俄罗斯用户发动了多起攻击，46.23% 的侦测都记录到是专门针对这一受众。这些恶意软件程序在巴西（占侦测量的 35.46%）和土耳其（占侦测量的 5.80%）安卓设备用户中的传播也最为活跃。

值得注意的是，这些恶意程序在俄罗斯的传播主要不是通过垃圾邮件或传统的网络钓鱼，而是在电话诈骗过程中进行。诈骗者打电话给潜在受害者时通常会试图让其相信自己是银行或执法机构的工作人员，通知出现了所谓的问题，比如有人试图从银行账户或贷款中窃取资金，或者相反，诈骗者会说国家有补贴。当诈骗者确认已获取用户信任后，他们会诱导用户安装所谓的“反病毒更新”、“银行应用”或其他程序来“确保安全交易”。事实上，这样的程序中就隐藏着木马 Android.SpyMax。

2024 年俄罗斯用户还遭遇银行木马家族 Falcon (Android.BankBot.988.origin、Android.Banker.5703) 和 Mamont (Android.Banker.637.origin、Android.Banker.712.origin)。此外，还记录到银行木马 Android.Banker.791.origin 和 Android.Banker.829.origin 对俄罗斯和乌兹别克斯坦安卓设备用户的进攻以及银行木马 Android.Banker.802.origin 对俄罗斯、阿塞拜疆和乌兹别克斯坦用户的进攻，而 木马 Android.Banker.757.origin 进攻对象是俄罗斯、乌兹别克斯坦、塔吉克斯坦和哈萨克斯坦用户。

我们的技术人员再次记录到木马 MoqHao (Android.Banker.367.origin、Android.Banker.430.origin、 Android.Banker.470.origin、 Android.Banker.593.origin) 进攻包括东南亚和亚太国家在内的多个国家的用户。其他木马病毒针对的也是这一目标群体。例如，韩国 Android 设备用户就曾遇到木马家族Fakecalls (Android.BankBot.919.origin、Android.BankBot.14423、Android.Banker.5297)、 IOBot (Android.BankBot.IOBot.1.origin) 和 Wroba (Android.Banker.360.origin)的进攻，Wroba 其他变种(Android.BankBot.907.origin、Android.BankBot.1128.origin)进攻的是日本用户。

中国用户好遭受到木马 Android.Banker.480.origin 的威胁，越南用户遭受到 Android.BankBot.1111.origin 的威胁。 同时，攻击者还利用木马TgToxic（Android.BankBot.TgToxic.1）攻击印度尼西亚、泰国和台湾的信贷机构客户，利用 GoldDigger木马（Android.BankBot.GoldDigger.3）攻击泰国和越南用户。

再次记录到针对伊朗用户的攻击，包括 Android.Banker.709.origin、Android.Banker.5292、 Android.Banker.777.origin、Android.BankBot.1106.origin 等银行木马。 对土耳其银行客户的攻击使用的木马还有Tambir 家族的成员（Android.BankBot.1104.origin、 Android.BankBot.1099.origin、Android.BankBot.1117.origin）也在针中被发现。

印度安卓设备用户中广泛传播的银行恶意软件有 Android.Banker.797.origin、Android.Banker.817.origin 和 Android.Banker.5435，伪装与信贷机构 Airtel Payments Bank、 PM KISAN 和 IndusInd Bank有关的软件。 此外，银行木马 Rewardsteal（Android.Banker.719.origin、Android.Banker.5147、 Android.Banker.5443）的活动仍在持续，其主要目标是 Axis 银行、HDFC 银行、SBI、ICICI 银行、RBL 银行和花旗银行的印度客户。

在拉丁美洲国家，PixPirate 木马 (Android.BankBot.1026.origin) 的活动再次出现，针对的是巴西银行的客户。

欧洲用户主要是木马Anatsa（Android.BankBot.Anatsa.1.origin）和 Copybara（Android.BankBot.15140、 Android.BankBot.1100.origin）的攻击目标。后者主要针对意大利、英国和西班牙用户。

2024 年我公司病毒分析师记录到不法分子更加频繁地使用一些技术手段来保护安卓恶意程序（主要是银行木马）绕过分析和侦测的。 具体来说，攻击者对APK文件的基础ZIP格式进行各种操作，使许多使用标准算法处理 ZIP 档案的静态分析工具无法正确处理此类被“损坏”文件。 同时，木马会被安卓操作系统视为常规程序，正常进行安装和运行。

还有一种常见的技术是更改APK 内部本地文件头结构中的 compression method 和 compressed size 。攻击者故意在 compressed size 和 uncompressed size 指定不正确的值，或者在 compression method 中写入不正确或不存在的压缩方法。另一个手段是指定一种进行压缩，在这种情况下， compressed size 和 uncompressed size 应该匹配，而不法分子故意将其设为不匹配。

另一种常用的方法是在 ECDR（End of Central Directory Record中央目录记录结束）和 CD（Central Directory中央目录文件标头，也就是压缩文件中文件和参数数据所在位置） 中使用不正确的磁盘数据。对于完整的压缩文件来说，这两个参数应一致，而网络犯罪分子为其指定不同的值，造成不是一个完整压缩文件，而是一个多存档的假象。

还有一种常见的技术是在压缩文件中某些文件的本地文件标头中加入加密标志，而实际上这些文件并未加密，造成压缩文件在分析过程中会被错误读取。

除了更改 APK 文件的结构外，病毒编写者还使用了其他方法，例如修改安卓 应用配置文件 AndroidManifest.xml。比如在文件的属性文件中添加了垃圾字节 b'\x00'，导致文件读取出错。

趋势前瞻

过去一年表明，网络犯罪分子仍在不断进攻安卓设备用户来牟取私利，其主要工具仍然是广告和银行木马、具有间谍软件功能的恶意应用以及诈骗软件。可以预见，2025 年还会出现此类新威胁。

尽管Google Play 已采取措施提高其安全性，但这个应用商店仍然会是安卓威胁传播的来源之一。因此，不能排除出现新恶意应用和不良应用可能性。

去年发现的又一起安卓操作系统电视机顶盒感染案例表明病毒编写者正在扩展攻击设备的类型。很有可能攻击者不仅会再次向此类设备发动进攻，而且还会在其他安卓 设备中继续寻找进攻目标。

此外，病毒编写者可能会继续大肆引入新的技术方法来逃避对恶意程序的分析和侦测。

我公司专家持将续监控移动网络威胁的发展并确保我公司产品用户设备的安全。为了提高您设备安全性，建议安装 Dr.Web 反病毒软件对抗恶意软件、不良程序和风险程序，让诈骗手段和其他安全威胁无机可乘。