2015年1月安卓移动设备病毒活动综述
2015.02.02
1月主要趋势
- 银行木马活动
- 出现新间谍程序
- Google Play目录中存在使用攻击性广告系统的程序
- 不法分子嵌入到操作系统固件或直接嵌入移动设备的木马进一步传播
Dr.Web数据库添加的安卓操作系统威胁新记录
| 恶意软件 | 间谍程序 | 广告模块 | |
|---|---|---|---|
| 2015.1 | 351 | 11 | 13 |
本月移动威胁
木马Android.CaPson.1
- 可嵌入被不法分子更改的安卓固件内传播。
- 该木马是Linux执行文件,启动时可从中提取多个工作模块,其中部分模块加密。之后此类组件将解密并加载到内存中,删除原始文件并进行恶意活动。
- 能够暗中发送并拦截SMS消息,打开互联网网页,将被感染移动设备的信息传送到远程服务器,并下载其他应用程序。
安卓银行木马
在过去的一个月中,Doctor Web公司技术人员侦测到一些新的攻击安卓移动设备用户的银行木马。此类恶意应用程序再度在韩国频繁出现,不法分子大量群发包含木马下载链接SMS短信来传播安卓木马。
本月共记录到40多次传播不同恶意程序此类垃圾短信群发。
木马Android.MulDrop
用于在移动设备上传播并安装其他安卓木马的恶意程序。韩国病毒编写者使用此类恶意应用程序来传播不同的银行木马。
Android.BankBot.29.origin
窃取多家韩国信贷机构的用户验证数据的银行木马。启动真正的网上银行程序时,木马用虚假副本替换界面,要求填写银行账户管理访问权限所需的所有机密信息。然后将用户输入的信息传送给不法分子。而恶意程序Android.Banker.32.origin是伪装成某种银行订阅服务来试图安装到用户计算机。
Android.Banker.50.origin
是一种用于窃取安卓系统用户账户资金的银行木马。
网络间谍软件
网络间谍给移动设备用户造成的威胁不容忽视。1月份Dr.Web病毒库添加了大量用于在安卓智能手机和平板电脑中安装并监视用户的各种商业间谍应用程序。在侦测到已知“移动”间谍程序家族新代表的同时,还侦测到了Program.MobileSpy、Program.Tracer、Program.Highster、Program.OwnSpy、Program.MSpy等程序。Doctor Web公司技术人员还分析了新出现的此类别间谍程序,例如,Program.ZealSpy.1.origin、 Program.LetMeSpy.1.origin和Program.CellSpy.1.origin。
- Program.ZealSpy.1.origin
- 拦截SMS和email消息
- 获取手机通话记录及用户联系人信息
- 跟踪GPS定位
- 读取常见短信通讯程序中的通信等等
- Program.LetMeSpy.1.origin
此恶意程序能够跟踪:
- SMS短信;
- 手机通话;
- 安卓设备GPS定位。
- Program.CellSpy.1.origin
- 拦截SMS消息和手机来电
- 获取设备GPS定位
- 暗中进行环境录音
- 查看Web浏览器历史记录
Google Play目录中的威胁
Google Play目录中的应用程序经常包含货币化风险模块或不良模块,这些模块向用户显示烦人的广告。1月份侦测到了一个这样的模块,被一些免费程序的编写者使用,已经被添加到Dr.Web病毒库,命名为Adware.HideIcon.1.origin.
Adware.HideIcon.1.origin
用于免费安卓应用程序货币化的广告插件。具有以下恶意功能。
- 能够仿造重要文件的加载过程,利用欺骗手段使智能手机或平板电脑的持有者打开“已收费”的Web网站。
- 定期建议用户安装一些“更新”,这些更新实际上是新的广告。
- 启动某些已安装在移动设备上的应用程序时在屏幕上显示烦人的广告
- 删除程序的原始快捷方式,导致没有经验的用户更加难以确定烦人广告的来源。同时,在操作系统主屏幕上创建新快捷方式代替原“图标”,而这些新快捷方式还是链接到各种互联网广告。
