Doctor Web：2017年4月移动设备病毒活动综述

2017.04.28

4月份，Doctor Web公司技术人员侦测到一种用来从事网络间谍活动的安卓木马，并在Google Play目录侦测到多个银行木马，不法分子利用这些银行木马窃取机密信息并盗取账户钱财。其中一种木马被嵌入用来观看互联网视频的程序，还有一种银行木马伪装成手电筒应用程序。

本月移动威胁

4月份Doctor Web公司病毒分析人员侦测到木马Android.Chrysaor.1.origin，病毒编写者利用该木马从事网络间谍活动。这一恶意程序窃取Skype、Viber、WhatsApp等多种在线通讯软件的通讯记录，盗取Web浏览器历史记录、短信消息等机密信息。此外，该程序还跟踪移动设备键盘操作、拦截所有输入信息、截屏，并可暗中接听网络犯罪分子来电，以此进行监听活动。

Dr.Web安卓反病毒产品收集的统计数据

• Android.HiddenAds.83.origin
• Android.HiddenAds.76.origin
• Android.HiddenAds.68.origin
• Android.HiddenAds.93

用来显示烦人广告的木马。被有时暗中安装到系统目录的恶意程序伪装成热门应用进行传播。

Android.Sprovider.9

一种木马程序，用来在安卓通知栏显示烦人的广告并下载、启动包括恶意程序在内的其他应用。

• Adware.Jiubang.1
• Adware.Leadbolt.12.origin
• Adware.Airpush.31.origin
• Adware.Patacore.2
• Adware.Appsad.3.origin

嵌入到安卓应用、用来在移动设备显示烦人广告的不良程序模块。

银行木马

4月份在Google Play目录出现多个安卓银行木马。其中一个木马添加到Dr.Web病毒库时命名为Android.BankBot.179.origin，该木马隐藏在用来观看幽默视频的Funny Videos 2017和HappyTime应用中，是Doctor Web公司在1月份介绍的一种安卓银行木马的变种，以病毒编写者公布共享的源代码为基础编写而成。

Android.BankBot.179.origin从控制服务器获取带有银行软件等程序列表的配置文件，监测列表中的程序运行。列表中任一银行程序启动，木马都会在其上方显示用来输入用户名和密码的伪造登录窗口。如果用户启动Google Play应用，Android.BankBot.179.origin会显示虚假的付款服务设置窗口，询问银行卡信息。此外，这一木马还会监控短信并拦截接收的验证码。

Android.BankBot.179.origin特点如下：

• 以病毒编写者在互联网发布的银行木马源代码为基础创建而成；
• 通过Google Play目录进行传播；
• 被植入到全功能视频播放器中；
• 启动后过段时间会询问移动设备管理员功能访问权限，使自身难以被删除；
• 不法分子只需更新配置文件即可攻击数百种银行程序及另一种常见软件。

另一个4月份在Google Play目录侦测到的安卓银行木马被命名为Android.BankBot.180.origin。这一木马被植入到名为Flashlight LED Widget的手电筒应用中。启动后木马会从主屏幕删除自身图标并申请移动设备管理员权限。随后通过恶意程序工具控制手电筒。

Android.BankBot.180.origin一旦监测到银行程序启动，就会在其上方显示用来输入用户名和密码的虚假窗口。同Android.BankBot.179.origin木马一样，该恶意应用会在用户启动Google Play时显示虚假窗口，窃取用户银行卡信息。

由于网络犯罪分子能够利用安卓银行木马窃取账户钱财，所以这种木马是一种最危险的恶意程序。通过Google Play传播的银行木马也是一大威胁。该目录被看作是安卓移动设备最可靠的软件来源，所以智能手机和平板电脑用户在下载其中程序时经常会放松警惕。Doctor Web公司建议用户安装Dr.Web安卓反病毒软件来保护智能手机和平板电脑免受银行木马等危险程序的威胁。