2015年移动设备病毒活动综述

病毒报告 | Doctor Web公司新闻 | 病毒新闻

2015.12.30

2015年对于智能手机和平板电脑用户来说不同寻常。网络犯罪分子继续将主要注意力集中在安卓设备,2015年侦测到的大部分移动恶意程序和不良程序都针对这一平台。各种银行木马非常活跃,安卓勒索木马、广告模块和短信木马数量增多。此外,预置在安卓固件中的恶意软件数量增加。出现大量试图获取安卓移动设备root权限并利用各种rootkit感染系统目录的木马,给用户造成严重威胁。同时,不法分子也没有忽略Apple产品用户,2015年出现了不少针对iOS智能手机和平板电脑危险软件。

2015年主要趋势

  • 安卓银行木马正在传播
  • 获取root权限并感染安卓设备系统目录的木马增多
  • 更多恶意应用程序入侵到安卓固件
  • 出现新的iOS恶意程序

移动设备病毒概况

2015年不法分子继续对安卓移动设备进行攻击,同时网络犯罪分子和以往一样,以获利为主要目的。2015年病毒编写者使用的方法变化多端,之前他们大量使用向付费号码发送高价短信的恶意程序而获利,现在则越来越多地使用其他获利方式。根据Dr.Web安卓反病毒产品收集的统计数据显示,2015年在安卓智能手机和平板电脑上侦测到最多的恶意程序和不良程序如下:

#drweb

这一统计数据表明,各种显示烦人报价的广告模块成为最常见的移动威胁。在被感染智能手机和平板电脑安装多余软件的各种后门木马和木马下载器也十分常见。同时,这些恶意程序经常试图获取被感染系统的root权限,暗中进行安装。可以肯定的是,2015年不法分子利用此类木马进行的病毒事件数量在稳步增加。这一点在Dr.Web安卓反病毒产品侦测数据中也得到了证实:2015年最常见的十大恶意应用程序中包括 Android.BackDoor.240.originAndroid.DownLoader.155.origin,这两个程序都试图获取受攻击设备的root权限,以便随后暗中安装各种软件。

#drweb

2015年安卓后门木马和木马下载器的侦测情况见下图,其中大量木马试图获取移动设备root权限。

#drweb

#drweb

获取root权限的木马

2015年移动设备信息安全的一个主要趋势是出现大量获取被感染安卓智能手机和平板电脑root权限的木马。这些木马成功获取root权限后,权利不再受限,能够暗中安装各种软件,将其植入到系统目录,利用rootkit感染移动设备。

2015年3月,Doctor Web公司技术人员侦测Android.Toorch家族恶意程序时就记录到首批使用此类木马的一个事件。病毒编写者通过中国常用的软件下载网站,利用植入到各种程序的侵略性广告模块进行传播。此类木马在安卓设备上启动后会将自身系统权限提高到root级别,随后暗中向系统目录安装自己的一个组件。恶意应用程序Android.Toorch可根据不法分子指令,在未经用户批准的情况下下载、安装并卸载各种软件。

另一个被添加到病毒库,命名为Android.Backdoor.176.origin的木马试图利用从互联网下载的Root Master工具经修改版本获取被感染智能手机或平板电脑的root权限。成功获取权限后,木马会在系统目录复制多个辅助恶意模块,随后根据控制服务器发送的指令暗中安装并卸载应用程序。同时,Android.Backdoor.176.origin会向不法分子发送被感染移动设备的详细信息,跟踪来电和去电、发送和接收短信的数量。值得注意的是,该木马会盗用专用系统属性,使自身无法从被感染系统删除。

随后技术人员侦测到一个Android.Backdoor.176.origin新版本,将其添加到病毒库,命名为Android.Backdoor.196.origin。这一木马利用相同方式获取root权限,成功获取后启动从不法分子服务器下载或复制下来并从恶意程序资源解密的第二个组件。该组件被命名为Adware.Xinyin.1.origin,能够执行不法分子所需的操作,暗中下载并安装各种程序,发送短信、跟踪已接来电去电的数量以及接收短信和发送短信的数量。

还有一个木马试图获取安卓系统的root权限,由病毒编写者伪装成名为Brain Test的无害应用程序在Google Play目录中传播。这一恶意程序被命名为Android.Backdoor.273.origin,依次从控制服务器下载并试图执行多个攻击代码,来获取安卓系统root权限。成功后,木马从控制服务器下载辅助恶意组件(可暗中在系统目录进行安装并被不法分子用来暗中下载并安装其他危险的应用程序)。为了防止被删除,Android.Backdoor.273.origin在系统目录中放置多个补充模块,跟踪检查木马所有恶意组件是否完整,如果组件被删除,会将其重新安装。

#drweb #drweb

木马Android.DownLoader.244.origin对于安卓设备用户也造成不小的威胁,通过常用软件下载网站经网络犯罪分子修改的原本无害的程序和游戏进行传播。这一恶意程序试图获取被感染设备的root权限,随后按照控制服务器的指令下载各种应用程序并将其暗中安装到系统目录。值得注意的是,木马首次启动后会向用户申请特有系统功能权限(Accessibility Service)。如果潜在受害者同意提供木马所需权限, Android.DownLoader.244.origin 就能够监控设备中发生的所有事件,暗中安装应用程序,模仿用户操作,在安装程序时自行点击对话窗口的按钮。如果没有成功获取root权限,木马还具有执行恶意功能的“备用方案”。

#drweb

固件木马

去年,预置在移动设备中的木马再度成为亟待解决的问题。由于智能手机和平板电脑用户往往不知道这一“礼物”的存在,认为其设备不会存在任何危险,所以此类恶意程序传播方式对用户构成严重威胁。即使所隐藏的恶意程序随后被发现,由于需要获取root权限或将操作系统更新成纯净版本,也很难将其删除。因为越来越多的不法分子在第三方固件中植入木马程序,所以安装第三方固件也会出现问题。

2015年1月技术人员侦测到一个这样的恶意程序,将其命名为Android.CaPson.1,该木马由网络犯罪分子植入到各种安卓系统样本,能够暗中发送并拦截短信,打开互联网网页,将被感染移动设备信息传送到远程服务器,并下载其他应用程序。

2015年9月,Doctor Web公司技术人员发现早在2014年就被侦测到的木马Android.Backdoor.114.origin被不法分子预先安装到平板电脑Oysters T104 HVi 3G。这一恶意程序能够根据控制服务器发出的指令暗中下载、安装并卸载应用程序,还能够自行启用已关闭的允许安装未知来源软件的选项,收集被感染设备的详细信息并发送到远程服务器。这一事件详情请参阅Doctor Web公司网站发布的介绍

2015年10月在多个安卓移动设备中侦测到预置木马Android.Cooee.1。这一危险程序位于固件程序(安卓图形壳),包括一系列用于显示广告的专用模块。木马还能够暗中下载补充广告包,或下载其他应用程序(包括恶意软件)并启动执行。

广告模块

各种由开发人员嵌入到安卓应用程序的广告模块使其获利的同时也使常用软件免费。这样一来,大多数用户可以省钱,会感到满意。但是越来越多的无良程序开发者,甚至是病毒编写者开始使用侵略性广告模块显示烦人的报价,窃取机密信息并执行各种不良操作。2015年一直保持这一趋势,在安卓设备中被侦测到的不良广告应用程序数量如下:

#drweb

2015年1月技术人员发现嵌入到多个Google Play常用程序的广告插件Adware.HideIcon.1.origin。用户安装这些应用程序后,就会看到大量烦人的通知。木马在移动设备通知栏会定期显示某些可用更新的通知,仿造重要文件加载过程,在用户试图将其打开时将用户重新定向到各种Web网站。此外,启动各种软件都会全屏显示广告。

#drweb

#drweb

#drweb

2月份同时出现了多个新的不良广告模块。其中一个被命名为Adware.MobiDash.1.origin,不法分子将其嵌入到Google Play目录的常用程序中,其下载总量已达到数千万次。每次从安卓设备待机模式退出时Adware.MobiDash.1.origin都会在Web浏览器加载带有各种广告以及包含故障警告的可疑消息、安装各种程序或更新建议等的互联网网页。Adware.MobiDash.1.origin能够在用户程序和操作系统界面上方显示广告,并在通知栏显示广告和其他消息。值得注意的是,该模块不是立刻开始运行,而是在安装包含此模块的程序后经过相当长的时间才开始活动,因此在激活Adware.MobiDash.1.origin前,用户在设备中难以发现不良活动的来源。

4月份出现这一模块的新版本,具有相同功能,被命名为Adware.MobiDash.2.origin。同之前版本一样,Adware.MobiDash.2.origin在Google Play程序中传播,其下载总量已超过2 500 000。Adware.MobiDash.2.origin详情请参阅新闻

#drweb

#drweb

2015年2月还侦测到多个侵略性安卓广告模块。其中Adware.HiddenAds.1利用各种恶意程序安装到设备,没有快捷方式图标和图形界面,以隐藏模式运行并在通知栏显示各种广告消息。命名为Adware.Adstoken.1.origin的模块在各种应用程序中传播,在屏幕上显示广告横幅,在通知栏显示各种消息,并在Web浏览器打开带广告的网站。Doctor Web公司病毒分析人员在年末侦测到一种新的不良安卓广告插件,利用木马Android.Spy.510进行安装,已被添加到病毒库,命名为Android.Spy.510。这一不良软件在大多数已启动程序上方显示广告,使被感染安卓设备的用户以为烦人通知的来源是当前启动的应用程序。

#drweb

银行木马

窃取移动银行账户用户名和密码并暗中盗取账户钱财的木马对安卓智能手机和平板电脑用户的财物构成严重威胁。2015年不法分子继续利用这些恶意程序进行攻击,Dr.Web安卓反病毒产品侦测到1 400 000多起安卓银行木马入侵到智能手机和平板电脑的事件,被侦测到的木马中包括广为人知的Android.BankBotAndroid.Banker等家族木马。

去年,Doctor Web公司病毒分析人员侦测到大量Android.ZBot新家族银行木马。此类恶意程序的危险之处在于,除了能够暗中将用户账户的钱财转移到不法分子的账户,还能够在启动的应用程序上方显示伪造的对话窗口和机密信息输入框(最常见的是用于访问移动银行服务的“用户名-密码”)。

#drweb #drweb #drweb

这些木马的受害者会错认为屏幕上的输入框属于已启动的程序,将重要信息提供给不法分子。Android.ZBot银行木马获取所需信息后,会将其发送到病毒编写者的服务器上,使病毒编写者随后能够控制用户账户并暗中窃取其中的钱财。2015年此类危险的恶意应用程序感染了600 000多台安卓移动设备。

群发不良短信,以这样或那样的借口建议潜在受害者打开通知中指定链接是银行木马的一个常用传播方式。如果安卓智能手机和平板电脑用户上了不法分子的当,就会打开网络犯罪分子的欺诈网站,自己从中下载伪装成有用程序的木马,或被直接重新定向到从互联网资源自动下载的木马文件。例如,在俄罗斯,不法分子群发包含建议潜在受害者查看接收MMS消息的短信。用户在打开接收文本中的指定链接后,往往会进入欺诈网站,这些网站为了增强可信度会使用常用移动运营商的标志。在常见安卓银行木马中值得注意的是Android.SmsBot家族木马,特别是Android.SmsBot.269.originAndroid.SmsBot.291.origin

#drweb #drweb #drweb #drweb #drweb

此外,不法分子会假借对受害者销售通知感兴趣的买方的名义群发欺诈信息:

#drweb

除了群发包含木马下载链接的不良短信,网络犯罪分子还会使用其他方式传播银行木马。比如,在6月份侦测到的恶意程序Android.BankBot.65.origin被不法分子嵌入到官方移动银行应用程序,通过移动设备常用网站伪装成新版应用程序进行传播。经病毒编写者修改的程序保留真实程序的原有功能,不会使潜在受害者产生任何怀疑。Android.BankBot.65.origin能够按照不法分子的指令暗中发送并拦截短信,通过移动银行服务控制用户账户。此外,病毒编写者还能够将各种带有指定内容的短信植入到接收短信列表中,使用这一木马进行诈骗。

#drweb

安卓勒索木马

2015年勒索木马对安卓用户构成严重威胁。此类恶意程序全年在用户设备中共被侦测到1 300 000多次。

#drweb

此类木马的危险性在于锁定智能手机或平板电脑并要求用户支付解锁。大多数安卓勒索木马都这样运行,但其中还包括极为危险的版本。2月份技术人员侦测到Android.Locker.71.origin木马加密器新版本,这一版本能够加密所有可用文件并锁定被感染移动设备,要求受害用户支付200美元的赎金。在每台智能手机或平板电脑上利用独有的加密密钥加密文件,使受损数据几乎无法恢复。

#drweb #drweb #drweb

2015年9月,技术人员侦测到一种通过设定屏幕解锁密码来锁定被感染智能手机和平板电脑的安卓勒索木马。虽然不法分子之前就已在其他木马中使用过此方式,但具备同样功能的安卓木马上锁器非常少见。这一恶意程序被添加到Dr.Web病毒库,命名为Android.Locker.148.origin,启动后试图获取移动设备管理员功能权限,使用与其他大部分同类恶意程序有所区别的特有方式,在标准系统请求上方显示对话窗口,建议用户安装某种更新。用户一旦同意安装此“更新”,就会向木马提供扩展系统功能的访问权限,随后Android.Locker.148.origin会设置屏幕解锁密码,轻松锁定受攻击的智能手机或平板电脑,并要求受害人支付解锁。

短信木马

虽然向收费号码发送高价短信并订阅付费服务的短信木马已经逐渐少于其他恶意应用程序,但仍然同以往一样,是不法分子的常用获利工具。尽管2015年此类木马在安卓智能手机和平板电脑中被侦测到6 000 000多次,年末其传播强度仍有所下降。

#drweb

Google Play中的安卓木马

尽管Google Play应用程序目录是安卓系统最可靠的官方来源,各种木马仍偶尔能出现在下载目录。2015年也不例外。7月份Doctor Web公司技术人员在其中侦测到木马Android.Spy.134Android.Spy.135,这些恶意程序隐藏在貌似无害的游戏中,可在被感染智能手机和平板电脑屏幕上显示伪造的Facebook客户端身份验证窗口,向移动设备用户询问账户用户名和密码,并将输入的数据传送到远程服务器。随后,受害者通讯录上的许多社交网络用户会很快收到来自“朋友”的消息,建议他们安装游戏,并转到指定链接。利用这种方式病毒编写者可广泛传播此类木马:在Google Play目录删除Android.Spy.134Android.Spy.135Android.Spy.135 之前,这两种木马已被下载500 000逾次。

#drweb

7月份Doctor Web病毒分析人员在Google Play目录侦测到另一种木马,将其命名为Android.DownLoader.171.origin。这一恶意应用程序的主要功能是下载并安装各种应用程序。此外,木马可根据病毒编写者指令,删除已安装的软件。Android.DownLoader.171.origin还会在操作系统通知栏显示广告。在Google Play目录侦测到此木马时,已有100 000多名用户下载。而且,不法分子还将这一应用程序传播到了其他常用的在线平台,特别是面向中国用户的平台,造成安装Android.DownLoader.171.origin的安卓设备用户总量超过了一百五十万。 此木马详情请参阅Doctor Web公司网站公布的相关介绍

#drweb

2015年9月,信息安全技术人员在Google Play目录中侦测到木马Android.MKcap.1.origin,该木马植入到各种游戏中,能够自动为用户订阅付费服务,操作是恶意程序识别验证图像CAPTCHA,拦截并处理带有确认码的短信通知。

#drweb

9月份晚些时候,技术人员在Google Play目录中侦测到另外一种危险木马,将其命名为Android.MulDrop.67。恶意程序在启动后提取隐藏在内部的木马下载器并试图将其安装到设备上。此类木马基本功用为下载并安装其他恶意软件、显示广告。

10月份在Google Play目录中侦测到木马Android.PWS.3,这一恶意程序隐藏在伪装成无害的视频播放器中,可监听社交网站Vkontakte中的音频,为了自身运行需要账户用户名和密码,将这些信息暗中传送到不法分子的远程服务器。随后,木马能够在各种分组中自动添加受害移动设备用户,伪造访问量。

#drweb #drweb

欢迎使用大蜘蛛保护您的安卓设备

Купить онлайн Бесплатно

iOS木马

与安卓移动设备不同,很长一段时间iOS智能手机基本上不是病毒编写者的攻击对象。但从2014年起,信息安全技术人员侦测到针对Apple移动平台的新恶意程序和不良程序越来越多。2015年这一趋势仍然存在。

8月份Dr.Web病毒库中添加了木马IPhoneOS.BackDoor.KeyRaider的记录。这一恶意应用程序在不法分子修改的原本无害的程序中传播并感染“越狱”的设备。IPhoneOS.BackDoor.KeyRaider从被感染移动设备收集各种机密信息并将其传送到不法分子的服务器上。

9月份在App Store iOS应用程序官方商店侦测到危险木马IPhoneOS.Trojan.XcodeGhost。由于网络犯罪分子修改了Xcode应用程序开发环境的一个官方版本,软件工程师可利用这一版本在装配阶段暗中将木马嵌入到创建的应用程序中,使恶意程序能够入侵其中。这样原本无害的游戏和程序就会受到感染,成功通过Apple公司的预先检查并毫无障碍地入侵到App Store目录。IPhoneOS.Trojan.XcodeGhost基本功用在于显示伪造的对话窗口进行钓鱼攻击、打开不法分子指定的链接。此外,恶意程序会收集被感染移动设备的详细信息并将其发送到病毒编写者的服务器。11月份Doctor Web公司技术人员还侦测到具有相同功能的这一木马的另一变种。

10月份技术人员侦测到被命名为IPhoneOS.Trojan.YiSpecter.2的新iOS木马。这一恶意程序主要由不法分子在中国传播,可伪装成无害的应用程序被下载到移动设备。由于病毒编写者使用的编译方法可使用户从App Store目录以外的来源安装iOS程序,IPhoneOS.Trojan.YiSpecter.2可既能安装到越狱的智能手机和平板电脑中,也能安装到系统版本未经修改的设备中。该木马安装补充恶意模块,能够显示各种广告,根据网络犯罪分子指令卸载程序并将其更换为伪造的软件。

#drweb #drweb #drweb

年末众所周知的是出现了木马IPhoneOS.Trojan.TinyV,该木马通过被病毒编写者修改的原本无害的程序进行传播,在用户访问移动应用程序Web网页时下载到iOS设备。IPhoneOS.Trojan.TinyV可安装到“越狱”的iOS系统,根据控制服务器的指令暗中下载并安装各种软件,还可修改hosts文件,使不法分子将用户重新定向到不良Web网站。

此外,2015年还侦测到感染越狱iOS设备的不良应用程序 Adware.Muda.1。这一程序能够在用户应用程序上方和通知栏显示广告,并推送和下载各种软件。

2015年病毒事件表明,网络犯罪分子对攻击安卓移动设备用户仍感兴趣,所以2016年安卓智能手机和平板电脑的用户将再度受到大量恶意应用程序的威胁。

2015年侦测到试图获取安卓设备root权限的木马程序正在传播,这一趋势仍会持续。此外,可能发生恶意软件直接植入到智能手机和平板电脑固件中的新事件。

可以确定的是,病毒编写者会进行新的尝试,利用专用银行木马窃取用户银行账户钱财。

还会出现大量新的侵略性广告模块,某些开发人员和病毒编写者会将其植入到常用程序中。

同时,不法分子对iOS设备兴趣的提高表明,iOS用户要做好应对增多的病毒攻击的准备,2016年网络犯罪分子可能会进行新的尝试来感染Apple智能手机和平板电脑。同时木马IPhoneOS.Trojan.XcodeGhostIPhoneOS.Trojan.YiSpecter.2的出现表明,没有越狱的iOS设备也会被感染,所以Apple智能手机和平板电脑操作系统版本未经修改的用户也需要保持警惕。

最新新闻 全部新闻