Doctor Web:2017年8月移动设备病毒活动综述

病毒报告 | Doctor Web公司新闻 | 病毒新闻

2017.08.31

8月份在Google Play目录中侦测到包括执行DDoS攻击的木马在内的多个安卓恶意应用。还有一些恶意程序暗中加载不法分子指定的Web网页并自行点击网页上的横幅,病毒编写者可以依靠点击率获利。同时,8月份在Google Play中还发现了一种安卓木马,在已启动程序上方显示伪造的输入窗口,窃取用户名、密码等机密信息。此外,我公司技术人员还在Google Play中侦测到一种用来安装其他恶意应用的点滴木马。

8月主要趋势

  • 侦测到多个对Web网页执行DDoS攻击的安卓恶意程序;
  • 在Google Play目录发现一种隐藏在无害应用中的安卓银行木马;
  • Google Play目录出现一种用于安装其他恶意程序的木马。

本月移动威胁

8月份,Doctor Web公司技术人员在Google Play目录侦测到多个Android.Click家族木马。其中两个被分别命名为Android.Click.268Android.Click.274。启动后,木马会打开自身的多个副本,在移动设备用户不注意的情况下对病毒编写者指定的网站进行DDoS攻击(“拒绝服务攻击”),还能够根据指令向目标服务器发送大量网络数据包。因此,被感染的安卓智能手机和平板电脑的用户在下载这些程序后,不知不觉间已成为网络犯罪的同谋。

另一个命名为Android.Click.269添加到Dr.Web病毒数据库的木马能够暗中打开不法分子指令中指定的Web网页,并点击网页上的横幅。恶意应用程序的编写者通过点击率获利。此外,Android.Click.269在被感染安卓设备的屏幕解锁时会显示广告。

上述所有木马都内置于YouTube视频播放软件。

#drweb

Android.Click.268Android.Click.274的特点如下:

  • 加载不法分子指定的20个Web资源副本,暗中对网站进行DDoS攻击;
  • 能够通过UDP协议对远程主机执行DDoS攻击,将10,000,000个数据包发送到指令中指定的服务器端口。

Android.Click.269 的特点如下:

  • 暗中打开病毒编写者指令中指定的Web网页,并自动点击广告横幅,使该木马编写者获利;
  • 在被感染移动设备的屏幕解锁时显示广告。

Dr.Web安卓反病毒产品收集的统计数据

Dr.Web安卓反病毒产品收集的统计数据 #drweb

Android.DownLoader.337.origin
Android.DownLoader.526.origin
用于下载其他应用程序的木马程序。
Android.CallPay.1.origin
一种为安卓设备用户提供色情内容访问权限,但会暗中拨打付费号码作为此项服务费用的恶意程序。
Android.HiddenAds.85.origin
Android.HiddenAds.83.origin
用来显示烦人广告的木马。被有时暗中安装到系统目录的恶意程序伪装成热门应用进行传播。

Dr.Web安卓反病毒产品收集的统计数据 #drweb

Adware.Jiubang.2
Adware.Fly2tech.2
Adware.SalmonAds.1.origin
Adware.Jiubang.1
Adware.Batmobi.4
嵌入到安卓应用程序,用来在移动设备中显示烦人广告的不良恶意模块。

Google Play中的安卓木马

8月份,Dr.Web病毒库添加了一个名为Android.BankBot.225.origin的银行木马,该木马通过Google Play目录进行传播,隐藏在名为“Earn Real Money Gift Cards”的应用程序中,这一应用的功能是安装推荐程序后可获取礼金券。

#drweb #drweb

Android.BankBot.225.origin 监控银行程序和其他应用程序是否启动,并在其窗口上方显示用于输入机密信息的虚假窗口,还能够根据病毒编写者的指令,将其他程序下载到被感染的设备,并试图进行安装。

8月份出现在Google Play的另一个添加到Dr.Web病毒库的木马命名为Android.MulDrop.1067。该木马隐藏在一个名为“Bubble Shooter Wild Life”的游戏中。每次启动时,该恶意程序都会申请在其他应用程序上方显示界面。

#drweb #drweb

运行一段时间后,该木马会试图访问辅助功能服务(Accessibility Service)并显示相应的通知。如果设备用户同意向木马提供所需权限,Android.MulDrop.1067就能够通过自动点击对话框中的按钮并确认所有操作来自行安装其他安卓应用。该木马会检查内存卡中是否存在一个需要安装的apk文件,但是当前版本的Android.MulDrop.1067不包含任何隐藏文件,且无法从互联网下载。这可以表明,此木马尚处于开发阶段。

#drweb #drweb #drweb

病毒编写者试图利用各种方式通过Google Play应用程序目录传播安卓木马。为了增加移动设备的感染概率,病毒编写者将恶意程序嵌入到功能完整的应用程序中,并使用各种机制来绕过安全检查,以便木马尽量不被发现。Doctor Web公司建议用户使用Dr.Web反病毒软件来保护安卓智能手机和平板电脑,抵御现代安卓威胁。

最新新闻 全部新闻