Doctor Web：2017年11月移动设备病毒活动综述

2017.11.30

11月份在Google Play目录发现多个恶意应用。

月初在Google Play发现一种利用移动设备计算能力赚取电子加密货币的挖矿木马。随后信息安全技术人员发现了另一为用户订阅付费服务的短信木马。11月中旬Doctor Web公司病毒分析人员发现一种下载并启动补充木马模块的恶意程序。这些木马模块加载Web网页，转到网页的广告链接或横幅。此外，Google Play中开始传播一个用来下载各种应用的木马，目录中还出现多个窃取用户机密信息、盗取账户钱财的安卓银行木马。

本月移动威胁

11月份Doctor Web公司病毒分析人员在Google Play发现9个嵌入木马Android.RemoteCode.106.origin的程序。这些应用的总下载量不少于2 370 000次。启动后，Android.RemoteCode.106.origin会下载并启动补充恶意模块，通过这些模块可以自动打开控制服务器指定的Web网页并点击其中的广告横幅或广告链接。Android.RemoteCode.106.origin详情请参阅Doctor Web公司网站发布的新闻。

Dr.Web安卓反病毒产品收集的统计数据

Android.HiddenAds.238

用来显示烦人广告的木马。

Android.Triada.63

Android.Triada.152

一种执行各种恶意操作的木马家族代表。

Android.DownLoader.653.origin

一种下载其他恶意程序的木马。

Android.Click.171.origin

一种下载其他恶意程序的木马。

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Adviator.6.origin

Adware.Airpush.31.origin

Adware.SalmonAds.1.origin

嵌入在安卓应用的不良程序模块，用来在移动设备显示烦人的广告。

挖矿木马

11月初在Google Play目录出现木马Android.CoinMine.3，该木马利用安卓智能手机和平板电脑的计算能力赚取Monero电子加密货币。这一恶意程序隐藏在名为XCOOEEP、用来访问在线聊天工具Club Cooee的应用中。

Android.CoinMine.3在一个隐藏的WebView窗口中加载包含自启动挖矿脚本的Web网页。由于获取电子加密货币时处理器进行大量计算，被感染的移动设备会降低运行效率并变热，电池放电速度也会变得更快。

短信木马

11月份所发现的通过Google Play传播的恶意应用中包含多个短信木马，这些短信木马被嵌入到Secret Notepad、Delicate Keyblard和Super Emotion应用中，被Dr.Web产品发现并命名为Android.SmsSend.23371、Android.SmsSend.23373和Android.SmsSend.23374。这些恶意程序试图发送高价短信，为被感染设备用户订阅不需要的服务。

木马下载器

11月份在Google Play目录发现Android.DownLoader.658.origin木马新变种，该木马能够根据控制服务器的指令建议移动设备所有人下载并安装各种应用。此外，还能够自行下载软件。Android.DownLoader.658.origin的特点如下：

• 木马被嵌入到无害应用；
• 仅在满足一系列条件（比如木马没有在仿真程序启动或移动设备禁用开发功能）时才会执行恶意功能；
• 木马能够显示通知，建议下载并安装各种程序；
• 木马编写者使用专用软件包（Dr.Web 产品将其侦测并命名为Android.Packed.1）防止木马被发现或被分析。

银行木马

11月份在Google Play目录出现隐藏在无害应用中的木马Android.Banker.202.origin。木马启动后会从自己的文件资源中提取并启动恶意程序Android.Banker.1426。这一木马从控制服务器下载一个Android.BankBot家族安卓银行木马，使用这一银行木马可以窃取用户名、密码等机密信息。

11月份在Google Play上发现的其他Android.Banker家族木马也使用了同样的方法。这些木马提取并启动一个隐藏在内部的恶意组件，该组件也从其文件资源中提取并运行另一个木马组件，从远程中心下载并安装一个银行木马。

在Google Play目录发现的多个恶意应用表明，不法分子仍旧试图寻找绕过其保护机制的方法。Doctor Web公司建议用户使用Dr.Web安卓反病毒软件来保护安卓智能手机和平板电脑抵御木马等不良程序。