Doctor Web：2019年1月移动设备病毒活动综述

2019.02.01

1月份，安卓用户受到了大量恶意程序的威胁。1月初，Doctor Web公司病毒分析人员对一种进行网络间谍活动的Android.Spy.525.origin木马进行了研究。随后又侦测到新的广告木马，分别命名为Android.HiddenAds.361.origin和Android.HiddenAds.356.origin。我公司技术人员还发现多个Android.Click家族木马点击器，病毒编写者将其伪装成博彩公司官方应用。此外，网络犯罪分子还在传播Android.DownLoader家族木马下载器，将安卓银行木马下载到智能手机和平板电脑。

本月移动威胁

1月初添加到Dr.Web病毒库的间谍木马Android.Spy.525.origin伪装成普通应用通过Google Play目录进行传播，还利用不法分子的恶意网站传播，用户访问这些网站会被重定向到常用的文件共享资源MediaFire，而这一资源已存在木马副本。

Android.Spy.525.origin能够按照控制服务器的指令跟踪被感染的智能手机或平板电脑的位置、窃取短信、通话记录、通讯簿信息、保存在设备上的文件，并显示网络钓鱼窗口。

Dr.Web安卓反病毒产品收集的统计数据

Android.Backdoor.682.origin

一种执行不法分子指令的木马程序，可用来控制被感染移动设备。

Android.RemoteCode.197.origin

一种旨在加载和执行任意代码的恶意应用。

Android.HiddenAds.261.origin

Android.HiddenAds.659

用来显示烦人广告的木马。被有时暗中安装到系统目录的恶意程序伪装成热门应用进行传播。

Android.Mobifun.4

一种下载各种应用的木马。

Adware.Zeus.1

Adware.AdPush.29.origin

Adware.Patacore.1.origin

Adware.Patacore.168

Adware.Jiubang.2

嵌入到安卓应用并用于在移动设备显示烦人广告的不良程序模块。

Google Play中的威胁

除了Android.Spy.525.origin以外，1月份在Google Play还出现了其他威胁。月初，Android.HiddenAds.361.origin和Android.HiddenAds.356.origin木马被添加到Dr.Web病毒库。这些恶意程序是我公司在2018年12月病毒综述中介绍的Android.HiddenAds.343.origin的变种。Android.HiddenAds.361.origin和Android.HiddenAds.356.origin伪装成普通程序进行传播。运行后会隐藏自身的图标并显示广告。

此外，病毒分析人员对大量木马下载器进行了研究。网络犯罪分子将其伪装成普通程序，如货币转换器、官方银行应用或其他软件。这些木马被命名为 Android.DownLoader.4063、Android.DownLoader.855.origin、Android.DownLoader.857.origin、Android.DownLoader.4102和Android.DownLoader.4107，能下载并试图在移动设备上安装安卓银行木马，窃取信贷机构客户账户的机密信息和资金。

其中一个银行木马Android.BankBot.509.origin是我公司于2018年12月介绍的Android.BankBot.495.origin的变种。这一木马能够通过点击按钮和菜单，利用安卓辅助功能（Accessibility Service）自行控制已安装的应用程序。另一个名为Android.BankBot.508.origin的木马显示网络钓鱼窗口并试图窃取用户名、密码及其他个人信息。此外，还会拦截带有网银交易确认代码的短信。

1月底，Doctor Web公司技术人员还发现新的Android.Click家族木马点击器，包括Android.Click.651、Android.Click.664、Android.Click.665及Android.Click.670。这些恶意应用被不法分子伪装成博彩公司官方程序进行传播，能够在控制服务器的指令下加载任意网站，对用户构成严重的威胁。

Doctor Web公司技术人员继续监控移动病毒情况，并及时将病毒记录添加到Dr.Web病毒库，侦测、删除恶意程序和不良程序。正因如此，安装有Dr.Web安卓反病毒软件的智能手机和平板电脑可得到可靠的保护。