Doctor Web：2020年3月移动设备病毒活动综述

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "主要趋势" }, { box => "本月威胁" }, { box => "统计信息" }, { box => "Google Play中的威胁" } ] #FILE_REVIEW = 'https://st.drweb.cn/static/new-www/news/2017/DrWeb_review_mobile_marth_2020.pdf' %] [% BLOCK global.tpl_blueprint.content %]

2020.04.10

与2月份相比，3月份在安卓设备威胁数量增加21.24%，侦测到的恶意软件数量增加21.6%，不良程序增加13.37%， 风险程序增加32.65%，广告程序增加27.64%。

3月份Doctor Web公司病毒分析人员不断在Google Play中分析新的恶意应用，其中有显示广告和为用户订购付费服务的木马家族Android.Joker和执行不法分子指令的危险的多功能木马Android.Circle.1。

本月威胁

3月份我公司 发布 在Google Play目录侦测到危险的木马Android.Circle.1，安装这一木马的用户当时已超过 700 000人。这种木马会根据不法分子的指令显示广告、加载各种网页，并在网页进行用户操作仿真，点击广告横幅和链接。下面是这一木马显示广告示例：

在3月份一个月我公司技术人员就已发现了这一恶意应用的多个变种。

Android.Circle.1的特点：

• 内置于正常软件；
• 使用Multiple APKs机制，可在Google Play加载一个应用的多个副本，用于支持不同型号的设备和处理器架构；
• 接收来自控制服务器的指令并执行BeanShell脚本；
• 木马的部分功能被单设为本地库；
• 为了蒙蔽用户，有些
• Android.Circle.1变种在安装后会假冒伪重要的系统组件。

Dr.Web for Android保护产品统计信息

Android.RemoteCode.246.origin

Android.RemoteCode.256.origin

Android.RemoteCode.262.origin

用于加载和执行任意代码的恶意应用。

Android.MobiDash.4945

显示广告的木马

Android.Triada.491.origin

可执行各种恶意功能的多功能木马。

Program.FakeAntiVirus.2.origin

侦测假冒反病毒软件运行的广告应用。

Program.FreeAndroidSpy.1.origin

Program.Mrecorder.1.origin

Program.MobileTool.2.origin

监视安卓设备用户，不法分子利用这些软件进行网络犯罪。

Program.Algo360.2.origin

侦测进行信贷业务的金融机构所使用的应用中的软件模块。此模块是信贷用户数据生成器，能够收集短信信息、浏览器标签信息、设备位置信息、日历信息等其他用户个人信息。

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.11.origin

Tool.VirtualApk.1.origin

风险平台，允许不安装就启动apk文件。

Tool.Rooter.3

用于获取安卓设备的root权限，此功能可被不法分子和恶意软件所利用。

内置于安卓应用的广告模块，用于在移动设备不断显示广告：

• Adware.Myteam.2.origin
• Adware.Adpush.6547
• Adware.Toofan.1.origin
• Adware.Mobby.5.origin
• Adware.IrTv.1.origin

Google Play中的威胁

除了木马家族Android.Circle，3月份我公司的技术人员在Google Play还侦测到木马家族Android.Joker的一个新成员，将其命名为Android.Joker.102.origin。这种木马假冒图像编辑器、壁纸收集软件来进行传播，能够加载和启动木马模块和任意代码，并未用户订购高价服务。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

[% END %]