2020.10.22
与8月相比,9月份在安卓设备侦测到的威胁数量增加3.75%,侦测到的恶意软件数量增加5.58%,风险程序增加4.98%,而不良应用和广告程序分别减少6.22%和8.83%。
我公司病毒分析人员在Google Play中发现多个新威胁,其中有能够执行任意代码的多功能木马Android.Joker 。此外,有显示广告的Clicker木马Android.Click.978、可用于钓鱼的多功能木马Android.Triada.545.origin。.
9月主要趋势
- 在安卓设备侦测到的威胁总数上升
- Google Play出现新的安全威胁
Dr.Web for Android保护产品统计信息
- Android.HiddenAds.530.origin
- 显示烦人广告的木马。依靠冒充知名应用的其他恶意软件进行传播,某些情况下可以不经用户察觉就安装到系统文件夹。
- Android.Triada.541.origin
- 可执行各种恶意功能的多功能木马。属于能够入侵所有正在运行中的程序的木马。此类木马家族的变种有时会出现在安卓设备固件中,也就是不法分子在设备生产阶段将其植入设备。
- Android.RemoteCode.6122
- 用于加载和执行任意代码的恶意应用。不同变种能够加载不同的网站,打开链接、点击广告横幅,为用户订购收费服务,还可执行其他操作。
- Android.Click.348.origin
- 自动加载网站的恶意应用,加载后点击广告横幅和链接。有可能冒充正常软件迷惑用户,借机传播。
- Android.DownLoader.1001.origin
- 用于加载恶意软件和不良应用的木马。可隐身于通过Google Play 或恶意网站传播的正常应用中获得传播。
- Program.FreeAndroidSpy.1.origin
- Program.Reptilicus.7.origin
- Program.MobileTool.2.origin
- 监视安卓设备用户,不法分子利用这些软件进行网络犯罪。能够获取设备位置、收集短信和在社交平台的通讯,复制文件、照片和视频,还能进行监听等其他活动。
- Program.FakeAntiVirus.2.origin
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.CreditSpy.2
- 侦测根据用户信息确定金融机构排行榜的软件模块。此类应用的功能是将对象信息、通讯簿联系人信息、通话记录等信息传至远程服务器。
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.11.origin
- Tool.SilentInstaller.13.origin
- Tool.SilentInstaller.14.origin
- 风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
- Tool.ApkProtector.6.origin
- 判断安卓应用是否使用ApkProtector打包器保护。这是一种专门的打包工具,用于保护安卓应用不被更改和植入代码。工具本身不是恶意工具,但既可以用于保护正常软件,也会被用于保护木马和不良软件,妨碍反病毒软件将其侦测。
内置于安卓应用的广告模块,用于在移动设备不断显示广告。不同家族和不同变种有不同的功能,包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。
- Adware.Adpush.36.origin
- Adware.Adpush.6547
- Adware.Myteam.2.origin
- Adware.Toofan.1.origin
- Adware.Mobby.5.origin
Google Play中的威胁
9月份我公司的技术人员在Google Play侦测到Android.Joker恶意软件家族的多个新木马变种,其中一个假冒图形编辑器,被命名为Android.Joker.341,与这一家族的其他木马一样,能够执行任意代码,截获通知中的确认码,为安卓手机用户订购收费服务,
根据被感染设备的处理器架构,木马会将其内含的一种本地库apk文件(Dr.Web反病毒软件能够将其侦测,分别为Android.Joker.339和 Android.Joker.340)。
库加载后会提取恶意模块Android.Joker.177.origin,而这一模块则会从远程服务器下载模块Android.Joker.192.origin,该模块在获取对通知内容的访问权限后会从服务器再加载一个执行主要恶意功能的模块Android.Joker.107.origin。
之后我公司病毒分析师有发现了一个类似的木马,假冒图片收集器传播。这一木马被命名为Android.Joker.344添加到Dr.Web病毒库。
另一威胁是藏身于摄影应用的多功能木马Android.Triada.545.origin,属于危险的恶意软件家族Android.Triada。
Android.Triada.545.origin的功能之一是钓鱼。启动时木马显示假冒的Google服务登录窗口,谎称继续使用应用需输入账户登录信息。为进一步迷惑用户,还假称登录账号后可以参与新手机抽奖。实际上用户输入的信息都会传给不法分子。
此外,Android.Triada.545.origin可以加载、执行任意代码,截获通知,并盗取机密信息,如密码。
9月份在Google Play侦测到的另一个安卓威胁是Clicker木马Android.Click.978,假冒预言软件传播。启动后会在设备主菜单应用列表隐藏自己的图标,然后开始显示广告,即便是关闭Android.Click.978后依然会不断显示。此木马还能够加载网站并自动点击网站上的链接和横幅。
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备,抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
