Doctor Web：2020年11月移动设备病毒活动综述

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "主要趋势" }, { box => "本月威胁" }, { box => "统计信息" }, { box => "Google Play中的威胁" } ] #FILE_REVIEW = 'https://st.drweb.com/static/new-www/news/2020/DrWeb_review_mobile_november_2020.pdf' %] [% BLOCK global.tpl_blueprint.content %]

2020.12.16

与10月相比，11月份Dr.We产品在安卓设备侦测到的威胁数量减少5.14%。统计数据显示，侦测到的恶意软件数量减少8.37%，而不良应用、风险程序和广告程序则分别增加了5.78%、 13.16% 和5.72%。

我公司病毒分析人员在Google Play中发现的多个新威胁中有木马Android.Mixi.44.origin，其功能是加载网页后覆盖其他应用的窗口，暗中打开链接。不法分子利用这种木马使用户安装各种软件，从中牟利。

此外，我公司技术人员还发现了Android.Joker木马家族出现的多个新成员，其功能是加载并执行任意代码，拦截通知，在安卓设备用户不知情的情况下为其认购收费服务。

本月威胁

月中我公司病毒分析人员在Google Play中发现木马Android.Mixi.44.origin。新木马植入于保护安卓设备用户视力的应用中，除了该应用本身的功能外，木马另有其他隐藏的功能。

Android.Mixi.44.origin加载网页后覆盖其他应用窗口和操作系统界面，妨碍设备的正常使用。加载的网页内容多是广告横幅、广告视频，甚至是各种钓鱼网页。

Android.Mixi.44.origin的另一功能接收不法分子列出的网站地址列表，暗中打开链接，这样，不法分子利用这种木马提高网站人气，从中牟利。

此外，木马还试图利用不久前安装的软件来牟利。木马会查找用户安装和删除的应用。如果接收到的指令中有Google Play的应用链接，Android.Mixi.44.origin会检查用户之前是否已经安装了这些应用。如果已安装，木马会将这些软件数据包名称连同不法分子参与同盟推广的识别码发送给分析服务中心，通过这种方式让不法分子依靠与其无关的软件推广结果牟利。

而如果用户还没有安装这样的应用，木马会等待用户安装并在安装后执行上述伪造信息的行径。

有关Android.Mixi.44.origin的相信介绍请参阅我公司官网的新闻发布。

Dr.Web for Android保护产品统计信息

Android.Click.348.origin

自动加载网站的恶意应用，加载后点击广告横幅和链接。有可能冒充正常软件迷惑用户，借机传播。

Android.Triada.510.origin

Android.Triada.541.origin

可执行各种恶意功能的多功能木马。属于能够入侵所有正在运行中的程序的木马。此类木马家族的变种有时会出现在安卓设备固件中，也就是不法分子在设备生产阶段将其植入设备。

Android.RemoteCode.6122

用于加载和执行任意代码的恶意应用。不同变种能够加载不同的网站，打开链接、点击广告横幅，为用户订购收费服务，还可执行其他操作。

Android.HiddenAds.518.origin

用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。

Program.FreeAndroidSpy.1.origin

Program.Reptilicus.7.origin

Program.Mrecorder.1.origin

监视安卓设备用户，不法分子利用这些软件进行网络犯罪。能够获取设备位置、收集短信和在社交平台的通讯，复制文件、照片和视频，还能进行监听等其他活动。

Program.FakeAntiVirus.2.origin

侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。

Program.CreditSpy.2

侦测根据用户信息确定金融机构排行榜的软件模块。此类应用的功能是将对象信息、通讯簿联系人信息、通话记录等信息传至远程服务器。

Tool.Obfuscapk.1

受专门混淆工具Obfuscapk保护的应用，这一工具用于自动更改和混淆安卓应用的源代码，可以反植入。不法分子则可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.7.origin

风险平台，允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。

内置于安卓应用的广告模块，用于在移动设备不断显示广告。不同家族和不同变种有不同的功能，包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。

• Adware.Adpush.36.origin
• Adware.SspSdk.1.origin
• Adware.Adpush.6547
• Adware.Myteam.2.origin
• Adware.Toofan.1.origin

Google Play中的威胁

除了Android.Mixi.44.origin ，11月份我公司的技术人员在Google Play还侦测到Android.Joker.木马家族出现的多个新变种，分别命名为Android.Joker.418、vir>Android.Joker.419和Android.Joker.452。这些木马冒充各种应用进行传播，包括翻译软件、图片收集器、可以作为指南针、手电、水平仪等等的多功能工具。

这些木马的真正功能是加载、执行任意代码，截获通知中的确认码，为安卓手机用户订购收费服务。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

[% END %]