Doctor Web：2021年2月移动设备病毒活动综述

16.03.2021

病毒报告 | Hot news | Threats to mobile devices | Doctor Web公司新闻 | 病毒新闻

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "主要趋势" }, { box => "统计信息" }, { box => "Google Play中的威胁" } ] #FILE_REVIEW = 'https://st.drweb.com/static/new-www/news/2021/DrWeb_review_mobile_february_2021.pdf' %] [% BLOCK global.tpl_blueprint.content %]

2021.03.16

与1月相比，2月份在用户安卓设备侦测到的威胁中最常见的威胁是显示广告的恶意软件和不良软件以及执行任意代码并加载其他软件的木马。

2月份我公司技术人员在Google Play目录侦测到多个威胁。，其中有其中有Android.Joker家族用于为用户订购收费服务和执行任意代码的多功能木马，还有Android.FakeApp家族伪装成正常软件发诈骗木马，以及广告木马Android.HiddenAds等其他危险软件。

2月份主要移动安全事件：

在Google Play目录再次出现威胁
用于各种诈骗手段的恶意应用加剧传播

Dr.Web for Android保护产品统计信息

Android.HiddenAds.1994: 用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。
Android.RemoteCode.284.origin: 用于加载和执行任意代码的恶意应用。不同变种能够加载不同的网站，打开链接、点击广告横幅，为用户订购收费服务，还可执行其他操作。
Android.Triada.510.origin: 可执行各种恶意功能的多功能木马。属于能够入侵所有正在运行中的程序的木马。此类木马家族的变种有时会出现在安卓设备固件中，也就是不法分子在设备生产阶段将其植入设备。
Android.Click.348.origin: 自动加载网站的恶意应用，加载后点击广告横幅和链接。有可能冒充正常软件迷惑用户，借机传播。
Android.MobiDash.5135: 不断显示广告的木马，是内嵌到应用中的软件模块。

Program.FreeAndroidSpy.1.origin
Program.Mrecorder.1.origin: 监视安卓设备用户，不法分子利用这些软件进行网络犯罪。能够获取设备位置、收集短信和在社交平台的通讯，复制文件、照片和视频，还能进行监听等其他活动。
Program.FakeAntiVirus.2.origin: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.CreditSpy.2: 侦测根据用户信息确定金融机构排行榜的软件模块。此类应用的功能是将对象信息、通讯簿联系人信息、通话记录等信息传至远程服务器。
Program.Gemius.1.origin: 收集安卓设备信息以及设备用户使用情况的软件。在收集技术信息的同时，还会收集用户个人信息，包括设备位置、浏览器收藏的标签、用户访问的网站以及用户输入的网址。

Tool.SilentInstaller.6.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.13.origin
Tool.SilentInstaller.14.origin: 风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.Obfuscapk.1: 受专门混淆工具Obfuscapk保护的应用，这一工具用于自动更改和混淆安卓应用的源代码，可以反植入。不法分子则可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。

内置于安卓应用的广告模块，用于在移动设备不断显示广告。不同家族和不同变种有不同的功能，包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。

Adware.Adpush.36.origin
Adware.Adpush.6547
Adware.Myteam.2.origin
Adware.Overlay.1.origin
Adware.LeadBolt.12.origin

Google Play中的威胁

2月份我公司的技术人员在Google Play还侦测到多个Android.FakeApp木马家族应用，其中很多都是用来进行更正诈骗活动。其中一些变种谎称可以查询彩票中奖信息以及获取网红发放的奖品。

这些软件启动后会建议用户办理每周499到1499卢布不等的认购，谎称只用这样才能使用软件的所有功能。但实际上与用户只会收到一些毫无用处的条码或三维码以及还会以通知形式发生的优惠码，而这些软件只有少数有发送通知的功能，也就是说对用户的承诺只是谎言而已。

安卓设备用户同意支付后有3天的试用期，这期间用户可以取消订购或确认订购。不法分子打的算盘是用户会忘记有试用期或不清楚软件会定期收费。

添加到Dr.Web病毒库的上述木马变种有Android.FakeApp.239、Android.FakeApp.240、Android.FakeApp.246和Android.FakeApp.247。这里是这几种木马的实例：

这些恶意应用推送的优惠码实例：

第二类 Android.FakeApp家族的假软件冒充的是各种内容的服务软件，包括时尚、宠物、自然、星象预测等等，而实际上加载的是各种交友网站，其中不乏诈骗网站。这类软件大量传播广告利用的是YouTube平台，广告语则利用“成人”以及交友等名目吸引眼球。我公司技术人员目前共发现20余种此类假软件。

下面是Google Play中此类 Android.FakeApp应用实例和其恶意广告：

此类软件加载的网站实例：

第二类 Android.FakeApp家族的软件是利用的国家补贴为名目的诈骗木马的新变种Android.FakeApp.219 和Android.FakeApp.227。

与其他类此家族的恶意软件一样，因为通过YouTube大肆进行广告宣传：

木马启动后会加载诈骗网站，欺骗访问者可以获得国家补助，而获得补助需输入个人信息，支付律师费、手续费或转账费。当然受害人是一无所得，而不法分子则骗取了钱财和个人信息。

此外，我公司技术人员侦测到Android.Joker家族的新多功能木马，这些木马冒充各种软件，包括图像编辑器、条码扫描器、PDF文件生成器、表情包收集器、桌面动画壁纸等等。Dr.Web病毒库新添加的变种有Android.Joker.580、Android.Joker.585、Android.Joker.586、Android.Joker.592、Android.Joker.595、Android.Joker.598和Android.Joker.604。