Doctor Web：2021年9月移动设备病毒活动综述

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "主要趋势" }, { box => "统计信息" }, { box => "Google Play中的威胁" } ] #FILE_REVIEW = 'https://st.drweb.cn/static/new-www/news/2021/DrWeb_review_mobile_september_2021.pdf' %] [% BLOCK global.tpl_blueprint.content %]

2021.10.15

9月份Dr.Web for Android在受保护设备侦测最多的是广告木马以及能够加载其他软件并执行任意代码的恶意软件。此外，最常见的威胁种有各种不良广告模块，不法分子将其切入不同应用以赚取钱财。

上个月我公司技术人员在Google Play再次发现多个Android.FakeApp家族的假冒应用，不法分子利用这些应用进行诈骗活动。

Dr.Web for Android保护产品统计信息

Android.HiddenAds.1994

用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。

Android.Triada.4567

Android.Triada.510.origin

可执行各种恶意功能的多功能木马。属于能够入侵所有正在运行中的程序的木马。此类木马家族的变种有时会出现在安卓设备固件中，也就是不法分子在设备生产阶段将其植入设备。

Android.RemoteCode.284.origin

用于加载和执行任意代码的恶意应用。不同变种能够加载不同的网站，打开链接、点击广告横幅，为用户订购收费服务，还可执行其他操作。

Android.DownLoader.1007.origin

用于加载恶意软件和不良应用的木马。可隐身于通过Google Play 或恶意网站传播的正常应用中获得传播。

Program.FakeAntiVirus.1

侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。

Program.KeyStroke.1.origin

能够拦截键盘输入的安卓软件，还具备监视短信、控制来电记录和录音的功能。

Program.FreeAndroidSpy.1.origin

Program.Reptilicus.7.origin

监视安卓设备用户，不法分子利用这些软件进行网络犯罪。能够获取设备位置、收集短信和在社交平台的通讯，复制文件、照片和视频，还能进行监听等其他活动。

Program.SecretVideoRecorder.1.origin

利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行，不显示录影通知，并可偷换应用图标和描述。这些功能都属风险功能。

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

风险平台，允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。

Tool.Packer.1.origin

一种专门的打包工具，用于保护安卓应用不被更改和植入代码。工具本身不是恶意工具，但既可以用于保护正常软件，也会被用于保护木马。

Tool.Obfuscapk.1

受专门混淆工具Obfuscapk保护的应用，这一工具用于自动更改和混淆安卓应用的源代码，可以反植入。不法分子则可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。

内置于安卓应用的广告模块，用于在移动设备不断显示广告。不同家族和不同变种有不同的功能，包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。

Adware.SspSdk.1.origin

Adware.AdPush.36.origin

Adware.Adpush.16510

Adware.Adpush.6547

Adware.Myteam.2.origin

Google Play中的威胁

9月我公司的技术人员在Google Play侦测到数十个假冒软件，不法分子利用这些软件进行各种诈骗活动。其中有木马Android.FakeApp.344，有多个变种，假冒不同的应用，如图形启动程序、图片收集器、钢琴自修应用、脉搏测量应用等等。

这一木马的主要功能是按照病毒编写者的指令家族网站，可用于不同目的，比如执行钓鱼攻击，为受害者订购收费服务，宣传各种不法分子感兴趣的网站或者是加载广告网站。

The Android.FakeApp.344通过一个GitHub账户进行控制，账户库种为配置文件。木马启动时会得到相应设置。如设置中有任务指令，木马就会加载相应网站。如未得到任务或是未能得到配置，则会在常规模式下运行，用户可能根本不会察觉应用有什么异常之处。

其他恶意假冒应用被分别命名为Android.FakeApp.347、Android.FakeApp.364和Android.FakeApp.385。 这些恶意软件同样是冒充各种有实际功能的应用，如免费电话软件、照片编辑器、宗教内容软件和保护用户应用免被他人使用的软件。

但这些功能只是幌子而已，木马只会加载各种网站，包括要求用户输入手机号码的网站。但用户输入后就会被重定向到搜索引擎网页，假冒软件的运行就此终止。

被命名为 Android.FakeApp.354、Android.FakeApp.355、Android.FakeApp.356、Android.FakeApp.357、Android.FakeApp.358、Android.FakeApp.366、Android.FakeApp.377、Android.FakeApp.378、Android.FakeApp.380、Android.FakeApp.383和Android.FakeApp.388的木马则谎称可以帮助俄罗斯公民获取根据补助，但实际上只是诱骗手机用户访问诈骗网站。这些网站谎称用户获得补助需先缴纳手续费，几百到几千卢布不等。当然，受害人不会得到任何补助，而只是把自己的钱打给了不法分子。

其他假冒Gazprom银行投资软件的木马也已添加到Dr.Web病毒库，分别命名为Android.FakeApp.348、Android.FakeApp.349、Android.FakeApp.350、Android.FakeApp.351、Android.FakeApp.352、Android.FakeApp.353、Android.FakeApp.365、Android.FakeApp.367、Android.FakeApp.368、Android.FakeApp.369、Android.FakeApp.370、Android.FakeApp.382、Android.FakeApp.384、Android.FakeApp.387和Android.FakeApp.389。这些软件谎称用户不需任何投资经验就可以获得投资收益，所有投资行为由专业人员或专业计算程序完成。

在Google Play上架的此类假冒软件示例：

实际上这些木马和投资没有任何关系。其功能是加载诈骗网站，要求安卓设备用户进行注册，输入个人信息后等待客服电话。而用户输入的所有个人信息——姓名、邮箱地址和电话号码——都会落入不法分子手中，会被用于实施诈骗或是在黑市出售。

为吸引更多人安装此类木马，不法分子利用各种渠道大做广告，包括利用YouTube视频。此类广告示例：

还发现了冒充彩票中奖官方应用的木马，已添加到Dr.Web病毒库，分别命名为Android.FakeApp.359、Android.FakeApp.360、Android.FakeApp.361、Android.FakeApp.362、Android.FakeApp.363、Android.FakeApp.371、Android.FakeApp.372、Android.FakeApp.373、Android.FakeApp.374、Android.FakeApp.379和Android.FakeApp.381。这些木马欺骗用户可以获得免费彩票并参加抽奖。这些软件还加载诈骗网站，谎称获取奖金需支付手续费来进行诈骗。

此外，我们的技术人员还侦测到木马Android.FakeApp.386的多个变种，假冒的是信息咨询软件，谎称用户可以查询医药养生信息。其实只是加载盗用知名信息资源的网站。这些假冒网站上是冒用知名大夫和媒体人士名义的假广告，推销没有任何质量保证的保养品。还借免费赠送、大幅优惠等名义骗取用户输入个人信息。

此类应用示例：

运行示例：

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备、抵御恶意程序和不良程序。

[% END %]