Library
My library

+ Add to library

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

Your tickets

Profile

Doctor Web:2021年移动设备病毒活动综述

2022.01.21

2021年非法获利仍是网络犯罪的主要动力。安卓操作系统遭受的恶意程序和不良程序中最多的是用于显示各种广告的木马以及能够加载和运行任意码的恶意应用。银行木马也造成严重的安全威胁,其活动明显增加。用户经常遭遇的还有广告应用。除了传播已知恶意软件,还出现了能让不法分子牟利的新的恶意软件家族和新变种。

在过去的一年里,我公司技术人员在Google Play 侦测到众多安全的威胁,其中有给用户订购付费服务的木马、用于诈骗活动的假冒和盗取用户机密信息的木马以及广告应用。

同时不法分子也在寻找新的传播途径和平台。在AppGallery应用商店也首次侦测到 恶意应用,而APKPure的一个版本则被木马加载器感染。 不法分子还继续使用各种手段来增加安卓设备被感染的可能性,其中包括各种打包器、混淆器和能够在不安装应用的情况下将其启动的工具。

不法分子还大肆借用疫情名目传播各种假冒正常软件发木马。

2021年主要趋势

  • 广告木马数量增加
  • 安卓银行木马活动加剧
  • 加载和安装其他软件的恶意软件是常见安卓设备威胁之一
  • Google Play出现新威胁
  • AppGallery 应用商店首次出现恶意软件
  • 网络诈骗和假冒软件活动加剧
  • 间谍木马和监视用户活动的软件持续传播
  • 不法分子继续利用疫情进行诈骗活动

2021年重要事件

3月份我公司技术人员在APKPure 安卓应用姆录侦测到具有恶意功能的客户端软件。被感染的版本是3.17.18,不法分子在软件中嵌入了多组件木马Android.Triada.4912,能够加载各种网站,下载其他恶意模块和各种应用。

下面左侧为嵌入木马的版本,右侧为”干净“版本。框内代码具体负责的Android.Triada.4912初始化。

2021年重要事件 #drweb

7月份我公司公布在Google Play侦测到木马应用家族Android.PWS.Facebook, 其功能是盗取解密Facebook 账号所需用户名、密码和其他隐私信息。这些应用能够完成宣称的正常功能,降低受害者的警惕性。应用提示用户如需使用所有正常功能并关闭广告需输入社交网站账号,这正是这些应用的危险之处所在。木马先在WebView加载Facebook登录网页,之后再同一WebView植入专门的盗取数据的脚本 JavaScript。之后用户输入的用户名和密码就会上传给不法分子。

再过去的一年里侦测到众多此类的恶意应用。下图展示的是这些木马如何盗取用户信息的:

2021年重要事件 #drweb 2021年重要事件 #drweb

同时,7月份我公司病毒分析师发现了新的银行木马家族 Android.BankBot.Coper。这是一种多模块恶意应用,具备多级感染机制,假冒正常的网银软件或其他软件传播。感染安卓设备后木马会试图获取安卓操作系统的专门功能 (Accessibility Services),以便控制整个系统并仿真用户操作,其功能包括拦截和发送短信、执行USSD申请,将屏幕上锁或解锁、显示推送通知和钓鱼窗口,窃取屏幕输入等等。此外,还具有各种自我保护机制。

11月我公司公布对俄罗斯市场上常见的儿童智能手表的安全调查结果。结果显示此类设备的安全性很低,在其中一款侦测到了预装的木马。其他几款远程管理使用的是常规密码,且某些情况下不可更改。此外,一些儿童智能手表再传输私密信息是并不加密。下表是此次调查发现的主要安全漏洞:

2021年重要事件 #drweb

去年我公司技术人员在Huawei公司安卓应用商店AppGallery 侦测到了恶意软件。其中一个是多组件木马Android.Joker, 去年春季我们做了相关通报。这类木马的一个主要功能是为安卓设备用户订阅收费服务。在用户不能察觉的情况下下载启动恶意模块,之后加载网站,在相应的网页输入用户电话号码和拦截的认证码,自动办理对各种收费服务的订阅。

下图是部分侦测到的恶意应用截图:

2021年重要事件 #drweb

秋季在AppGallery侦测到数十款游戏内嵌有木马 Android.Cynos.7.origin。这种木马是专门的软件模块,能够向不法分子上传用户电话号码和设备信息,并可显示广告。根据AppGallery的下载量统计,这些游戏的总下载量达9 300 000人。

过去一年不法分子一再利用与疫情和疫苗接种相关的话题传播恶意应用。例如,免费上网软件Free NET COVID-19中隐藏了能够拦截短信的木Android.SmsSpy.830.origin

2021年重要事件 #drweb 2021年重要事件 #drweb

木马Android.SmsSend.2134.origin假冒一款可预定疫苗接种时间的软件CoWinHelp,而实际上向用户通讯簿是所有号码群发自身的下载链接。

下载谎称可查询感染讯息的应用Coronavirus Tracker的用户实际上是勒索木马Android.Locker.7145, 能将设备上锁,然后向用户进行勒索。

2021年重要事件 #drweb 2021年重要事件 #drweb

银行木马也在利用疫情做文章。例如,假冒流调和接种情况查询的软件进行传播,如银行木马Android.BankBot.904.origin 冒充的是英国国家卫生服务部门的应用 NHS COVID-19,而 Android.BankBot.612.origin 软件 TousAntiCovid。

2021年重要事件 #drweb 2021年重要事件 #drweb

统计信息

2021年安卓设备最常见的威胁仍是各种恶意软件。根据反病毒保护产品Dr.Web for Android的侦测统计信息,恶意软件占所有威胁的83.94%,排在第二的仍是广告应用和内嵌在游戏以及其他应用中的广告模块,占10.64%。第三的风险软件,占4.67%。不良软件仍排第四,占所有侦测到的威胁的0.75% 。

统计信息 #drweb

与2020年相比,去年恶意软件中类型占比有所变化。排在第一的是2016年首次侦测到Android.HiddenAds 家族应用,其主要危险是不断显示广告和横幅,覆盖其他软件甚至是操作系统的界面,影响安卓设备的正常使用。同时,这类软件能够隐藏自己的图标,让用户无法找到。这类软件的进攻在去年增加了6.7%,占恶意软件侦测总量的23.59%。也就是说,去年每四个安全威胁中就有一个是这个家族的成员。

统计数据显示,这一家族中在去年一年最为活跃的是木马Android.HiddenAds.1994(12,19%),而且在10月份我公司技术人员发现了一个新版本Android.HiddenAds.3018。这个新版本的特点是编写者使用Google Play中正常上架应用的软件包名称来为木马副本命名,以这种手段可以蒙混过安卓设备或网络资源的应用检查机制。新版本出现后开始逐渐取代老版本木马,因此可以预见未来可能会完全取代老版本。

统计信息 #drweb

加载安装其他软件并可加载并执行任意码的恶意软件的排名略有下降,但仍然是最为常见的安卓威胁。属于此类威胁的有木马家族Android.RemoteCode (恶意软件侦测总量的15.79%)、 Android.Triada (15.43%)、Android.DownLoader (6.36%)、Android.Mobifun (3.02%)、Android.Xiny (1.84%)等等。不法分子利用这些恶意软件达到非法牟利的目的,例如,通过参与各种会员计划或其他不法手段,包括人为增加游戏和应用的下载安装统计量,为用户订阅收费服务、传播其他木马等等。

Android.Click家族中的点击木马也是最常见的威胁之一(10.52% )。此类木马也是用于牟利的一种工具,可以仿真用户操作,如加载有广告内容的网站、点击横幅、打开链接、为用户订阅收费服务,或执行其他恶意操作。

统计信息 #drweb

Android.HiddenAds.1994
Android.HiddenAds.615.origin
用于不断显示广告的木马,假冒热门应用,通过其他恶意软件传播,某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后,此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.RemoteCode.284.origin
Android.RemoteCode.6122
Android.RemoteCode.306.origin
用于加载和执行任意代码的恶意应用。不同变种能够加载不同的网站,打开链接、点击广告横幅,为用户订购收费服务,还可执行其他操作。
Android.Triada.510.origin
Android.Triada.4567.origin
可执行各种恶意功能的多功能木马。属于能够入侵所有正在运行中的程序的木马。此类木马家族的变种有时会出现在安卓设备固件中,也就是不法分子在设备生产阶段将其植入设备。此外,某些变种能够利用漏洞获得对系统文件和目录的访问权限。
Android.Click.348.origin
Android.Click.311.origin
自动加载网站的恶意应用,加载后点击广告横幅和链接。有可能冒充正常软件迷惑用户,借机传播。
Android.Mobifun.32.origin
传播木马Android.Mobifun.29.origin. 的点滴程序,而其传播的这一木马的功能则是将其他恶意软件加载到安卓设备。

2021年不良应用中传播最广的应用Program.FakeAntiVirus家族,占比过半(55,71%),几乎是上一年的3.5倍。这些应用假冒反病毒软件功能,假报侦测到威胁并建议用户购买完整版本来“治愈”安卓设备。

此外,Dr.Web for Android产品侦测到大量用于监视用户操作的软件,可以收集用户信息,甚至可以远程控制设备。

统计信息 #drweb

Program.FakeAntiVirus.1
Program.FakeAntiVirus.2.origin
侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
Program.FreeAndroidSpy.1.origin
Program.SecretVideoRecorder.1.origin
Program.Mrecorder.1.origin
Program.Reptilicus.7.origin
Program.NeoSpy.1.origin
监视安卓设备用户,不法分子利用这些软件进行网络犯罪。这些软件能够获取设备位置信息,收集短信和在社交网络的通讯,复制文件、照片和视频,监听通话和周围环境等等。
Program.WapSniff.1.origin
用于拦截 WhatsApp通讯的软件。
Program.CreditSpy.2
侦测根据用户信息确定金融机构排行榜的软件模块。此类应用的功能是将对象信息、通讯簿联系人信息、通话记录等信息传至远程服务器。
Program.Gemius.1.origin
收集安卓设备信息以及设备用户使用情况的软件。在收集技术信息的同时,还会收集用户个人信息,包括设备位置、浏览器收藏的标签、用户访问的网站以及用户输入的网址。

风险软件中传播最广的是能够在不安装应用的情况下启动应用的程序,其中Tool.SilentInstaller. 家族的众多软件为数最多,占风险程序总侦测量的79.51%,比上一年增加53.28%。

此外,侦测到很多又专门打包器和混淆器保护的软件。这类工具经常被病毒编写者利用,用来增加反病毒产品侦测恶意软件和风险软件的难度,有14.16%侦测到的风险应用具备这种保护机制。

出于第三位的风险程序是用于获得root权限的工具。这种工具可能与木马一同使用,让木马能够感染安卓设备系统目录。此类工具占侦测到的风险应用的2.59%。

统计信息 #drweb

Tool.SilentInstaller.6.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.10.origin
Tool.SilentInstaller.13.origin
Tool.SilentInstaller.14.origin
Tool.VirtualApk.1.origin
风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.Obfuscapk.1
受专门混淆工具Obfuscapk保护的应用,这一工具用于自动更改和混淆安卓应用的源代码,可以反植入。不法分子则可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。
Tool.ApkProtector.10.origin
判断安卓应用是否使用ApkProtector打包器保护。这是一种专门的打包工具,用于保护安卓应用不被更改和植入代码。工具本身不是恶意工具,但既可以用于保护正常软件,也会被用于保护木马和不良软件,妨碍反病毒软件将其侦测。
Tool.Packer.1.origin
一种专门的打包工具,用于保护安卓应用不被更改和植入代码。工具本身不是恶意工具,但既可以用于保护正常软件,也会被用于保护木马。
Tool.Rooter.3
用于获取安卓设备的root权限,安卓设备用户可以使用此功能,但也可被不法分子和恶意软件所利用。

广告程序中最常见是内嵌通知和对话窗口显示模块的应用,这些模块还可以加载各种游戏和软件并建议用户安装。同时,用于在软件界面外显示横幅的内嵌模块再度广泛传播。

统计信息 #drweb

Adware.SspSdk.1.origin
Adware.AdPush.36.origin
Adware.Adpush.6547
Adware.Adpush.16510
Adware.MyTeam.2.origin
Adware.Dowgin.5.origin
Adware.Airpush.7.origin
Adware.Jiubang.2
Adware.Leadbolt.12.origin
Adware.Gexin.2.origin
广告模块,软件开发者将其嵌入自己的应用,目的是获取利润。这样的模块不断显示各种广告、横幅和视频广告,影响设备的正常使用,有些模块会加载网站并建议用户安装各种应用。此外,还可被用于收集机密信息并将其发送给远程服务器。

Google Play中的威胁

2021年在应用商店Google Play侦测到的威胁中有很多是属于Android.Joker. 家族的木马, 其功能是为用户订购收费服务和执行任意代码。这些木马假冒正常软件,如照片和视频编辑器、音乐播放器、即时通讯软件、养生软件、翻译软件、系统运行优化软件等等。恶意软件会执行宣称的正常功能,以此来降低用户的警惕性。在过去的一年我公司病毒分析师在Google Play侦测到40多个此类恶意应用的新变种,其总安装量超过1 250 000次。

另一为数众多的威胁是Android.FakeApp家族用于各种诈骗模式的假冒应用。这些恶意软件也冒充正常软件,但实际上根本没有正常应用的功能,其真实用途是诱骗用户打开各种诈骗网页,并利用这些诈骗网页骗取安卓设备用户的个人信息。我公司技术人员去年侦测到的此类木马有几百个,下载量超过1 700 000用户。

与2020年一样,去年此类应用大肆利用政府疫情期间对百姓的资助政策进行诈骗活动。很多Android.FakeApp假扮成获取补助或返税的信息查询软件,其中很多是专门针对俄罗斯用户,因为俄罗斯政府确实有向居民提供补助的政策。受害人在查询相关信息时实际上时把木马安装到了自己的设备。这些恶意应用加载诈骗网站,欺骗用户输入个人信息后就可以获得补助金,但需要先支付手续费,因此要求输入银行卡信息。受害人自然不会得到任何补助,而是损失了自己的金钱,还把机密信息提供给了不法分子。

Угрозы в Google Play #drweb

某些木马变种还定期推送可以获得补助金的通知,以此来吸引用户,诱骗更多的人打开诈骗网站。此类通知示例:

Угрозы в Google Play #drweb Угрозы в Google Play #drweb

另一常用的诈骗方式是所谓的比特币、石油、天然气等资源的投资交易。这种方式近几年一直在用来进攻电脑用户,但去年针对移动用户的进攻明显增加,出现来相应的假冒应用,谎称用户在没有任何经验和投资知识的情况下就可以获取投资收益。为骗取信任,此类恶意软件经常假冒知名公司的软件或是采用与金融应用相似的界面设计。

Угрозы в Google Play #drweb

此类木马加载的网站大多要求安卓设备用户通过输入个人信息来注册账号,之后等待所谓“工作人员”的回电。用户在注册时提供的信息,包括姓名、邮箱地址和电话号码,会被不法分子用来继续欺骗用户,或是会在黑市销售。

此类木马示例:

Угрозы в Google Play #drweb

Угрозы в Google Play #drweb

这些假冒的金融软件针对的不仅时俄罗斯用户,其他国家用户也有可能打开诈骗网页,落入不法分子的圈套。

Угрозы в Google Play #drweb

Угрозы в Google Play #drweb

其中一个被命名为Android.FakeApp.277 的木马甚至谎称可以以Elon Reeve Musk的名义进行投资。谎称用户只要将比特币发送到Tesla公司钱包,就可以得到双倍回报。实际上这个应用和这家知名公司将其所有人没有任何关系,上当的用户是把比特币送给了不法分子。

Угрозы в Google Play #drweb Угрозы в Google Play #drweb

这一家族的另一类木马假冒俄罗斯知名彩票的官方应用,欺骗用户可以获得免费彩票并参加抽奖。实际上是假彩票和“必胜”的假抽奖,目的是欺骗用户支付所谓的手续费或税款,当然,所有支付都会落入不法分子的腰包。

Угрозы в Google Play #drweb

这些木马的行骗示例:

Угрозы в Google Play #drweb

不法分子还使用其他诈骗模式。例如,某些Android.FakeApp 假冒的是信息咨询软件,谎称用户可以查询有关时尚、宠物、星象预测等等咨询,另一类则是所谓医药养生应用。前一类甚至并没有试图掩盖自己假应用,一去掉就会将用户转至可疑的交友网站,网站上模仿与真人的交流,其实只是诱骗用户注册,而且有些注册收费。第二类则打开所谓具有神奇功能药品的推销网站,借大幅优惠等名义骗取用户输入个人信息。

Угрозы в Google Play #drweb

此类木马还假冒许多知名商店和公司优惠卡赠送软件,使用知名品牌和销售网络的徽标来进行诈骗。

Угрозы в Google Play #drweb

这些木马有很多变种,不同变种会要求受害人每天或每周支付400卢布或更多金额来获取所谓的应用所有功能和大幅优惠,而实际上受害人得到的条码或二维码毫无用处。在应用激活后3天之内用户可以停止支付,但用户很有可能忘记已订阅了服务,或是没有来得及发现自己激活了收费极高的服务。

Угрозы в Google Play #drweb Угрозы в Google Play #drweb Угрозы в Google Play #drweb Угрозы в Google Play #drweb

在Google Play还侦测到其他类型的恶意应用,如Android.Proxy家族木马。这些木马将被感染设备变成代理服务器,供不法分子重定向流量。我公司技术人员还侦测到了广告木马Android.HiddenAds新变种。

此外,在这一应用商店还出现了银行木马,其中一个是Android.Banker.3679, 假冒Santander 银行的Esfera软件进行传播,针对是是巴西的用户。

Угрозы в Google Play #drweb

这个木马的主要功能是钓鱼和盗取用户私密信息,而主要目标是网银应用Santander Empresas。木马会申请对安卓操作系统特殊功能的访问权限,得到权限后就会获得对设备的控制权,进而自动点击菜单选项和各种按钮,并读取应用窗口内容。

Угрозы в Google Play #drweb Угрозы в Google Play #drweb Угрозы в Google Play #drweb

另一木马Android.Banker.4919 则冒充网银应用Resalat Bank和Tose'e Ta'avon Bank 进攻伊朗用户。木马加载钓鱼网站,并有拦截短信的功能。

Угрозы в Google Play #drweb Угрозы в Google Play #drweb

此木马加载的一个网站示例:

Угрозы в Google Play #drweb

我公司技术人员侦测到许多内置Adware.NewDich家族广告模块的应用。这些应用根据控制服务器指令在安卓设备浏览器加载各种网站。为避免用户产生怀疑,选择在用户不使用这些软件的时候加载网站。

模块Adware.NewDich经常加载的是各种联盟广告,将用户定向至Google Play上架的其他软件,其中一个是银行木马,被命名为 Android.Banker.3684。此木马在申请到特殊权限后就能够拦截输入的用户名、密码、一次性验证码以及通知内容。另一个广告应用内置的广告模块是 Adware.Overlay.1.origin, 加载网页后覆盖其他软件窗口显示。

银行木马

2021年银行木马的活跃程度较前一年增加43.74% 。其众多变种占恶意软件总侦测量的5.4% 。去年春季是安卓银行木马流行的高峰期,之后逐渐减弱,只是在8、9月间略有反弹。

Угрозы в Google Play #drweb

银行木马传播加剧主要原因是出现了许多新木马家族。如一月份广泛传播的是银行木马Oscorp (Android.BankBot.792.origin), 六月添加到Dr.Web病毒库是记录时木马S.O.V.A. (Android.BankBot.842.origin). 另外还侦测到新家族Coper和Abere (Android.BankBot.Abere.1.origin). 后者的特点时受Telegram-Bots控制。十月份威胁用户的则是木马SharkBot (Android.BankBot.904.origin).

此外,不法分子传播的银行木马还有Anatsa (Android.BankBot.779.origin)和Flubot (Android.BankBot.780.origin, Android.BankBot.828.origin), 这些木马首次出现在2020年底,接下来的12 个月都一直十分活跃。

一些早就出现的木马家族也持续传播,其中有Anubis (Android.BankBot.518.origin, Android.BankBot.670.origin, Android.BankBot.822.origin等变种), Ginp (Android.BankBot.703.origin), Gustuff (Android.BankBot.657.origin, Android.BankBot.738.origin), Medusa (Android.BankBot.830.origin), Hydra (Android.BankBot.563.origin), BRATA (Android.BankBot.915.origin), Alien (Android.BankBot.687.origin, Android.BankBot.745.origin)和Cerberus (Android.BankBot.612.origin, Android.BankBot.8705). 而木马Cerberus则出现了新的“后代”。使用的是2020年夏公开的源码,其中一个ERMAC (Android.BankBot.870.origin)在去年7月开始进攻用户。

前瞻

病毒编写者会继续利用恶意应用牟取非法利益,因此新的一年里会出现新的木马和不良应用。由于广告是相对简单而且可靠的牟利渠道,广告木马仍会十分活跃,用于加载安装各种软件的恶意软件数量也会增加。

会出现新的银行木马,其中很多会具备众多功能,不仅会盗取用户账户,还将执行不法分子指定的其他任务。

冒充其他应用的诈骗手段会继续使用。窃取私密信息的木马和间谍软件数量也会增加。

同时,更多网络犯罪分子会采用各种混淆码和打包器来保护自己的恶意应用。

我公司会继续追踪不法分子是活动,侦测新的威胁,为我们产品的用户提供可靠保护。我们建议用户安装Dr.Web for Android来抵御安卓威胁,并及时安装操作系统和所使用软件的所有更新。

Dr.Web Mobile Security

Your Android needs protection.

Use Dr.Web

  • The first Russian anti-virus for Android
  • Over 140 million downloads—just from Google Play
  • Available free of charge for users of Dr.Web home products

Free download