2022.01.28
12月我公司技术人员在Google Play再次发现新威胁,其中有用于各种诈骗活动的Android.FakeApp家族假冒软件,为用户订购收费服务的Android.Joker木马家族软件以及其他恶意应用。
12月份主要移动安全事件:
- 广告木马仍是安卓设备威胁中侦测量最多的威胁
- Google Play再次出现新木马
Dr.Web for Android保护产品统计信息
- Android.HiddenAds.3018
- Android.HiddenAds.624.origin
- Android.HiddenAds.1994
- 用于不断显示广告的木马,假冒热门应用,通过其他恶意软件传播,某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后,此类木马会通过去掉自己在主屏幕的应用图标来隐身。Android.HiddenAds.3018 是木马 Android.HiddenAds.1994 的一个新版本。
- Android.MobiDash.6922
- 用于不断显示广告的木马,是一个可嵌入应用的软件模块。
- Android.Triada.4567
- 可执行各种恶意功能的多功能木马。属于能够入侵所有正在运行中的程序的木马。此类木马家族的变种有时会出现在安卓设备固件中,也就是不法分子在设备生产阶段将其植入设备。此外,某些版本能够利用漏洞获得对受保护文件和目录的访问权限。
- Program.FakeAntiVirus.1
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.SecretVideoRecorder.1.origin
- 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行,不显示录影通知,并可偷换应用图标和描述。这些功能都属风险功能。
- Program.KeyStroke.3
- 能够拦截键盘输入的安卓软件。某些变种还具备监视短信、控制来电记录和录音的功能。
- Program.Gemius.1.origin
- 监视安卓设备用户,不法分子利用这些软件进行网络犯罪。能够获取设备位置、收集短信和在社交平台的通讯,复制文件、照片和视频,还能进行监听等其他活动。
- Program.WapSniff.1.origin
- 用于连接WhatsApp通讯的软件。
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.13.origin
- Tool.SilentInstaller.7.origin
- 风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
- Tool.Obfuscapk.1
- 一种专门的打包工具,用于保护安卓应用不被更改和植入代码。工具本身不是恶意工具,但既可以用于保护正常软件,也会被用于保护木马,增加反病毒软件侦测难度。
内置于安卓应用的广告模块,用于在移动设备不断显示广告。不同家族和不同变种有不同的功能,包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。
- Adware.SspSdk.1.origin
- Adware.AdPush.36.origin
- Adware.Adpush.16510
- Adware.Adpush.6547
- Adware.Myteam.2.origin
Google Play中的威胁
12月在Google Play侦测到加载其他应用、执行任意代码并可为用户订阅收费访问的Android.Joker恶意应用家族出现新成员,包括藏身于通讯软件Color Message和Elegant SMS 中的木马 Android.Joker.1097 和Android.Joker.1126,冒充安卓设备优化运行工具Speed Clean Pro的Android.Joker.1129 ,还有假冒PDF 文件生成软件PDF Camera Scanner 的Android.Joker.1157,而 Android.Joker.1160则是冒充监控血压的应用Blood Pressure Record。
我公司技术人员还侦测到木马家族Android.PWS.Facebook出现的又一木马。此类木马用于盗窃Facebook账号用户名、密码和其他信息。新木马冒充的是短视频制作应用Vasee Bluenee Slideshow,其恶意组件已添加到Dr.Web病毒库,分别命名为Android.PWS.Facebook.101和Android.PWS.Facebook.102。
此外,在Google Play还侦测到用于各种诈骗活动的假冒软件,其中Android.FakeApp.721 和Android.FakeApp.724假冒俄罗斯政府民生补助软件,谎称可利用软件获取工具的补贴和资助。实际上木马家族的是诈骗网站,诱骗访客输入个人信息,并为所谓的转款支付手续费。
被命名为Android.FakeApp.722和Android.FakeApp.723的木马具有类似功能,欺骗用户可以获得免费彩票并参加抽奖。实际上是假彩票和“必胜”的假抽奖,目的是欺骗用户支付所谓的手续费或税款。
木马Android.FakeApp.727和Android.FakeApp.729冒充电子货币的挖矿软件,藏匿于各种软件,如Dogecoin Mining Cloud、Litecoin Mining Cloud、Bitcoin Miner、Ethereum Mining Cloud 和BTC Mining Cloud。安装后会建议用户通过云服务获取电子货币,而要提速就要支付资费。
此类应用之前就已有出现,如2021年8月我公司侦测到的名为Multimine - BTC Cloud Mining 的软件就与此类似,该软件在Dr.Web 病毒库被命名为Android.FakeApp.336。
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备、抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
