Doctor Web：2022年5月移动设备病毒活动综述

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "主要趋势" }, { box => "统计信息" }, { box => "Google Play中的威胁" } ] #FILE_REVIEW = 'https://st.drweb.cn/static/new-www/news/2022/DrWeb_review_mobile_january_2022.pdf' %] [% BLOCK global.tpl_blueprint.content %]

2022.06.14

5月份盗窃其他应用通知信息的间谍软件 Android.Spy.4498的活动减弱了13.48%，但仍是传播最广的安卓威胁，侦测量居多的还有Android.HiddenAds家族的各种广告木马，其活跃程度较4月份上升了13.57%。

5月份我公司技术人员在Google Play目录再次侦测到新的恶意软件，其中有为用户订阅收费移动服务的木马家族 Android.Subscription，用于各种诈骗模式的Android.FakeApp家族软件、不法分子用于解锁Facebook账号的密码盗窃木马Android.PWS.Facebook和Android.HiddenAds家族的各种广告木马。

Dr.Web for Android保护产品统计信息

Android.Spy.4498

盗窃其他应用的通知的木马，还可向用户推荐各种软件并显示不法分子编写的对话窗口。

Android.HiddenAds.3018

Android.HiddenAds.3152

用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。

Android.DownLoader.475.origin

用于加载恶意软件和不良应用的木马。可隐身于通过Google Play 或恶意网站传播的正常应用中获得传播。

Android.Triada.4567.origin

可执行各种恶意功能的多功能木马。属于能够入侵所有正在运行中的程序的木马。此类木马家族的变种有时会出现在安卓设备固件中，也就是不法分子在设备生产阶段将其植入设备。此外，某些版本能够利用漏洞获得对受保护文件和目录的访问权限。

Program.FakeAntiVirus.1

侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行，不显示录影通知，并可偷换应用图标和描述。这些功能都属风险功能。

Program.WapSniff.1.origin

用于连接WhatsApp通讯的软件。

Program.KeyStroke.3

能够拦截键盘输入的安卓软件。某些变种还具备监视短信、控制来电记录和录音的功能。

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.7.origin

风险平台，允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。

Tool.Obfuscapk.1.origin

受专门混淆工具Obfuscapk保护的应用，这一工具用于自动更改和混淆安卓应用的源代码，可以反植入。不法分子则可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。

内置于安卓应用的广告模块，用于在移动设备不断显示广告。不同家族和不同变种有不同的功能，包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。

Adware.SspSdk.1.origin

Adware.AdPush.36.origin

Adware.Adpush.6547

Adware.Adpush.2146

Adware.Myteam.2.origin

Google Play中的威胁

我公司技术人员5月在Google Play侦测到新的恶意软件，其中有广告木马 Android.HiddenAds.3158 и Android.HiddenAds.3161。

<

第一个木马冒充是图片收集器Wild & Exotic Animal Wallpaper，安装后将名称更换为“SIM Tool Kit”，并将其在主屏幕的图标更换为不易被人发现的图标。木马会要求为其关闭节省电池模式，以便能够已背景模式不间断运行，这样即使设备用户长久不使用应用，木马也可以显示广告。

第二个木马冒充是手电软件Magnifier Flashlight，会在应用列表隐身， 然后就会定期显示广告视频和横幅。此类广告实例：

再次侦测到不法分子用于解锁Facebook账号的密码盗窃木马，冒充各种图像编辑器，有PIP Pic Camera Photo Editor (Android.PWS.Facebook.142)、PIP Camera 2022 (Android.PWS.Facebook.143)、Camera Photo Editor (Android.PWS.Facebook.144) 和Light Exposure Photo Editor (Android.PWS.Facebook.145)，还有一个木马冒充的是星象软件ZodiHoroscope - Fortune Finder (Android.PWS.Facebook.141)。

这些木马以各种借口（如启用所有功能或是关闭广告）要求用户登录自己的Facebook账号，之后就会把用户输入的用户名、密码以及其他登录信息发送给不法分子。

本月侦测到的恶意软件还有 Android.Subscription家族的新成员，这些木马的功能为用户订阅收费服务 。其中一个已添加到Dr.Web 病毒库并被命名为 Android.Subscription.9的木马冒充数据恢复软件，另一个则冒充游戏 Driving Real Race，被命名为Android.Subscription.10。这些恶意软件加载同盟网站，之后通过这些网站办理收费订阅。

此外，我公司技术人员再次侦测到假冒软件，其中有所谓的“增值税返税软件”（Android.FakeApp.949），谎称可用于查询国家的各种补助，实际上加载的是诈骗网站，目的是盗窃用户机密信息和钱财。

另一假软件名称是Only Fans App OnlyFans Android，谎称可免费获得OnlyFans中的收费内容权限。

用户加载这个假软件后要通过一个问卷调查，之后会加载诈骗网站，假冒获取权限的页面，要求用户输入邮箱地址，之后会建议执行各种任务，包括安装某些游戏或软件，或者是进行在线问卷调查。实际上用户根本不会获得什么权限，不法分子则会因用户完成的各种任务获得相关同盟服务的奖励。此假软件已添加到Dr.Web 病毒库，被命名为 Android.FakeApp.951。

诱骗用户打开诈骗网站的所谓问卷调查页面：

诈骗网站上所谓的获取权限页面：

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备、抵御恶意程序和不良程序。

[% END %]