2022.07.26
6月份我公司技术人员在Google Play目录侦测数十各新的恶意软件,其中有广告木马、用于诈骗的假冒软件、机密信息盗窃软件等等。
五月份主要移动安全事件:
- Android.Spy.4498的活动继续减弱
- 广告木马的活动减弱
- Google Play出现大量恶意软件
Dr.Web for Android保护产品统计信息
- Android.Spy.4498
- 盗窃其他应用的通知的木马,还可向用户推荐各种软件并显示不法分子编写的对话窗口。
- Android.HiddenAds.3018
- Android.HiddenAds.3152
- 用于不断显示广告的木马,假冒热门应用,通过其他恶意软件传播,某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后,此类木马会通过去掉自己在主屏幕的应用图标来隐身。
- Android.MobiDash.6939
- 用于不断显示广告的木马,是一个可嵌入应用的软件模块。
- Android.DownLoader.475.origin
- 用于加载恶意软件和不良应用的木马。可隐身于通过Google Play 或恶意网站传播的正常应用中获得传播。
- Program.FakeAntiVirus.1
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.SecretVideoRecorder.1.origin
- Program.SecretVideoRecorder.2.origin
- 利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行,不显示录影通知,并可偷换应用图标和描述。这些功能都属风险功能。
- Program.wSpy.1.origin
- 商业间谍软件,用于暗中监视安卓设备持有人。可读取往来通讯(常用即时通讯软件中的通讯和短信),监听环境,进行设备定位,记录浏览器历史,获取通讯簿、照片和视频访问权限,截屏和拍照。并具有键盘记录器功能。
- Program.WapSniff.1.origin
- 用于拦截WhatsApp通讯的软件。
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.13.origin
- Tool.SilentInstaller.7.origin
- 风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
- Tool.GPSTracker.1.origin
- 专门的软件平台,用于暗中监视用户位置和活动路线。可内置于各种应用和游戏。
内置于安卓应用的广告模块,用于在移动设备不断显示广告。不同家族和不同变种有不同的功能,包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。
- Adware.SspSdk.1.origin
- Adware.AdPush.36.origin
- Adware.Adpush.16510
- Adware.Myteam.2.origin
- Adware.Airpush.7.origin
Google Play中的威胁
我公司技术人员6月在Google Play侦测到30个Android.HiddenAds广告木马,总下载量超过9 890 000,其中有此木马家族的新成员(Android.HiddenAds.3168、Android.HiddenAds.3169、Android.HiddenAds.3171、Android.HiddenAds.3172和Android.HiddenAds.3207),也有我们在5月份综述中介绍过的Android.HiddenAds.3158的新变种。
所有这些木马都是植入于各种软件,包括图片编辑器、屏幕键盘、系统根据、通话软件、屏保等等。
以下是供这些木马藏身的软件名称列表:
- Photo Editor: Beauty Filter (gb.artfilter.tenvarnist)
- Photo Editor: Retouch & Cutout (de.nineergysh.quickarttwo)
- Photo Editor: Art Filters (gb.painnt.moonlightingnine)
- Photo Editor - Design Maker (gb.twentynine.redaktoridea)
- Photo Editor & Background Eraser (de.photoground.twentysixshot)
- Photo & Exif Editor (de.xnano.photoexifeditornine)
- Photo Editor - Filters Effects (de.hitopgop.sixtyeightgx)
- Photo Filters & Effects (de.sixtyonecollice.cameraroll)
- Photo Editor : Blur Image (de.instgang.fiftyggfife)
- Photo Editor : Cut, Paste (de.fiftyninecamera.rollredactor)
- Emoji Keyboard: Stickers & GIF (gb.crazykey.sevenboard)
- Neon Theme Keyboard (com.neonthemekeyboard.app)
- Neon Theme - Android Keyboard (com.androidneonkeyboard.app)
- Cashe Cleaner (com.cachecleanereasytool.app)
- Fancy Charging (com.fancyanimatedbattery.app)
- FastCleaner: Cashe Cleaner (com.fastcleanercashecleaner.app)
- Call Skins - Caller Themes (com.rockskinthemes.app)
- Funny Caller (com.funnycallercustomtheme.app)
- CallMe Phone Themes (com.callercallwallpaper.app)
- InCall: Contact Background (com.mycallcustomcallscrean.app)
- MyCall - Call Personalization (com.mycallcallpersonalization.app)
- Caller Theme (com.caller.theme.slow)
- Caller Theme (com.callertheme.firstref)
- Funny Wallpapers - Live Screen (com.funnywallpapaerslive.app)
- 4K Wallpapers Auto Changer (de.andromo.ssfiftylivesixcc)
- NewScrean: 4D Wallpapers (com.newscrean4dwallpapers.app)
- Stock Wallpapers & Backgrounds (de.stockeighty.onewallpapers)
- Notes - reminders and lists (com.notesreminderslists.app)
为达到显示广告的目的,部分木马会尝试获取覆盖其他软件显示窗口的权限,而另一些则会将自己列入设备电池优化排除项。为了加大用户发现的难度,木马会在主屏幕已安装应用列表中隐去自身图标,或是更换为不会引人注意的名称,比如,换成名称为“SIM Toolkit”的图标,用户点击时会启动同名的SIM卡使用软件。
这些木马获取必要功能访问权限实例:
更换图标实例:
此外,我们的技术人员还侦测到Android.Joker家族的新木马 ,功能是加载和执行任意代码,暗中为用户订阅收费服务。其中第一个木马藏身于程序Poco Launcher,第二个——摄像头应用4K Pro Camera,第三个是在表情包收集器Heart Emoji Stickers。这些木马都已添加到Dr.Web病毒库,分别命名为Android.Joker.1435、Android.Joker.1461和 Android.Joker.1466。
本月侦测到的恶意软件还有Android.PWS.Facebook家族的新成员,分别命名为Android.PWS.Facebook.149和Android.PWS.Facebook.151。这些软件的功能是解密用户的Facebook 账号(俄罗斯境内已禁止社交网Facebook)。两个木马都假冒图片编辑器,第一个的名称是YouToon - AI Cartoon Effect,第二个是Pista - Cartoon Photo Effect。
这些木马启动后以各种借口要求用户登录自己的Facebook账号,然后加载Facebook登录页面,而用户输入的用户名、密码以及其他登录信息都会被发送给不法分子。
我公司技术人员还侦测到了木马Android.Click.401.origin。木马隐藏在名为Water Reminder- Tracker & Reminder用于提醒用户喝水的软件以及瑜伽教学软件Yoga- For Beginner to Advanced。 两个软件都具有其宣称的功能,因此用户很难怀疑会有什么异样。
假冒软件,其中有所谓的“增值税返税软件”(Android.FakeApp.949),谎称可用于查询国家的各种补助,实际上加载的是诈骗网站,目的是盗窃用户机密信息和钱财。
这一木马会解密并加载其资源中的恶意组件(Dr.Web反病毒软件将其归为Android.Click.402.origin),其功能是暗中在WebView加载各种网站。之后这一组件会仿真用户操作,自动点击网站互动元素,如广告横幅和链接。
另一新威胁是一个假冒的在线通讯应用Chat Online,有多个变种,已添加到Dr.Web病毒库,分别命名为 Android.FakeApp.963 和 Android.FakeApp.964。
木马不具备其宣称的功能,实际上只会加载网站,包括诈骗网站。某些网站假冒在线交友,要求输入电话号码、邮箱地址等个人信息。之后这些信息会在黑市出售,被不法分子利用。
另一些网站进行所谓的在线交流,之后会建议支付贵宾服务费。受害者一旦同意,所遭受的不只是支付的所谓费用,如果不法分子获取到了银行卡信息,会导致银行卡余额全被取走。
我公司已将所有侦测到的威胁的相关信息提交给了Google公司。在此综述发布之时部分恶意软件仍还没有下架。
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备、抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
