2022.07.26
6月份盗窃其他应用通知信息的间谍软件Android.Spy.4498 的活动继续减弱,相比5月在安装设备的侦测量降低了20.56%,Android.HiddenAds 家族的各种广告木马的活跃程度也有所下降,降幅为8%。同时,恶意应用人士传播最广的安卓威胁。
6月份我公司技术人员在Google Play目录侦测数十各新的恶意软件,其中有广告木马、用于诈骗的假冒软件、机密信息盗窃软件等等。
Dr.Web for Android保护产品统计信息
Android.Spy.4498
盗窃其他应用的通知的木马,还可向用户推荐各种软件并显示不法分子编写的对话窗口。
Android.HiddenAds .3018
Android.HiddenAds .3152
用于不断显示广告的木马,假冒热门应用,通过其他恶意软件传播,某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后,此类木马会通过去掉自己在主屏幕的应用图标来隐身。
Android.MobiDash .6939
用于不断显示广告的木马,是一个可嵌入应用的软件模块。
Android.DownLoader .475.origin
用于加载恶意软件和不良应用的木马。可隐身于通过Google Play 或恶意网站传播的正常应用中获得传播。
Program.FakeAntiVirus .1
侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
Program.SecretVideoRecorder .1.origin
Program.SecretVideoRecorder .2.origin
利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行,不显示录影通知,并可偷换应用图标和描述。这些功能都属风险功能。
Program.wSpy .1.origin
商业间谍软件,用于暗中监视安卓设备持有人。可读取往来通讯(常用即时通讯软件中的通讯和短信),监听环境,进行设备定位,记录浏览器历史,获取通讯簿、照片和视频访问权限,截屏和拍照。并具有键盘记录器功能。
Program.WapSniff.1.origin
用于拦截WhatsApp通讯的软件。
Tool.SilentInstaller .14.origin
Tool.SilentInstaller .6.origin
Tool.SilentInstaller .13.origin
Tool.SilentInstaller .7.origin
风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.GPSTracker.1.origin
专门的软件平台,用于暗中监视用户位置和活动路线。可内置于各种应用和游戏。
内置于安卓应用的广告模块,用于在移动设备不断显示广告。不同家族和不同变种有不同的功能,包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。
Adware.SspSdk .1.origin
Adware.AdPush .36.origin
Adware.Adpush .16510
Adware.Myteam.2.origin
Adware.Airpush .7.origin
Google Play中的威胁
我公司技术人员6月在Google Play侦测到30个Android.HiddenAds 广告木马,总下载量超过9 890 000,其中有此木马家族的新成员(Android.HiddenAds .3168 、Android.HiddenAds .3169 、Android.HiddenAds .3171 、Android.HiddenAds .3172 和Android.HiddenAds .3207 ),也有我们在5月份综述中介绍过的Android.HiddenAds .3158 的新变种。
所有这些木马都是植入于各种软件,包括图片编辑器、屏幕键盘、系统根据、通话软件、屏保等等。
以下是供这些木马藏身的软件名称列表:
Photo Editor: Beauty Filter (gb.artfilter.tenvarnist )
Photo Editor: Retouch & Cutout (de.nineergysh.quickarttwo )
Photo Editor: Art Filters (gb.painnt.moonlightingnine )
Photo Editor - Design Maker (gb.twentynine.redaktoridea )
Photo Editor & Background Eraser (de.photoground.twentysixshot )
Photo & Exif Editor (de.xnano.photoexifeditornine )
Photo Editor - Filters Effects (de.hitopgop.sixtyeightgx )
Photo Filters & Effects (de.sixtyonecollice.cameraroll )
Photo Editor : Blur Image (de.instgang.fiftyggfife )
Photo Editor : Cut, Paste (de.fiftyninecamera.rollredactor )
Emoji Keyboard: Stickers & GIF (gb.crazykey.sevenboard )
Neon Theme Keyboard (com.neonthemekeyboard.app )
Neon Theme - Android Keyboard (com.androidneonkeyboard.app )
Cashe Cleaner (com.cachecleanereasytool.app )
Fancy Charging (com.fancyanimatedbattery.app )
FastCleaner: Cashe Cleaner (com.fastcleanercashecleaner.app )
Call Skins - Caller Themes (com.rockskinthemes.app )
Funny Caller (com.funnycallercustomtheme.app )
CallMe Phone Themes (com.callercallwallpaper.app )
InCall: Contact Background (com.mycallcustomcallscrean.app )
MyCall - Call Personalization (com.mycallcallpersonalization.app )
Caller Theme (com.caller.theme.slow )
Caller Theme (com.callertheme.firstref )
Funny Wallpapers - Live Screen (com.funnywallpapaerslive.app )
4K Wallpapers Auto Changer (de.andromo.ssfiftylivesixcc )
NewScrean: 4D Wallpapers (com.newscrean4dwallpapers.app )
Stock Wallpapers & Backgrounds (de.stockeighty.onewallpapers )
Notes - reminders and lists (com.notesreminderslists.app )
为达到显示广告的目的,部分木马会尝试获取覆盖其他软件显示窗口的权限,而另一些则会将自己列入设备电池优化排除项。为了加大用户发现的难度,木马会在主屏幕已安装应用列表中隐去自身图标,或是更换为不会引人注意的名称,比如,换成名称为“SIM Toolkit”的图标,用户点击时会启动同名的SIM卡使用软件。
这些木马获取必要功能访问权限实例:
更换图标实例:
此外,我们的技术人员还侦测到Android.Joker 家族的新木马 ,功能是加载和执行任意代码,暗中为用户订阅收费服务。其中第一个木马藏身于程序Poco Launcher,第二个——摄像头应用4K Pro Camera,第三个是在表情包收集器Heart Emoji Stickers。这些木马都已添加到Dr.Web病毒库,分别命名为Android.Joker .1435 、Android.Joker .1461 和 Android.Joker .1466 。
本月侦测到的恶意软件还有Android.PWS.Facebook 家族的新成员,分别命名为Android.PWS.Facebook .149 和Android.PWS.Facebook .151 。这些软件的功能是解密用户的Facebook 账号(俄罗斯境内已禁止社交网Facebook)。两个木马都假冒图片编辑器,第一个的名称是YouToon - AI Cartoon Effect,第二个是Pista - Cartoon Photo Effect。
这些木马启动后以各种借口要求用户登录自己的Facebook账号,然后加载Facebook登录页面,而用户输入的用户名、密码以及其他登录信息都会被发送给不法分子。
我公司技术人员还侦测到了木马Android.Click .401.origin 。木马隐藏在名为Water Reminder- Tracker & Reminder用于提醒用户喝水的软件以及瑜伽教学软件Yoga- For Beginner to Advanced。 两个软件都具有其宣称的功能,因此用户很难怀疑会有什么异样。
假冒软件,其中有所谓的“增值税返税软件”(Android.FakeApp .949 ),谎称可用于查询国家的各种补助,实际上加载的是诈骗网站,目的是盗窃用户机密信息和钱财。
这一木马会解密并加载其资源中的恶意组件(Dr.Web反病毒软件将其归为Android.Click .402.origin ),其功能是暗中在WebView加载各种网站。之后这一组件会仿真用户操作,自动点击网站互动元素,如广告横幅和链接。
另一新威胁是一个假冒的在线通讯应用Chat Online,有多个变种,已添加到Dr.Web病毒库,分别命名为 Android.FakeApp .963 和 Android.FakeApp .964 。
木马不具备其宣称的功能,实际上只会加载网站,包括诈骗网站。某些网站假冒在线交友,要求输入电话号码、邮箱地址等个人信息。之后这些信息会在黑市出售,被不法分子利用。
另一些网站进行所谓的在线交流,之后会建议支付贵宾服务费。受害者一旦同意,所遭受的不只是支付的所谓费用,如果不法分子获取到了银行卡信息,会导致银行卡余额全被取走。
我公司已将所有侦测到的威胁的相关信息提交给了Google公司。在此综述发布之时部分恶意软件仍还没有下架。
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备、抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
The first Russian anti-virus for Android
Over 140 million downloads—just from Google Play
Available free of charge for users of Dr.Web home products
Free download