Doctor Web：2022年12月移动设备病毒活动综述

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "主要事件" }, { box => "统计信息" }, { box => "Google Play中的威胁" } ] #FILE_REVIEW = 'https://st.drweb.cn/static/new-www/news/2022/virus_review_mob_nov_2022.pdf' %] [% BLOCK global.tpl_blueprint.content %]

2023.01.27

Dr.Web for Android侦测统计数据显示，12月广告木马和间谍软件活动加剧。同时Google Play再次出现大量新威胁，其中有假冒应用和为用户订阅收费服务的木马应用。

Dr.Web for Android保护产品统计信息

Android.Spy.5106

Android.Spy.4498

盗窃其他应用的通知的木马，还可向用户推荐各种软件并显示不法分子编写的对话窗口。

Android.HiddenAds.3558

用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。安装到设备后，此类木马会通过去掉自己在主屏幕的应用图标来隐身。

Android.Packed.57083

利用打包器ApkProtector的恶意应用，其中有银行木马、间谍软件及其他恶意软件。

Android.MobiDash.6950

用于不断显示广告的木马，是嵌入应用的广告模块。

Program.FakeAntiVirus.1

侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。

Program.FakeMoney.3

Program.FakeMoney.7

谎称可通过刷视频和广告赚钱的软件。模拟完成任务即可获取奖励，欺骗用户积累一定数量后即可兑现。实际上即便积累到量也不会有任何收入。

Program.SecretVideoRecorder.1.origin

利用安卓设备内置摄像头进行背景摄影录像的应用。可暗中运行，不显示录影通知，并可偷换应用图标和描述。这些功能都属风险功能。

Program.wSpy.1.origin

商业间谍软件，用于暗中监视安卓设备持有人。可读取往来通讯（常用即时通讯软件中的通讯和短信），监听环境，进行设备定位，记录浏览器历史，获取通讯簿、照片和视频访问权限，截屏和拍照。并具有键盘记录器功能。

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.17.origin

风险平台，允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。

Tool.ApkProtector.16.origin

受打包器ApkProtector保护的安卓应用，这一工具背身无害，但不法分子可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。

内置于安卓应用的广告模块，用于在移动设备不断显示广告。不同家族和不同变种有不同的功能，包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。

Adware.AdPush.36.origin

Adware.Adpush.19599

Adware.SspSdk.1.origin

Adware.Airpush.7.origin

Adware.Fictus.1.origin

Google Play中的威胁

12月我公司技术人员在Google Play中发现多个新威胁。其中有几十个属木马家族Android.FakeApp ，这类应用连接远程服务器并按照接收的指令显示各种网站内容，包括钓鱼软件。

其中一些虚假应用借投资建议、信息查询和调查问卷为幌子进行传播。 谎称利用这些应用用户可以增长金融知识，投资股票和加密货币市场或直接交易石油和天然气，甚至可以免费获得大公司的股票。 而实际上访问者需提供个人数据来提交所谓的帐户注册 “申请”或联系所谓的“专业人士”。

其他一些假冒软件则藏身于各种游戏。.

根据从 控制服务器收到的配置，这些应用会显示各种在线赌场网站或者是正常的无害游戏，如下例所示。

还侦测到另一个假冒程序，名为 SEEKS 并借求职应用为幌子传播。 事实上加载了的是虚假聘用信息，目的是诱骗受害者。这一该假冒程序已添加到 Dr.Web 病毒库，被命名为Android.FakeApp.1133。

被命名为 Android.FakeApp.1141 的恶意软件是VPN 客户端Safe VPN。 实际上这是一个假的应用程序。

启动后这个程序会显示网站内容，称花 1 卢布即可访问 VPN 服务， 但需要创建帐户并使用银行卡付款。 事实上受害人购买的是为期三天的试用版，试用期结束后，每天都从器银行账户扣除 140 卢布。 有关信息虽然已在网站上显示，但大多数受害者根本无法注意到。

同时这一应用程序会模拟连接到加密网络并通知用户连接成功。 事实上，这只是假象，程序根本不具备所声称的功能。

再次侦测到声称可以通过执行某些任务来赚钱的欺诈程序，例如，名为Wonder Time 的应用程序建议用户通过安装、运行和使用其他程序和游戏来获得虚拟奖励，并谎称可以兑换。 但是，要提现“赚来的”奖励币，需要先积累数百万的奖励，而完成每项任务的奖励币很少。 因此，即使用户能够收集到所需的数量，他们也会花费比预期收益更多的时间、精力和其他资源。Dr.Web将根此应用程序的不同版本分别命名为 Program.FakeMoney.4、Program.FakeMoney.5 和 Program.FakeMoney.6。

Dr.Web 病毒库还添加了操作原理类似的程序，命名为 Program.FakeMoney.7。 例如，利用这一记录可以侦测多个 Lucky Habit 应用程序：health tracker、WalkingJoy 和某些版本的L ucky Step-Walking Tracker。 第一个假冒良好习惯养成程序，其他集中则谎称是计步器，依靠步数、坚持作息可以获得虚拟奖励，观看广告则可获得额外奖励。

与之前的情况一样，奖励提现之前要积累大量奖励。 如果用户设法收集到必要的金额，则程序还会要求再观看几十个商业广告，之后会建议再看几十个广告来“加快”提现。而对用户指定的付款信息是否正确并没有进行验证，也就是说利用这些程序中获得收入的可能性极小。

此外，Dr.Web反病毒软件检测到的 Lucky Step-Walking Tracker 早期版本有将奖励转换为在线商店礼品卡的功能。 但应用程序更新后取消了将奖励兑换为真实货币的功能，并删除了相应的界面元素。 结果之前积累的所有奖励都变成了无用的数字。 同时，Lucky Habit: Health Tracker、Lucky Step-Walking Tracker 和 WalkingJoy 有一个共同的控制服务器 [string]richox[.]net[/string]。 这表明它们可能相互关联，也就是说Lucky Habit: health tracker和WalkingJoy的用户也会随时失去得到任何收益的可能性。

12月检测到的威胁还包括来自 Android.Joker 家族的新木马，这些应用程序会为受害者注册付费服务，分别隐藏在 Document PDF Scanner (Android.Joker.1941)、Smart Screen Mirroring (Android.Joker.1942) 和Smart Night Clock (Android.Joker.1949) 等程序中。

此外，Google Play目录中还上架了一种声称是健身应用的FITSTAR。

启动后这一应用会加载一些网站，用户可以在这些网站上以相对较低的价格（29 卢布）购买个人减肥计划。 事实上这一价格并非最终价格，而只是购买了 1 天的服务试用权限。 在试用期结束时，订阅会自动续订 4 天，费用已经是 980 卢布。 完全使用该服务的费用可能达到 7,000 卢布，并且现有订阅还会自动续费。 因此，安装此程序的 Android 设备用户可能会因疏忽而损失大量金钱。

该应用程序已添加到 Dr.Web 病毒库，命名为Program.Subscription.1。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

[% END %]