The page may not load correctly.
2024年4月17日
2023年,最常见的安卓威胁是显示广告的木马。与前一年相比,间谍木马的活动有所减少,排在Dr.Web反病毒产品在受保护的设备威胁侦测量的第二位。尽管银行木马的侦测率也有所下降,但此类威胁仍在不断发展,仍对世界各地的用户构成严重威胁。去年,出现了大量新的安卓银行木马家族,其许多针对的是俄罗斯和伊朗用户。
诈骗活动仍然十分猖獗,不法分子使用各种恶意应用实施各种诈骗模式。
网络犯罪分子也从未忘记利用GooglePlay目录。DoctorWeb反病毒实验室一年之内在这一官方应用商店发现了400多个木马程序,总下载量至少达到4.28亿次。
此外,我们的专家还侦测到窃取加密货币的新木马,而且进攻的对象不仅是安卓设备,也包括iOS操作系统的设备。
去年5月,我公司技术人员在GooglePlay 发现 了100多个内嵌SpinOk模块的应用程序,该模块宣称的功能是嵌入安卓游戏和程序的专门营销平台,目的是通过迷你游戏、任务系统和所谓的抽奖来让用户继续使用应用。然而,该模块因具有间谍功能而添加到Dr.Web病毒库,被命名为Android.Spy.SpinOk。模块能收集安卓设备存储文件的相关信息,并将其传输给攻击者,还可以替换剪贴板的内容并将其上传到远程服务器。此外,该模块还能以横幅的形式显示广告,下图为一些示例。
内嵌Android.Spy.SpinOk的应用程序总下载量超过4.21亿次。SpinOk开发商联系我公司后对该模块进行了修正,平台的当前版本2.4.2已不再包含木马功能。
去年9月初,我们公司发布了对Android.Pandora.2后门的研究报告 ,该后门主要攻击的是西班牙语用户。2023年3月记录到大量涉及Android.Pandora.2的攻击事件。该木马程序的第一批变种早在2017年7月就已添加到Dr.Web病毒库。该木马的各种变种通过被破解的固件版本以及用于非法在线观看视频的木马软件来感染安卓操作系统的智能电视和机顶盒。传播这种后门软件的站点示例:
该木马将受感染设备纳入僵尸网络,并能够根据攻击者的命令执行各种类型的DDoS攻击,还可以执行许多其他操作,包括安装自身的更新和替换系统主机文件。我们的专家所进行的分析表明,病毒编写者在创建此木马时,使用了Linux.Mirai编写者的部分代码,而Linux.Mirai自2016年以来就被广泛用于感染物联网(IoT)设备并对各种网站进行DDoS攻击。
同月,我公司病毒分析师就针对伊朗用户的多功能间谍木马Android.Spy.Lydia发布报告。这一家族的木马是伪装成在线交易的金融平台,能够按照攻击者的命令执行各种恶意操作,如拦截并发送短信、收集电话簿中的联系人信息、窃取剪贴板内容、加载钓鱼网站等。Android.Spy.Lydia木马可用于各种诈骗模式,可用于窃取个人数据。此外,攻击者利用这些木马还可以窃取受害者的钱财。
9月底,我们公司 通告 利用移动设备远程管理程序进行诈骗的案例在不断增加,攻击者借助这些程序能够完全控制安卓设备。网络犯罪分子冒充是信贷机构的客服,向潜在受害者通报其银行账户出现“可疑交易”,并建议在GooglePlay查找和下载一个“银行支持应用”。事实上,不法分子建议银行安装的是一个远程桌面访问工具,最常见的是RustDeskRemoteDesktop。该实用程序在GooglePlay被下架后,攻击者开始通过诈骗网站传播这个工具。在某些情况下,为了使其更有迷惑力,不法分子还将其名称和图标替换为与特定银行相对应的名称和图标。该程序的此类木马版本我公司产品侦测为Android.FakeApp.1426。
与此同时,我公司专家在2023年继续发现各种恶意网站,网络犯罪分子通过这些网站传播可安装到安卓和iOS设备的虚假加密钱包,其功能是窃取加密货币。
2023年,恶意软件再次成为最常见的安卓威胁,占Dr.Web反病毒产品侦测总数的86.71%。广告应用以5.80%的占比位居第二。潜在危险程序成为第三大常见程序,是受保护的设备威胁侦测量的5.74%,而不良程序占比为1.75%。
根据Dr.Web安卓移动设备保护产品的侦测统计,各类型威胁的分布情况如下:
最常见的恶意安卓应用程序是Android.HiddenAds家族的广告木马。与2022年相比,在Dr.Web反病毒侦测到的恶意软件总量中的占比增加了4.72个百分点,达到31.61%。
该家族中最活跃的成员是Android.HiddenAds.3697,在受保护设备侦测率为10.72%。多年来,该恶意程序的各种变种在侦测数量上一直处于首位。例如,2021年最常见的是变种Android.HiddenAds.1994,2022年则变成Android.HiddenAds.3018。除了2023年的Android.HiddenAds.3697之外,我们的专家还发现了该木马的许多其他版本。其中包括Android.HiddenAds.3697、Android.HiddenAds.3831、Android.HiddenAds.3851和Android.HiddenAds.3956。随着时间的推移,其中也有可能出现占比最多的一个。
第二常见恶意软件的是具有间谍功能的Android.Spy木马家族。与2022年相比,在Dr.Web反病毒产品侦测到的恶意软件总量中占比下降了14.01个百分点,降至28.22%。其中最活跃的是Android.Spy.5106,占所有恶意软件侦测的20.80%。如将该木马的早期变种Android.Spy.4498和Android.Spy.4837一并计算,则份额达到24.32%,几乎占整个侦测量的四分之一。
Android.MobiDash家族广告木马排名第三。与去年同期相比,其在恶意软件侦测总量中的份额增加了5.25个百分点,达到10.06%。
2023年,用于下载和安装其他程序以及能够执行任意代码的恶意应用程序的活动持续下降,Android.DownLoader木马侦测量下降了1.58个百分点,降至2.18%,Android.Triada下降了0.99个百分点,降至2.14%,Android.RemoteCode下降了0.01个百分点,降至2.83%。Android.Mobifun侦测份额下降了0.33个百分点,降至0.25%,Android.Xiny侦测份额下降了0.21个百分点,降至0.27%。
与此同时,使用Android.FakeApp恶意假冒软件进行的攻击数量有所增加,攻击者将其用于各种诈骗模式。去年,这些假冒软件在Dr.Web反病毒软件侦测到的恶意软件总量中所占的份额增加了0.85个百分点,达到1.83%。
2023年,勒索木马Android.Locker的活跃度有所下降,在恶意软件侦测总量中的占比从1.50%下降到1.15%。与此同时,加持打包软件保护的各种类型的Android.Packed恶意软件的侦测数量有所增加,侦测率上升5.22个百分点,达到7.98%。
2023年最常侦测到的十种恶意应用程序如下图所示:
2023年最常见的不良应用是Program.FakeMoney.7,占此类威胁侦测总量的29.90%,也就是几乎达到三分之一。此应用属于的应用程序家族宣称功能是用户通过完成各种任务就可以赚钱,但实际上最终不会支付任何真正的奖励。
2022年的最常见的Program.FakeAntiVirus.1一年后以19.42%的侦测占比跌至第二位。该应用程序是模仿反病毒软件的操作,侦测不存在的威胁,并建议安卓设备用户购买所谓完整版本来“修复”所谓已发现的问题。
排名第三的程序是通过云服务CludInject修改的程序,占比为9.46%。Dr.Web反病毒软件将此类应用侦测为Program.CloudInject.1。修改过程中添加了危险权限和其目的无法控制混淆代码。
和上一年一样,2023年用户经常遭遇能监控用户行为并收集用户各种信息的程序。攻击者可以使用此类应用程序来非法监视安卓设备的使用者。在受Dr.Web保护的设备上,此类软件最常被侦测到的是Program.SecretVideoRecorder.1.origin(占3.84%的案例)、Program.wSpy.1.origin(占3.24%的案例)、Program.SecretVideoRecorder.2。origin(占案例的2.25%)、Program.wSpy.3.origin(占案例的1.68%)、Program.SnoopPhone.1.origin(占案例的1.11%)、Program.Reptilicus.8.origin(占案例的0.98%)和Program.WapSniff.1.origin(0.83%的案例)。
下图是2023年最常侦测到的10个不良应用程序:
2023年,工具Tool.SilentInstaller(无需安装即可运行安卓应用程序)再次成为最常侦测到的风险程序。这些工具本身没有恶意功能,但攻击者可以利用它们来启动恶意软件。此类工具占风险应用程序侦测量的48.89%,也就是几乎一半,但与2022年相比,其份额下降了17.94个百分点。第二常见的是Tool.LuckyPatcher家族的工具,借助该工具可以添加从互联网下载的脚本来修改安卓程序。这些工具占风险软件侦测量的14.02%。排名第三的是受Tool.ApkProtector加壳程序保护的程序,其侦测数量增加了5.33个百分点,达到10.14%。
与此同时,受其他打包器家族保护的应用程序的侦测数量也有所增加:Tool.Packer家族的侦测份额从3.58%增加到4.74%,Tool.Ultima家族的份额从0.05%增加到1.04%。
另一个常见的风险软件是工具NPManager,其功能是修改安卓应用程序以使用内置模块绕过数字签名验证。Dr.Web反病毒软件将利用这种方式修改过的程序侦测为Tool.NPMod。此类应用的份额为4.81%。
在受保护设备上侦测到使用混淆器工具Tool.Obfuscapk修改的程序的频率较低,与2022年相比,其占比从5.01%下降到3.22%。
2023年安卓设备上最常侦测到的十种风险应用程序如下:
2023年最流行的广告软件是内置于安卓程序的Adware.Adpush家族广告模块,占侦测量的三分之一以上,达到35.82%(与2022年相比,其份额下降了24.88个百分点)。第二常见的是新家族Adware.MagicPush的成员,所占份额为9.58%。Adware.Airpush模块位居第三,占比为8.59%(增长3.24个百分点)。
常见广告应用还包括 Adware.ShareInstall家族成员,其份额从0.06%增加到5.04%、Adware.Fictus(从2.58%增加到4.41%)、Adware.Leadbolt(从3.31%增加到4.37%)、Adware.Jiubang(从2.83%增长至3.22%)和Adware.Youmi(从0.06%增长至2.20%)。
与此同时,一年前排名第二的Adware.SspSdk模块甚至没有进入2023年最常见的十大广告应用家族,是受保护安卓设备上侦测到的广告软件的1.49%。
2023年安卓设备上最常见的10个广告应用如下图所示:
2023年,我公司反病毒实验室在GooglePlay目录中发现了440多个恶意应用程序,这些应用程序的总下载量至少为428,434,576次。除了上面提到的许多带有内置木马模块的程序Android.Spy.SpinOk外,我们的专家还发现了数百个Android.FakeApp家族的木马。这些恶意应用程序被网络犯罪分子用来实施各种诈骗,以各种软件为幌子进行传播。在某些情况下这些应用确实会提供其所宣称的功能,但其主要功能是根据远程服务器的命令加载目标站点。
攻击者将其中许多木马伪装为和金融活动相关的程序,比如培训和参考手册书、家庭会计、访问证券交易所信息和交易的工具、用于专项调查的应用程序等。
此类假冒程序会加载诈骗网站,以知名公司的名义邀请潜在受害者通过投资、交易加密货币来赚钱,在某些情况下,还宣称会得到公司股票或来自国家的某种补贴付款。而“访问”特定服务,需要用户首先回答几个问题,然后提供个人数据。
以下是这些木马加载的诈骗网站的示例。在第一个案例中,攻击者向用户提供了某个投资平台的访问权限,谎称该平台与俄罗斯一家大型石油和天然气公司有关。在第二个案例中,诈骗者则借俄罗斯联邦中央银行的名义邀请用户“开始利用数字卢布赚钱”。
一些假冒程序以游戏为幌子传播,实际上是下载在线赌场和博彩公司的网站。
此类木马应用作为游戏运行的示例:
加载的博彩公司和在线赌场网站的示例:
其他Android.FakeApp木马以体育为幌子进行传播,包括假冒合法博彩公司的官方软件、各种体育运动信息手册、比赛信息应用、体育新闻应用等等:
这些木马可以作为一般软件运行,但其功能可能与宣称的功能有所不同,并可下载各种互联网资源。
以下是这些木马作为无害应用运行的示例:其中两个是作为游戏启动,第三个显示足球比赛信息。
同样的程序后来开始加载博彩公司服务网站:
还有一些虚假应用是假借求职程序欺骗用户进行安装:
Android.FakeApp木马的此类变种向潜在受害者显示从诈骗网站下载的虚假招聘信息。当用户尝试回复其中一个“招聘”时,要么会被要求通过即时通讯工具(例如WhatsApp或Telegram)联系“雇主”,要么是需填写个人信息表,并谎称是为了编写和发送简历。
2023年,Android.FakeApp假冒程序的下载诈骗性互联网资源所涉及的内容在不断扩大。多年来网络犯罪分子一直使用的手段是借虚构的金融网站来引诱用户访问,与此同时,我们的专家注意到出现了伪装成法律类应用程序(例如信息手册)的木马变种,比如宣称可以帮助遭受“投资”诈骗的受害者拿回损失的钱财。事实上,这些应用程序下载的是另一个常规的诈骗网站,要求访客回答几个问题,然后留下个人信息,只不过借口是会“获得律师的免费咨询”。
下面是一个“法律服务”网站的例子,宣称遭受投资诈骗的受害者可以通过该网站咨询律师并有机会找回损失的钱款:
2023年,我公司反病毒实验室在GooglePlay上还发现了许多其他恶意程序,其中包括新家族Android.Proxy.4gproxy的木马,是将被感染的设备变成代理服务器,并通过这些设备暗中传输第三方流量。这些恶意程序有一个内置的工具4gproxy(作为风险软件Tool.4gproxy添加到Dr.Web病毒库),其功能是将设备作为代理服务器使用。工具本身无害,可正常使用。然而,对Android.Proxy.4gproxy木马而言,代理服务器功能是在没有用户参与和明确同意的情况下进行的。
此外,我们的专家还发现了Android.HiddenAds家族的几个新广告木马:Android.HiddenAds.3785、Android.HiddenAds.3781、Android.HiddenAds.3786和Android.HiddenAds.3787。安装到安卓设备后这些木马会马上试图将主屏幕图标替换为透明版本并将名称替换为空白图标,以此来瞒过用户。同时,木马还可以冒充GoogleChrome浏览器,使用其图标的副本来替换自己的图标。单击此类修改过的图标时,木马会启动浏览器来误导受害者,但同时继续在后台运行。这样不仅降低了被发现的机率,而且增加了进行长期活动的机会:因为如果由于某种原因木马停止了允许,用户会把木马当作浏览器重新启动。在木马Android.HiddenAds.3766中也发现了类似的功能,该木马也是通过GooglePlay进行的传播。
另一个侦测到的威胁是使用AhMythAndroidRat远程控制工具(RAT)的木马间谍Android.Spy.1092.origin,以应用程序SimAnalyst为幌子进行传播,宣称的功能是巴基斯坦用户可以借助该应用程序根据电话号码找到号码所有者的信息。
AhMythAndroidRat间谍工具的标准版本具有广泛的功能,例如跟踪设备的位置,通过内置摄像头拍照并通过麦克风记录环境,拦截短信,还可以获取电话簿中的通话信息和联系人信息。然而,由于在GooglePlay上架的应用程序对许多敏感功能的访问受到限制,因此我们的病毒分析师发现的间谍软件版本的功能有限,可以跟踪设备的位置,窃取通知内容、照片和视频等各种媒体文件,以及通过即时通讯软件传输并本地存储的文件。
我们的专家在GooglePlay还发现了一个窃取加密货币的木马程序Android.CoinSteal.105。攻击者试图将其冒充为官方应用程序P2B和P2Bofficial,并以类似的名称进行传播:P2BTrade:RealizeTheP2Pb2b。
下面左图是假程序的页面,右图是官方正版软件。
假冒应用程序甚至得到了加密货币博主宣传,结果其安装量是真实应用程序的两倍。
启动后,Android.CoinSteal.105在WebView中打开攻击者指定的流量分配系统网站,从该网站执行一系列向其他互联网资源的重定向,例如加载了P2B加密货币交易所的官方网站https://p2pb2b.com。该木马在网站注入了JS脚本,通过JS脚本替换用户提现时输入的钱包地址。其他网站也可能成为目标网站,如诈骗网站、广告网站等。
我公司反病毒实验室在GooglePlay中发现的威胁还有Android.Subscription家族的新木马-Android.Subscription.19、Android.Subscription.20和Android.Subscription.21。这些木马打着正常程序的幌子,会加载合作联盟网站,为安卓设备所有者订阅付费服务。此类木马可以自行激活服务,或是要求潜在受害者提供手机号码。
这些恶意应用程序加载的用于订阅付费服务的网站示例:
2023年GooglePlay还出现了其他为用户订阅付费服务的恶意应用程序,比如Android.Joker和Android.Harly家族的20多个木马,其中包括Android.Joker.1991、Android.Joker.2000、Android.Joker.2117、Android.Joker.2152、Android.Joker.2176、Android.Joker.2217、Android.Harly.13、Android.Harly.25、Android.Harly.66、Android.Harly.80等。
根据Dr.Web安卓移动设备保护产品的侦测统计,2023年侦测到的银行木马数量较上年下降了46.97%,占受保护设备恶意软件侦测总量的3.58%,比去年同期减少了0.84个百分点。上半年银行木马活动最为活跃,1月份侦测数量最多。在二月份急剧下降之后再次开始增长,并在四月份达到局部峰值。继5月份攻击数量再次下降后,直到年底,侦测到的银行木马数量基本保持在同一水平。
网络犯罪分子之前常用的银行木马在2023年仍然活跃,其中有Anubis家族木马(Android.BankBot.761.origin、Android.BankBot.919.origin、Android.BankBot.1002.origin)和Wroba家族木马(Android.Banker.360.origin).Wroba家族(Android.BankBot.907.origin)主要进攻的是日本用户,而中国安卓设备用户主要遭遇的是木马Android.Banker.480.origin。
同时我们的专家也发现银行木马攻击出现新趋势。最引人注目的是新出现新木马家族,其中许多是针对的是俄罗斯用户。此类恶意应用程序包括使用Tasker事件调度程序编写的恶意应用Android.Banker.5127和Android.Banker.5273,伪装成各种服务的Android.Banker.597.origin、Android.Banker.592.origin和Android.Banker.5235,如KoronaPay、Divinchik18+、Yandex、Rostelecom和OnlyFans以及其他木马。
对俄罗斯用户的攻击还使用了Android.Banker.637.origin、Android.Banker.632.origin、Android.Banker.633.origin和Android.Banker.635.origin,攻击者以各种程序为幌子进行传播,如冒充与各种流媒体服务(如STAR)相关的软件、“成人”软件。
此外,在俄罗斯大量传播的银行木马还有Android.BankBot.1062.origin、Android.BankBot.1093.origin和Android.BankBot.1098.origin。这些木马随后扩大攻击范围,针对的是乌兹别克斯坦用户。DoctorWeb病毒分析师还发现大量针对伊朗用户的银行木马。其中有Android.BankBot.1088.origin、Android.BankBot.14871、Android.BankBot.1083.origin、Android.Banker.5292、Android.Banker.5233、Android.Banker.5276和Android.Banker.5379。此外,攻击者使用安卓银行木马Tambir(Android.BankBot.1099.origin)进攻土耳其的安卓设备用户。
Rewardsteal家族银行木马也相当活跃(Android.Banker.562.origin、Android.Banker.5138、Android.Banker.5141、Android.Banker.588.origin、Android.Banker.611.origin)。其中,最常见的变种针对的是ICICI银行、HDFC银行、SBI、Axis银行、花旗银行、RBL银行的用户。
网络犯罪分子的主要动机仍然是物质利益,因此2024年仍会出现不法分子用于获取非法收入的新恶意软件将会。最有可能的新恶意软件会是广告木马、银行木马、诈骗应用和间谍软件。
GooglePlay目录中出现的新恶意软件的可能性仍将存在,但不排除攻击者将越来越多地使用其他途径来传播恶意软件,如借助恶意网站。
很可能会再次出现窃取Android和iOS设备用户加密货币的新木马。
为了保护自己免受入侵者的攻击并保护您的钱财和机密数据,建议在所有我公司产品支持的设备安装Dr.Web反病毒软件。DoctorWeb则将继续监控网络威胁领域的发展趋势,并向我们的用户及时通报信息安全领域的重要事件。
