DoctorWeb：2025年第二季度移动设备病毒活动综述

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025 年第二季度，在受保护的设备上最频繁侦测的是 Android.HiddenAds 广告木马。但与上一季度相比，用户遭遇此类木马的频率降低 8.62%。排在之后的是广告木马 Android.MobiDash, 进攻量增加 11.17%，第三的恶意虚假程序 Android.FakeApp 活动量降低 25.17%。

来自 Android.Banker 家族的攻击较上一季度增加 73,15%。同时，Android.BankBot 和 Android.SpyMax 家族木马在受保护设备的侦测频率有所降低，降幅分别为 37.19% 和 19.14%。

四月份我公司专家通报侦测到木马 Android.Clipper.31 。该恶意软件预置在多款低档安卓智能手机的固件，隐藏在 WhatsApp 通讯程序的修改版中。 该恶意软件拦截在 Messenger 中发送和接收的消息，在其中搜索 Tron 和以太坊加密钱包地址，并将其替换为属于诈骗者的地址。同时，该木马会隐藏替换， 欸感染设备的用户在这样的消息中看到的还是“正确的”钱包。此外，Android.Clipper.31 将所有 jpg、png 和 jpeg 图像发送到远程服务器，以便搜索受害者加密钱包的助记词。

此外，我们的反病毒分析师还通报恶意软件 Android.Spy.1292.origin 监视俄罗斯军事人员。网络犯罪分子将其嵌入到 Alpine Quest 地图软件的一个版本中，通过攻击者的虚假 Telegram 频道和一个俄罗斯安卓应用程序商店进行传播。Android.Spy.1292.origin 向攻击者传输各种机密数据。包括用户帐户、手机号码、 电话簿中的联系人、设备地理位置信息以及存储在设备上的文件。根据攻击者的命令，该木马可以窃取指定的文件。病毒编写者特别感兴趣的是通过常用即时通讯工具传输的机密文件， 以及 Alpine Quest 程序位置日志文件。

过去 3 个月中我公司技术人员在Google Play 目录中发现了数十种威胁。其中包括恶意软件和不良广告软件。

Dr.Web for Android保护产品统计信息

最常见的恶意软件

Android.HiddenAds.657.origin

Android.HiddenAds.4214

Android.HiddenAds.4213

用于不断显示广告的木马， Android.HiddenAds 家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。

Android.MobiDash.7859

显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。

Android.FakeApp.1600

能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。

最常见的不良软件

Program.FakeMoney.11

侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。

Program.CloudInject.1

侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。

Program.FakeAntiVirus.1

侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。

Program.TrackView.1.origin

通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

Program.SecretVideoRecorder.1.origin

利用安卓设备的内置摄像头进行照片和视频后台拍摄应用程序的不同版本。该程序可以静默运行，禁用录制通知，并可纂改将图标和描述。这些功能使其具有潜在的危险性。

最常见的风险程序

Tool.NPMod.3

Tool.NPMod.1

使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。

Tool.Androlua.1.origin

使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。

Tool.SilentInstaller.14.origin

风险平台，允许不安装就启动apk文件。这些程序能够建立不依赖操作系统的虚拟执行环境。平台启动的APK文件可以像程序组成部分一样运行，并自动获得相同的权限。

Tool.Packer.1.origin

一种专门的加壳工具，用于保护安卓应用程序不被修改和逆向工程。本身不是恶意程序，但既可用于保护正常程序，也可用于保护木马程序。

最常见的广告软件

Adware.ModAd.1

WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。

Adware.AdPush.3.origin

可集成到Android程序的广告模块家族中的一个模块，用于显示误导用户的广告。例如，显示类似操作系统消息的通知。此外，此家族的模块能够收集大量私密数据，还能够下载其他应用程序并启动安装。

Adware.Basement.1

显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件 Program.FakeMoney.11 共享一个共同的代码库。

Adware.Fictus.1.origin

攻击者将此广告模块嵌入到热门安卓游戏和程序的克隆版中，集成使用的是专门的打包程序net2share。以这种方式创建的软件副本通过各种应用程序市场分发，安装后显示不良广告。

Adware.Jiubang.1

不良安卓广告软件，在安装应用程序时显示推荐安装其他程序的横幅。

GooglePlay中的威胁

2025 年第二季度，我公司反病毒分析师在 Google Play 目录中发现了数十种威胁，其中包括各种 Android.FakeApp 伪 程序。这些木马再次以金融应用的名义大肆传播，实际功能是加载诈骗网站。

Android.FakeApp.1863 和 Android.FakeApp.1859 — 两例侦测到的木马。第一个隐藏在程序TPAO中，针对的是土耳其用户，打着让用户“轻松管理存款和收入”的幌子。 第二个应用伪装成“财务助理”Quantum MindPro，主要针对法语用户。

此类假冒程序的另一个常见掩护仍是游戏。在某些情况下会加载在线赌场和博彩公司的网站，而非游戏功能。

Android.FakeApp.1840 (Pino Bounce) — 可加载在线赌场网站的假游戏之一

与此同时，我们的专家还发现了新的不良广告软件 Adware.Adpush.21912。该程序中隐藏在包含加密货币 Coin News Promax 信息材料的软件中。 用户点击 Adware.Adpush.21912 展示的通知时，这个软件会将其控制服务器指定的链接加载到 WebView。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。