Doctor Web:2026年第二季度移动设备病毒活动综述
在过去的三个月 Android.MobiDash 和 Android.HiddenAds 广告木马家族的活动量持续下降,但仍然是最常见的安卓恶意应用之一,其个别变种在恶意软件侦测量排行中仍居前。
通过添加垃圾代码混淆逻辑的程序再次成为最常见的风险软件(占比超过66%,被侦测为 Tool.Obfuscator.TrashCode),修改利用的是黑客工具NP Manager完成。这类工具攻击者也常使用,比如用于保护银行木马Android.Banker.Mamont 等恶意软件躲避反病毒软件的侦测。
排名第二的仍然是经NP Manager工具其他功能修改过的应用,如该工具可提供多种用于代码保护和混淆的模块,以及让修改后的应用能绕过数字签名验证的模块。病毒编写者利用这些功能来保护恶意软件免遭反病毒软件查杀。Dr.Web反病毒产品将此类修改后的程序侦测为 Tool.NPMod.
在最常见的潜在危险应用中再次出现了使用 Tool.LuckyPatcher 工具修改的程序。该工具会从互联网下载专门的脚本来进行应用修改。
第二季度最活跃的不良程序是模拟反病毒软件运行的 Program.FakeAntiVirus 应用,会谎称侦测到某种威胁,然后诱导用户购买完整版来“对抗”这些所谓威胁。此类伪造应用在安卓设备不良软件中的占比超过44%。
最常见的广告软件是嵌入安卓应用的 Adware.AdPush 模块。这些模块会显示误导用户的广告通知,同时也会收集各种敏感数据。此外,用户还经常遭遇优化器类程序 Adware.Bastion.1.origin。这类程序会定期创建误导性消息通知,谎称系统出错或内存不足,而在所谓“优化”过程中会显示广告。广告程序 Adware.Opensite.15 也再次高度活跃,攻击者将其伪装成作弊应用,声称能在游戏中获取资源,但实际上这些程序只会加载带有广告的网站。
6月初,Dr.Web公司专家通报 Android.MagicAd.1 活动,这是一种能够绕过安卓操作系统限制并在后台显示广告的木马。Android.MagicAd.1 利用的是第三方应用,并会根据被感染设备的制造商选择特定的技术手段。该木马的详细信息请参阅我们网站上的相关文章。
在第二季度,我公司病毒分析师在Google Play目录中再次发现了多款为受害者订阅付费服务的恶意程序,其中包括 Android.Subscription 和 Android.Joker家族的代表。
第二季度主要移动安全事件:
- 银行木马 Android.Banker 仍是安卓设备最常见的威胁
- 恶意软件编写者越来越频繁使用安卓应用修改工具来增强银行木马逃避反病毒软件侦测的能力
- 广告木马 Android.MobiDash 和 Android.HiddenAds 的活动再次下降
- 发现能利用第三方应用来绕过按照操作系统的限制木马 Android.MagicAd.1,恶意功能是在后台显示广告
- Google Play出现新的恶意软件
Dr.Web for Android保护产品统计信息
最常见的恶意软件
- Android.Click.1812
- 侦测恶意Whats App Messenger修改版,这些修改版在用户不知情的情况下在后台加载各种网站。
- Android.HiddenAds.675.origin
- Android.HiddenAds.4236
- 显示侵入式广告的木马程序。Android.HiddenAds 家族的木马通常伪装成普通应用进行传播,某些情况下依靠其他恶意软件安装到系统目录。进入安卓设备后这些广告软件木马通常会隐藏自身在系统中的存在,如隐藏自己在主屏幕菜单中的图标。
- Android.Banker.Mamont.80.origin
- 银行木马程序,能拦截包含信贷机构发送的一次性验证码的短信、通知内容,并收集其他机密信息,包括受感染设备的技术数据、已安装应用程序列表、SIM卡信息、通话记录以及收发的短信。
- Android.FakeApp.1600
- 能够下载其设置中指定的网站的木马,已知变种加载的是在线赌场。
最常见的不良软件
- Program.FakeAntiVirus.1
- Program.FakeAntiVirus.4
- Program.FakeAntiVirus.4.origin
- Program.FakeAntiVirus.5
- 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
- Program.FakeMoney.11
- 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积,称积累到一定的金额就可用“提现”,但实际上用户根本不可能得到任何付款。
最常见的风险程序
- Tool.Obfuscator.TrashCode.1
- Tool.Obfuscator.TrashCode.2
- 使用黑客工具篡改并注入恶意代码的安卓应用。进行篡改的目的是混淆程序逻辑,此技术常见于银行木马和盗版软件。
- Tool.NPMod.3
- Tool.NPMod.1
- 使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块,可修改数字签名并绕过验证。所添加的混淆技术通常用于增加恶意软件的侦测分析难度。
- Tool.LuckyPatcher.2.origin
- 一种能够修改已安装安卓应用(为其创建补丁)的工具,功能是改变其运行逻辑或绕过某些限制。例如,用户可借助此工具尝试禁用银行应用对ROOT权限的侦测,或在游戏中获取无限资源。该工具会从网络下载专门编写的脚本来创建补丁,而这些脚本可由任何用户编写并上传至公共数据库。此类脚本可能包含恶意功能,因此生成的补丁可能具有潜在风险。
最常见的广告软件
- Adware.Bastion.1.origin
- 侦测会定期创建误导性通知的所谓优化程序,这些通知谎称内存不足或存在系统错误,其目的是在所谓“优化”过程中显示广告。
- Adware.Opensite.15
- 伪装成游戏作弊工具的应用,实际功能是投放广告。这些程序会从远程服务器接收配置信息,然后加载带有广告的目标网站,包括横幅广告、弹出式广告、视频广告等等。
- Adware.AdPush.3.origin
- 一类可嵌入安卓应用的广告模块,通过展示容易误导用户的通知进行广告推送,如将广告伪装成操作系统通知的样式。此外,这些模块还能收集多种敏感数据,并具备下载其他应用并静默触发其安装的能力。
- Adware.Fictus.1.origin
- 嵌入到热门安卓游戏和应用的克隆版本一种广告模块,利用名为net2share的专用打包工具集成到程序。嵌入广告模块的软件副本通过各种应用目录传播,一旦安装到设备就会显示垃圾广告。
- Adware.Airpush.7.origin
- 嵌入在安卓应用中的软件模块,用于显示各种广告。不同版本和变种所显示的广告可以是通知、弹出窗口或横幅广告。攻击者通常利用这些模块传播恶意软件,诱使用户安装特定软件。这些模块还会将各种机密信息传输到远程服务器。
Google Play中的威胁
2026年第二季度,我公司的病毒分析师在Google Play目录中发现了多个新的 Android.Subscription 木马程序,其功能是订阅付费服务。这些木马伪装成各种不同类型的软件进行传播:在线影院ShowLounge - TV & Dramas(侦测为 Android.Subscription.25)、面向游戏玩家的AIM: Crosshair Asist(Android.Subscription.26)、游戏True Cargo Drive(Android.Subscription.27)、实用工具Battery 3D: Charge Effects(Android.Subscription.28)以及图像编辑器PixStudio - Photo Editor(Android.Subscription.29)。这些应用的总下载量已至少达到260万次。
2026年第二季度在Google Play发现的 Android.Subscription 木马程序示例
此类恶意应用会加载特定网站,通过Wap Click技术为用户订阅付费移动服务:会向潜在受害者索取手机号码,输入后便会尝试激活相应服务。
与此同时,Google Play中再次出现 Android.Joker 木马程序,这类木马同样会为用户订阅付费服务。攻击者将其伪装成即时通讯应用Chat Messages(侦测为 Android.Joker.2625)和Easy Messages(侦测为 Android.Joker.2632),以及系统优化工具Smart File Cleaner、Junk Clean Master和Fast Cleaner(分别侦测为 Android.Joker.2614、Android.Joker.2618 和 Android.Joker.2626)。
一个隐藏 Android.Joker 家族木马的恶意应用示例
我们建议用户安装Dr.Web安卓保护产品来保护安卓设备,抵御恶意程序和不良程序。