2014年2月移动威胁
2014.03.11
2014年2月1日至27日期间,Dr.Web for Android在用户设备上共发现8 315 374个不推荐应用和恶意应用,其中病毒活动巅峰出现在2月7日这一天,供侦测到374 194个恶意应用,而病毒活动最少的是2月19日——侦测到的威胁数量为283 159例。
在移动设备上侦测到最多的是广告软件Adware.Revmob.1.origin,以及Adware.Airpush.origin家族的广告模块,这些组件通常是作为免费应用的一部分,在安卓系统栏中展示各种包含广告链接的通知。被感染设备上最常见的是属于Android.SmsSend和Android.Spy家族的恶意软件。下表中所列为Dr.Web反病毒软件侦测到的安卓木马中的排行前十的木马软件。
| № | 威胁名称 | % |
|---|---|---|
| 1 | Android.SmsSend.1064.origin | 2,16 |
| 2 | Android.SmsSend.315.origin | 2,07 |
| 3 | Android.SmsSend.749.origin | 1,53 |
| 4 | Android.SmsSend.458 | 1,48 |
| 5 | Android.SmsSend.1070.origin | 1,42 |
| 6 | Android.SmsSend.859.origin | 1,32 |
| 7 | Android.SmsSend.309.origin | 1,30 |
| 8 | Android.SmsSend.758.origin | 1,24 |
| 9 | Android.Spy.78.origin | 1,13 |
| 10 | Android.SmsSend.1088.origin, Android.SmsSend.458 | 1,12 |
名为Android.Oldboot.1.origin的Bootkit是目前在安卓移动平台最活跃的威胁之一。这一恶意软件将自己的一个组件放置在被感染设备的文件系统启动分区中,使木马能够在操作系统加载的前期阶段启动。主要模块被删除后,恶意软件会在重启设备时再次感染系统。Android.Oldboot.1.origin 的危险性在于能够执行来自不法分子远程服务器的各种命令。
Doctor Web公司的技术人员根据受感染设备独一无二的IMEI码对2014年2月1日至27日期间的感染事件进行了统计,进一步明确了威胁的传播范围。现在僵尸网络包含396 709个被感染设备(根据1月22日至2月27日数据为2 325 326个独有IP)。 其中大部分(378 614)位于中国,在欧洲国家记录的感染约为4 500例。
该恶意软件感染的基本上都是中国生产的手机。侦测到 Android.Oldboot最多的设备型号列表如下:
被感染设备的安卓版本分布见下图:
和以前一样,大部分Dr.Web for Android用户为三星公司生产的移动设备所有者,其他厂商设备中排在前面的是LG Optimus牌智能手机,型号为L5和L7,以及Sony Xperia J。最常见的型号列表如下:
谷歌安卓操作系统版本的用户分布比例见下:
Doctor Web公司的技术人员会继续跟踪移动威胁的传播动态。