Doctor Web：2015年10月移动设备病毒活动综述

2015.10.30

Dr.Web病毒库安卓操作系统恶意程序和不良程序的记录数量

本月移动威胁

10月初信息安全技术人员侦测到在iOS移动设备中运行的新木马。这一新恶意程序按照Dr.Web分类被命名为IPhoneOS.Trojan.YiSpecter.2，主要在中国传播，可伪装成无害的应用程序被下载到移动设备。用户在访问各种色情Web资源时，打开成人录像短片时会被提示安装具有相关功能的专用视频播放器，但实际上是木马隐藏其中。同时由于病毒编写者使用的编译方法可使iOS用户从App Store目录以外的来源获取程序，如用户同意安装，IPhoneOS.Trojan.YiSpecter.2可既能安装到越狱的智能手机和平板电脑中，也能安装到系统版本未经修改的设备中。

IPhoneOS.Trojan.YiSpecter.2具有下列恶意功能：

• 可将被感染移动设备的信息发送到远程服务器；
• 可安装运行所需的补充木马模块；
• 可根据指令从控制服务器卸载程序并将其更换为伪造的软件；
• 可在iOS设备屏幕显示广告；
• 如果木马或其组件被用户删除，其中的一个恶意模块会再次安装木马。

Google Play的安卓木马

10月份在Google Play应用程序官方目录中侦测到新的安卓木马。这种被命名为Android.PWS.3已添加到Dr.Web病毒库，隐藏在伪装成无害的视频播放器中，可监听社交网站Vkontakte中的音频。木马在启动后向未产生任何怀疑的用户询问账户用户名和密码，在社交网站进行身份验证并访问音乐资源，但同时暗中将受害者输入的机密信息传送给不法分子。然后Android.PWS.3已添加到Dr.Web病毒库，隐藏在伪装成无害的视频播放器中，可监听社交网站Vkontakte中的音频。木马在启动后向未产生任何怀疑的用户询问账户用户名和密码，在社交网站进行身份验证并访问音乐资源，但同时暗中将受害者输入的机密信息传送给不法分子。然后

固件木马

Doctor Web公司病毒分析人员几乎每个月都在安卓固件中记录到各种新恶意程序。10月份也不例外，在多个移动设备中侦测到预置的木马Android.Cooee.1。这一危险程序位于固件程序（安卓图形壳），包括一系列用于显示广告的专用模块。木马还能够暗中下载补充广告包，或下载其他应用程序（包括恶意软件）并启动执行。在其下载的文件中侦测到了用于暗中下载各种程序的木马Android.DownLoader.225。

值得注意的是，如果木马受害用户删除了含有Android.Cooee.1的固件程序，被感染移动设备的运行能力将遭到破坏，造成下次启动时操作系统无法正常加载，所以试图卸载恶意程序前需要预先安装相应软件的任意可靠版本，并在系统设置中将其标注为默认运行项。

银行木马

在10月份侦测到的恶意安卓程序中再次出现多个用于窃取钱财的银行木马。其中一种月末侦测到的银行木马Android.BankBot.80.origin由病毒编写者伪装成大型俄罗斯信贷机构合法软件加以传播。在目标智能手机和平板电脑中启动后，Android.BankBot.80.origin会强迫用户提供移动设备管理员权限，随后向通讯薄中所有侦测到的号码群发“你好，请为我在http://******konkurs.ru/投票”形式的短信。访问这一伪装为摄影比赛的Web网站时，木马在潜在受害者设备上自动下载Dr.Web Anti-virus for Android侦测为Android.SmsBot.472.origin的一个银行木马版本。此外，移动设备用户需要安装专用程序才能在该网站参加投票，而实际上这一程序是Android.BankBot.80.origin的一个版本。

这一木马具有以下功能：

• 可伪装成合法软件（比如官方银行程序或用于参与摄影比赛投票的程序）进行传播；
• 不断显示相关请求，妨碍智能手机或平板电脑正常运行，迫使用户提供移动设备管理员权限；
• 向通讯簿中的所有电话号码群发带有诈骗网站链接的短信，从这些网站向潜在受害者设备下载这一恶意程序的变种；
• 能够窃取移动电话账户、银行卡账户以及支付系统账户中的钱财；
• 能够修改来电地址，使木马受害用户无法接通电话。

Android.BankBot.80.origin更多详情请参阅我公司网站发布的新闻。

Android.BankBot银行木马在Dr.Web病毒库的记录数量：

Android.SmsSend多功能木马在Dr.Web病毒库的记录数量：