Doctor Web:2016年4月移动设备病毒活动综述
2016.04.29
4月份,各种各样的恶意广告模块再次成为最活跃的不良应用和恶意应用。此外,4月份Doctor Web公司的病毒分析师还侦测到了新的恶意软件,该恶意软件能够自动安装各种应用程序,而Google Play列表中有超过190种应用中隐藏有木马。
4月主要趋势
- 出现大量Android恶意广告模块
- 在Google Play目录出现190多个内含木马的应用程序
- 侦测到可以不经用户允许和参与就可安装各种应用的木马下载器
本月移动威胁
4月份,Doctor Web公司的专家侦测到Google Play列表中出现另一种木马。该恶意软件被命名为Android.Click.95,隐藏在至少6名开发者上传的190多种应用中。这些应用的下载总数已超过140 000次。
Android.Click.95能够检查被感染的移动设备上是否安装了木马设置中指定的某个应用程序。根据结果恶意软件通过浏览器打开不法分子的网站,并显示警告信息,提示用户需要安装某特定软件以解决设备存在的“问题”。这一网站每两分钟就显示一次,使受害者基本上已无法使用移动设备。如果用户同意安装,就会被转至Google Play列表中相应的广告应用的页面。相关详情请参阅Doctor Web公司网站发布的新闻
Dr.Web安卓反病毒产品收集的数据结果
- Adware.WalkFree.1.origin
- Adware.WalkFree.2.origin
- Adware.AdMogo.2.origin
- Adware.Leadbolt.12.origin
- Adware.Airpush.31.origin
内嵌在安卓应用程序的不良程序模块,用于在移动设备中显示烦人的广告。
木马下载器
使用恶意Android应用在移动设备上下载和安装各种各样的应用软件,以增加这些软件的知名度,正在成为病毒编写者获取非法收入的最常见的发生。4月份Doctor Web公司的专家又发现了这样一种木马下载器,将其命名为Android.GPLoader.1.origin。该恶意软件与木马Android.GPLoader.2.origin分在同类中,将自己伪装成“成人专用”类别中的视频播放器。运行时,它通知必须安装多媒体解码器,而事实上安装的是恶意应用Android.GPLoader.1.origin。
Android.GPLoader.1.origin启动后,向移动设备所有者请求访问操作系统专业功能(Accessibility Service),木马将利用此功能模拟用户的屏幕输入。然后恶意软件连接控制服务器,获取需要安装的软件列表。只要设备进入休眠模式并关闭屏幕,Android.GPLoader.1.origin就会打开Google Play指定应用程序,并自动将相应软件安装到系统中,人为增加这些软件的普及度。
显示广告和自动安装应用的恶意软件和不良软件成为最常见的威胁。为了降低移动设备被这些应用感染的几率,避免不良后果,Doctor Web公司的专家建议用户不要下载和安装可疑应用,同时推荐使用反病毒软件对智能手机和平板电脑进行保护。