Defend what you create

Other Resources

Close

Library
My library

+ Add to library

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

Your tickets

Profile

Doctor Web:2020年9月移动设备病毒活动综述

2020.10.22

与8月相比,9月份在安卓设备侦测到的威胁数量增加3.75%,侦测到的恶意软件数量增加5.58%,风险程序增加4.98%,而不良应用和广告程序分别减少6.22%和8.83%。

我公司病毒分析人员在Google Play中发现多个新威胁,其中有能够执行任意代码的多功能木马Android.Joker 。此外,有显示广告的Clicker木马Android.Click.978、可用于钓鱼的多功能木马Android.Triada.545.origin。.

9月主要趋势

  • 在安卓设备侦测到的威胁总数上升
  • Google Play出现新的安全威胁

Dr.Web for Android保护产品统计信息

Dr.Web for Android保护产品统计信息 #drweb

Android.HiddenAds.530.origin
显示烦人广告的木马。依靠冒充知名应用的其他恶意软件进行传播,某些情况下可以不经用户察觉就安装到系统文件夹。
Android.Triada.541.origin
可执行各种恶意功能的多功能木马。属于能够入侵所有正在运行中的程序的木马。此类木马家族的变种有时会出现在安卓设备固件中,也就是不法分子在设备生产阶段将其植入设备。
Android.RemoteCode.6122
用于加载和执行任意代码的恶意应用。不同变种能够加载不同的网站,打开链接、点击广告横幅,为用户订购收费服务,还可执行其他操作。
Android.Click.348.origin
自动加载网站的恶意应用,加载后点击广告横幅和链接。有可能冒充正常软件迷惑用户,借机传播。
Android.DownLoader.1001.origin
用于加载恶意软件和不良应用的木马。可隐身于通过Google Play 或恶意网站传播的正常应用中获得传播。

Dr.Web for Android保护产品统计信息 #drweb

Program.FreeAndroidSpy.1.origin
Program.Reptilicus.7.origin
Program.MobileTool.2.origin
监视安卓设备用户,不法分子利用这些软件进行网络犯罪。能够获取设备位置、收集短信和在社交平台的通讯,复制文件、照片和视频,还能进行监听等其他活动。
Program.FakeAntiVirus.2.origin
侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁,诱骗用户支付费用购买完整版本。
Program.CreditSpy.2
侦测根据用户信息确定金融机构排行榜的软件模块。此类应用的功能是将对象信息、通讯簿联系人信息、通话记录等信息传至远程服务器。

Dr.Web for Android保护产品统计信息 #drweb

Tool.SilentInstaller.6.origin
Tool.SilentInstaller.11.origin
Tool.SilentInstaller.13.origin
Tool.SilentInstaller.14.origin
风险平台,允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。
Tool.ApkProtector.6.origin
判断安卓应用是否使用ApkProtector打包器保护。这是一种专门的打包工具,用于保护安卓应用不被更改和植入代码。工具本身不是恶意工具,但既可以用于保护正常软件,也会被用于保护木马和不良软件,妨碍反病毒软件将其侦测。

Dr.Web for Android保护产品统计信息 #drweb

内置于安卓应用的广告模块,用于在移动设备不断显示广告。不同家族和不同变种有不同的功能,包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。

Google Play中的威胁

9月份我公司的技术人员在Google Play侦测到Android.Joker恶意软件家族的多个新木马变种,其中一个假冒图形编辑器,被命名为Android.Joker.341,与这一家族的其他木马一样,能够执行任意代码,截获通知中的确认码,为安卓手机用户订购收费服务,

#drweb

根据被感染设备的处理器架构,木马会将其内含的一种本地库apk文件(Dr.Web反病毒软件能够将其侦测,分别为Android.Joker.339Android.Joker.340)。

库加载后会提取恶意模块Android.Joker.177.origin,而这一模块则会从远程服务器下载模块Android.Joker.192.origin,该模块在获取对通知内容的访问权限后会从服务器再加载一个执行主要恶意功能的模块Android.Joker.107.origin

之后我公司病毒分析师有发现了一个类似的木马,假冒图片收集器传播。这一木马被命名为Android.Joker.344添加到Dr.Web病毒库。

#drweb

另一威胁是藏身于摄影应用的多功能木马Android.Triada.545.origin,属于危险的恶意软件家族Android.Triada

#drweb

Android.Triada.545.origin的功能之一是钓鱼。启动时木马显示假冒的Google服务登录窗口,谎称继续使用应用需输入账户登录信息。为进一步迷惑用户,还假称登录账号后可以参与新手机抽奖。实际上用户输入的信息都会传给不法分子。

#drweb

此外,Android.Triada.545.origin可以加载、执行任意代码,截获通知,并盗取机密信息,如密码。

9月份在Google Play侦测到的另一个安卓威胁是Clicker木马Android.Click.978,假冒预言软件传播。启动后会在设备主菜单应用列表隐藏自己的图标,然后开始显示广告,即便是关闭Android.Click.978后依然会不断显示。此木马还能够加载网站并自动点击网站上的链接和横幅。

#drweb

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备,抵御恶意程序和不良程序。

Dr.Web Mobile Security

Your Android needs protection.

Use Dr.Web

  • The first Russian anti-virus for Android
  • Over 140 million downloads—just from Google Play
  • Available free of charge for users of Dr.Web home products

Free download

俄罗斯Dr.Web反病毒产品研发厂商
研发始自1992年
Dr.Web产品用户遍布世界200多个国家
2007年起提供反病毒服务
全天支持

Dr.Web © Doctor Web
2003 — 2020

Doctor Web公司是俄罗斯信息安全反病毒保护产品厂商,产品商标为Dr.Web。Dr.Web产品研发始自1992年。