Doctor Web：2021年2月移动设备病毒活动综述

2021.03.16

与1月相比，2月份在用户安卓设备侦测到的威胁中最常见的威胁是显示广告的恶意软件和不良软件以及执行任意代码并加载其他软件的木马。

2月份我公司技术人员在Google Play目录侦测到多个威胁。，其中有其中有Android.Joker家族用于为用户订购收费服务和执行任意代码的多功能木马，还有Android.FakeApp家族伪装成正常软件发诈骗木马，以及广告木马Android.HiddenAds等其他危险软件。

Dr.Web for Android保护产品统计信息

Android.HiddenAds.1994

用于不断显示广告的木马，假冒热门应用，通过其他恶意软件传播，某些情况下这些恶意软件会将其暗中安装到设备的系统目录。

Android.RemoteCode.284.origin

用于加载和执行任意代码的恶意应用。不同变种能够加载不同的网站，打开链接、点击广告横幅，为用户订购收费服务，还可执行其他操作。

Android.Triada.510.origin

可执行各种恶意功能的多功能木马。属于能够入侵所有正在运行中的程序的木马。此类木马家族的变种有时会出现在安卓设备固件中，也就是不法分子在设备生产阶段将其植入设备。

Android.Click.348.origin

自动加载网站的恶意应用，加载后点击广告横幅和链接。有可能冒充正常软件迷惑用户，借机传播。

Android.MobiDash.5135

不断显示广告的木马，是内嵌到应用中的软件模块。

Program.FreeAndroidSpy.1.origin

Program.Mrecorder.1.origin

监视安卓设备用户，不法分子利用这些软件进行网络犯罪。能够获取设备位置、收集短信和在社交平台的通讯，复制文件、照片和视频，还能进行监听等其他活动。

Program.FakeAntiVirus.2.origin

侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。

Program.CreditSpy.2

侦测根据用户信息确定金融机构排行榜的软件模块。此类应用的功能是将对象信息、通讯簿联系人信息、通话记录等信息传至远程服务器。

Program.Gemius.1.origin

收集安卓设备信息以及设备用户使用情况的软件。在收集技术信息的同时，还会收集用户个人信息，包括设备位置、浏览器收藏的标签、用户访问的网站以及用户输入的网址。

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.14.origin

风险平台，允许不安装就启动apk文件。 这些程序能够建立不依赖操作系统的虚拟执行环境。

Tool.Obfuscapk.1

受专门混淆工具Obfuscapk保护的应用，这一工具用于自动更改和混淆安卓应用的源代码，可以反植入。不法分子则可以利用这种工具增加反病毒软件侦测恶意软件或其他威胁软件的难度。

内置于安卓应用的广告模块，用于在移动设备不断显示广告。不同家族和不同变种有不同的功能，包括全屏显示广告、阻止其他应用窗口的显示、弹出各种通知、创建快捷方式和加载网站等等。

Adware.Adpush.36.origin

Adware.Adpush.6547

Adware.Myteam.2.origin

Adware.Overlay.1.origin

Adware.LeadBolt.12.origin

Google Play中的威胁

2月份我公司的技术人员在Google Play还侦测到多个Android.FakeApp木马家族应用，其中很多都是用来进行更正诈骗活动。其中一些变种谎称可以查询彩票中奖信息以及获取网红发放的奖品。

这些软件启动后会建议用户办理每周499到1499卢布不等的认购，谎称只用这样才能使用软件的所有功能。但实际上与用户只会收到一些毫无用处的条码或三维码以及还会以通知形式发生的优惠码，而这些软件只有少数有发送通知的功能，也就是说对用户的承诺只是谎言而已。

安卓设备用户同意支付后有3天的试用期，这期间用户可以取消订购或确认订购。不法分子打的算盘是用户会忘记有试用期或不清楚软件会定期收费。

添加到Dr.Web病毒库的上述木马变种有Android.FakeApp.239、Android.FakeApp.240、Android.FakeApp.246和Android.FakeApp.247。这里是这几种木马的实例：

这些恶意应用推送的优惠码实例：

第二类 Android.FakeApp家族的假软件冒充的是各种内容的服务软件，包括时尚、宠物、自然、星象预测等等，而实际上加载的是各种交友网站，其中不乏诈骗网站。这类软件大量传播广告利用的是YouTube平台，广告语则利用“成人”以及交友等名目吸引眼球。我公司技术人员目前共发现20余种此类假软件。

下面是Google Play中此类 Android.FakeApp应用实例和其恶意广告：

此类软件加载的网站实例：

第二类 Android.FakeApp家族的软件是利用的国家补贴为名目的诈骗木马的新变种Android.FakeApp.219 和Android.FakeApp.227。

与其他类此家族的恶意软件一样，因为通过YouTube大肆进行广告宣传：

木马启动后会加载诈骗网站，欺骗访问者可以获得国家补助，而获得补助需输入个人信息，支付律师费、手续费或转账费。当然受害人是一无所得，而不法分子则骗取了钱财和个人信息。

此外，我公司技术人员侦测到Android.Joker家族的新多功能木马，这些木马冒充各种软件，包括图像编辑器、条码扫描器、PDF文件生成器、表情包收集器、桌面动画壁纸等等。Dr.Web病毒库新添加的变种有Android.Joker.580、Android.Joker.585、Android.Joker.586、Android.Joker.592、Android.Joker.595、Android.Joker.598和Android.Joker.604。

这些木马实际的功能加载并执行任意代码，为用户订购高收费服务。

Google Play出现的新威胁还包括Android.HiddenAds家族的广告木马，分别被命名为Android.HiddenAds.610.origin和Android.HiddenAds.2357，第一种冒充图像收集软件，第二种冒充的是照片修图软件 。

这些木马启动后会将自己在安卓主屏幕菜单的图标做隐身处理，之后边开始显示广告。Android.HiddenAds.610.origin通过Firebase云服务接收指令，能显示通知并加载各种网页，其中有广告网站，也有不良网站以及诈骗网站。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

Your Android needs protection.

Use Dr.Web

• The first Russian anti-virus for Android
• Over 140 million downloads—just from Google Play
• Available free of charge for users of Dr.Web home products

Free download