本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
季度数据
根据卡巴斯基安全网络的数据,2024年第一季度:
·阻止了1010万次使用恶意软件、广告软件或有害移动软件的攻击。
·对移动设备最常见的威胁是广告软件:占检测到的所有威胁的46%。
·检测到超过389,000个恶意安装包,其中:11,729个包与移动银行木马有关,1,990个包是移动勒索软件木马。
季度亮点
针对移动设备使用恶意软件、广告软件或有害软件的攻击次数与去年同期相比有所增加,但与第四季度相比略有下降,为10,100,510次。
2022年第三季度至2024年第一季度针对卡巴斯基移动解决方案用户的攻击数量
2023年第二季度至第四季度期间攻击总数的快速增长主要归因于广告软件和木马活动的激增,在此期间,广告软件和木马活动的绝对数量大约翻了一番。但是,其他类型的恶意和不需要的应用程序也增加了它们的活动,因此威胁按类型分布没有出现剧烈波动。
在第一季度,WhatsApp修改攻击的数量继续增加。例如,新发现了Trojan-Spy.AndroidOS.Agent.ahu,这是一种隐藏在WhatsApp mod中的木马,它会窃取加密的Messenger数据库及其解密密钥。
另一个恶意WhatsApp mod,Trojan-Downloader.AndroidOS.Agent.ms,能够下载和安装任意软件。根据统计,这种木马是预装在某些设备上的。
安全研究人员还发现了一款值得关注的银行木马,该木马针对的是韩国用户。安装后,它会显示一条通知,声称该应用不可用,将被删除:
SoumniBot通知指出该应用不可用
实际上,该应用程序会隐藏其图标并继续在后台运行,窃取短信、联系人、照片甚至网上银行数字证书。
为了隐藏恶意代码并阻碍分析,威胁分子利用了负责解析应用程序包的Android操作系统代码中的大量错误和缺陷。这使他们能够创建成功安装在设备上的文件,但会导致许多分析工具(包括官方Google实用程序)失灵。
移动威胁统计
2023年第四季度检测到的Android恶意软件和有害软件样本数量有所下降,但在2024年第一季度再次攀升,达到389,178个安装包。
2023年第一季度至2024年第一季度检测到的恶意和不需要的安装包数量
检测到的软件包类型分布没有发生显著变化,但木马植入程序数量明显增加,增加了8.76个百分点。其份额的急剧增加主要与Wroba家族的活动有关,该家族通常用于在亚太地区的国家/地区传播银行木马。
2023年第四季度和2024年第一季度检测到的移动应用程序类型分布
最常见的威胁仍然是广告软件(46.16%)和RiskTool类型的垃圾应用程序(21.27%)。最常见的广告软件系列是BrowserAd(占所有广告软件的28.5%)、Adlo(15.3%)和HiddenAd(12.65%)。
卡巴斯基移动产品的所有目标用户中,受到特定类型的恶意软件或垃圾软件攻击的用户占比
*如果同一用户遭遇多种攻击类型,总和可能会超过100%。
HiddenAd(60.5%)、Adlo(17.5%)和TimeWaste(7.5%)广告软件系列攻击的用户最多。同时,在WhatsApp mods中传播的Triada广告软件木马在木马类恶意软件攻击中所占的比例越来越大(35.7%)。
排名前20位的移动恶意软件程序
请注意,以下恶意软件排名不包括风险软件或潜在有害软件,例如RiskTool或广告软件。
*遭遇该恶意软件的独立用户占卡巴斯基移动解决方案所有受攻击用户的百分比。
综合云判定结果显示,在最常见恶意应用排名中,WhatsApp变种Trojan.AndroidOS.Triada.fd位居榜首。
接下来是Fakemoney,这是一种通过承诺轻松赚钱来骗取用户个人数据的木马,值得一提的是,Dwphon也进入了前20名。这种木马预装在某些设备上,可收集设备所有者的个人数据,并可在用户不知情的情况下下载任意应用。
特定地区的恶意软件
本节介绍活动集中在特定国家的恶意软件。
恶意软件最活跃的国家
*在所示国家/地区遭遇此木马变种的独立用户占所有遭遇相同变种攻击的卡巴斯基移动安全解决方案用户的百分比。
土耳其继续受到银行木马变种的攻击。特别是,Trojan-Banker.AndroidOS.Agent.nw会针对那里的用户,该病毒会打开设备的VNC访问权限。它基于开源库droidVNC-NG。
Tambir还为攻击者提供VNC访问权限。此外,它的功能还包括键盘记录、窃取文本、联系人和应用程序列表以及发送文本。除了VNC后门,土耳其集中出现了BrowBot攻击,该木马的主要功能是窃取文本。至于Piom,它代表了我们自动化系统背景下针对各种恶意软件的集体裁决。特别是在土耳其,隐藏在这个裁决背后的是现在臭名昭著的Godfather银行木马的变种。
印度尼西亚目前活跃着两种窃取短信的木马病毒:SmsThief.vb和UdangaSteal.b。它们经常以婚礼请柬的名义发送给受害者。
FakePay应用程序在巴西的传播十分明显。这些应用程序在视觉上模拟付款,但实际上并不执行付款。与大多数木马不同,用户经常故意下载此类应用程序,以欺骗接受转账付款的卖家。BRats是另一种主要在巴西传播的银行木马。
泰国用户经常遭遇EvilInst木马病毒,该病毒以游戏为幌子进行传播,但实际上只是打开一个包含破解游戏的网站并发送付费短信。
手机银行木马
银行木马的安装包数量仍然很少。
2023年第一季度至2024年第一季度,卡巴斯基检测到的手机银行木马安装包数量
尽管如此,Trojan-Banker攻击的总数仍在继续增长,根据受影响用户的数量,Trojan-Banker在恶意软件和不受欢迎程序的分布结构中甚至上升了一位。
十大手机银行
遭遇该恶意软件的独立用户占遭遇银行威胁的卡巴斯基移动安全解决方案所有用户的百分比
移动勒索软件木马
2023年第四季度,由于Rasket家族出现大量勒索软件,勒索软件安装包数量激增,但随着Rasket活动减少,安装包数量恢复到正常水平。
Rasket木马基于Tasker自动化脚本构建,这些脚本旨在自动执行设备上的常规操作,但具有足够的功能来编写勒索软件。
2023年第一季度至2024年第一季度,卡巴斯基检测到的移动勒索软件木马安装包数量
最活跃样本的攻击分布也反映了同样的动态:在急剧上升(占所有勒索软件攻击的74%)之后,Rasket木马在第一季度的份额几乎减少了一半。
