盘点：2024年4月移动设备威胁态势

点击蓝字

关注我们

2024年移动端新增威胁数据

·新增移动恶意样本13,907例

·新增手机银行木马90例

·新增移动间谍木马955例

2024年移动端攻击活动主要趋势

·移动端主要恶意软件类型为“流氓行为”和“资费消耗”

·移动端恶意木马家族整体呈现活跃下降趋势

·活跃手机银行木马主要为Spynote木马和GBanker家族多个变种

·活跃移动间谍软件多出自老牌间谍木马家族

·国内各省感染终端量环比下降均值为6.65%

一、常见恶意软件活跃情况

安天AVL威胁情报中心每月会对移动端活跃的恶意软件进行跟踪，移动端恶意软件主要分为8大类：资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。

月度移动端常见恶意软件类型活跃趋势对比如下图：

4月移动端主要恶意软件类型依旧为“流氓行为”（45.02%）和“资费消耗”（39.53%），两类影响终端量之和占比超过90%。

恶意软件整体较3月呈现活跃下降趋势，除“资费消耗”环比上升5.68%外，其余恶意软件类型影响终端量皆有减少，环比下降幅度最大的为“远程控制”-19.08%和“恶意扣费”-18.98%。

本月移动端活跃恶意木马家族TOP10如下图：

本月排名靠前的病毒家族与上月几乎一致，TOP10家族感染终端量均有不同程度下降，环比下降均值为14.5%，具体病毒家族情况如下：

Trojan/Android.Dropper.fo（22.43%）该家族活跃恶意应用多为色情应用，木马主要功能为下载和传播恶意子包，通过恶意子包进行恶意活动，从而给用户造成资费消耗。

Trojan/Android.FakeWallet.f（15.57%）出现在区块链钱包应用中，获取受害设备在创建身份和恢复身份时的助记词，随即上传至攻击者的服务器，攻击者即可通过助记词直接窃取受害者的账户，将虚拟货币进行转移。

Trojan/Android.GSmsPay.cf（13.12%）内含恶意支付模块，在运行时会监听拦截短信，发送付费短信，给用户造成资费消耗。

Trojan/Android.FakeRoot.b（11.82%）该程序伪装成root工具，无实际功能，运行后加载广告，诱导用户购买vip，造成用户资费消耗。

Trojan/Android.WXALpass.b（8.80%），该家族样本首次发现为2023年9月，多伪装成色情相关应用，运行后释放恶意子包，执行窃取微信、支付宝支付密码、模拟点击等功能，会造成用户隐私泄露、财产损失。

Trojan/Android.Clipper.c（7.88%）主要出现在聊天通讯类软件中，攻击者将恶意代码植入到这类软件中，例如Telegram，通过替换聊天过程中的虚拟货币地址的方式，来窃取受害者的虚拟货币。

Trojan/Android.MTCrackApp.a（7.55%）指被攻击者使用MT管理器进行了破解、重打包之后的非官方应用，通常会植入一些广告或恶意代码，给用户带来未知风险和资费消耗。

Trojan/Android.huanji.a（5.05%）该家族应用存在免杀功能，联网获取杀毒软件列表以逃避检测，并且留有后门，能联网下载并静默安装任意应用、创建快捷方式，甚至存在模拟点击、恶意刷量、发送大量网络请求等恶意功能。

Trojan/Android.Nakedchat.hn（4.42%）该程序伪装成正常应用，运行窃取通讯录，并上传到指定网址，造成用户隐私泄露。

Trojan/Android.jmelon.b（3.35%）伪装成计算器相关的恶意样本，主要功能为联网上传设备固件信息和安装应用列表信息，以及后台推送广告。

二、活跃手机银行木马

本月移动端银行木马家族TOP5如下图：

Trojan/Android.spynote.a（72.67%）该程序运行时，会后台上传用户的设备信息，获取远控指令，根据远控指令获取用户短信、联系人、通话记录、浏览器书签、地理位置等，同时会后台推送应用、录音、发送/删除短信、联系人、拨打电话等，造成用户隐私泄露和资费消耗。

Trojan/Android.GBanker.gx（14.53%）又名Coper家族，多伪装成Google Play 商店、Chrome浏览器，一旦安装就会释放 Coper 恶意软件，拦截和发送 SMS 文本消息，使 USSD（非结构化补充服务数据）请求发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击和防止卸载。攻击者通过 C2 服务器远程控制并访问受感染设备，使其执行下发的命令，利用获取到的信息窃取受害者钱财。

Trojan/Android.Cerberus.a（5.23%）该家族是一款臭名昭著的银行木马，最早出现于2019年6月，运行激活设备管理器，隐藏图标，监听用户的短信、通知栏信息，接收远程指令，窃取通讯录、日志、短信等信息并联网上传，私自发送短信，访问未知页面，造成用户的资费消耗和隐私泄露。

Trojan/Android.GBanker.ga（4.65%）同样会伪装成正常应用，运行后隐藏图标，请求激活设备管理器，上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息。还会判断是否存在指定银行app包名，同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为，造成用户隐私泄露和资费损耗。

Trojan/Android.GBanker.dn（2.91%）该家族应用运行后隐藏图标，诱导用户激活设备管理器或修改系统设置，窃取位置信息，拦截窃取短信，造成用户隐私泄露。

三、活跃移动间谍木马

本月间谍木马家族活跃趋势如下图：

Trojan/Android.spymax.d（44.27%）一款间谍软件，运行后隐藏图标，联网私自下载恶意间谍子包，窃取用户地理位置、wifi信息、私自拍照、录像，造成用户隐私泄露。

Trojan/Android.spymax.i（23.02%）是Spymax的一个变种，Spymax是恶名昭著的商业间谍木马，具有强大的隐匿功能，主要通过动态从服务器获取加载恶意代码来执行其恶意行为。

Trojan/Android.SpinOK.a（16.57%）该应用被植入恶意代码，安装后会上传设备指定文件目录下内容、剪贴板内容，可能导致隐私泄露。

Trojan/Android.Fonobospy.a（9.88%）该木马伪装成系统应用，安装无图标，后台上传用户位置信息、通讯录、通话记录以及短信记录等，可能会加载广告，造成用户隐私泄露和流量资费消耗。

Trojan/Android.bmhs.a（6.25%）该家族活跃历史较长，属于老牌间谍木马，危害性高，多伪装政府相关应用，运行后窃取用户短信、手机基本信息、手机号并上传，造成用户隐私泄露。

四、国内受害区域分布情况

移动端攻击活动国内受害区域分布趋势如下图：

本月排名靠前各省受害终端量较上月均有所减少，环比下降均值6.65%，其中环比下降较多的为：河南-9.21%、四川-8.00%、河北-7.63%、山东-7.43%。

▼▼▼

“

推荐阅读

/////