盘点:2024年1月移动设备威胁态势
点击蓝字
关注我们
2024年移动端新增威胁数据
· 新增移动恶意样本19,545例
· 新增手机银行木马323例
· 新增移动间谍木马2,380例
2024年移动端攻击活动主要趋势
· 移动端恶意软件整体呈活跃上升趋势
· 活跃手机银行木马主要为Spynote木马和GBanker家族多个变种
· 移动间谍软件中Spymax商业间谍木马持续高频活跃
· 国内各省感染终端量环比上升均值为16.84%
· 移动端恶意木马Dropper家族整体活跃减弱
一、常见恶意软件活跃情况
安天Avl威胁情报中心每月会对移动端活跃的恶意软件进行跟踪,移动端恶意软件主要分为8大类:资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。
月度移动端常见恶意软件类型活跃趋势对比如下图:
本月移动端恶意软件整体呈活跃上升趋势,其中6类恶意类型感染终端量环比上升,“恶意扣费”和“恶意传播”因感染终端量较小,环比增量更为明显,分别环比增长336.46%和381.87%,“流氓行为”“资费消耗”和“诱骗欺诈”环比增长17.30%、23.22%和14.17%。
“系统破坏”“远程控制”感染终端量减少,环比上月-0.64%、-40.16%。
本月移动端活跃恶意木马家族TOP10如下图:
本月排名前10的移动木马中出现了3个新的病毒家族,分别为:
Trojan/Android.FakeRoot.b(6.47%)该程序伪装成root工具,无实际功能,运行后加载广告,诱导用户购买vip,造成用户资费消耗。
Trojan/Android.GFakeApp.fj(3.25%)多为非官方应用,伪装WhatsApp,包含风险行为代码,需谨慎使用。
Trojan/Android.Nakedchat.hn(2.94%)该程序伪装成正常应用,运行窃取通讯录,并上传到指定网址,造成用户隐私泄露。
本月最活跃的恶意木马依旧来自Dropper家族,近几个月该家族影响终端量呈环比下降趋势。
Trojan/Android.Dropper.fo(28.48%)该家族活跃恶意应用多为色情应用,木马主要功能为下载和传播恶意子包,通过恶意子包进行恶意活动,从而给用户造成资费消耗。
其余较为活跃的移动恶意木马如下,其中多个家族针对虚拟货币用户进行攻击:
Trojan/Android.GSmsPay.cf(22.27%)内含恶意支付模块,在运行时会监听拦截短信,发送付费短信,给用户造成资费消耗。
Trojan/Android.FakeWallet.f(11.37%)出现在区块链钱包应用中,获取受害设备在创建身份和恢复身份时的助记词,随即上传至攻击者的服务器,攻击者即可通过助记词直接窃取受害者的账户,将虚拟货币进行转移。
Trojan/Android.Clipper.c (9.63%)主要出现在聊天通讯类软件中,攻击者将恶意代码植入到这类软件中,例如Telegram,通过替换聊天过程中的虚拟货币地址的方式,来窃取受害者的虚拟货币。
Trojan/Android.MTCrackApp.a(8.90%)指被攻击者使用MT管理器进行了破解、重打包之后的非官方应用,通常会植入一些广告或恶意代码,给用户带来未知风险和资费消耗。
Trojan/Android.huanji.a(4.14%)该家族应用存在免杀功能,联网获取杀毒软件列表以逃避检测,并且留有后门,能联网下载并静默安装任意应用、创建快捷方式,甚至存在模拟点击、恶意刷量、发送大量网络请求等恶意功能。
Trojan/Android.jmelon.b(2.56%)伪装成计算器相关的恶意样本,主要功能为联网上传设备固件信息和安装应用列表信息,以及后台推送广告。
二、活跃手机银行木马
本月移动端银行木马家族TOP5如下图:
Trojan/Android.spynote.a(68.64%)该程序运行时,会后台上传用户的设备信息,获取远控指令,根据远控指令获取用户短信、联系人、通话记录、浏览器书签、地理位置等,同时会后台推送应用、录音、发送/删除短信、联系人、拨打电话等,造成用户隐私泄露和资费消耗。
Trojan/Android.GBanker.gx(20.34%)又名Coper家族,多伪装成Google Play 商店、Chrome浏览器,一旦安装就会释放 Coper 恶意软件,拦截和发送 SMS 文本消息,使 USSD(非结构化补充服务数据)请求发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击和防止卸载。攻击者通过 C2 服务器远程控制并访问受感染设备,使其执行下发的命令,利用获取到的信息窃取受害者钱财。
Trojan/Android.GBanker.gz (4.24%)通常伪装成正常应用,运行后隐藏图标,诱导用户激活无障碍服务和设备管理器,加载未知子包,窃取短信息、通讯录等隐私信息,还能发送短信至指定号码,导致用户隐私泄露和资费消耗。
Trojan/Android.GBanker.dz(4.24%)该应用包含恶意代码,运行后隐藏图标,监听短信,窃取用户短信和银行账号密码相关信息,造成用户隐私泄露。
Trojan/Android.GBanker.dn(2.54%)该家族应用运行后隐藏图标,诱导用户激活设备管理器或修改系统设置,窃取位置信息,拦截窃取短信,造成用户隐私泄露。
三、活跃移动间谍木马
本月间谍木马家族活跃趋势如下图:
Trojan/Android.spymax.d (40.19%)一款间谍软件,运行后隐藏图标,联网私自下载恶意间谍子包,窃取用户地理位置、wifi信息、私自拍照、录像,造成用户隐私泄露。经分析发现本月该家族感染终端量较多的样本为仿冒IOT应用和桌面小组件如:“智能点检系统”“Zone悬浮球PRO”“一键锁屏”“E-lnk Laucher”等。
Trojan/Android.SpinOK.a(25.29%)该应用被植入恶意代码,安装后会上传设备指定文件目录下内容、剪贴板内容,可能导致隐私泄露。
Trojan/Android.spymax.i (18.34%)是Spymax的一个变种,Spymax是恶名昭著的商业间谍木马,具有强大的隐匿功能,主要通过动态从服务器获取加载恶意代码来执行其恶意行为。
Trojan/Android.Fonobospy.a(8.78%)该木马伪装成系统应用,安装无图标,后台上传用户位置信息、通讯录、通话记录以及短信记录等,可能会加载广告,造成用户隐私泄露和流量资费消耗。
Trojan/Android.BankerSpy.d本月占比7.39%,样本会伪装成安全防护类软件,运行后拦截用户短信,上传用户短信箱、联系人、手机基本信息、银行相关隐私信息,造成用户隐私泄露。
四、国内受害区域分布情况
移动端攻击活动国内受害区域分布趋势如下图:
国内受害终端区域分布本月呈增长趋势,均值为+16.84%,其中四川、湖南、安徽和河南相较其他省份本月受害终端数量环比增长更为明显。
▼▼▼
“
推荐阅读
/////
关于安天移动安全
武汉安天信息技术有限责任公司(简称安天移动安全)成立于 2010 年,是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎,在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖,实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累,公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作,为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航,已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命,通过自主创新国际领先的安全核心技术,与产业链各方共同打造操作系统内生安全的绿色生态链,为新时代用户打造国民级安全产品,在万物互联时代营造更安全和可持续的全场景健康数字体验。
关于安天移动威胁情报团队
安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究,由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年,成功通过基于安天移动样本大数据的APT特马风控预警运营体系,持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动,并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究,以安全普惠为核心价值观,建设一支召之即来,来之能战,战之必胜的顶尖网络安全团队,并将长久且坚定地维护移动网络世界安全。
