盘点：2024年7月移动设备威胁态势

点击蓝字

关注我们

7月移动端新增威胁数据

·新增移动恶意样本9,611例

·新增手机银行木马119例

·新增移动间谍木马989例

7月移动端攻击活动主要趋势

·移动端主要恶意软件类型为“流氓行为”和“资费消耗”

·移动端活跃恶意木马TOP1为Trojan/Android.anleipay.e 家族，多伪装成色情应用，运行后利用诱惑性内容诱导用户付费

·活跃手机银行木马主要为Spynote木马

·活跃移动间谍软件多出自老牌间谍木马家族

·国内各省感染终端量环比上升均值为34.57%

一、常见恶意软件活跃情况

安天Avl威胁情报中心每月会对移动端活跃的恶意软件进行跟踪，移动端恶意软件主要分为8大类：资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。

月度移动端常见恶意软件类型活跃趋势对比如下图：

恶意软件整体较6月呈现活跃上升趋势，“流氓行为”影响终端量增量最大，环比上升67.14%。“恶意扣费”环比上升116.94%，涨幅最大。

其中有3类恶意软件类型影响终端量环比小幅下降：“诱骗欺诈”-5.58%，“远程控制”-4.83%以及“恶意传播”-18.45%。

本月移动端活跃恶意木马家族TOP10如下图：

7月移动端活跃木马家族TOP10新增家族：Trojan/Android.anleipay.e排名第一，占比22.96%，该家族伪装成色情应用，运行后会有诱惑性内容诱导用户付费，应用内显示支付金额与实际支付金额不同，造成用户的财产损失。经分析，该家族一款名为“ATV”的色情应用十分活跃，已发现数万终端受害。

Trojan/Android.Obfus.c排名第九，占比3.58%，该程序启动隐藏图标，后台私自发送短信，获取并上传用户短信、电话号码、网络连接等信息，会造成用户隐私泄漏及资费消耗。进一步分析发现该家族本月活跃度较高的恶意样本如下：

其余病毒家族情况如下：

Trojan/Android.Dropper.fo（18.41%）该家族活跃恶意应用多为色情应用，木马主要功能为下载和传播恶意子包，通过恶意子包进行恶意活动，从而给用户造成资费消耗。

Trojan/Android.FakeWallet.f（11.70%）出现在区块链钱包应用中，获取受害设备在创建身份和恢复身份时的助记词，随即上传至攻击者的服务器，攻击者即可通过助记词直接窃取受害者的账户，将虚拟货币进行转移。

Trojan/Android.GSmsPay.cf（10.48%）内含恶意支付模块，在运行时会监听拦截短信，发送付费短信，给用户造成资费消耗。

Trojan/Android.MTCrackApp.a（9.65%）指被攻击者使用MT管理器进行了破解、重打包之后的非官方应用，通常会植入一些广告或恶意代码，给用户带来未知风险和资费消耗。

Trojan/Android.FakeRoot.b（8.19%）该程序伪装成root工具，无实际功能，运行后加载广告，诱导用户购买vip，造成用户资费消耗。

Trojan/Android.Nakedchat.hn（7.64%）该程序伪装成正常应用，运行窃取通讯录，并上传到指定网址，造成用户隐私泄露。

Trojan/Android.huanji.a（4.12%）该家族应用存在免杀功能，联网获取杀毒软件列表以逃避检测，并且留有后门，能联网下载并静默安装任意应用、创建快捷方式，甚至存在模拟点击、恶意刷量、发送大量网络请求等恶意功能。

Trojan/Android.GFakeApp.fj（3.27%）伪装成非官方应用，如WhatsApp，包含风险行为代码。

二、活跃手机银行木马

本月移动端银行木马家族TOP5如下图：

Trojan/Android.spynote.a（60.74%），当前最活跃的手机银行木马，连续三月影响终端量减少，该家族应用运行时，会后台上传用户的设备信息，获取远控指令，根据远控指令获取用户短信、联系人、通话记录、浏览器书签、地理位置等，同时会后台推送应用、录音、发送/删除短信、联系人、拨打电话等，造成用户隐私泄露和资费消耗。

Trojan/Android.GBanker.gx（15.56%）又名Coper家族，多伪装成Google Play 商店、Chrome浏览器，一旦安装就会释放 Coper 恶意软件，拦截和发送 SMS 文本消息，使 USSD（非结构化补充服务数据）请求发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击和防止卸载。攻击者通过 C2 服务器远程控制并访问受感染设备，使其执行下发的命令，利用获取到的信息窃取受害者钱财。

Trojan/Android.Cerberus.a（11.11%）该家族是一款臭名昭著的银行木马，最早出现于2019年6月，运行激活设备管理器，隐藏图标，监听用户的短信、通知栏信息，接收远程指令，窃取通讯录、日志、短信等信息并联网上传，私自发送短信，访问未知页面，造成用户的资费消耗和隐私泄露。

Trojan/Android.GBanker.dn（8.89%）该家族应用运行后隐藏图标，诱导用户激活设备管理器或修改系统设置，窃取位置信息，拦截窃取短信，造成用户隐私泄露。

Trojan/Android.GBanker.gz（3.70%）通常伪装成正常应用，运行后隐藏图标，诱导用户激活无障碍服务和设备管理器，加载未知子包，窃取短信息、通讯录等隐私信息，还能发送短信至指定号码，导致用户隐私泄露和资费消耗。

三、活跃移动间谍木马

本月间谍木马家族活跃趋势如下图：

Trojan/Android.spymax.d（51.40%）一款间谍软件，运行后隐藏图标，联网私自下载恶意间谍子包，窃取用户地理位置、wifi信息、私自拍照、录像，造成用户隐私泄露。

Trojan/Android.spymax.i（19.75%）是Spymax的一个变种，Spymax是恶名昭著的商业间谍木马，具有强大的隐匿功能，主要通过动态从服务器获取加载恶意代码来执行其恶意行为。

Trojan/Android.SpinOK.a（16.41%）该应用被植入恶意代码，安装后会上传设备指定文件目录下内容、剪贴板内容，可能导致隐私泄露。

Trojan/Android.bmhs.a（12.44%），该家族活跃历史较长，属于老牌间谍木马，危害性高，多伪装政府相关应用，运行后窃取用户短信、手机基本信息、手机号并上传，造成用户隐私泄露。

Trojan/Android.BankerSpy.d本月占比11.59%，样本会伪装成安全防护类软件，运行后拦截用户短信，上传用户短信箱、联系人、手机基本信息、银行相关隐私信息，造成用户隐私泄露。

四、国内受害区域分布情况

移动端攻击活动国内受害区域分布趋势如下图：

国内受害终端主要集中在我国中东部及沿海地区。从受害区域分布趋势来看，排名靠前的省份受害终端量皆出现了不同程度的增长，排名前10的省份环比上升均值为34.57%。广东、河南、山东和江苏等地本月受害终端量大幅上升，其中河南环比上升39.89%居于首位。

关于安天移动安全

武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

关于安天移动威胁情报团队

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。