江苏
关键词
恶意软件
网络安全研究人员近期指出,Android 恶意软件生态正在出现明显变化。过去常见的“投递器(dropper app)”主要用于下发银行木马,如今却越来越多地被用来传播更轻量的恶意代码,比如短信窃取器和基础间谍软件。
据荷兰移动安全公司 ThreatFabric 报告,这类攻击活动常借助伪装成政府服务或银行工具的应用,在印度及亚洲部分地区传播。背后原因之一是谷歌近来在新加坡、泰国、巴西和印度等地推行的安全试点计划,限制侧载(sideload)高风险权限应用,尤其是涉及短信和辅助功能(accessibility service)的软件。
ThreatFabric 指出,攻击者开始调整战术,通过投递器为即便是最简单的恶意负载提供“保护壳”。这样不仅能绕过现有检测,还能灵活更换后续的恶意代码。表面上,投递器可能只显示一个“更新”界面,以避开 Play Protect 的初步扫描;真正的木马在用户点击“Update”按钮后,才会从远程服务器下载并请求危险权限。
其中一个典型投递器RewardDropMiner,曾用于传播间谍软件以及远程可激活的 Monero 挖矿模块(新版本已移除挖矿功能)。近期在印度发现的恶意应用包括:
PM YOJANA 2025(包名 com.fluvdp.hrzmkgi)
RTO Challan(com.epr.fnroyex)
SBI Online(com.qmwownic.eqmff)
Axis Card(com.tolqppj.yqmrlytfzrxa)
除了 RewardDropMiner,其他活跃的投递器还包括SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper 和 TiramisuDropper。
谷歌回应称,目前未发现这些技术通过 Play 商店传播,并强调Play Protect能自动扫描并阻止恶意软件安装。不过,ThreatFabric 也指出,Play Protect 仍存在漏洞:只要用户无视风险提示并继续安装,木马依然可以落地。
与此同时,Bitdefender Labs 还揭露了一波新的恶意广告(malvertising)活动:攻击者利用 Facebook Ads 推送“免费高级版 TradingView 应用”,实则携带升级版Brokewell 银行木马。自 2025 年 7 月 22 日以来,已有 75 条恶意广告投放,仅在欧盟地区就触及数万用户。这场攻击并不限于移动端,Windows 桌面系统同样被伪装成金融与加密货币工具的木马所瞄准。
Bitdefender 警告称,攻击者正在精细化运营手法,借助用户对金融和加密应用的高度依赖,达到窃取凭证和资金的目的。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
