网络安全研究人员发现,Android 恶意软件生态出现新趋势:原本主要用于投放银行木马的 dropper(投放器)应用,现在也开始传播短信窃取程序等简易恶意软件及基础间谍软件。
伪装成政府/银行应用的投放活动
荷兰移动安全公司 ThreatFabric 最新报告指出,这类攻击活动通过伪装成印度等亚洲地区政府或银行应用的投放器传播。这种转变源于谷歌在新加坡、泰国、巴西和印度等试点市场推出的安全防护措施——该系统会阻止用户侧载那些请求短信、无障碍服务等高危权限的可疑应用(这些权限常被滥用于 Android 设备恶意操作)。
"Google Play Protect 的防御机制(特别是定向试点计划)能有效拦截高风险应用运行,"该公司表示,"其次,攻击者希望提升其操作的未来适应性——即使封装基础恶意载荷,投放器也能提供保护外壳规避当前检测,同时保持灵活更换载荷的能力。"
攻防博弈持续升级
ThreatFabric 指出,虽然谷歌的策略通过预安装拦截提高了防御门槛,但攻击者正尝试新规避手段,这印证了安全领域永无止境的攻防对抗。新型投放器会针对谷歌试点计划进行设计:既不申请高危权限,也只显示无害的"更新"界面以通过地区扫描。只有当用户点击"更新"按钮后,实际恶意载荷才会从外部服务器获取或解包,继而申请实现攻击目标所需的权限。
"Play Protect 可能在不同扫描阶段显示风险警告,但只要用户接受,应用仍会安装并投放载荷,"ThreatFabric 强调,"这暴露出关键缺陷:若用户执意安装,Play Protect 仍会放行高风险应用,恶意软件也能绕过试点计划。"
投放器变种与新型攻击活动
典型案例如 RewardDropMiner 投放器,除间谍软件外还能远程激活门罗币挖矿程序(不过最新变种已移除该功能)。通过该投放器传播的恶意应用(均针对印度用户)包括:
- PM YOJANA 2025 (com.fluvdp.hrzmkgi)
- °RTO Challan (com.epr.fnroyex)
- SBI Online (com.qmwownic.eqmff)
- Axis Card (com.tolqppj.yqmrlytfzrxa)
其他可规避 Play Protect 的投放器变种还包括 SecuriDropper、Zombinder、BrokewellDropper 等。谷歌向 The Hacker News 表示尚未在 Play 商店发现采用此类技术的应用,并强调持续加强防护:"无论应用来源如何,Play Protect 都会自动检测威胁。本报告提及的恶意软件版本早已被防护系统覆盖,目前未在 Play 商店发现相关应用。"
恶意广告助推金融木马传播
与此同时,Bitdefender 实验室发现新型攻击活动:攻击者通过 Facebook 恶意广告推送假冒的 TradingView 安卓高级版,最终部署改进版 Brokewell 银行木马以监控设备并窃取敏感信息。自 2025 年 7 月 22 日以来,仅欧盟地区就有超过 75 条恶意广告触达数万用户。该安卓攻击浪潮只是大型恶意广告行动的一部分,攻击者还伪装成金融/加密货币应用针对 Windows 系统。
"该活动表明网络犯罪分子正根据用户行为调整策略,"这家罗马尼亚安全公司表示,"通过瞄准移动用户并将恶意软件伪装成可信交易工具,攻击者企图利用人们对加密货币应用和金融平台日益增长的依赖牟利。"
参考来源:
Android Droppers Now Deliver SMS Stealers and Spyware, Not Just Banking Trojans
