近日,卡巴斯基发布《2022年移动恶意软件威胁形势》报告,对2022年的各类移动恶意软件威胁形势进行了回顾与分析

年度数字

在2022年,卡巴斯基移动产品和技术检测到:

  • 1,661,743个恶意安装程序

  • 196,476个新的移动银行木马病毒

  • 10,543个新的移动勒索软件木马

年度趋势

移动攻击在2021年下半年减少后趋于平缓,在整个2022年保持在同一水平。

2020-2022年卡巴斯基移动网络威胁检测动态

网络犯罪分子继续利用合法渠道传播恶意软件。

与2021年类似,在2022年发现了经过修改的WhatsApp构建,里面有恶意代码。值得注意的是,它通过流行的Snaptube应用内的广告和Vidmate应用内商店传播。

恶意软件通过Google Play的传播也在继续。特别是,我们在2022年在谷歌的官方安卓应用市场上发现了几个移动木马用户。这些人秘密地将用户注册为付费服务。除了以前已知的Jocker和MobOk家族外,我们还发现了一个新的家族,名为Harly,自2020年以来一直活跃。2022年,Harly恶意软件程序从Google Play共下载了260万次。同样在去年,欺诈者滥用市场来传播各种诈骗程序,这些程序承诺提供福利金或有利可图的能源投资。

手机银行木马病毒也不甘落后。尽管欧洲刑警组织已经关闭了FluBot(也称为Polph或Cabassous,近年来最大的移动僵尸网络)的服务器,但用户必须保持警惕,因为Google Play仍然包含其他银行木马家族的下载器,如Sharkbot、Anatsa/Teaban、Octo/Coper和Xenomorph,它们都伪装成实用工具。例如,下面的截图中的Sharkbot下载器模仿了一个文件管理器。这种类型的软件能够请求允许进一步安装木马所需的软件包,以便在毫无戒心的用户的设备上运行。

Google Play上的Sharkbot银行木马下载器

2022年,对流行游戏标题的利用,即恶意软件和不需要的软件模仿盗版游戏或游戏作弊器,仍然是一个流行的移动传播载体。最经常被模仿的游戏包括《Minecraft》、Roblox、《侠盗猎车手》、《PUBG》和《FIFA》。恶意软件主要通过有问题的网站、社交媒体群和其他非官方渠道传播。

移动网络威胁统计

安装者数量

2022年检测到1,661,743个恶意软件或不需要的软件安装程序,比2021年少了1,803,013个。该数字自2020年的增长以来一直在逐步下降。

2019-2022年检测到的恶意安装包数量

检测到的移动恶意软件的类型分布

2021年和2022年新发现的移动恶意软件的类型分布

2022年,RiskTool类型的潜在不受欢迎的软件(27.39%)位居榜首,取代了广告软件(24.05%)。也就是说,RiskTool的份额同比下降了7.89个百分点,而广告软件的份额同比下降了18.38个百分点。

各种木马类恶意软件以15.56%位居第三,其累计份额增加了6.7个百分点。

移动威胁的地理分布

按受移动恶意软件攻击的用户份额排名前十的国家

*排名中不包括卡巴斯基移动安全用户相对较少的国家(低于10,000)。

**受攻击的独特用户占该国所有卡巴斯基移动安全用户的百分比。

中国遭遇移动恶意软件攻击的用户比例最大。17.70%.其中,16.06%的用户被滥用短信的恶意软件攻击,我们将其检测为Trojan.AndroidOS.Najin.a。

其他有大量受攻击用户的国家是叙利亚(15.61%)和伊朗(14.53%),其中最常遇到的移动网络威胁是Trojan-Spy.AndroidOS.Agent.aas,一个带有间谍模块的WhatsApp修改程序。

按使用的软件类型划分的攻击分布

2022年按使用的软件类型划分的攻击分布

与前几年类似,2022年大多数移动攻击中使用了恶意软件(67.78%)。使用广告软件和风险软件类型的攻击份额已从2021年的16.92%增至26.91%,从2021年的2.38%增至5.31%。

移动广告软件

2022年,Adlo家族在检测到的安装程序中占最大份额(22.07%)。这些是无用的假应用程序,可以下载广告。Adlo取代了之前的Ewind家族,其份额为16.46%。

2022年最常检测到的广告软件家族TOP10

*广告软件类型家族在检测到的广告软件安装程序总数中的份额。

风险工具型应用程序

SMSreg家族在检测到的RiskTool类型应用程序的数量上保持领先:36.47%。这个系列的应用程序通过发送短信进行支付(例如将现金转给其他个人或支付移动服务套餐),而不明确通知用户。

2022年最常检测到的TOP10风险工具系列

* RiskTool家族在检测到的RiskTool安装程序总数中的份额。

20个常检测移动恶意软件程序

请注意,下面的恶意软件排名不包括风险软件或潜在的不需要的软件,如RiskTool或广告软件。

*被恶意软件攻击的独特用户占所有被攻击的卡巴斯基移动安全用户的百分比。

第一和第三名分别是DangerousObject.Multi.Generic(18.97%)和Trojan.AndroidOS.Generic(6.70%),这是我们对用云技术检测的恶意软件的判决。每当杀毒软件数据库缺乏检测某个恶意软件的数据,但杀毒公司的云端已经包含了该对象的信息时,就会触发云技术。这基本上是检测最新恶意软件类型的方式。

排名第二和第九的木马(8.65%和2.37%)属于Trojan-SMS.AndroidOS.Fakeapp家族。这种类型的恶意软件能够发送短信和拨打预设号码,显示广告,并在设备上隐藏其图标

配备间谍模块的WhatsApp修改,被检测为Trojan-Spy.AndroidOS.Agent.as(6.01%)和Trojan-Spy.AndroidOS.Agent.acq(1.34%)分别位于第四和第二十位

被检测为Trojan.AndroidOS.Fakemoney.d(4.65%)的诈骗应用程序是第五大类。这些应用程序试图欺骗用户,使其相信他们正在填写一份福利金的申请。

Trojan.AndroidOS.GriftHorse家族的成员,向用户订阅高级短信服务,同时占据第六和第十一位(分别为4.32%和2%)。

银行木马投放者Trojan-Dropper.AndroidOS.Agent.sl(3.22%)位居第七。

DangerousObject.AndroidOS.GenericML(2.96%)的判决书下沉到第八位。该判决是分配给被我们的机器学习系统识别为恶意的文件。

第十位是Trojan.AndroidOS.Fakeapp.ed(2.19%)。该判决指的是一类欺诈性应用程序,它们通过冒充投资天然气的股票交易平台来针对俄罗斯的用户。

Trojan-Downloader.AndroidOS.Agent.kx(1.72%)上升到第十二位。这种类型的恶意软件是作为合法软件的一部分分发的,下载广告模块。

Trojan.AndroidOS.Soceng.f(1.67%),排在第十三位,向你的联系人名单上的人发送短信,删除SD卡上的文件,并用自己的窗口覆盖流行应用程序的界面。

来自Trojan-Dropper.AndroidOS.Hqwar家族的恶意软件,解包和运行各种银行木马,占据了第十四和第十九位(1.49和1.35%)。

Trojan.AndroidOS.Fakeapp.dw是第十五位(1.43%)。该判决适用于各种诈骗应用程序,例如那些所谓的为用户提供一些额外的现金。

Trojan-Ransom.AndroidOS.Pigetrl.a(1.43%)获得第十六名。与通常要求赎金的经典Trojan-Ransom恶意软件不同,它只是锁定屏幕并要求输入一个代码。该应用程序没有提供获取代码的说明,代码被嵌入到程序本身中。

Trojan-Downloader.AndroidOS.Necro.d降到了第十七位(1.4%)。这种恶意软件能够在其操作者的命令下下载、安装和运行其他应用程序。

Trojan-SMS.AndroidOS.Agent.ado,向短码发送文本信息,排名第十八(1.36%)。

手机银行木马

2022年共检测到196,476个移动银行木马安装程序,同比增长100%,是过去六年来的最高数据。

在所有检测到的银行木马中,Trojan-Banker.AndroidOS.Bray家族占了三分之二(66.40%)。这个家族主要攻击了日本的用户。其次是Trojan-Banker.AndroidOS.Fakecalls家族(8.27%)和Trojan-Banker.AndroidOS.Bian(3.25%)。

2019-2022年卡巴斯基检测到的手机银行木马安装程序的数量

虽然2022年检测到的恶意软件安装程序数量有所上升,但移动银行木马攻击自2020年上升以来一直在减少。

2021-2022年手机银行木马攻击的数量

最常检测到的手机银行木马TOP10

*受该恶意软件攻击的独特用户占所有受银行威胁攻击的卡巴斯基移动安全用户的百分比。

在2022年所有活跃的手机银行木马中,Trojan-Banker.AndroidOS.Bian.h(28.74%)在被攻击的用户中占比最大,其中一半以上为西班牙用户。

按被移动银行木马攻击的用户份额排列的前10个国家

*受该恶意软件攻击的独特用户占所有受银行威胁攻击的卡巴斯基移动安全用户的百分比。

在2022年所有活跃的手机银行木马中,Trojan-Banker.AndroidOS.Bian.h(28.74%)在被攻击的用户中占比最大,其中一半以上为西班牙用户。

移动勒索软件木马

在2022年检测到10,543个移动勒索软件木马安装程序,比2021年的数字少了6,829。

2019-2022年卡巴斯基检测到的移动勒索软件木马安装程序的数量

移动勒索软件木马攻击的数量也在持续下降,这一过程始于2021年底。

2021-2022年移动勒索软件木马攻击的数量

*受到恶意软件攻击的独特用户占所有受到勒索软件木马攻击的卡巴斯基移动安全用户的百分比。

2022年,Trojan-Ransom.AndroidOS.Pigetrl.a仍然是领先的勒索软件木马家族(75.10%)。它也是前20个最经常检测到的移动恶意软件类型之一。俄罗斯占到了高达92.74%的检测量。

该恶意软件家族紧随其后的是Trojan-Ransom.AndroidOS.Rkor,它阻止了屏幕,并要求用户为他们所谓的观看过的一些非法内容支付罚款。这个家族的成员在我们的排名中占据了十位中的六位,有高达65.27%的用户在哈萨克斯坦受到攻击。

按被移动勒索软件木马攻击的用户比例排列的前10个国家

*排名中不包括卡巴斯基移动安全用户相对较少的国家(低于10,000)。

**被移动勒索软件木马攻击的独特用户占该国所有卡巴斯基移动安全用户的百分比。

也门(0.49%)和哈萨克斯坦(0.36%)的用户被移动勒索软件木马攻击的比例最高。也门的大多数用户受到Trojan-Ransom.AndroidOS.Pigetrl.a的影响,哈萨克斯坦的大多数用户被Trojan-Ransom.AndroidOS.Rkor.br击中。

结论

网络犯罪活动在2022年趋于平缓,攻击数量在2021年下降后保持稳定。尽管如此,网络犯罪分子仍在努力改进恶意软件的功能和传播载体。恶意软件正逐步通过官方市场和流行应用程序内嵌广告等合法渠道传播。诈骗应用程序和危险的移动银行恶意软件亦是如此。大多数移动网络攻击像以前一样使用恶意软件。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。