Android病毒植入器现在不仅传播银行木马，还传播短信窃取程序和间谍软件

混淆既是艺术

网络安全研究人员正在关注 Android 恶意软件领域的新变化，其中通常用于传播银行木马的植入程序应用程序也用于传播更简单的恶意软件，例如短信窃取程序和基本间谍软件。

ThreatFabric在上周的一份报告中称，这些活动通过伪装成印度和亚洲其他地区政府或银行应用程序的植入程序进行传播。

这家荷兰移动安全公司表示，这一变化是由谷歌近期在新加坡、泰国、巴西和印度等特定市场试行的安全保护措施推动的，旨在阻止侧载请求危险权限（如短信和辅助功能服务）的潜在可疑应用程序，这是一种在 Android 设备上执行恶意操作的严重滥用设置。

该公司表示：“Google Play Protect 的防御措施，尤其是有针对性的试点计划，在高风险应用运行前就将其拦截，效果越来越好。其次，攻击者希望确保他们的运营不会因未来而受到影响。”

审计及其他

“通过将哪怕是最基本的有效载荷封装在植入器中，他们就获得了一个保护壳，可以逃避当今的检查，同时保持足够的灵活性，以便在未来交换有效载荷和调整活动。”

ThreatFabric 表示，尽管谷歌的策略加大了赌注，在用户与恶意应用程序交互之前就阻止其安装，但攻击者仍在尝试新的方法来绕过安全措施——这表明在安全方面，打地鼠游戏是无休止的。

这包括设计植入程序，牢记谷歌的试点计划，以便它们不会寻求高风险权限，而只提供无害的“更新”屏幕，可以通过区域扫描。

但只有当用户点击“更新”按钮时，实际的有效载荷才会从外部服务器获取或解压，然后继续寻求必要的权限来实现其目标。

ThreatFabric 表示：“Play Protect 可能会在另一项扫描中显示有关风险的警报，但只要用户接受，应用程序就会安装，有效载荷也会被传递。这暴露了一个关键的漏洞：如果用户点击“安装”，Play Protect 仍然会允许有风险的应用程序通过，恶意软件仍然会通过试点计划。”

RewardDropMiner 就是这样一个植入器，它被发现会与间谍软件有效载荷一起充当可远程激活的门罗币加密货币挖矿程序。然而，该工具的最新版本已不再包含挖矿功能。

通过 RewardDropMiner 传播的一些恶意应用程序均针对印度用户，具体如下：

2025 年 PM YOJANA (com.fluvdp.hrzmkgi)
°RTO Challan (com.epr.fnroyex)
SBI 在线 (com.qmwownic.eqmff)
轴心卡 (com.tolqppj.yqmrlytfzrxa)

其他避免触发 Play Protect 或 Pilot Program 的植入器变体包括 SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper 和 TiramisuDropper。

当记者联系谷歌发表评论时，谷歌告诉 The Hacker News，它没有发现任何使用这些技术通过 Play Store 分发的应用程序，并且它正在不断添加新的保护措施。

一位发言人表示：“无论应用程序来自哪里 - 即使它是由‘植入者’应用程序安装的 - Google Play Protect 都会通过自动检查威胁来帮助保护用户的安全。”

在发布此报告之前，Google Play Protect 已针对这些已识别的恶意软件版本实施了防护。根据我们目前的检测，Google Play 上尚未发现任何包含这些恶意软件版本的应用。我们正在不断增强防护措施，以帮助保护用户免受恶意攻击者的侵害。

CIS构建套件

与此同时，Bitdefender Labs 警告称，一项新的活动正在利用 Facebook 上的恶意广告兜售 Android 版 TradingView 应用的免费高级版本，最终部署改进版的Brokewell银行木马来监视、控制和窃取受害者设备上的敏感信息。

自2025年7月22日以来，至少有75条恶意广告被投放，仅在欧盟就触及了数万名用户。此次安卓攻击只是更大规模恶意广告行动的一部分，该行动还利用Facebook广告，以各种金融和加密货币应用程序的名义，将目标锁定在windows桌面设备上。

这家罗马尼亚网络安全公司表示： “此次攻击活动表明，网络犯罪分子正在不断调整其攻击策略，以跟踪用户行为。通过瞄准移动用户，并将恶意软件伪装成可信的交易工具，攻击者希望利用人们对加密应用程序和金融平台日益增长的依赖来牟利。”