安卓恶意软件警报:银行木马、DNG间谍软件和NFC欺诈日益猖獗

最后更新: 11/11/2025
作者: 阿尔贝托·纳瓦罗(Alberto Navarro)

  • Zscaler 在 Google Play 上检测到 239 个恶意应用,下载量超过 42 万次。
  • 新出现的攻击活动包括:带有叠加层的银行木马、“Landfall”间谍软件以及利用NGate进行的NFC欺诈。
  • 移动恶意软件同比增长 67%;广告软件占据主导地位(69%),意大利等欧洲国家的恶意软件数量达到峰值。
  • 保护指南:权限、更新、Play Protect、应用验证和帐户监控
Android上的恶意软件

安卓手机依然备受关注,根据最新研究, 前景并不平静。。 之间 清空账户的银行木马, 利用零日漏洞和非接触式欺诈的间谍软件随着欧洲和西班牙数字化程度的提高,攻击面也在不断扩大。

在过去的几周 已公布的调查结果和数据描绘出一幅复杂的图景。: Google Play 上有 239 个恶意应用 累计下载量超过42万次, 新型银行木马 带有能够控制设备的叠加层一款名为 登陆 渗入 DNG图像 以及一个方案 通过 NFC(NGate)进行卡片克隆 起源于欧洲,并扩展到拉丁美洲。

Android 移动恶意软件兴起概览

Android 数据窃取恶意软件

Zscaler 最新报告显示,在 2024 年 6 月至 2025 年 5 月期间 Google Play 上架了 239 个恶意应用 安装量超过 42 万次。移动恶意软件活动 同比增长67%尤其在工具和生产力类别中,攻击者会伪装成看似合法的实用程序,从而造成特别严重的后果。

这种演变转化为战术上的明显改变: 广告软件占检测总数的69%。而小丑家族的粉丝比例则下降至 23%。按国家/地区划分,印度(26%)、美国(15%)和加拿大(14%)的粉丝比例位居前列,但在欧洲,粉丝比例有所下降。 意大利出现显著增长每年增幅都非常显著,并警告称风险可能会蔓延到非洲大陆其他地区。

面对这种情况,谷歌加强了对开发者生态系统的控制。 额外的身份验证措施 适用于安卓平台发布。此举旨在提高准入门槛和可追溯性,从而降低网络犯罪分子通过官方应用商店传播恶意软件的可能性。

独家内容 - 点击这里  使用 DeepSeek 时如何保护您的数据:提示和分析

除了数量之外,复杂性也是一个需要考虑的因素:Zscaler 特别强调了一些特别活跃的家族,其中包括: Anatsa(银行特洛伊木马), Android Void/Vo1d (在搭载旧版 AOSP 的设备中存在后门,影响超过 1,6 万台设备) Xnotice一种旨在窃取凭证和双因素认证码的远程控制木马。在欧洲, 金融机构和移动银行用户 它们构成明显的风险。

专家指出,信用卡欺诈正在从传统的欺诈方式转向其他方式。 移动支付和社交技术 (网络钓鱼、短信钓鱼和 SIM 卡交换),这需要提高终端用户的数字卫生意识,并加强对实体移动渠道的保护。

Android/BankBot-YNRK:叠加层、辅助功能和银行盗窃

Android上的恶意软件

Cyfirma的研究人员记录了 安卓银行木马 这款名为“Android/BankBot‑YNRK”的程序旨在冒充合法应用程序,然后激活辅助功能服务。 完全掌控 该设备的特殊之处在于其擅长叠加攻击:它会创建 虚假登录屏幕 关于如何利用真实的银行和加密货币应用程序来获取凭证。

该分布结合了 Play商店 (以绕过过滤器的浪潮形式出现)欺诈页面提供 APK 文件,使用模仿热门服务的包名和标题。检测到的技术标识符包括以下几个方面: SHA-256 哈希 据推测,该行动将在以下情况下进行: 恶意软件即服务这有利于其向不同国家扩张。 包括西班牙.

一旦进入系统,它会强制授予辅助功能权限,将自己添加为设备管理员,并读取屏幕上显示的内容。 按下虚拟按钮并填写表格它还可以拦截双因素认证码、篡改通知,以及 自动转账这一切都没有引起任何明显的怀疑。

分析人士将此次威胁与自 2016 年以来活跃的 BankBot/Anubis 家族联系起来,该家族有多种变种。 它们不断进化以躲避杀毒软件 并采取商店控制措施。这些攻击活动通常针对广泛使用的金融应用程序,如果未能及时发现,则可能造成更大的影响。

独家内容 - 点击这里  如果使用公共 Wi-Fi,为什么要禁用 LLMNR?

对于欧盟的用户和企业,建议加强 权限控制检查辅助功能设置并监控金融应用程序的运行情况。如有疑问,最好卸载应用程序,扫描您的设备,然后…… 更改凭据 与该实体协调。

登陆:利用DNG图像和零日漏洞进行无声间谍活动

Android威胁

另一项由 Palo Alto Networks 的 42 号部门牵头的调查发现: Android间谍软件登陆 该攻击利用图像处理库(libimagecodec.quram.so)中的零日漏洞执行代码。 解码DNG文件。已经足够了 通过即时通讯接收图像,这样就可以在无需交互的情况下实施攻击。.

最早的迹象可以追溯到2024年7月,该裁决被归类为: CVE-2025,21042 (几个月后又发布了修正版本 CVE-2025-21043)。此次攻击活动的目标尤为突出。 三星 Galaxy 设备 虽然专家警告说,这些行动很容易在地域上扩张,但它们对中东的影响最大。

一旦承诺, 登陆点允许提取 无需将照片上传到云端即可拍摄照片短信、联系人和通话记录,加上 秘密激活麦克风该间谍软件的模块化设计及其近一年来未被检测到的持续存在,凸显了…… 复杂程度的飞跃 这些威胁是由高级移动威胁造成的。

为了降低风险,关键在于 安装制造商安全更新,限制接触来自未经核实联系人的文件,并保持系统保护机制处于激活状态。无论是个人终端还是企业车队。

NGate:NFC卡克隆,从捷克共和国到巴西

NGate

网络安全界也关注了 NGate,一 这款安卓恶意软件专为金融诈骗而设计,利用NFC技术牟利。复印卡数据 并在另一台设备上进行模仿。在中欧(捷克共和国)已有记录,此类活动涉及冒充当地银行,随后演变为旨在…… 巴西用户.

这种欺骗手段结合了短信钓鱼、社会工程学和使用…… PWA/WebAPK 以及模仿 Google Play 的网站,以方便用户安装应用。一旦进入系统,它会引导受害者激活 NFC 功能并输入 PIN 码,拦截信息交换,并使用诸如……之类的工具转发信息。 NFC门允许在ATM机上取款和非接触式POS机支付。

独家内容 - 点击这里  1Password 安全吗?

各种供应商 它们可以检测到诸如 Android/Spy.NGate.B 和 Trojan-Banker 启发式等标签下的变种。虽然没有公开证据表明西班牙境内存在积极的宣传活动,但所使用的技术是 可转移至任何地区 非接触式银行服务已得到广泛应用。

如何降低风险:最佳实践

Android安全性

安装前,请花几秒钟时间检查一下 编辑、评分和日期 的应用程序。 要警惕与所述功能不符的权限请求。 (尤其 无障碍访问和管理 的设备)。

保留系统和应用程序 随时更新启用 Google Play Protect 并定期扫描。在企业环境中,建议实施 MDM 策略。 阻止列表 以及对舰队异常情况的监控。

避免通过短信、社交媒体或电子邮件中的链接下载 APK 文件,并远离…… 模仿 Google Play 的页面如果银行应用程序要求您输入银行卡密码或要求您将银行卡靠近手机,请提高警惕并向您的银行核实。

如果您发现感染迹象(异常数据或电池消耗), 奇怪的通知(屏幕重叠)断开数据连接,卸载可疑应用,扫描设备,并更改登录凭证。如果发现任何异常,请联系您的银行。 未经授权的移动.

在专业范围内, 它整合了研究人​​员发布的 IoC。 将(域名、哈希值和观察到的数据包)添加到您的黑名单中,并与各部门的 CSIRT 协调响应以切断连接。 可能的字符串 的感染。

Android生态系统正经历着来自网络犯罪的巨大压力: 官方应用商店中的恶意应用 这包括带有叠加层的银行木马、利用DNG图像的间谍软件以及通过模拟银行卡进行的NFC欺诈。通过及时更新、谨慎安装以及主动监控权限和银行交易,可以有效预防这些攻击。 大幅减少暴露 包括西班牙和欧洲其他地区的个人用户和组织。

如何在 Windows、Linux 和 Android 系统之间使用 Snapdrop 作为 AirDrop 的替代方案
相关文章:
如何在 Windows、Linux、Android 和 iPhone 之间使用 Snapdrop 作为 AirDrop 的真正替代方案