安卓惡意軟體警報:銀行木馬、DNG間諜軟體和NFC詐騙日益猖獗

最後更新: 11/11/2025
作者: 阿爾貝托·納瓦羅(Alberto Navarro)

  • Zscaler 在 Google Play 上偵測到 239 個惡意應用,下載量超過 42 萬次。
  • 新出現的攻擊活動包括:帶有疊加層的銀行木馬、「Landfall」間諜軟體以及利用NGate進行的NFC詐欺。
  • 行動惡意軟體年增 67%;廣告軟體占主導地位(69%),義大利等歐洲國家的惡意軟體數量達到高峰。
  • 保護指南:權限、更新、Play Protect、應用程式驗證和帳號監控
Android上的惡意軟件

安卓手機依然備受關注,根據最新研究, 前景並不平靜。。 之間 清空帳戶的銀行木馬, 利用零時差漏洞和非接觸式詐欺的間諜軟體隨著歐洲和西班牙數位化程度的提高,攻擊面也不斷擴大。

在過去的幾週 已公佈的調查結果和數據描繪出一幅複雜的圖像。: Google Play 上有 239 個惡意應用 累計下載量超過42萬次, 新型銀行木馬 具有能夠控制設備的疊加層一款名為 登陸 滲透 DNG影像 以及一個方案 透過 NFC(NGate)進行卡片克隆 起源於歐洲,並擴展到拉丁美洲。

Android 行動惡意軟體興起概覽

Android 資料竊取惡意軟體

Zscaler 最新報告顯示,在 2024 年 6 月至 2025 年 5 月期間 Google Play 上架了 239 個惡意應用 安裝量超過 42 萬次。行動惡意軟體活動 年增67%尤其在工具和生產力類別中,攻擊者會偽裝成看似合法的實用程序,造成特別嚴重的後果。

這種演變轉化為戰術上的明顯改變: 廣告軟體佔檢測總數的69%。而小丑家族的粉絲比例則下降至 23%。按國家/地區劃分,印度(26%)、美國(15%)和加拿大(14%)的粉絲比例位居前列,但在歐洲,粉絲比例有所下降。 義大利出現顯著成長每年增幅都非常顯著,並警告風險可能會蔓延到非洲大陸其他地區。

面對這種情況,Google加強了對開發者生態系統的控制。 額外的身份驗證措施 適用於安卓平台發布。此舉旨在提高進入門檻和可追溯性,從而降低網路犯罪分子透過官方應用商店傳播惡意軟體的可能性。

獨家內容 - 點擊這裡  什麼是 Webex 安全級別?

除了數量之外,複雜性也是一個需要考慮的因素:Zscaler 特別強調了一些特別活躍的家族,其中包括: Anatsa(銀行特洛伊木馬), Android Void/Vo1d (在搭載舊版 AOSP 的設備中存在後門,影響超過 1,6 萬台設備) Xnotice一種旨在竊取憑證和雙重認證碼的遠端控制木馬。在歐洲, 金融機構及行動銀行用戶 它們構成明顯的風險。

專家指出,信用卡詐欺正在從傳統的詐欺方式轉向其他方式。 行動支付和社交技術 (網路釣魚、簡訊釣魚和 SIM 卡交換),這需要提高終端用戶的數位衛生意識,並加強對實體行動管道的保護。

Android/BankBot-YNRK:疊加層、輔助功能和銀行竊盜

Android上的惡意軟件

Cyfirma的研究人員記錄了 安卓銀行木馬 這款名為“Android/BankBot‑YNRK”的程式旨在冒充合法應用程序,然後啟動輔助功能服務。 完全掌控 該設備的特殊之處在於其擅長疊加攻擊:它會創建 虛假登入畫面 關於如何利用真實的銀行和加密貨幣應用程式來獲取憑證。

該分佈結合了 Play商店 (以繞過過濾器的浪潮形式出現)詐騙頁面提供 APK 文件,使用模仿熱門服務的套件名稱和標題。偵測到的技術標識符包括以下幾個方面: SHA-256 哈希 據推測,該行動將在以下情況下進行: 惡意軟體即服務這有利於其向不同國家擴張。 包括西班牙.

一旦進入系統,它會強制授予輔助功能權限,將自己新增為裝置管理員,並讀取螢幕上顯示的內容。 按下虛擬按鈕並填寫表格它還可以攔截雙因素認證碼、篡改通知,以及 自動轉帳這一切都沒有引起任何明顯的懷疑。

分析師將此次威脅與自 2016 年以來活躍的 BankBot/Anubis 家族聯繫起來,該家族有多種變種。 它們不斷進化以躲避防毒軟體 並採取商店控制措施。這些攻擊活動通常針對廣泛使用的金融應用程序,如果未能及時發現,可能會造成更大的影響。

獨家內容 - 點擊這裡  在 ProtonMail 中禁用已讀回執

對於歐盟的使用者和企業,建議加強 權限控制檢查輔助功能設定並監控金融應用程式的運作。如有疑問,最好卸載應用程序,掃描您的設備,然後… 更改憑證 與該實體協調。

登陸:利用DNG影像和零日漏洞進行無聲間諜活動

Android威脅

另一項由 Palo Alto Networks 的 42 號部門牽頭的調查發現: Android間諜軟體登陸 此攻擊利用影像處理庫(libimagecodec.quram.so)中的零日漏洞執行程式碼。 解碼DNG文件。已經足夠了 透過即時通訊接收影像,這樣就可以在無需互動的情況下實施攻擊。.

最早的跡象可以追溯到2024年7月,該裁決被歸類為: CVE-2025,21042 (幾個月後又發布了修正版本 CVE-2025-21043)。此次攻擊活動的目標尤其突出。 三星 Galaxy 裝置 雖然專家警告說,這些行動很容易在地理上擴張,但它們對中東的影響最大。

一旦承諾, 登陸點允許提取 無需將照片上傳到雲端即可拍攝照片簡訊、聯絡人和通話記錄除了 秘密啟動麥克風這款間諜軟體的模組化設計及其近一年來未被檢測到的持續存在,凸顯了… 複雜程度的飛躍 這些威脅是由高階行動威脅造成的。

為了降低風險,關鍵在於 安裝製造商安全更新,限制接觸來自未經核實聯絡人的文件,並保持系統保護機制處於啟動狀態。無論是個人終端還是企業車隊。

NGate:NFC卡克隆,從捷克共和國到巴西

NGate

網路安全界也關注了 NGate這款安卓惡意軟體專為金融詐騙而設計,利用NFC技術牟利。複印卡數據 並在另一台裝置上進行模仿。在中歐(捷克共和國)已有記錄,此類活動涉及冒充當地銀行,隨後演變為旨在… 巴西用戶.

這種欺騙手段結合了簡訊釣魚、社會工程和使用… PWA/WebAPK 以及模仿 Google Play 的網站,方便使用者安裝應用程式。一旦進入系統,它會引導受害者啟動 NFC 功能並輸入 PIN 碼,攔截訊息交換,並使用諸如…之類的工具轉發訊息。 NFC門允許在ATM機上提款和非接觸式POS機支付。

獨家內容 - 點擊這裡  我怎麼知道我的 iPhone 是否被黑客入侵了?

各種供應商 它們可以檢測到諸如 Android/Spy.NGate.B 和 Trojan-Banker 啟發式等標籤下的變種。雖然沒有公開證據顯示西班牙境內有積極的宣傳活動,但所使用的技術是 可轉移至任何地區 非接觸式銀行服務已廣泛應用。

如何降低風險:最佳實踐

Android安全性

安裝前,請花幾秒鐘檢查一下 編輯、評分和日期 該應用程序。 若要警惕與所述功能不符的權限請求。 (特別 無障礙存取和管理 裝置).

保留系統和應用程式 隨時更新啟用 Google Play Protect 並定期掃描。在企業環境中,建議實施 MDM 策略。 阻止列表 以及對艦隊異常情況的監控。

避免透過簡訊、社交媒體或電子郵件中的連結下載 APK 文件,並遠離… 模仿 Google Play 的頁面如果銀行應用程式要求您輸入銀行卡密碼或要求您將銀行卡靠近手機,請提高警覺並向您的銀行核實。

如果您發現感染跡象(異常數據或電池消耗), 奇怪的通知(螢幕重疊)斷開資料連接,卸載可疑應用,掃描設備,並更改登入憑證。如果發現任何異常,請聯絡您的銀行。 未經授權的移動.

在專業範圍內, 它整合了研究人​​員發布的 IoC。 將(網域、雜湊值和觀察到的資料包)新增至您的黑名單中,並與各部門的 CSIRT 協調回應以切斷連線。 可能的字串 感染。

Android生態系統正經歷網路犯罪的巨大壓力: 官方應用程式商店中的惡意應用 這包括帶有疊加層的銀行木馬、利用DNG圖像的間諜軟體以及透過模擬銀行卡進行的NFC詐欺。透過及時更新、謹慎安裝以及主動監控權限和銀行交易,可以有效預防這些攻擊。 大幅減少暴露 包括西班牙和歐洲其他地區的個人使用者和組織。

如何在 Windows、Linux 和 Android 系統之間使用 Snapdrop 作為 AirDrop 的替代方案
相關文章:
如何在 Windows、Linux、Android 和 iPhone 之間使用 Snapdrop 作為 AirDrop 的真正替代方案