【安全圈】Android 木马投递方式出现新趋势：瞄准短信窃取和间谍软件|Android|安卓|木马|短信窃取|网络安全|间谍软件

关键词

恶意软件

网络安全研究人员近期指出，Android 恶意软件生态正在出现明显变化。过去常见的“投递器（dropper app）”主要用于下发银行木马，如今却越来越多地被用来传播更轻量的恶意代码，比如短信窃取器和基础间谍软件。

据荷兰移动安全公司 ThreatFabric 报告，这类攻击活动常借助伪装成政府服务或银行工具的应用，在印度及亚洲部分地区传播。背后原因之一是谷歌近来在新加坡、泰国、巴西和印度等地推行的安全试点计划，限制侧载（sideload）高风险权限应用，尤其是涉及短信和辅助功能（accessibility service）的软件。

ThreatFabric 指出，攻击者开始调整战术，通过投递器为即便是最简单的恶意负载提供“保护壳”。这样不仅能绕过现有检测，还能灵活更换后续的恶意代码。表面上，投递器可能只显示一个“更新”界面，以避开 Play Protect 的初步扫描；真正的木马在用户点击“Update”按钮后，才会从远程服务器下载并请求危险权限。

其中一个典型投递器RewardDropMiner，曾用于传播间谍软件以及远程可激活的 Monero 挖矿模块（新版本已移除挖矿功能）。近期在印度发现的恶意应用包括：

PM YOJANA 2025（包名 com.fluvdp.hrzmkgi）
RTO Challan（com.epr.fnroyex）
SBI Online（com.qmwownic.eqmff）
Axis Card（com.tolqppj.yqmrlytfzrxa）

除了 RewardDropMiner，其他活跃的投递器还包括SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper 和 TiramisuDropper。

谷歌回应称，目前未发现这些技术通过 Play 商店传播，并强调Play Protect能自动扫描并阻止恶意软件安装。不过，ThreatFabric 也指出，Play Protect 仍存在漏洞：只要用户无视风险提示并继续安装，木马依然可以落地。

与此同时，Bitdefender Labs 还揭露了一波新的恶意广告（malvertising）活动：攻击者利用 Facebook Ads 推送“免费高级版 TradingView 应用”，实则携带升级版Brokewell 银行木马。自 2025 年 7 月 22 日以来，已有 75 条恶意广告投放，仅在欧盟地区就触及数万用户。这场攻击并不限于移动端，Windows 桌面系统同样被伪装成金融与加密货币工具的木马所瞄准。