Android 惡意軟件植入程序已不再局限於銀行木馬

網絡安全研究人員發現 Android 惡意軟件世界發生了令人不安的轉變。 Droppers——看似無害的小型應用程序，可以秘密獲取並安裝惡意軟件——不再局限於提供強大的銀行木馬。它們現在被重新調整用途，用於傳播更簡單的威脅，例如短信竊取程序和間諜軟件，特別是在亞洲。

多年來，植入程序一直充當需要深度系統訪問的複雜惡意軟件（例如銀行木馬或遠程訪問工具）的“送貨員”。然而，根據荷蘭安全公司 ThreatFabric 的一份新報告，網絡犯罪分子正在採用相同的技術在隱形應用程序中傳播更簡單的惡意軟件，將植入程序變成繞過谷歌最新防禦的通用工具。

了解更多：iOS 26 銀行應用程序無法運行：安全、快速且用戶友好的解決方案

為什麼滴管變得越來越普遍

ThreatFabric 的研究人員指出，這一變化與穀歌新的 Play Protect 試點計劃有關，該計劃最近在印度、巴西、泰國和新加坡等高風險地區推出。

該程序會在安裝前掃描應用程序（尤其是從 Play 商店外部下載的應用程序），並阻止那些請求敏感權限（例如讀取短信、訪問通知或控制輔助功能）的應用程序。如果某個應用程序看起來可疑，它甚至在運行之前就會被阻止。

此舉使得惡意應用程序更難進入手機。但攻擊者發現了一個漏洞。他們沒有直接發送惡意代碼，而是將其隱藏在乍一看無害的滴管中。這些應用程序請求最少的權限，顯示虛假的“更新”提示，並毫無問題地通過 Google 的初始掃描。只有在用戶點擊“更新”後，真正的惡意軟件才會在後台安裝，並請求其所需的強大權限。

ThreatFabric 表示：“通過將基本的有效負載封裝在滴管內，它們可以獲得一個保護殼，可以逃避今天的檢查，同時保持足夠的靈活性，以便明天交換有效負載和開展活動。”寫道在上週的一篇博客文章中。 

RewardDropMiner 和其他威脅

ThreatFabric 的研究人員重點介紹了一個名為 RewardDropMiner 的案例。它最初的設計目的是在後台悄悄地挖掘加密貨幣的同時傳播間諜軟件。然而，在最新版本中，挖掘功能已被刪除，只留下了釋放器功能。這種更精簡的方法使惡意軟件更難檢測，同時仍然允許攻擊者秘密傳播間諜軟件或其他惡意應用程序。

與 RewardDropMiner 相關的虛假應用程序被發現冒充印度流行的服務，例如 PM Yojana 2025、SBI Online、Axis Card，甚至是政府相關的公用事業。

其他 dropper 系列，如 SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper 和 TiramisuDropper 也很活躍，它們使用類似的技巧來躲避 Google 的安全檢查，並通過虛假網站甚至消息應用程序傳播銀行惡意軟件或間諜軟件。

貓捉老鼠的遊戲仍在繼續

雖然谷歌表示這些應用程序都不是通過 Play 商店分發的，並且 Play Protect 會繼續阻止已知威脅，但專家警告說，植入程序正在演變成通用惡意軟件安裝程序。

ThreatFabric 補充道：“Droppers 已經從高端銀行惡意軟件的利基工具發展成為幾乎任何類型的惡意應用程序的通用安裝程序，無論大小，基本上都需要突破區域防禦。”

用戶可以做什麼 

這一轉變凸顯了安全維護者和網絡犯罪分子之間正在進行的軍備競賽。對於谷歌和更廣泛的安全社區來說，這表明隨著攻擊者完善他們的策略，需要不斷發展檢測方法。

對於日常 Android 用戶來說，這提醒我們保持警惕是第一道防線：僅安裝來自可信來源的應用程序，警惕需要異常權限的應用程序，對可疑提示（尤其是虛假“更新”）保持警惕，並在從第三方網站旁加載應用程序之前三思而後行。