警惕高仿Google Play应用商店传播恶意软件

by admin on 2020年4月5日

图片 1

Google Play遭新木马感染 专门散发恶意广告

2016年08月02日 来源:搞趣网 作者:那个胖子 搞趣网官方微博

安卓系统易遭遇木马病毒感染已经成为一种共识,就连Google
Play应用商店都无法阻止这些恶意软件的入侵。近日,有外媒报道称Google
Play应用商店目前已有155个App感染了木马,导致全球越超过280万用户受到不同程度的影响。这个新型的木马名为Android.Spy.305,目前主要表现为偷偷收集用户数据和显示恶意广告。

图片 2

据悉,早在今年4月份,安全人员就已发现了Android.Spy.305。而在之前,类似的木马Android.Spy.277接连感染了谷歌商店中的104个App,之后这些App的下载次数超过320万次。

Android.Spy.305.与此前的木马相同,它是在用户安装受感染应用后开始执行恶意程序:首先在用户设备上收集电子邮件地址、Google账户、型号和IMEI、操作系统语言、版本,设备名称等数据,与此同时,也会收集一些开发者ID和SDK版本、屏幕分辨率、移动网络运营商、安装的应用程序列表等细节信息。该木马的最终目的是安装其他应用程序来强行展示广告。

图片 3

有安全公司表示,他们已经把木马的信息告知Google,但Google方并未下架受感染的App。目前Android.Spy.305暂隐藏在广告SDK中,而且木马只提供广告,还没有从用户设备上窃取敏感数据。

文中图片引用自网络,如有侵权请联系我们予以删除

 越来越多的用户提高移动安全意识,选择从官方应用商店下载应用,恶意软件分发者显然也意识到了这一点,继伪装恶意应用Flappy
Bird之后,最近网上已经出现一些“高仿”Google
Play官方应用商店,值得广大智能手机用户和企业信息安全管理人士引起注意。以下为Trendlabs的相关研究:

安全公司 Lookout Security Intelligence
的研究人员报告,浙江每日互动网络科技股份有限公司(个推)提供的个信广告
SDK 被发现内置后门,允许下载和执行任意代码。

用户常常会到第三方应用程序商店来下载官方商店所没有的应用程序,甚至是盗版应用程序(比如说付费软件的免费版)。而有些用户则是因为官方应用程序商店在他们所在区域无法使用,只好使用这些网站。

用户最初下载的应用也许是干净的,但广告 SDK
通过向个信服务器发送请求悄悄的下载加密文件,引入恶意功能,收集用户个人数据。

但是连上这些网站并不是个好主意。和Google
Play相较起来,第三方应用程序不一定会严格监控被移除恶意应用程序。所以应该将来自这些第三方网站的应用程序都视为有潜在的危险,因为使用者并无法轻易地判断里面是否被加入了恶意代码。

但博客中有提到,不是所有版本的个信广告 SDK
都含有后门,包含后门的恶意版本实现了一个插件框架允许客户端加载恶意代码。

图片 4

许多 APP 开发者不知道嵌入个信广告的 SDK
可能会从客户的设备中收集个人信息。事实上,SDK 内置的后门也是 Lookout
Security Intelligence 的研究人员通过对应用程序和广告 SDK
的行为进行深入分析和研究后才发现的。

趋势科技在前些日子讨论了一些Flappy
Bird的相关威胁。在追查的过程中,我们发现有好几个第三方应用程序商店会散播或制造类似的危险行动应用程序。

在 Google 官方应用商店 Google Play,超过 500
款应用使用了恶意版本的个信广告 SDK,这些应用的下载量超过一亿次。Google
在接到通知后从官方商店移除了恶意版本,或者更新到了使用非侵入式广告
SDK的版本。

这些第三方应用程序商店,将广告,甚至是恶意代码植入到热门应用程序内。这些应用程序会让用户的个人隐私陷入危险,甚至可能造成金钱上的损失
– 最近的木马化Flappy
Bird应用程序会滥用加值服务来赚钱,还会连到命令和控制服务器来接收指令。

图片 5

下面例子所举的模仿Google
Play商店的第三方应用程序商店,包含各种木马化的知名应用程序。甚至还出现假版本的Google
Play应用程序,只是它会导回自己的第三方应用程序商店。

Google Play 上之前受感染的 APP 示例,不过 Lookout
公司已经确认它们现在已不再使用含后门的个信广告 SDK

 图片 6

详细的技术细节问题,请参阅原博客的说明

 图一、模仿Google Play的例子

(文/开源中国)    

这家商店的应用程序含有额外的广告程序代码,从这些广告中所获得的利润会到网络犯罪分子身上,而非应用程序作者。会送出的数据报括用户的电话号码、电子邮件地址和设备数据。

 图片 7

 图二、广告资料

此外,该广告模块可以远程加载程序代码以在设备上执行,可以有效地成为一个后门。这对使用者来说是极大的危险。

 图片 8

 

 图三、后门程序代码

带有此恶意代码的应用程序被侦测为ANDROIDOS_FLEXLEAK.HBT。

其他的应用程序商店更危险 –
这间商店包含了超过500个OPFAKE恶意软件变种。有一个恶意Flappy
Bird就是从这里下载而来。它们不仅包含了可能的恶意广告程序代码,同时也会滥用加值服务号码,好直接利用用户来拿到钱。

这间商店内还有成人应用程序,用户必须透过简讯付费才能使用这些应用程序。

 图片 9

 图四、第二个恶意第三方应用程序商店

第三个应用程序商店也带有本文所提到其他商店的类似威胁。不过它拥有更高的下载数(超过七万次下载)。

 图片 10

 图五、第三个恶意第三方应用程序商店

这些事件凸显出从第三方应用程序商店下载软件所可能遇到的危险。用户常常会到第三方应用程序商店来下载官方商店所没有的应用程序,甚至是盗版应用程序(比如说付费软件的免费版)。而有些用户则是因为官方应用程序商店在他们所在区域无法使用,只好使用这些网站。

但是连上这些网站并不是个好主意。和Google
Play相较起来,第三方应用程序不一定会严格监控被移除恶意应用程序。所以应该将来自这些第三方网站的应用程序都视为有潜在的危险,因为使用者并无法轻易地判断里面是否被加入了恶意代码。

 

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图