調(diào)查表明廣告軟件推送惡意軟件感染了六萬多個安卓應(yīng)用程序
網(wǎng)絡(luò)安全服務(wù)商Bitdefender公司日前發(fā)現(xiàn)了一個隱藏的惡意軟件,該軟件在全球各地的移動設(shè)備上未被發(fā)現(xiàn)已經(jīng)超過六個月,該軟件旨在向Android設(shè)備推送廣告軟件,以提高營收。
Bitdefender公司在一篇博客中表示:“然而,涉及的威脅行為者可以很容易地轉(zhuǎn)換策略,將用戶重定向到其他類型的惡意軟件,例如竊取憑證和財務(wù)信息的銀行木馬或勒索軟件。”
到目前為止,該公司已經(jīng)發(fā)現(xiàn)了6萬多個感染了這種廣告軟件的安卓應(yīng)用程序,并懷疑感染了更多的應(yīng)用程序。該惡意軟件至少從2022年10月開始就存在了,它的目標(biāo)用戶來自美國、韓國、巴西、德國、英國和法國。
Bitdefender公司表:“由于發(fā)現(xiàn)了大量獨(dú)特的樣本,因此這一操作很可能是全自動的。”
惡意軟件的分發(fā)和傳播
威脅行為者使用第三方應(yīng)用程序分發(fā)和傳播惡意軟件,因?yàn)樗辉谌魏喂俜缴痰曛小?/p>
Bitdefender表示:“然而,惡意軟件的運(yùn)營商仍然需要說服用戶下載并安裝第三方應(yīng)用程序,因此他們將威脅偽裝成在官方商店找不到的熱銷產(chǎn)品。”
在某些情況下,這些應(yīng)用程序只是模仿在PlayStore中發(fā)布的真實(shí)應(yīng)用程序。被惡意軟件模仿的一些類型的應(yīng)用程序包括游戲破解、具有解鎖功能的游戲、免費(fèi)VPN、虛假教程、沒有廣告的YouTube/TikTok、破解的實(shí)用程序、PDF查看器,甚至是虛假的安全程序。
Bitdefender表示:“這種分發(fā)和傳播是隨機(jī)的,當(dāng)搜索這類應(yīng)用程序、mod、漏洞等時,惡意軟件就會出現(xiàn)。”他補(bǔ)充說,mod應(yīng)用程序是一種熱門商品,許多網(wǎng)站都專門提供這類軟件包。
通常情況下,mod應(yīng)用程序是對原始應(yīng)用程序的修改,其全部功能解鎖或?qū)Τ跏季幊踢M(jìn)行更改。當(dāng)用戶通過谷歌搜索下載mod應(yīng)用程序的網(wǎng)站時,他們會被重定向到一個隨機(jī)的廣告頁面。有時,該頁面是惡意軟件的下載頁面,偽裝成用戶正在搜索的mod的合法下載頁面。
逃避檢測六個月的時間
帶有惡意軟件的應(yīng)用程序在安裝時就像普通的安卓應(yīng)用程序一樣,并提示用戶在安裝后點(diǎn)擊“打開”。然而,惡意軟件不會將自己配置為自動運(yùn)行,因?yàn)檫@可能需要額外的權(quán)限。
谷歌公司取消了在Android平臺上注冊啟動器后隱藏應(yīng)用圖標(biāo)的功能。但是,這只適用于注冊了啟動器的情況。Bitdefender公司表示:“為了規(guī)避這個問題,該應(yīng)用程序并不注冊任何啟動程序,而是依賴于用戶和默認(rèn)的Android安裝行為實(shí)施首次運(yùn)行。”
一旦安裝,惡意軟件就會顯示一條“應(yīng)用程序不可用”的信息,以欺騙用戶,使其認(rèn)為惡意軟件從未安裝過。
Bitdefender公司在博客中表示:“它的啟動器中沒有圖標(biāo),標(biāo)簽中有UTF-8字符,這使得發(fā)現(xiàn)和卸載它變得更加困難。它將始終位于列表的末尾,這意味著用戶不太可能找到它。”
一旦啟動,該應(yīng)用程序?qū)⑴c網(wǎng)絡(luò)攻擊者的服務(wù)器進(jìn)行通信,并檢索廣告的網(wǎng)址,以在移動瀏覽器中顯示或作為全屏WebView廣告。
Android設(shè)備越來越多地成為惡意軟件的目標(biāo)
Android設(shè)備正日益成為黑客攻擊的目標(biāo)。上個月,網(wǎng)絡(luò)安全服務(wù)商Doctor Web公司發(fā)現(xiàn)了一個帶有間諜軟件功能的Android軟件模塊SpinOk。
該惡意軟件收集存儲在設(shè)備上的文件信息,并將其傳輸給惡意行為者。它還可以替換剪貼板內(nèi)容并將其上傳到遠(yuǎn)程服務(wù)器。包含SpinOk模塊和間諜軟件功能的Android應(yīng)用程序安裝總?cè)藬?shù)超過4.21億次。
CloudSek公司發(fā)現(xiàn)了另外101個被SpinOK Android惡意軟件感染的應(yīng)用程序,這些惡意軟件是作為廣告SDK分發(fā)的。其中有43款應(yīng)用程序仍然活躍在PlayStore上,其中一些下載量超過500萬次。總的來說,估計有3000萬用戶會受到這些額外應(yīng)用程序的影響。
