知名安全廠商Bitdefender 發(fā)布的一份報告稱,他們在過去6個月中發(fā)現(xiàn)了 6萬款不同類型的 Android 應(yīng)用秘密地嵌入了廣告軟件安全程序�。
報告指出,經(jīng)分析����,該活動旨在將廣告軟件傳播到用戶的Android系統(tǒng)設(shè)備,以此來增加收入���。然而��,網(wǎng)絡(luò)攻擊者可以輕松地改變策略���,將用戶重定向到其他類型的惡意軟件,如針對銀行賬戶的竊取程序���。
【資料圖】
據(jù)統(tǒng)計�����,該廣告軟件主要針對美國用戶(55.27%)��,其次是韓國(9.8%)�、巴西(5.96%)和德國(2.93%)。大量獨特樣本表明���,有人設(shè)計了一個自動化過程來創(chuàng)建帶有惡意軟件的應(yīng)用程序����,通過仿冒游戲破解程序���、免費 VPN�、Netflix 虛假教程����、無廣告版YouTube/TikTok以及虛假的安全程序來分發(fā)。
廣告軟件活動的國家分布
偷偷安裝以逃避檢測
這些應(yīng)用程序托管在第三方網(wǎng)站上�����,研究人員沒有在 Google Play 的應(yīng)用程序中發(fā)現(xiàn)相同的廣告軟件。訪問這些網(wǎng)站時���,用戶將被重定向到這些應(yīng)用的下載站點,當用戶安裝這些應(yīng)用程序后����,并不會將自身配置為自動運行,因為這需要額外的權(quán)限��。相反�����,它依賴于正常的 Android 應(yīng)用程序安裝流程���,該流程會提示用戶在安裝后“打開”應(yīng)用程序����。
此外���,這些應(yīng)用程序不會顯示圖標����,并在應(yīng)用程序標簽中使用 UTF-8 字符,因此更難被發(fā)現(xiàn)��。這是一把雙刃劍���,因為這也意味著如果用戶在安裝后不啟動該應(yīng)用程序���,則該應(yīng)用程序很可能不會在安裝后啟動。
如果啟動��,該應(yīng)用程序?qū)@示一條錯誤消息��,指出“應(yīng)用程序在您所在的地區(qū)不可用���。點擊確定卸載���。”但實際上�,應(yīng)用程序并沒有被卸載,而只是在注冊兩個意圖(Intent)之前進行了休眠�,這兩個意圖可讓應(yīng)用程序在設(shè)備啟動或設(shè)備解鎖時開始運作。Bitdefender 表示后一種意圖在前兩天被禁用�����,可能是為了逃避用戶的檢測。
注冊啟動廣告程序的 Android 意圖
啟動后�,該應(yīng)用程序?qū)⑦B接到運營方的服務(wù)器并檢索要在移動瀏覽器中顯示或作為全屏 WebView 廣告顯示的廣告鏈接。
Android 設(shè)備是惡意軟件開發(fā)人員的高度攻擊目標��,因為用戶能夠在不受 Google Play 商店保護之外的其他地方安裝應(yīng)用程序�。但目前�����,即便在Google Play 中也未必安全����。近期,來自 Dr. Web 和 CloudSEK 的研究人員發(fā)現(xiàn)����,惡意間諜軟件 SDK通過 Google Play 上的應(yīng)用程序在 Android 設(shè)備上竟安裝了超過 4 億次。
雖然 Google Play 仍然有惡意應(yīng)用程序�,但從官方商店安裝 Android 應(yīng)用程序總體還是要安全得多,強烈建議用戶不要從第三方站點安裝任何 Android 應(yīng)用程序�����,因為它們是惡意軟件的常見載體�����。
