網(wǎng)絡(luò)安全服務(wù)商Bitdefender公司日前發(fā)現(xiàn)了一個(gè)隱藏的惡意軟件�,該軟件在全球各地的移動(dòng)設(shè)備上未被發(fā)現(xiàn)已經(jīng)超過六個(gè)月,該軟件旨在向Android設(shè)備推送廣告軟件����,以提高營收��。
Bitdefender公司在一篇博客中表示:“然而���,涉及的威脅行為者可以很容易地轉(zhuǎn)換策略,將用戶重定向到其他類型的惡意軟件�,例如竊取憑證和財(cái)務(wù)信息的銀行木馬或勒索軟件?!?/p>
到目前為止,該公司已經(jīng)發(fā)現(xiàn)了6萬多個(gè)感染了這種廣告軟件的安卓應(yīng)用程序����,并懷疑感染了更多的應(yīng)用程序。該惡意軟件至少從2022年10月開始就存在了�����,它的目標(biāo)用戶來自美國��、韓國����、巴西、德國�、英國和法國。
【資料圖】
Bitdefender公司表:“由于發(fā)現(xiàn)了大量獨(dú)特的樣本��,因此這一操作很可能是全自動(dòng)的?��!?/p>惡意軟件的分發(fā)和傳播
威脅行為者使用第三方應(yīng)用程序分發(fā)和傳播惡意軟件�,因?yàn)樗辉谌魏喂俜缴痰曛小?/p>
Bitdefender表示:“然而�����,惡意軟件的運(yùn)營商仍然需要說服用戶下載并安裝第三方應(yīng)用程序���,因此他們將威脅偽裝成在官方商店找不到的熱銷產(chǎn)品�?���!?/p>
在某些情況下�,這些應(yīng)用程序只是模仿在PlayStore中發(fā)布的真實(shí)應(yīng)用程序。被惡意軟件模仿的一些類型的應(yīng)用程序包括游戲破解����、具有解鎖功能的游戲、免費(fèi)VPN��、虛假教程���、沒有廣告的YouTube/TikTok�、破解的實(shí)用程序、PDF查看器��,甚至是虛假的安全程序�。
Bitdefender表示:“這種分發(fā)和傳播是隨機(jī)的,當(dāng)搜索這類應(yīng)用程序���、mod��、漏洞等時(shí)����,惡意軟件就會出現(xiàn)���?���!彼a(bǔ)充說����,mod應(yīng)用程序是一種熱門商品,許多網(wǎng)站都專門提供這類軟件包��。
通常情況下,mod應(yīng)用程序是對原始應(yīng)用程序的修改�����,其全部功能解鎖或?qū)Τ跏季幊踢M(jìn)行更改���。當(dāng)用戶通過谷歌搜索下載mod應(yīng)用程序的網(wǎng)站時(shí)�,他們會被重定向到一個(gè)隨機(jī)的廣告頁面�。有時(shí),該頁面是惡意軟件的下載頁面���,偽裝成用戶正在搜索的mod的合法下載頁面���。
逃避檢測六個(gè)月的時(shí)間
帶有惡意軟件的應(yīng)用程序在安裝時(shí)就像普通的安卓應(yīng)用程序一樣,并提示用戶在安裝后點(diǎn)擊“打開”�。然而,惡意軟件不會將自己配置為自動(dòng)運(yùn)行�����,因?yàn)檫@可能需要額外的權(quán)限���。
谷歌公司取消了在Android平臺上注冊啟動(dòng)器后隱藏應(yīng)用圖標(biāo)的功能�。但是���,這只適用于注冊了啟動(dòng)器的情況����。Bitdefender公司表示:“為了規(guī)避這個(gè)問題���,該應(yīng)用程序并不注冊任何啟動(dòng)程序����,而是依賴于用戶和默認(rèn)的Android安裝行為實(shí)施首次運(yùn)行����。”
一旦安裝���,惡意軟件就會顯示一條“應(yīng)用程序不可用”的信息�,以欺騙用戶��,使其認(rèn)為惡意軟件從未安裝過��。
Bitdefender公司在博客中表示:“它的啟動(dòng)器中沒有圖標(biāo),標(biāo)簽中有UTF-8字符�����,這使得發(fā)現(xiàn)和卸載它變得更加困難����。它將始終位于列表的末尾,這意味著用戶不太可能找到它���?!?/p>
一旦啟動(dòng)���,該應(yīng)用程序?qū)⑴c網(wǎng)絡(luò)攻擊者的服務(wù)器進(jìn)行通信����,并檢索廣告的網(wǎng)址��,以在移動(dòng)瀏覽器中顯示或作為全屏WebView廣告���。
Android設(shè)備越來越多地成為惡意軟件的目標(biāo)
Android設(shè)備正日益成為黑客攻擊的目標(biāo)��。上個(gè)月����,網(wǎng)絡(luò)安全服務(wù)商Doctor Web公司發(fā)現(xiàn)了一個(gè)帶有間諜軟件功能的Android軟件模塊SpinOk���。
該惡意軟件收集存儲在設(shè)備上的文件信息�����,并將其傳輸給惡意行為者���。它還可以替換剪貼板內(nèi)容并將其上傳到遠(yuǎn)程服務(wù)器。包含SpinOk模塊和間諜軟件功能的Android應(yīng)用程序安裝總?cè)藬?shù)超過4.21億次�。
CloudSek公司發(fā)現(xiàn)了另外101個(gè)被SpinOK Android惡意軟件感染的應(yīng)用程序,這些惡意軟件是作為廣告SDK分發(fā)的���。其中有43款應(yīng)用程序仍然活躍在PlayStore上����,其中一些下載量超過500萬次�。總的來說�,估計(jì)有3000萬用戶會受到這些額外應(yīng)用程序的影響。
