調(diào)查表明廣告軟件推送惡意軟件感染了6萬多個(gè)安卓應(yīng)用程序

網(wǎng)絡(luò)安全服務(wù)商Bitdefender公司日前發(fā)現(xiàn)了一個(gè)隱藏的惡意軟件，該軟件在全球各地的移動(dòng)設(shè)備上未被發(fā)現(xiàn)已經(jīng)超過六個(gè)月，該軟件旨在向Android設(shè)備推送廣告軟件，以提高營(yíng)收。

Bitdefender公司在一篇博客中表示：“然而，涉及的威脅行為者可以很容易地轉(zhuǎn)換策略，將用戶重定向到其他類型的惡意軟件，例如竊取憑證和財(cái)務(wù)信息的銀行木馬或勒索軟件?！?/p>

到目前為止，該公司已經(jīng)發(fā)現(xiàn)了6萬多個(gè)感染了這種廣告軟件的安卓應(yīng)用程序，并懷疑感染了更多的應(yīng)用程序。該惡意軟件至少從2022年10月開始就存在了，它的目標(biāo)用戶來自美國(guó)、韓國(guó)、巴西、德國(guó)、英國(guó)和法國(guó)。

Bitdefender公司表：“由于發(fā)現(xiàn)了大量獨(dú)特的樣本，因此這一操作很可能是全自動(dòng)的?！?/p>

惡意軟件的分發(fā)和傳播

威脅行為者使用第三方應(yīng)用程序分發(fā)和傳播惡意軟件，因?yàn)樗辉谌魏喂俜缴痰曛小?/p>

Bitdefender表示：“然而，惡意軟件的運(yùn)營(yíng)商仍然需要說服用戶下載并安裝第三方應(yīng)用程序，因此他們將威脅偽裝成在官方商店找不到的熱銷產(chǎn)品?！?/p>

在某些情況下，這些應(yīng)用程序只是模仿在PlayStore中發(fā)布的真實(shí)應(yīng)用程序。被惡意軟件模仿的一些類型的應(yīng)用程序包括游戲破解、具有解鎖功能的游戲、免費(fèi)VPN、虛假教程、沒有廣告的YouTube/TikTok、破解的實(shí)用程序、PDF查看器，甚至是虛假的安全程序。

Bitdefender表示:“這種分發(fā)和傳播是隨機(jī)的，當(dāng)搜索這類應(yīng)用程序、mod、漏洞等時(shí)，惡意軟件就會(huì)出現(xiàn)?！彼a(bǔ)充說，mod應(yīng)用程序是一種熱門商品，許多網(wǎng)站都專門提供這類軟件包。

通常情況下，mod應(yīng)用程序是對(duì)原始應(yīng)用程序的修改，其全部功能解鎖或?qū)Τ跏季幊踢M(jìn)行更改。當(dāng)用戶通過谷歌搜索下載mod應(yīng)用程序的網(wǎng)站時(shí)，他們會(huì)被重定向到一個(gè)隨機(jī)的廣告頁面。有時(shí)，該頁面是惡意軟件的下載頁面，偽裝成用戶正在搜索的mod的合法下載頁面。

逃避檢測(cè)六個(gè)月的時(shí)間

帶有惡意軟件的應(yīng)用程序在安裝時(shí)就像普通的安卓應(yīng)用程序一樣，并提示用戶在安裝后點(diǎn)擊“打開”。然而，惡意軟件不會(huì)將自己配置為自動(dòng)運(yùn)行，因?yàn)檫@可能需要額外的權(quán)限。

谷歌公司取消了在Android平臺(tái)上注冊(cè)啟動(dòng)器后隱藏應(yīng)用圖標(biāo)的功能。但是，這只適用于注冊(cè)了啟動(dòng)器的情況。Bitdefender公司表示:“為了規(guī)避這個(gè)問題，該應(yīng)用程序并不注冊(cè)任何啟動(dòng)程序，而是依賴于用戶和默認(rèn)的Android安裝行為實(shí)施首次運(yùn)行。”

一旦安裝，惡意軟件就會(huì)顯示一條“應(yīng)用程序不可用”的信息，以欺騙用戶，使其認(rèn)為惡意軟件從未安裝過。

Bitdefender公司在博客中表示：“它的啟動(dòng)器中沒有圖標(biāo)，標(biāo)簽中有UTF-8字符，這使得發(fā)現(xiàn)和卸載它變得更加困難。它將始終位于列表的末尾，這意味著用戶不太可能找到它。”

一旦啟動(dòng)，該應(yīng)用程序?qū)⑴c網(wǎng)絡(luò)攻擊者的服務(wù)器進(jìn)行通信，并檢索廣告的網(wǎng)址，以在移動(dòng)瀏覽器中顯示或作為全屏WebView廣告。

Android設(shè)備越來越多地成為惡意軟件的目標(biāo)

Android設(shè)備正日益成為黑客攻擊的目標(biāo)。上個(gè)月，網(wǎng)絡(luò)安全服務(wù)商Doctor Web公司發(fā)現(xiàn)了一個(gè)帶有間諜軟件功能的Android軟件模塊SpinOk。

該惡意軟件收集存儲(chǔ)在設(shè)備上的文件信息，并將其傳輸給惡意行為者。它還可以替換剪貼板內(nèi)容并將其上傳到遠(yuǎn)程服務(wù)器。包含SpinOk模塊和間諜軟件功能的Android應(yīng)用程序安裝總?cè)藬?shù)超過4.21億次。

CloudSek公司發(fā)現(xiàn)了另外101個(gè)被SpinOK Android惡意軟件感染的應(yīng)用程序，這些惡意軟件是作為廣告SDK分發(fā)的。其中有43款應(yīng)用程序仍然活躍在PlayStore上，其中一些下載量超過500萬次。總的來說，估計(jì)有3000萬用戶會(huì)受到這些額外應(yīng)用程序的影響。