Bitdefender公司在一篇博客中表示:“然而,涉及的威脅行為者可以很容易地轉(zhuǎn)換策略,將用戶重定向到其他類型的惡意軟件,例如竊取憑證和財(cái)務(wù)信息的銀行木馬或勒索軟件。”
到目前為止,該公司已經(jīng)發(fā)現(xiàn)了6萬(wàn)多個(gè)感染了這種廣告軟件的安卓應(yīng)用程序,并懷疑感染了更多的應(yīng)用程序。該惡意軟件至少?gòu)?022年10月開(kāi)始就存在了,它的目標(biāo)用戶來(lái)自美國(guó)、韓國(guó)、巴西、德國(guó)、英國(guó)和法國(guó)。
Bitdefender公司表:“由于發(fā)現(xiàn)了大量獨(dú)特的樣本,因此這一操作很可能是全自動(dòng)的。”
惡意軟件的分發(fā)和傳播
威脅行為者使用第三方應(yīng)用程序分發(fā)和傳播惡意軟件,因?yàn)樗辉谌魏喂俜缴痰曛小?/div>
Bitdefender表示:“然而,惡意軟件的運(yùn)營(yíng)商仍然需要說(shuō)服用戶下載并安裝第三方應(yīng)用程序,因此他們將威脅偽裝成在官方商店找不到的熱銷產(chǎn)品。”
在某些情況下,這些應(yīng)用程序只是模仿在PlayStore中發(fā)布的真實(shí)應(yīng)用程序。被惡意軟件模仿的一些類型的應(yīng)用程序包括游戲破解、具有解鎖功能的游戲、免費(fèi)VPN、虛假教程、沒(méi)有廣告的YouTube/TikTok、破解的實(shí)用程序、PDF查看器,甚至是虛假的安全程序。
Bitdefender表示:“這種分發(fā)和傳播是隨機(jī)的,當(dāng)搜索這類應(yīng)用程序、mod、漏洞等時(shí),惡意軟件就會(huì)出現(xiàn)。”他補(bǔ)充說(shuō),mod應(yīng)用程序是一種熱門商品,許多網(wǎng)站都專門提供這類軟件包。
通常情況下,mod應(yīng)用程序是對(duì)原始應(yīng)用程序的修改,其全部功能解鎖或?qū)Τ跏季幊踢M(jìn)行更改。當(dāng)用戶通過(guò)谷歌搜索下載mod應(yīng)用程序的網(wǎng)站時(shí),他們會(huì)被重定向到一個(gè)隨機(jī)的廣告頁(yè)面。有時(shí),該頁(yè)面是惡意軟件的下載頁(yè)面,偽裝成用戶正在搜索的mod的合法下載頁(yè)面。
逃避檢測(cè)六個(gè)月的時(shí)間
帶有惡意軟件的應(yīng)用程序在安裝時(shí)就像普通的安卓應(yīng)用程序一樣,并提示用戶在安裝后點(diǎn)擊“打開(kāi)”。然而,惡意軟件不會(huì)將自己配置為自動(dòng)運(yùn)行,因?yàn)檫@可能需要額外的權(quán)限。
谷歌公司取消了在Android平臺(tái)上注冊(cè)啟動(dòng)器后隱藏應(yīng)用圖標(biāo)的功能。但是,這只適用于注冊(cè)了啟動(dòng)器的情況。Bitdefender公司表示:“為了規(guī)避這個(gè)問(wèn)題,該應(yīng)用程序并不注冊(cè)任何啟動(dòng)程序,而是依賴于用戶和默認(rèn)的Android安裝行為實(shí)施首次運(yùn)行。”
一旦安裝,惡意軟件就會(huì)顯示一條“應(yīng)用程序不可用”的信息,以欺騙用戶,使其認(rèn)為惡意軟件從未安裝過(guò)。
Bitdefender公司在博客中表示:“它的啟動(dòng)器中沒(méi)有圖標(biāo),標(biāo)簽中有UTF-8字符,這使得發(fā)現(xiàn)和卸載它變得更加困難。它將始終位于列表的末尾,這意味著用戶不太可能找到它。”
一旦啟動(dòng),該應(yīng)用程序?qū)⑴c網(wǎng)絡(luò)攻擊者的服務(wù)器進(jìn)行通信,并檢索廣告的網(wǎng)址,以在移動(dòng)瀏覽器中顯示或作為全屏WebView廣告。
Android設(shè)備越來(lái)越多地成為惡意軟件的目標(biāo)
Android設(shè)備正日益成為黑客攻擊的目標(biāo)。上個(gè)月,網(wǎng)絡(luò)安全服務(wù)商Doctor Web公司發(fā)現(xiàn)了一個(gè)帶有間諜軟件功能的Android軟件模塊SpinOk。
該惡意軟件收集存儲(chǔ)在設(shè)備上的文件信息,并將其傳輸給惡意行為者。它還可以替換剪貼板內(nèi)容并將其上傳到遠(yuǎn)程服務(wù)器。包含SpinOk模塊和間諜軟件功能的Android應(yīng)用程序安裝總?cè)藬?shù)超過(guò)4.21億次。
CloudSek公司發(fā)現(xiàn)了另外101個(gè)被SpinOK Android惡意軟件感染的應(yīng)用程序,這些惡意軟件是作為廣告SDK分發(fā)的。其中有43款應(yīng)用程序仍然活躍在PlayStore上,其中一些下載量超過(guò)500萬(wàn)次??偟膩?lái)說(shuō),估計(jì)有3000萬(wàn)用戶會(huì)受到這些額外應(yīng)用程序的影響。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。