俄羅斯安全公司Dr.Web已經(jīng)發(fā)現(xiàn)新型Android靶向木馬,這種木馬可以從谷歌Play商店購買和安裝APP。這種木馬命名為Android.Slicer,這個木馬嵌入在一種手機優(yōu)化應(yīng)用程序當(dāng)中,提供清潔設(shè)備內(nèi)存,關(guān)閉不使用APP的能力。
這個應(yīng)用程序由用戶自行安裝或由其他惡意軟件安裝。一旦達(dá)到某個設(shè)備,它會收集有關(guān)智能手機的信息,并將其發(fā)送到其C&C服務(wù)器上,這包括手機的IMEI標(biāo)識,MAC地址,設(shè)備制造商和操作系統(tǒng)版本。
然后C&C服務(wù)器將告訴Android.Slicer在受感染設(shè)備上顯示廣告,在用戶的瀏覽器中打開一個頁面,或打開谷歌Play商店的指定應(yīng)用程序頁面,在后一種情況下,對于運行Android 4.3設(shè)備,Android.Slicer將從C&C服務(wù)器下載一個名為Android.Rootkit.40的rootkit,對設(shè)備進(jìn)行root,增強Android.Slicer對設(shè)備的控制,進(jìn)而可以點擊Play商店應(yīng)用頁面的各種按鈕,如購買,繼續(xù),安裝等等按鈕。
此功能可導(dǎo)致受感染用戶嚴(yán)重的經(jīng)濟損失。但好消息是,谷歌在Android版本4.4及更高版本上阻止rootkit運行SELinux組件,因此,在這些版本當(dāng)中,Android.Slicer主要職能就是在受感染的設(shè)備上顯示廣告。