別騙我 | Google Play上的惡意軟體影響了250萬人？

惡意軟體跳過安全檢查進入Google Play 已經不是什麼新鮮事了，但是官方商店中某些惡意程序在被發現前已經影響百萬用戶仍舊讓人大吃一驚。

接下來就說下最近在應用商店發現的兩個惡意案列。一個叫CallJam，CallJam在發現時已經有10000~50000的安裝量；另一個叫DressCode,在Google Play里有40款app裡面存在DressCode。有些app的安裝量達到了10000~50000。總的來說，大約有250萬用戶下載了這些app。

CallJam里有一個額外的撥號器，可用來撥打欺詐電話，並且還有一個網路數據管理工具adnet，用以準確的向受害者推廣廣告。從今年5月份開始，CallJam就隱藏在Google Play新上線的Gems Chest遊戲中，目前已經感染了將近50萬台設備。

CallJam 在撥打虛假電話之前，攻擊者需要得到用戶撥打電話的許可權，但是Check Point的研究人員稱大部分用戶自願授權了，而且他們大部分都沒有閱讀授權內容。

該惡意軟體的C&C伺服器提供了需要撥打電話的號碼和通話時長，接下來CallJam就會用這些參數開始撥打電話了。這個軟體還可以重定向受害者到含有虛假廣告的網站。

研究人員稱：

「由於Gems Chest這款遊戲的一些欺騙行為也使得這款遊戲獲得了較高的評分。用戶安裝遊戲時進行評分會得到額外的遊戲獎勵。黑客們開發了一款聲譽較好的app，並且推廣到了官方商店，這對設備和數據來說是很危險的，所以這次事件也為我們敲響了一記警鐘。」n

DressCode惡意軟體的故事和CallJem截然不同。感染DressCode 的設備會被利用於殭屍網路，比方說產生廣告點擊量和產生虛假的流量。研究人員發現在Google Play上的40個app中都包含這種代碼，而在其他第三方應用商店裡有400多個app也包含這種代碼。

Google Play 上的app被發現含有DressCode時已經有50000~200000的用戶，官方人員稱發現這種惡意軟體後已經下架了一些app。

當DressCode被安裝在設備上時，它會隨之和其C&C伺服器進行通信，讓惡意軟體進入休眠狀態。大部分時候，攻擊者會創建一個大型的殭屍網路，然後實施惡意目的，比如將被感染的設備轉換成socks協議，更改通信路徑等。

DressCode和年前發現的Viking Horde很相似。Viking Horde製造的殭屍網路非常強大，有多種用途，甚至能滲入內部網路。黑客們滲入內部網路這事對企業和組織的安全來說是一種威脅。

註：本文參考來源於securityweek

推薦閱讀：