惡意軟體偽裝成遊戲攻略應用偷跑廣告，Google Play商店數十萬用戶中招

研究表明，預計已有60多萬名用戶從Google Play商店錯誤地下載了惡意軟體。該惡意軟體正在嘗試構建殭屍網路，提供欺詐性移動廣告，為創建它的網路犯罪分子牟取暴利。

網路安全公司Check Point的研究人員率先發現了這一系列的惡意軟體，並將其稱之為「FalseGuide」。FalseGuide隱藏在包含Pokémon GO以及FIFA Mobile在內的40多款流行遊戲的應用指南軟體中。較早一批的這些虛假應用指南軟體的更新程序已經早在2月14日上傳至Google Play。

據悉，目前已經有幾個應用程序的下載量超過了5萬次，大約60萬名安卓用戶在尋找遊戲指南時錯誤地下載了惡意軟體。

這顯然已經不是Google Play出現的第一個惡意軟體，但它是最新發現的正在試圖構建Android殭屍網路的移動惡意軟體，就像此前發現的Viking Horde 和DressCode一樣。惡意人士創建FalseGuide殭屍網路的目的是為了提供欺詐性的移動廣告。它可以下載並顯示非法的彈出式廣告，目的就是通過廣告顯示和點擊，為惡意開發者帶來收益。

FalseGuide下載到設備上之後，就會請求獲取設備管理員許可權（惡意軟體用於確保該應用程序無法被用戶刪除），其意圖本身就表示該應用可能是用於從事惡意的活動。

隱藏的惡意屬性

最終，這種類型的惡意軟體能夠滲透到Google Play中，因為該應用程序的惡意屬性已經被隱藏起來了，只有在應用程序下載完成，且用戶已經啟用應用程序所需的許可權來發布惡意指令後，該應用程序的惡意屬性才會顯現。

安裝後，惡意軟體會將自己註冊到Firebase Cloud Messaging中（一種允許開發人員發送通知和消息的跨平台服務），其中具有與應用程序名稱相同的主題，例如「Pokemon Go指南」。

通過使用Firebase（提供實時數據後端服務），FalseGuide能夠接收附加模塊並將其下載到受感染的設備中。FalseGuide通過使用設備啟動時開始運行的後台服務來顯示彈出式廣告。

雖然FalseGuide背後的惡意開發者正在嘗試將其用於廣告欺詐，但它其實還可以從命令和控制（C2）伺服器中接收其他指令模塊，用於指示殭屍網路來root設備，實施DDoS攻擊，或者甚至滲透專用網路等。

據分析，這些惡意應用程序可能出自俄羅斯黑客之手，因為它們是由兩名有著俄羅斯名字（Sergei Vernik和Nikolai Zalupkin）的假冒開發者提交的，但是俄語研究人員指出，後者顯然是一個假名字。

惡意軟體開發者選擇利用遊戲指南的原因很簡單：它們非常受歡迎。此外，這類應用程序本身並不需要太多的功能或開發要求。這兩個因素使得諸如FalseGuide惡意開發者這樣的惡意人士能夠在短時間內取得非常顯著的效果。

Check Point早於今年2月份就通知了Google公司此類惡意軟體問題，之後它們也被迅速地從Play Store中移除。但是，它們背後的惡意開發者顯然很有毅力，在4月初又上傳了更多的惡意應用程序，這些軟體在Check Point通過Google後，已經再次被刪除。

雖然Google需要保障多達14億Android用戶免受惡意軟體攻擊，但是事實是，惡意軟體仍然有辦法瓦解防護程序，成功接觸到受害者。對於此事，Google發言人表示，

我們正在對系統進行改進，只要我們發現有問題的應用程序就會第一時間採取行動，進行移除。

雖然FalseGuide惡意軟體目前已經從Google Play中移除，但是由於此前大量的用戶已經安裝了該惡意程序，且公司沒有對已經移除的或惡意應用程序進行任何形式的召回通知，所以殭屍網路可能依然存在。廣大Android用戶還需提高警惕，儘早對相關應用程序進行檢測移除處理。

本文翻譯自FalseGuide malware dupes 600,000 Android users into joining botnet | ZDNet，如若轉載，請註明原文地址：t惡意軟體偽裝成遊戲攻略應用偷跑廣告，Google Play商店數十萬用戶中招 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：