惡意軟體偽裝成遊戲攻略應用偷跑廣告,Google Play商店數十萬用戶中招

研究表明,預計已有60多萬名用戶從Google Play商店錯誤地下載了惡意軟體。該惡意軟體正在嘗試構建殭屍網路,提供欺詐性移動廣告,為創建它的網路犯罪分子牟取暴利。

網路安全公司Check Point的研究人員率先發現了這一系列的惡意軟體,並將其稱之為「FalseGuide」。FalseGuide隱藏在包含Pokémon GO以及FIFA Mobile在內的40多款流行遊戲的應用指南軟體中。較早一批的這些虛假應用指南軟體的更新程序已經早在2月14日上傳至Google Play。

據悉,目前已經有幾個應用程序的下載量超過了5萬次,大約60萬名安卓用戶在尋找遊戲指南時錯誤地下載了惡意軟體。

這顯然已經不是Google Play出現的第一個惡意軟體,但它是最新發現的正在試圖構建Android殭屍網路的移動惡意軟體,就像此前發現的Viking Horde 和DressCode一樣。惡意人士創建FalseGuide殭屍網路的目的是為了提供欺詐性的移動廣告。它可以下載並顯示非法的彈出式廣告,目的就是通過廣告顯示和點擊,為惡意開發者帶來收益。

FalseGuide下載到設備上之後,就會請求獲取設備管理員許可權(惡意軟體用於確保該應用程序無法被用戶刪除),其意圖本身就表示該應用可能是用於從事惡意的活動。

隱藏的惡意屬性

最終,這種類型的惡意軟體能夠滲透到Google Play中,因為該應用程序的惡意屬性已經被隱藏起來了,只有在應用程序下載完成,且用戶已經啟用應用程序所需的許可權來發布惡意指令後,該應用程序的惡意屬性才會顯現。

安裝後,惡意軟體會將自己註冊到Firebase Cloud Messaging中(一種允許開發人員發送通知和消息的跨平台服務),其中具有與應用程序名稱相同的主題,例如「Pokemon Go指南」。

通過使用Firebase(提供實時數據後端服務),FalseGuide能夠接收附加模塊並將其下載到受感染的設備中。FalseGuide通過使用設備啟動時開始運行的後台服務來顯示彈出式廣告。

雖然FalseGuide背後的惡意開發者正在嘗試將其用於廣告欺詐,但它其實還可以從命令和控制(C2)伺服器中接收其他指令模塊,用於指示殭屍網路來root設備,實施DDoS攻擊,或者甚至滲透專用網路等。

據分析,這些惡意應用程序可能出自俄羅斯黑客之手,因為它們是由兩名有著俄羅斯名字(Sergei Vernik和Nikolai Zalupkin)的假冒開發者提交的,但是俄語研究人員指出,後者顯然是一個假名字。

惡意軟體開發者選擇利用遊戲指南的原因很簡單:它們非常受歡迎。此外,這類應用程序本身並不需要太多的功能或開發要求。這兩個因素使得諸如FalseGuide惡意開發者這樣的惡意人士能夠在短時間內取得非常顯著的效果。

Check Point早於今年2月份就通知了Google公司此類惡意軟體問題,之後它們也被迅速地從Play Store中移除。但是,它們背後的惡意開發者顯然很有毅力,在4月初又上傳了更多的惡意應用程序,這些軟體在Check Point通過Google後,已經再次被刪除。

雖然Google需要保障多達14億Android用戶免受惡意軟體攻擊,但是事實是,惡意軟體仍然有辦法瓦解防護程序,成功接觸到受害者。對於此事,Google發言人表示,

我們正在對系統進行改進,只要我們發現有問題的應用程序就會第一時間採取行動,進行移除。

雖然FalseGuide惡意軟體目前已經從Google Play中移除,但是由於此前大量的用戶已經安裝了該惡意程序,且公司沒有對已經移除的或惡意應用程序進行任何形式的召回通知,所以殭屍網路可能依然存在。廣大Android用戶還需提高警惕,儘早對相關應用程序進行檢測移除處理。

本文翻譯自FalseGuide malware dupes 600,000 Android users into joining botnet | ZDNet,如若轉載,請註明原文地址:t惡意軟體偽裝成遊戲攻略應用偷跑廣告,Google Play商店數十萬用戶中招 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

一款工具挽救了百萬歐元的損失
Appleby 被黑,世界級財富大鱷財務信息泄露
組合利用Empire和Death Star:一鍵獲取域管理員許可權
Windows 下最好的文件夾加密軟體有哪些?
如何使用MitmAP創建一個惡意接入點

TAG:信息安全 | GooglePlay |