Google Play驚現36個冒牌安全APP，他們會靜默收集用戶數據

02-09

2017年12月初，趨勢科技的研究人員在Google Play上共發現了36個冒充是安全防護軟體的應用程序，比如Security Defender，Security Keeper，Smart Security，Advanced Boost等安全工具。實際上，這些應用程序包含的代碼主要是顯示虛假的安全警報，顯示廣告，並秘密收集個人數據，比如操作系統細節，硬體規格，地理位置詳情，其他應用程序的詳細信息等等。目前，這些惡意軟體已被Google刪除了。

這些惡意軟體會把自己標榜為具有掃描、清理垃圾、節省電量、降低CPU的佔用率、鎖定應用程序，維護WiFi安全等功能的安全防護工具，從而誘使用戶下載。

其實，這些惡意應用程序是可以執行一些基本的安全防護任務的，但它們在執行任務的時候也秘密地收集用戶數據，跟蹤用戶的位置，推送廣告。

在Google Play上發現的惡意應用程序

技術分析

首次啟動後，這些應用程序是不會出現在設備啟動器的應用程序列表中的，快捷方式也不會出現在設備屏幕上。由於這些應用程序是隱藏的，因此用戶將無法輕鬆地將其卸載。用戶只會看到應用程序發送的通知。他們通常會向用戶推送危言聳聽的安全警告和彈出式窗口。

隱藏程序的代碼片段

經過人工檢查，研究人員發現惡意行為的運行要在特定的設備上，惡意軟體的「隱藏」功能被明確設計為不在某些指定設備上運行，如下面的代碼所示：

將特定設備排除在惡意行為之外的代碼

這些被排除在外的設備是：谷歌Nexus 6P，小米MI 4LTE，中興N958St和LGE LG-H525n。惡意軟體開發者有可能知道這種攻擊策略不適用於這些設備，或者他們希望在運行期間避免被Google Play檢測到。

一旦惡意應用程序開始運行，用戶將收到來自惡意軟體的「安全」通知和其他廣告的轟炸。在研究人員檢查了原始代碼後，他們發現通知中的大部分「安全」檢測結果都屬於謊報軍情。例如，如果用戶安裝了一個新的應用程序，則會立即被報告為可疑程序，或者乾脆向用戶發送類似於「有10 GB文件佔用了你的內存」這樣的通知。

雖然這些消息中顯示的「安全」檢測結果是假的，但它們卻是起到了很好的掩護作用，讓用戶誤以為他們很有用，從而忍受它們的廣告推廣。

應用程序推送的通知

這些惡意應用程序的開發人員為了讓所謂的安全工具運行地像真的一樣，會在用戶點開安全操作後，顯示一個正在進行安全進程的動畫。如下圖所示，如果用戶點擊了「欺詐簡訊漏洞」的安全提示，那麼應用程序將只顯示一個簡單的動畫，說明安全進程正在進行。這樣，用戶就會誤認為該應用程序正在工作，不會對此感到懷疑。

關於系統漏洞的檢測結果

點擊RESOLVE後的代碼片段

但是，當用戶點開應用程序發送的這些通知後，惡意程序就開始收集用戶的私人數據了，包括具體的位置細節，並將其發送到遠程伺服器。

應用程序如何收集用戶私人數據的代碼片段

在收集完用戶的信息後，惡意程序就會根據不同的用戶推送許多對應的廣告，且廣告無時無刻不在。例如，在你解鎖設備屏幕或者連接到充電器之後，這些惡意程序也會趁著機會來條廣告。很明顯，應用程序的主要目的就是廣告展示和點擊欺詐。

實際上，在進行信息竊取前，用戶已經簽署並同意EULA（最終用戶許可協議），該協議詳細描述了應用程序將收集和使用的信息。雖然如此，應用程序也存在著濫用隱私的功能，因為個人數據的收集和傳輸與應用程序的功能無關。

該應用程序能夠將用戶數據信息，安裝的應用程序信息以及附件，用戶操作信息以及激活事件的數據上傳到遠程伺服器。我們可以在上圖中看到如何上傳用戶信息和用戶的操作事件。

泄漏的用戶操作隱私數據

這些應用程序還可以收集私人數據，如Android ID，Mac地址，IMSI（標識用戶訂購的網路運營商），操作系統信息，設備品牌和型號，設備細節（如每英寸點數和屏幕大小），語言，位置信息（從設備所在的城市到經度和緯度）以及已安裝應用程序（如Google Play和Facebook）上的數據。該應用程序還記錄了授予或不授予的許可權，特別是使用統計信息，可訪問性和讀取通知欄。

緩解措施

1.供應商通常會快速地修補他們的應用程序和軟體，所以用戶及時最新到最新版本。

2.從正規商店下載應用程序，下載前，用戶應該檢查應用程序頁面上的評論，以確保它是合法的。

3.管理共享的內容，確保在所有的應用程序和網站上使用隱私設置。有些網站默認情況下可以公開用戶的位置，電子郵件，電話號碼等。

4.請注意應用程序許可權的範圍，確保安裝的應用程序只能訪問他們需要的功能。

5.用戶還應該使用多種安防措施，比如雙因素密碼保護，多種不同的殺毒軟體等。

本文翻譯自：http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/ 如若轉載，請註明原文地址： http://www.4hou.com/info/news/9767.html 更多內容請關注「嘶吼專業版」——Pro4hou