您当前的位置:首页 >> 体育
拥有200万+ Google Play下载量的22个应用程序存在恶意后门!
发布时间:2019-04-05
 
拥有200万+ Google Play下载量的22个应用程序存在恶意后门!

在研究人员发现它们包含一个设备耗尽的后门,允许他们偷偷从攻击者控制的服务器下载文件后,已经从Google Play市场中删除了近二十二个下载量超过200万的应用程序。

反病毒提供商Sophos在周四发布的一篇博客文章中说,自从2016年或2017年进入谷歌播放以来已经下载超过100万次的手电筒应用程序包括Sparkle手电筒。从今年3月左右开始,Sparkle Flashlight和其他两个应用程序进行了更新,以添加秘密下载程序。剩余的19个应用程序在6月之后可用,并从一开始就包含下载程序。

“严重伤害”

当谷歌在11月底删除这些应用时,他们被用来无休止地点击欺诈性广告。“Andr / Clickr-ad”,正如Sophos称之为应用程序系列,即使在用户强行关闭它们之后也会自动启动和运行,这些功能导致应用程序消耗大量带宽并耗尽电池电量。在周四的帖子中,Sophos研究员陈宇写道:

Andr / Clickr-ad是一种组织良好的持久性恶意软件,有可能对最终用户以及整个Android生态系统造成严重伤害。这些应用会产生欺诈性请求,导致广告网络因虚假点击而产生大量收入。

从用户的角度来看,这些应用程序耗尽了手机的电量,并可能导致数据过剩,因为应用程序在后台不断运行并与服务器通信。此外,设备完全由C2服务器控制,并且可以根据服务器的指令安装任何恶意模块。

这些应用程序通过向受攻击者控制的域名mobbt.com进行报告,受感染的手机会下载广告欺诈模块并每隔80秒接收一次特定命令。这些模块导致手机点击了大量托管欺诈性应用的链接。为了防止用户怀疑他们的手机被感染,应用程序在零像素高和零宽的窗口中显示广告。

为了让欺诈广告客户误以为点击来自更大的真实用户群,Andr / Clickr-ad操纵的用户代理字符串构成了在各种手机(包括iPhone)上运行的各种应用。下图显示了在Android虚拟设备上运行的恶意应用程序,该应用程序标识自己在iPhone上运行。

许多恶意Google Play应用都是由在iOS App Store中拥有游戏的开发者制作的。

下面显示的捕获流量也来自Android虚拟设备,显示Andr / Clickr-ad滥用Twitter的广告网络冒充三星Galaxy S7上运行的广告:

拥有200万+ Google Play下载量的22个应用程序存在恶意后门!

最大化利润,分散欺诈行为

总而言之,Sophos观察到服务器数据导致欺诈性点击看起来好像来自iPhone 5到8 Plus的Apple型号以及来自33个不同品牌的Android手机(据称)运行Android OS版本的249种不同的锻造型号从4.4.2到7.x. 虚假的用户代理数据可能有多种用途。首先,iPhone标签可能允许诈骗者获得更高的价格,因为一些广告商会在iPhone用户查看他们的广告时支付保费。其次(更重要的是),虚假标签给人的印象是广告被更多的设备点击。

拥有200万+ Google Play下载量的22个应用程序存在恶意后门!

为确保获得最大利润,Andr / Clickr-ad应用程序被编程为每次重新启动受感染的手机时都会自动运行,方法是使用BOOT_COMPLETED广播。如果用户强制关闭应用程序,开发人员会在三分钟后创建一个同步适配器以重新启动应用程序。应用程序每80秒检查一次新的广告命令,并且每10分钟检查一次新的模块下载。

表明谷歌无法主动监管自己的市场,因为这些应用程序会造成严重的安全威胁,但公平地说,一旦报道,该公司很快就会删除这些标题。虽然谷歌在11月25日删除了恶意应用程序,但目前尚不清楚所有下载它们的手机是否已经过消毒。谷歌代表没有回复询问此事的电子邮件。Android可以自动删除后来发现滥用的应用,但值得手动检查。

Sophos列出的22个应用程序是:

拥有200万+ Google Play下载量的22个应用程序存在恶意后门!

拥有200万+ Google Play下载量的22个应用程序存在恶意后门!

Android用户应该对他们安装的应用程序高度选择。仔细阅读评论有时会有所帮助,但好​​评如潮,许多Andr / Clickr广告应用程序都会强调这项措施的限制。最终,最有意义的建议是尽可能少地安装应用程序,特别是如果像手电筒应用程序一样,在Android操作系统内部提供相同的功能。