谷歌商店山寨APP 被用于傳播新型木馬病毒
責編:mhshi |2018-03-20 10:45:21俄羅斯反病毒軟件公司Dr.Web的安全專家于上周在Google Play商店中發現了三種新的Android木馬病毒,分別被檢測為Android.Click.415、Android.Click.416和Android.Click.417。用于傳播木馬病毒的惡意應用偽裝成了合法的Android應用,在安裝之后能夠接受攻擊者的命令加載和顯示任何網頁。Dr.Web的安全專家表示,這個功能可被用于發起網絡釣魚攻擊。
安全專家表示,檢測到的惡意應用與合法的應用程序具有相同的名稱和相似的圖標。就拿Android.Click.415來說,用于傳播該木馬的惡意應用模仿了幾款流行的合法Android應用,如QIWI app(俄羅斯支付服務提供商)、Odnoklassniki和VK(俄羅斯流行社交網絡)以及NTV(俄羅斯獨立電視臺)。
當惡意應用每次啟動時,它們都會連接到命令和控制(C&C)服務器。服務器會響應“無(none)”參數,或發送由攻擊者指定的網頁鏈接。當收到參數時,惡意應用會從其資源中提取多個圖像并將其顯示給受害者。
如果惡意應用從C&C服務器接收到的是網頁鏈接,它們將加載網頁并顯示它。然后,通過WebView直接在應用程序中打開該頁面。在這種情況下,這些網頁可能是某些網上銀行系統或社交網絡的虛假登錄界面,這使得受害者面臨網絡釣魚攻擊風險。
接下來,讓我們來看看被檢測為Android.Click.416和Android.Click.417的木馬病毒是如何運作的。
Dr.Web的安全專家共發現了70多款用于傳播這兩種木馬病毒的惡意應用,下載量超過27萬。與傳播Android.Click.415的惡意應用類似,它們也偽裝成了某些合法Android應用,這些應用可能是某些手機游戲、菜譜大全和編織手冊應用程序。
與Android.Click.415一樣,在受害者設備上建立立足點之后,Android.Click.416和Android.Click.417也會通過接受來自C&C服務器的命令響應來顯示任意網頁。
另外,在Dr.Web安全專家的發現中,至少有4名軟件開發者參與了這些木馬病毒的分發活動。他們在Google Play商店的用戶名分別是:Tezov apps、Aydarapps、Chmstudio和SVNGames。
Dr.Web目前已經將這些發現向谷歌團隊進行了通報,并同時提醒各位用戶,即使是從Google Play商店等可靠來源下載應用程序,也需要注意軟件開發者的名稱以及軟件描述下方的評論。