Bitdefender公司在一篇博客中表示:“然而,涉及的威脅行為者可以很容易地轉換策略,將用戶重定向到其他類型的惡意軟件,例如竊取憑證和財務信息的銀行木馬或勒索軟件。”
到目前為止,該公司已經發現了6萬多個感染了這種廣告軟件的安卓應用程序,并懷疑感染了更多的應用程序。該惡意軟件至少從2022年10月開始就存在了,它的目標用戶來自美國、韓國、巴西、德國、英國和法國。
Bitdefender公司表:“由于發現了大量獨特的樣本,因此這一操作很可能是全自動的。”
惡意軟件的分發和傳播
威脅行為者使用第三方應用程序分發和傳播惡意軟件,因為它不在任何官方商店中。
Bitdefender表示:“然而,惡意軟件的運營商仍然需要說服用戶下載并安裝第三方應用程序,因此他們將威脅偽裝成在官方商店找不到的熱銷產品。”
在某些情況下,這些應用程序只是模仿在PlayStore中發布的真實應用程序。被惡意軟件模仿的一些類型的應用程序包括游戲破解、具有解鎖功能的游戲、免費VPN、虛假教程、沒有廣告的YouTube/TikTok、破解的實用程序、PDF查看器,甚至是虛假的安全程序。
Bitdefender表示:“這種分發和傳播是隨機的,當搜索這類應用程序、mod、漏洞等時,惡意軟件就會出現。”他補充說,mod應用程序是一種熱門商品,許多網站都專門提供這類軟件包。
通常情況下,mod應用程序是對原始應用程序的修改,其全部功能解鎖或對初始編程進行更改。當用戶通過谷歌搜索下載mod應用程序的網站時,他們會被重定向到一個隨機的廣告頁面。有時,該頁面是惡意軟件的下載頁面,偽裝成用戶正在搜索的mod的合法下載頁面。
逃避檢測六個月的時間
帶有惡意軟件的應用程序在安裝時就像普通的安卓應用程序一樣,并提示用戶在安裝后點擊“打開”。然而,惡意軟件不會將自己配置為自動運行,因為這可能需要額外的權限。
谷歌公司取消了在Android平臺上注冊啟動器后隱藏應用圖標的功能。但是,這只適用于注冊了啟動器的情況。Bitdefender公司表示:“為了規避這個問題,該應用程序并不注冊任何啟動程序,而是依賴于用戶和默認的Android安裝行為實施首次運行。”
一旦安裝,惡意軟件就會顯示一條“應用程序不可用”的信息,以欺騙用戶,使其認為惡意軟件從未安裝過。
Bitdefender公司在博客中表示:“它的啟動器中沒有圖標,標簽中有UTF-8字符,這使得發現和卸載它變得更加困難。它將始終位于列表的末尾,這意味著用戶不太可能找到它。”
一旦啟動,該應用程序將與網絡攻擊者的服務器進行通信,并檢索廣告的網址,以在移動瀏覽器中顯示或作為全屏WebView廣告。
Android設備越來越多地成為惡意軟件的目標
Android設備正日益成為黑客攻擊的目標。上個月,網絡安全服務商Doctor Web公司發現了一個帶有間諜軟件功能的Android軟件模塊SpinOk。
該惡意軟件收集存儲在設備上的文件信息,并將其傳輸給惡意行為者。它還可以替換剪貼板內容并將其上傳到遠程服務器。包含SpinOk模塊和間諜軟件功能的Android應用程序安裝總人數超過4.21億次。
CloudSek公司發現了另外101個被SpinOK Android惡意軟件感染的應用程序,這些惡意軟件是作為廣告SDK分發的。其中有43款應用程序仍然活躍在PlayStore上,其中一些下載量超過500萬次。總的來說,估計有3000萬用戶會受到這些額外應用程序的影響。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號