一款名為MobSTSPY的安卓(Android)間諜軟件成功地利用木馬程序在全球廣泛傳播,主要傳播途徑是Google應用商店。
MobSTSPY偽裝成手電筒等看起來合法的應用程序。雖然在第三方應用商店中出現武器化應用並非罕見,不過MobSTSPY表現更為“出眾”,它因在2018年期間成功滲透到至少六款不同的應用程序中而聞名。
趨勢科技研究人員Ecular Xu和Gray Guo 表示,“這個案例引人注目之處在於其應用程序的滲透範圍。通過我們的後端監控和深入研究,我們能夠看到受影響的用戶分佈在196個不同的國家。”
從莫桑比克到波蘭,從伊朗到越南,從阿爾及利亞到泰國,從德國到伊拉克等地方都遍佈受影響的用戶。被滲透的遊戲應用程序包括Flappy Birr Dog,FlashLight,HZPermis Pro Arabe,Win7imulator,Win7Launcher和Flappy Bird,這些都是去年出現的,現在已被下架。用戶下載次數超過十萬次。
就功能而言,惡意軟件主要作用是竊取信息,不過它也有獨特的釣魚功能。當涉及到前者時,它抓取了用戶位置、短信、聯繫人列表、通話記錄和剪貼板項等數據;而且,惡意軟件能夠竊取和上傳在設備上發現的文件。
趨勢科技觀察到,它使用Firebase Cloud Messaging (FCM)與它的命令與控制(C&C)服務器通信,並根據接收到的命令過濾數據。它還可以在開始的步驟中收集有用的設備信息,例如使用的語言、註冊的國家、包名、設備製造商等等,這些信息可以用來為後續的社會工程或利用攻擊“指紋”設備。
“它將收集到的信息發送到C&C服務器,從而註冊設備,”研究人員說。一旦完成,惡意軟件將等待並執行從其C&C服務器通過FCM發送的命令。除了竊取信息的功能,惡意軟件還可以通過釣魚攻擊收集其他的憑證。它會顯示虛假的Facebook和谷歌彈出窗口,詢問用戶的賬戶信息;如果輸入了它們,它將返回一條“登錄失敗”消息,這可能不會帶來危險警告。
研究人員指出:“(MobSTSPY的案例)表明,儘管應用程序有實用性,但用戶在下載到自己的設備時必須保持謹慎。”“應用程序的普及促使網絡犯罪分子繼續開展活動,利用它們竊取信息或實施其他類型的攻擊。”
當然,問題是,當惡意應用程序被關閉時,已經在智能手機上安裝了這些應用程序的人不會被通知這個問題——因此,很可能數百萬用戶的設備上仍然安裝著各種各樣的惡意軟件。Pradeo實驗室在2018年11月進行的一項研究表明,在從商店刪除的惡意應用程序中,89%仍然安裝在活動設備上,這一數據是在刪除6個月之後。
Google 應用商店中的惡意軟件相對較少,但這當然不是惡意軟件第一次逃避其篩查策略。去年11月,一款名為Simple Call recorder的Android應用程序在被下載近一年之後被下架。惡意軟件的主要目的是欺騙用戶安裝一個額外的應用程序,據稱是一個Adobe Flash Player更新。
此外,去年年初,谷歌刪除了22個惡意廣告軟件應用程序,從手電筒,通話錄音機到WiFi信號增強器,這些應用程序一起從Google Play市場下載了750萬次。
而在2017年,Google 因違反市場政策而從Google Play 引入了700,000個應用。然而,所有這些並非都是惡意軟件,但其中大多數都故意複製了一個更受歡迎的應用程序或提供了不合適的內容。
當然,問題是,當惡意應用程序被關閉時,已經在智能手機上安裝了這些應用程序的人不會被通知這個問題——因此,很可能數百萬用戶的設備上仍然安裝著各種各樣的惡意軟件。Pradeo實驗室在2018年11月進行的一項研究表明,在從商店刪除的惡意應用程序中,89%仍然安裝在活動設備上,而這一數據是在被刪除6個月之後得出。
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明“轉自黑客視界”,並附上鍊接。
閱讀更多 黑客視界 的文章
