安卓手机遭受恶意代码攻击(数百万人受到基于安卓的主要恶意软件活动的攻击)
研究人员概述了两个独立的恶意广告系列,这两个系列感染了200多个安卓应用程序,超过了2.5亿的下载里程碑。
这两个分别专注于广告软件和数据捕获的广告系列,只针对安卓用户,通过欺骗开发者使用恶意软件开发工具包(SDK)来感染大量应用。
根据Check Point Research的数据,这两个名为“SimBad”的突出广告已经感染了206个下载的应用程序,总共下载了1.5亿次,因为它们主要影响的是模拟游戏。
恶意软件本身存在于广告相关的“RXDroider”SDK中,由“addroider.com”提供,被大量开发者采用。
一旦用户下载并安装了受感染的应用程序,SimBad将向设备注册并允许自动操作。安装后,恶意软件随后与命令和控制服务器连接以接收订单。这些可能包括用给定的网址打开浏览器,并从启动器中删除应用程序图标。
这个应用程序的三管齐下的功能包括显示广告、打开网络钓鱼页面和将用户暴露给其他应用程序。攻击者还可以从指定的服务器安装远程应用程序,这样他们就可以决定进一步感染用户的恶意软件。
研究人员表示,“它有能力显示范围外的广告,让用户联系其他应用,在浏览器中打开网站”。“SimBad”现在被用作广告软件,但它已经有了一个进化的基础设施,并成为了更大的威胁。'
在昨天的第二份报告中,检查站研究也概述了“羊的行动”。这涉及到一群安卓应用在未经用户同意的情况下,大规模收集用户手机的联系方式。
这种恶意软件也被加载到为数据分析而构建的软件开发工具包中。到目前为止,它已经出现在多达12个不同的安卓应用程序中。这些已被下载超过1.11亿次。
SWAnlaytics SDK已经集成到十几个在第三方应用商店(如华为应用商店、Xioami应用商店和腾讯MyApp)发布的看似无害的安卓应用中。
研究人员于2018年9月首次遇到感染样本,并追踪到一条通往王顺科技拥有的服务器的数据捕获路径。根据Check Point Research的说法,一旦安装了恶意应用程序,整个联系人列表就会上传到公司的服务器上。
他们还在腾讯的MyApp Store中指出,12款被感染的应用中有8款累计下载量达到1.11亿次。
“理论上,”研究人员推测,“王顺科技可能收集了三分之一人口的姓名和联系电话,如果不是更多的话。”
他们补充说,王顺对数据的使用没有明确的声明或规定,这些数据很容易在地下市场交易,并以各种方式被滥用。这些可能从流氓营销到滥用朋友推荐程序。
研究人员表示:“与财务数据和政府发布的文件相比,个人联系信息通常被视为不太敏感的数据。
“根据舆论,使用这些数据需要额外的努力,潜在的利润与黑客的努力并不一致。因此,不太可能成为目标。
“然而,随着地下市场日益专业化,以及可以从这些个人联系数据中获益的新“商业模式”,这种情况正在发生变化。”