咨询电话
0750-6619079
联系我们
0750-6619079
邮箱:
秒速牛牛@126.com
电话:
0750-6619788
传真:
0750-6619788
手机:
13978972599
地址:
广东江门会城双水工业园
安卓新闻
很可能数百万用户的设备上仍然安装着各种各样

来源:未知 作者:admin 日期:2019-01-13 18:35

  一款名为MobSTSPY的安卓(Android)间谍软件成功地利用木马程序在全球广泛传播,主要传播途径是Google应用商店。

  MobSTSPY伪装成手电筒等看起来合法的应用程序。虽然在第三方应用商店中出现武器化应用并非罕见,不过MobSTSPY表现更为“出众”,它因在2018年期间成功渗透到至少六款不同的应用程序中而闻名。

  趋势科技研究人员Ecular Xu和Gray Guo 表示,“这个案例引人注目之处在于其应用程序的渗透范围。通过我们的后端监控和深入研究,我们能够看到受影响的用户分布在196个不同的国家。”

  从莫桑比克到波兰,从伊朗到越南,从阿尔及利亚到泰国,从德国到伊拉克等地方都遍布受影响的用户。被渗透的游戏应用程序包括Flappy Birr Dog,FlashLight,HZPermis Pro Arabe,Win7imulator,Win7Launcher和Flappy Bird,这些都是去年出现的,现在已被下架。用户下载次数超过十万次。

  就功能而言,恶意软件主要作用是窃取信息,不过它也有独特的钓鱼功能。当涉及到前者时,它抓取了用户位置、短信、联系人列表、通话记录和剪贴板项等数据;而且,恶意软件能够窃取和上传在设备上发现的文件。

  趋势科技观察到,它使用Firebase Cloud Messaging (FCM)与它的命令与控制(C&C)服务器通信,并根据接收到的命令过滤数据。它还可以在开始的步骤中收集有用的设备信息,例如使用的语言、注册的国家、包名、设备制造商等等,秒速牛牛官网这些信息可以用来为后续的社会工程或利用攻击“指纹”设备。

  “它将收集到的信息发送到C&C服务器,从而注册设备,”研究人员说。一旦完成,恶意软件将等待并执行从其C&C服务器通过FCM发送的命令。除了窃取信息的功能,恶意软件还可以通过钓鱼攻击收集其他的凭证。它会显示虚假的Facebook和谷歌弹出窗口,询问用户的账户信息;如果输入了它们,它将返回一条“登录失败”消息,这可能不会带来危险警告。

  研究人员指出:“(MobSTSPY的案例)表明,尽管应用程序有实用性,但用户在下载到自己的设备时必须保持谨慎。”“应用程序的普及促使网络犯罪分子继续开展活动,利用它们窃取信息或实施其他类型的攻击。”

  当然,问题是,当恶意应用程序被关闭时,已经在智能手机上安装了这些应用程序的人不会被通知这个问题——因此,很可能数百万用户的设备上仍然安装着各种各样的恶意软件。Pradeo实验室在2018年11月进行的一项研究表明,在从商店删除的恶意应用程序中,89%仍然安装在活动设备上,这一数据是在删除6个月之后。

  Google 应用商店中的恶意软件相对较少,但这当然不是恶意软件第一次逃避其筛查策略。去年11月,一款名为Simple Call recorder的Android应用程序在被下载近一年之后被下架。恶意软件的主要目的是欺骗用户安装一个额外的应用程序,据称是一个Adobe Flash Player更新。

  此外,去年年初,谷歌删除了22个恶意广告软件应用程序,从手电筒,通话录音机到WiFi信号增强器,这些应用程序一起从Google Play市场下载了750万次。

  而在2017年,Google 因违反市场政策而从Google Play 引入了700,000个应用。然而,所有这些并非都是恶意软件,但其中大多数都故意复制了一个更受欢迎的应用程序或提供了不合适的内容。

  当然,问题是,当恶意应用程序被关闭时,已经在智能手机上安装了这些应用程序的人不会被通知这个问题——因此,很可能数百万用户的设备上仍然安装着各种各样的恶意软件。Pradeo实验室在2018年11月进行的一项研究表明,在从商店删除的恶意应用程序中,89%仍然安装在活动设备上,而这一数据是在被删除6个月之后得出。