一款名为MobSTSPY的安卓(Android)间谍软件成功地利用木马程序在全球广泛传播,主要传播途径是Google应用商店。
MobSTSPY伪装成手电筒等看起来合法的应用程序。虽然在第三方应用商店中出现武器化应用并非罕见,不过MobSTSPY表现更为“出众”,它因在2018年期间成功渗透到至少六款不同的应用程序中而闻名。
趋势科技研究人员Ecular Xu和Gray Guo 表示,“这个案例引人注目之处在于其应用程序的渗透范围。通过我们的后端监控和深入研究,我们能够看到受影响的用户分布在196个不同的国家。”
从莫桑比克到波兰,从伊朗到越南,从阿尔及利亚到泰国,从德国到伊拉克等地方都遍布受影响的用户。被渗透的游戏应用程序包括Flappy Birr Dog,FlashLight,HZPermis Pro Arabe,Win7imulator,Win7Launcher和Flappy Bird,这些都是去年出现的,现在已被下架。用户下载次数超过十万次。
就功能而言,恶意软件主要作用是窃取信息,不过它也有独特的钓鱼功能。当涉及到前者时,它抓取了用户位置、短信、联系人列表、通话记录和剪贴板项等数据;而且,恶意软件能够窃取和上传在设备上发现的文件。
趋势科技观察到,它使用Firebase Cloud Messaging (FCM)与它的命令与控制(C&C)服务器通信,并根据接收到的命令过滤数据。它还可以在开始的步骤中收集有用的设备信息,例如使用的语言、注册的国家、包名、设备制造商等等,这些信息可以用来为后续的社会工程或利用攻击“指纹”设备。
“它将收集到的信息发送到C&C服务器,从而注册设备,”研究人员说。一旦完成,恶意软件将等待并执行从其C&C服务器通过FCM发送的命令。除了窃取信息的功能,恶意软件还可以通过钓鱼攻击收集其他的凭证。它会显示虚假的Facebook和谷歌弹出窗口,询问用户的账户信息;如果输入了它们,它将返回一条“登录失败”消息,这可能不会带来危险警告。
研究人员指出:“(MobSTSPY的案例)表明,尽管应用程序有实用性,但用户在下载到自己的设备时必须保持谨慎。”“应用程序的普及促使网络犯罪分子继续开展活动,利用它们窃取信息或实施其他类型的攻击。”
当然,问题是,当恶意应用程序被关闭时,已经在智能手机上安装了这些应用程序的人不会被通知这个问题——因此,很可能数百万用户的设备上仍然安装着各种各样的恶意软件。Pradeo实验室在2018年11月进行的一项研究表明,在从商店删除的恶意应用程序中,89%仍然安装在活动设备上,这一数据是在删除6个月之后。
Google 应用商店中的恶意软件相对较少,但这当然不是恶意软件第一次逃避其筛查策略。去年11月,一款名为Simple Call recorder的Android应用程序在被下载近一年之后被下架。恶意软件的主要目的是欺骗用户安装一个额外的应用程序,据称是一个Adobe Flash Player更新。
此外,去年年初,谷歌删除了22个恶意广告软件应用程序,从手电筒,通话录音机到WiFi信号增强器,这些应用程序一起从Google Play市场下载了750万次。
而在2017年,Google 因违反市场政策而从Google Play 引入了700,000个应用。然而,所有这些并非都是恶意软件,但其中大多数都故意复制了一个更受欢迎的应用程序或提供了不合适的内容。
当然,问题是,当恶意应用程序被关闭时,已经在智能手机上安装了这些应用程序的人不会被通知这个问题——因此,很可能数百万用户的设备上仍然安装着各种各样的恶意软件。Pradeo实验室在2018年11月进行的一项研究表明,在从商店删除的恶意应用程序中,89%仍然安装在活动设备上,而这一数据是在被删除6个月之后得出。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
閱讀更多 黑客視界 的文章
