研究人员发现,超过 6万个恶意安卓应用程序以全球用户为目标超过六个月,其中包含伪装成虚假安全软件、游戏破解、作弊、VPN 软件、Netflix 流媒体应用程序和实用程序的广告软件。
BitDefender 的研究人员发现了该恶意活动,他们表示该活动主要针对美国安卓用户,他们认为该活动始于去年 10 月。
在本周发布的一篇帖子中透露,虽然该活动的主要目的是将广告软件推送到安卓系统以增加恶意行为者的收入,但他们可以轻松地转换策略以将用户重定向到其他类型的恶意软件,例如银行木马以窃取凭据和财务信息信息或勒索软件。
已经发现了 6万多种不同的应用程序携带广告软件。他们预计目前有更多应用程序在野外分发相同的恶意软件。
恶意应用程序的分布值得注意,因为它看起来是像是自动化的。
当用户搜索其隐藏的应用程序类型时,恶意软件就会出现,这是恶意应用程序分布的当前趋势。根据研究,受害者通常会寻找付费应用程序的解锁版本,俗称破解版。
事实上,改装应用程序是一种热门商品,网站完全致力于提供这些类型的软件包。通常,修改后的应用程序是经过修改的原始应用程序,其全部功能已解锁或对初始编程进行了更改。
当用户通过谷歌搜索“修改过的”应用程序打开网站时,他们将被重定向到一个随机广告页面,该页面通常是伪装成合法下载的恶意软件下载页面。
安卓恶意软件的工作原理
自 API 30 以来,谷歌已经取消了在注册启动器后在 安卓上隐藏应用程序图标的功能。这仅适用于应用程序开发人员首先注册启动器的情况。
为了规避这一点,该活动中的恶意应用程序不会注册任何启动器,并且仅依靠用户和默认的安卓安装行为来首次运行。
安装下载的应用程序时,该过程的最后一个屏幕将是“打开”应用程序;就恶意软件而言,这就是确保它不会被删除所需的全部内容。在这个屏幕上,该应用程序会显示一条“应用程序不可用”的消息,以诱使用户认为它从未安装过。
这随后引发了一种独特的检测策略,此时该应用程序尚未安装,并且在注册两个‘意图’之前休眠了两个小时,这两个‘意图’会导致该应用程序在设备启动或解锁时启动。
后一种意图在前两天也被禁用,这是一种进一步的反检测策略。
然后,之后每隔两个小时,就会触发警报,向服务器发出请求,并注册另一个警报。服务器可以选择以未知的时间间隔初始化广告软件阶段。
启动后,该应用程序会连接到攻击者的服务器并检索要在移动浏览器中显示或作为全屏 WebView 广告显示的广告 URL。
此时,攻击者还可以利用上述支点将用户重定向到其他类型的恶意软件,例如用于窃取凭据和财务信息的银行木马或勒索软件。
恶意软件:无处不在的安卓威胁
一位安全专家指出,该活动的存在表明,尽管采取了无数措施来阻止移动和安卓恶意软件,但威胁参与者仍然很容易继续使用安卓作为威胁活动的平台。
它还强调需要持续保持警惕和采取更强大的安全措施,例如应用程序证明,这要求应用程序开发人员提供常见安全和合规问题的答案,然后与应用程序一起发布,以保护用户免受此类威胁。
此外,该活动提醒用户在下载和安装应用程序时要谨慎行事,尤其是来自非官方来源的应用程序。
BitDefender 在其帖子中列出了已知分发该活动广告软件的域列表,其中一些不一定与恶意软件相关。
他们还发布了一份危害指标列表,以帮助用户检测他们是否已被广告软件感染。
与往常一样,保护用户的一个好步骤是避免从官方应用商店以外的来源下载应用。