- A+
在六个应用程序中,间谍软件成功传播到196个不同的国家。
被称为MobSTSPY的Android间谍软件已成功将木马化应用程序用于广泛的全球发行版,主要通过Google Play。
恶意软件伪装成一个合法的应用程序,声称是手电筒,游戏和工作效率工具。 虽然在第三方应用程序商店中遇到武器化票价并不罕见,但MobSTSPY值得注意的是,在2018年期间,至少有六个不同的应用程序也成功渗透到Google Play。
趋势科技研究人员Ecular Xu和Gray Guo周四在一篇文章中表示,“这个案例的一部分原因在于其应用程序的分布范围。” “通过我们的后端监控和深入研究,我们能够看到受影响用户的普遍分布,并发现他们来自共有196个不同的国家。”
单击以展开
从莫桑比克到波兰,伊朗到越南,阿尔及利亚到泰国,德国到伊拉克等都有。
谷歌Play应用程序专门是Flappy Birr Dog,FlashLight,HZPermis Pro Arabe,Win7imulator,Win7Launcher和Flappy Bird,所有这些都出现在去年,现在已经从商店出售。 一些来自世界各地的用户下载了超过100,000次。
在功能方面,坏代码主要是信息窃取者,尽管它也具有独特的网络钓鱼方面。
当谈到前者时,它会提升用户位置,短信,联系人列表,通话记录和剪贴板项目等数据; 并且,恶意软件能够窃取和上传设备上找到的文件。 趋势科技观察到它使用Firebase云消息传递(FCM)与其命令和控制(C&C)服务器进行通信,并根据接收的命令对数据进行泄露。
它还在开始步骤中收集有用的设备信息,例如所使用的语言,其注册国家,包名称,设备制造商等,其可用于“指纹”设备以用于后续社交工程或利用攻击。
“它将收集的信息发送到其C&C服务器,从而注册该设备,”研究人员说。 “一旦完成,恶意软件将等待并执行通过FCM从其C&C服务器发送的命令。”
除了信息窃取功能外,恶意软件还可以通过网络钓鱼攻击收集其他凭据。 它显示虚假的Facebook和谷歌弹出窗口,询问用户的帐户详细信息; 如果它们被输入,则返回“登录失败”消息,该消息可能不会为用户引发红旗。
“[MobSTSPY的案例]表明,尽管应用程序普遍存在且有用,但用户在将其下载到设备时必须保持谨慎,”趋势科技研究人员指出。 “应用程序的受欢迎程度可以激励网络犯罪分子继续开发利用它们窃取信息或进行其他类型攻击的活动。”
Google Play恶意软件
Google Play恶意软件相对较少 ,但这当然不是恶意软件第一次回避Google Play过滤器和政策。 11月,一款名为Simple Call recorder的诱杀式Android应用程序被取消 - 可供下载近一年。 恶意软件的主要目的是欺骗用户安装一个额外的应用程序,据称是一个Adobe Flash Player更新。
此外,去年年初,谷歌删除了22个恶意广告软件应用程序 ,从手电筒,通话录音机到WiFi信号增强器,这些应用程序一起从Google Play市场下载了750万次。
2017年,Google因违反市场政策而从Google Play 启动了700,000个应用 。 然而,并非所有这些都是恶意软件 - 其中大多数都故意复制了一个更受欢迎的应用程序或提供了不适当的内容。
问题当然是当恶意应用程序被删除时,已经在智能手机上拥有它们的人不会收到通知 - 因此数百万用户可能仍然在其设备上安装了各种恶意软件。 Pradeo Lab于2018年11月进行的一项研究表明,从商店中删除的89%的恶意应用程序仍然在删除后六个月内安装在活动设备上。
