标签: Google Play 商店

CheckPoint:Android 恶意广告软件 SimBad 被下载近 1.5 亿次

安全企业 CheckPoint 最新报告称,谷歌 Play 商店中的 200 多款应用,都被恶意广告代码给感染。进一步的分析发现,这可能导致设备在应用外强行显示广告、引导用户到某些网站和应用商店链接、甚至下载新的 App 。在向谷歌提交了恶意软件报告后,官方已经将它们从商店中移除。但根据 Play 商店的统计数据,其已经累积被下载了近 1.5 亿次。 【糟糕的应用软件,在不断地涌入谷歌 Play 商店】 攻击图例(来自:CheckPoint) 据悉,通过隐藏恶意代码,发布者将这些软件伪装成了合法的广告软件。但若你以为它们只会弹广告,那就大错特错了。调查发现,这类广告软件在 Play 商店中广泛存在,涵盖了诸多不同的应用和游戏。 疑似命令与控制服务器的相关代码(来自:CheckPoint) 在被恶意代码感染的流星软件中,模拟类游戏成为了一个重灾区。其中包括重型挖掘机、农业拖拉机、山地巴士、海洋动物 / 卡车运输等稀奇古怪名字的模拟器。 【Check Point 将这类恶意广告软件命名为 SimBad】 隐藏图标代码,删除谈何容易?(图自:CheckPoint) 更可恶的是,该恶意软件还暗藏了隐藏图标的代码,从而加大了用户想要查找和清除它们的难度。作为平台方,谷歌本应肩负起应用审核的责任,但它显然没有苹果 App Store 那样严格和彻底。 在疯狂弹送广告的同时,SimBad 甚至会通过色情广告的形式,引诱用户下载更多的 App 。或者滥用系统权限,劫持设备,将之用于分布式拒绝服务(DDoS)攻击。 后台广告启动代码(图自:CheckPoint) 回想去年,谷歌声称其在检测问题 App 方面取得了“重大进展”,能够在安装前拦截并移除 99% 的有害应用。 但 SimBad 的存在事实,表明这场攻防战永无终点。要让 Android 用户安全访问 Play 商店,谷歌显然还有很多事情要去完善。     (稿源:cnBeta,封面源自网络。)

Google 商店紧急下架多款 App :数百万次下载量,针对俄罗斯社交媒体 VK.com 窃取登录凭证

据外媒报道,安全研究人员在 Google Play 商店中发现了至少 85 个旨在窃取俄罗斯社交网络 VK.com 用户证书的应用程序,这些应用程序累计已被下载数百万次。即使经过 Google 的不懈努力(如启动漏洞赏金计划、阻止应用程序使用 Android 的辅助功能等),恶意应用程序还是能够以某种方式进入 Google 商店并设法通过恶意软件感染用户。因此研究人员强烈建议用户在下载应用程序时,一定要保持高度警惕。 调查结果显示,这些恶意应用程序中包含一款非常流行的游戏应用程序,其下载量已超过一百万次。 卡巴斯基实验室在周二发布的分析报告中表示,这个应用程序最初在 2017 年 3 月上传时只是一个没有任何恶意代码的游戏应用程序。  然而7个多月之后幕后团队却为其增加了信息窃取功能。 除了这款游戏外, 其他应用程序于 2017 年 10 月被上传到 Play 商店。据统计显示,其中有 7 个应用程序下载安装数量达到 1-10 万次、另有 9 个下载安装量在 1,000 – 1 万次之间,其余应用的下载量则不足 1000 次。 网络犯罪分子如何窃取账户凭证 由于 VK.com 主要在独联体国家的用户中流行,因此恶意应用程序主要针对的是使用俄罗斯、乌克兰、罗马尼亚,白俄罗斯等国语言的用户群体。 分析结果显示,这些应用程序使用 VK.com 的官方 SDK,但会利用恶意 JavaScript 代码稍作修改,从 VK 的标准登录页面中窃取用户凭据,并将其传递回自身应用程序中。这些页面与来自 VK.com 的标准登录页面非常相似,因此普通用户很难发现其中可疑之处,而被盗的证书会在被加密后上传到由网络犯罪分子控制的远程服务器中。 有趣的是,这些恶意软件还使用了 OnPageFinished 方法中的恶意 JS 代码,但这不仅用于提取凭据,而且还被用于数据上传。 研究人员认为,网络犯罪分子使用被盗用户的凭证主要是为了在 VK.com 上 推广各类用户群组、提高一些账户或群组的 “ 知名度 ”,即类似于国内社交媒体中流行的 “ 涨粉 ” 活动。此外,研究人员还指出,他们还在 Google Play 商店中发现了几个由同一网络犯罪分子提交的应用程序,比如以非官方身份通过电子邮件发布假的 Telegram 应用等。 这些伪装成 Telegram 的应用程序实际上是用 Telegram 的开源 SDK 构建的,但几乎和其他的应用程序一样。它们会根据从服务器上收到的列表添加受感染的用户来推广群组/聊天。 如何保护设备免受这些恶意应用程序的侵害 卡巴斯基报告中指出,目前发现的所有恶意程序包括窃取凭证的应用程序(检测为Trojan-PSW.AndroidOS.MyVk.o)和恶意的 Telegram 客户端(检测为非病毒:HEUR:RiskTool.AndroidOS.Hcatam.a ) 等都已经被 Google Play 商店删除,而已经在移动设备上安装了上述应用程序的用户可启用 Google Play Protect 保护功能卸载恶意程序,以保障自身设备安全。 同时,研究人员提醒用户除了尽量选择从官方渠道下载安装应用程序外,最好能够养成下载前核对 APP 开发者、查看下载量和参考其他用户评论、以及确认应用程序权限等良好习惯。 相关阅读: 来自卡巴斯基的分析报告:《Still Stealing》 消息来源: thehackernews ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。