本文來自E安全。
近日,安全研究人員發(fā)現(xiàn)了一種新的Android木馬,它可能危害到4.21億臺設(shè)備。
Doctor Web團隊在上周發(fā)布的公告中,公布了有關(guān)木馬的信息,該木馬被稱為Android.Spy.SpinOk。
SpinOk具有多種間諜軟件功能,包括文件收集和剪貼板內(nèi)容捕獲。該木馬可以嵌入其他應(yīng)用程序中,這就是它傳播以感染數(shù)百萬設(shè)備的方式。
SpinOk模塊似乎可以為用戶提供吸引人的功能,例如迷你游戲、任務(wù)和獎品機會。但是,在激活后,此特洛伊木馬SDK會建立與命令和控制(C2)服務(wù)器的連接,傳輸有關(guān)受感染設(shè)備的大量技術(shù)數(shù)據(jù)。
Dr.Web點名被惡意植入木馬病毒的App多達101個,累積下載量超過4.2億次,其中甚至不乏被用戶大量下載的熱門App,如影片剪輯工具"Noizz"、文檔傳輸工具"Zapya",這些APP的下載量都超過1億次。
以下為Dr.Web列出10款最熱門的受影響App:
影片剪輯工具Noizz(下載量1億次以上)
文檔傳輸工具Zapya(下載量1億次以上)
影片剪輯工具VFly(下載量5千萬次以上)
MV剪輯工具MVBit(下載量5千萬次以上)
影片制作Biugo(下載量5千萬次以上)
手機小游戲Crazy Drop(下載量1千萬次以上)
每日金錢獎勵Cashzine(下載量1千萬次以上)
脫機閱讀工具Fizzo Novel(下載量1千萬次以上)
每日獎勵CashEM(下載量5百萬次以上)
觀看影片獲取獎勵Tick(下載量5百萬次以上)
Viakoo首席執(zhí)行官巴德·布魯姆黑德(Bud Broomhead)表示:“威脅行為者已深入挖掘Android游戲的利基市場,這些游戲?qū)W⒂跒橥婕屹嶅X。”
他還表示,“他們很可能出于某種原因?qū)W⒂谠摾袌?,例如觀察這些資金轉(zhuǎn)移到銀行賬戶或玩家將擁有可以進一步利用的特定文件的可能性。”
這些數(shù)據(jù)包括來自各種傳感器(陀螺儀、磁力計等)的信息,使模塊能夠識別仿真器環(huán)境并調(diào)整其操作以避免被安全研究人員檢測到。
此外,惡意軟件可以忽略設(shè)備代理設(shè)置,從而在分析過程中隱藏網(wǎng)絡(luò)連接。作為回報,它會從服務(wù)器接收URL列表,并將其加載到WebView中以展示廣告橫幅。
Doctor Web專家在Google Play上的幾個應(yīng)用程序中檢測到木馬模塊及其各種迭代的存在。雖然有些仍然包含惡意軟件開發(fā)工具包(SDK),但其他一些僅包含特定版本或已從平臺中完全刪除。
Zimperium產(chǎn)品戰(zhàn)略副總裁Krishna Vishnubhotla解釋說:“對于移動應(yīng)用程序開發(fā)人員來說,SDK大多是黑盒子。所有這些都集成在一起以完成特定的已知任務(wù),無論是免費的還是付費的。但沒有人檢查SDK還能做什么,尤其是當(dāng)它在最終用戶設(shè)備上的應(yīng)用程序中運行時。”
Krishna Vishnubhotla說道:“惡意行為者也不會讓這變得簡單,因為大多數(shù)可疑活動代碼只有在設(shè)備上滿足特定條件時才會下載,以避免被發(fā)現(xiàn)。”
Doctor Web表示,其分析顯示該木馬存在于101個應(yīng)用程序中,總下載量為421,290,300次。該公司證實他們已將這一威脅通知了谷歌。
鏈接:https://mp.weixin.qq.com/s/A9FDAEv43qE5oDD7TTEZ1g