97
從Google Play下載應用並不安全,上千款監視軟件偽裝其中
如果你認為在官方應用市場裏下載app就覺得安全的話,小編可以負責任的回答你:“too young too simple,sometimes native”
今年4月,BankBot 銀行木馬出現在穀歌Play應用商店中,該木馬可以讓攻擊者獲得管理員權限,並執行大量惡意任務,包括竊取銀行登錄信息。
4月同時,約有2百萬Android用戶在穀歌Play應用商店裏感染了FalseGuide 惡意軟件,它隱藏在超過40多個流行的遊戲app中,例如Pokémon Go、FIFA Mobile。
上月,一款名為Xavier惡意軟件,它被發現在800個不同的Android app中,這些程序在穀歌Play中下載了數百萬次,並且悄無聲息的收集用戶數據。
就在昨天,阿裏聚安全小編發表的《銀行劫持類病毒鼻祖BankBot再度來襲》,一批偽裝成flashlight、vides和game的BankBot惡意軟件,又出現在穀歌Play 官方應用商店中。
……
然而並沒有結束,互聯網的世界,你或許隻看到了冰山一角。
近日安全研究者發現在第三方應用市場和穀歌Play應用商店 存在上千款惡意偽裝軟件。它們可以監視用戶行為,比如對用戶撥打電話,靜默錄音等。該惡意軟件名為SonicSpy,它偽裝成一個即時通信app,並從今年2月份開始,在各大應用市場裏瘋狂蔓延傳播,連穀歌Play都不幸中招。
執行一大堆的惡意任務
SonicSpy間諜軟件可以執行大量惡意任務,讓它成為一個完美的移動竊聽器。
具體功能如下:
1、靜默錄音
2、靜默撥打電話
3、劫持相機和拍照功能
4、竊取用戶數據,包括通訊記錄、聯係人信息
5、發送指定內容的短信
6、通過WIFI接入點,追蹤用戶地址
……
該惡意軟件是由移動安全公司Lookout的研究員發現,並在穀歌Play 應用市場發現了其他2個變種——Hulk Messenger、Troy Chat。數據顯示它們已經被用戶下載超過上千次。雖然Soniac、Hulk Messenger、Troy Chat均已被被穀歌應用市場下架移除,但是它們依舊活躍在其他第三方Android應用市場。
SonicSpy是如何工作的
首先上傳至穀歌Play 應用市場,偽裝成名為Soniac 的通信工具。(如何繞過穀歌play的殺毒引擎的技術分析,可以參考阿裏聚安全的這篇文章:https://jaq.alibaba.com/community/art/show?articleid=1028)
一旦安裝,Soniac 立即刪除啟動圖標來隱藏自己,並試圖通過C&C服務器下載修改後的app。SonicSpy 惡意軟件家族共支持73種不同的遠程指令,攻擊者可以在受到SonicSpy 感染的Android設備上遠程執行惡意任務。
或和伊拉克開發者有關
研究者認為該惡意軟件和一家伊拉克的企業有關。因為SonicSpy 的代碼和 SpyNote非常相似,而SpyNote 是一款偽裝成Netflix 的惡意app,它是由一名伊拉克黑客創造,在2016年7月份被發現。
有許多跡象表明,2款應用來源於同一個開發者。例如家族代碼的相似性,經常使用動態DNS服務,並運行非標準的222接口。另外最重要的證據是因為它的開發者賬號,兩者都包含Soniac 。並且上傳在穀歌應用市場的賬號是”iraqiwebservice”。
SonicSpy 可能會再次來襲
盡管SonicSpy感染的app已經從應用市場裏移除,但研究員警告稱,該惡意軟件家族已經證明他們有能力在官方應用市場裏植入惡意軟件。他們可以利用不同的開發者賬號,上傳惡意軟件並隱藏在不同的app中。雖然穀歌已經采取了很多安全措施,以防止惡意應用通過穀歌的安全檢查,但仍有漏網之魚。
如何保護和預防?
對於自身為應用市場的企業而言,如何避免惡意應用通過自己的渠道進行分發傳播是一個嚴峻的考驗。它不僅對用戶造成損失,還進而影響分發渠道的聲譽,因此建立完善並強大的APP掃描檢測能力是非常重要的一環。
阿裏聚安全提供的惡意代碼掃描能力不僅可以對已發布的巨大存量應用,通過調用移動安全惡意代碼掃描的API接口進行定期全量掃描。還能對申請發布的APP,在上線前對其進行惡意代碼掃描,防止惡意應用蒙混過關。
目前免費提供掃描測試,地址:https://jaq.alibaba.com/safety
對於自己研發APP的企業而言,也不要放鬆警惕,黑客可能會在你的原生APP中,植入惡意代碼,成功仿冒並分發到各個渠道,這同樣會對企業造成很大的損失。
作為個人用戶而言,最簡單的辦法就是確保下載的應用來自官網或官方應用市場,雖然不能完全避免中招,但是可以最大程度的降低感染幾率。最後建議下載一個手機安全防護軟件,例如錢盾app,可以有效檢測和阻止這些惡意軟件,並保持設備係統和app版本的更新。
----------------------------
內容部分編譯自thehackernews,更多安全類熱點信息和知識分享,請關注阿裏聚安全的官方博客
最後更新:2017-08-17 18:32:13