210個(gè)Android應(yīng)用程序中含惡意軟件軟件，會(huì)在用戶設(shè)備啟動(dòng)后顯示廣告、安裝應(yīng)用程序或者自動(dòng)打開網(wǎng)頁。商店中的應(yīng)用程序也處處是危險(xiǎn)，不要隨意下載，下載前最好先看看評(píng)論。

據(jù)報(bào)道，攻擊者利用210個(gè)Android應(yīng)用程序中的惡意軟件，在用戶設(shè)備啟動(dòng)后顯示廣告、安裝應(yīng)用程序或者自動(dòng)打開網(wǎng)頁。目前谷歌已經(jīng)刪除了這些應(yīng)用程序。

所有應(yīng)用程序都使用了一個(gè)名為“RXDrioder”的惡意軟件開發(fā)工具包，當(dāng)設(shè)備啟動(dòng)或用戶解鎖屏幕時(shí)，攻擊者就會(huì)在Android設(shè)備上顯示廣告和打開URL。目前還不清楚是不是應(yīng)用程序開發(fā)人員故意使用了這個(gè)惡意軟件。

Check Point的報(bào)告顯示，這些應(yīng)用程序被稱為“SimBad”，主要是駕駛和競(jìng)速模擬器游戲，比如Snow HeavyExcavator Simulator、Ambulance Rescue Driving和Water Surfing Car Stunt。這些應(yīng)用程序的總安裝量超過1.5億次，其中Snow Heavy Excavator Simulator的安裝量超過1000萬次。

Snow Heavy Excavator Simulator的安裝量

應(yīng)用安裝后會(huì)自動(dòng)注冊(cè)，以便在設(shè)備啟動(dòng)或用戶解鎖手機(jī)后自動(dòng)啟動(dòng)。設(shè)備一旦啟動(dòng)，這些應(yīng)用程序就會(huì)在設(shè)備上顯示廣告。

Snow Heavy Excavator Simulator 評(píng)論界面

一些安全廠商正在檢測(cè)帶有名為“Android.AirPush”惡意庫(kù)的應(yīng)用程序。

啟動(dòng)時(shí)，廣告軟件應(yīng)用程序?qū)⑦B接到位于www.addroider.com的命令和控制服務(wù)器，以便接收要執(zhí)行的命令，攻擊流程如下圖所示。

SimBad攻擊流程

命令和控制服務(wù)器會(huì)響應(yīng)一個(gè)要執(zhí)行的命令。在下面的圖片中，你可以看到一個(gè)可用命令列表發(fā)送到應(yīng)用程序，其中包括在桌面刪除應(yīng)用程序的圖標(biāo)，使其很難被真正刪除；顯示通知；開始背景廣告；打開網(wǎng)址；打開Google Play、應(yīng)用推廣和下載其他應(yīng)用。

可用命令

這個(gè)惡意SDK使用的addroider.com域名無人知曉，因?yàn)樗贕oDaddy下注冊(cè)并且啟用了隱私保護(hù)。當(dāng)訪問該頁面時(shí)，它的標(biāo)題為Addroider，并且只顯示登錄提示。

命令和控制服務(wù)器登錄頁面

雖然這些應(yīng)用程序被用于顯示廣告，但Check Point表示，攻擊者也可以利用其打開網(wǎng)頁的能力進(jìn)行釣魚攻擊。SimBad的功能可以分為三類——顯示廣告、網(wǎng)絡(luò)釣魚和推廣其他應(yīng)用程序。

有了在瀏覽器中打開特定URL的能力，SimBad背后的黑客可以為多個(gè)平臺(tái)生成網(wǎng)絡(luò)釣魚頁面，從而對(duì)用戶執(zhí)行魚叉式網(wǎng)絡(luò)釣魚攻擊。

Check Point在2019年1月28日發(fā)現(xiàn)了這些惡意應(yīng)用，并向谷歌報(bào)告。研究人員稱，谷歌于2019年2月22日刪除了這些應(yīng)用程序。

不過，這一事件表明，Android用戶在安裝應(yīng)用程序之前一定要閱讀安裝評(píng)論。這些評(píng)論會(huì)顯示，應(yīng)用是否有一些不對(duì)勁的地方，從而可以保護(hù)自己免受網(wǎng)絡(luò)攻擊。