Android 惡意木馬 App 能切斷 Google Play保護措施,並偽造用戶評價

資安廠商卡巴斯基發表研究報告,指出一支名為 Trojan-Dropper.AndroidOS.Shopper.a 的惡意木馬軟體,不但能夠阻斷 Google Play 應用程式商店的保護機制,偽造虛假的用戶評價,在用戶手機不幸感染後,還會偽裝成系統管理工具、在背景安裝其他惡意軟體、竊取用戶手機中的各項資訊,甚至進行廣告詐騙點擊等。

這支惡意軟體在手機中會以某個系統圖示顯示,名稱也會顯示為 ConfigAPKs,非常類似一支用來進行開機後 App 設定的系統程式。

用戶的 Android 手機一旦感染這支惡意程式,該程式會先下載並解密其酬載程式碼,接著就會立即開始竊取手機中的各項資訊,包括手機所在國名、行動網路、手機廠牌型號、Email 地址、IMEI 和 IMSI 編號等,並上傳到攻擊者擁有的伺服器中;接著伺服器會發送一系列攻擊用的指令給手機中的惡意軟體。

這支惡意軟體接下來會開始到 Google Play 軟體商店中,針對多個同為惡意軟體的 App 發送評價和虛假用戶評論,企圖拉抬這些惡意 App 的能見度,甚至還會跳過使用者,自行下載更多惡意軟體到手機中。

這支惡意軟體也會同時關閉 Google Play 用以偵測並保護手機免於安裝惡意軟體的服務,同時透過 Android 系統中的輔助使用功能,跳過許多用戶權限許可關卡,因此才能橫行無阻。

卡巴斯基指出,這支 App 在俄羅斯為害最廣,去年十月到十一月間,有近三成(28.46%)的 Android 手機感染此惡意軟體;而在巴西和印度也有 18.7% 和 14.23% 的感染率。

相關連結

  1. https://www.bleepingcomputer.com/news/security/android-trojan-kills-google-play-protect-spews-fake-a
  2. https://in.mashable.com/tech/10433/online-shoppers-in-danger-new-shopper-malware-affects-over-14-ind
  3. https://www.android.com/play-protect/

台灣網路資訊中心定期精選資安新聞,提供中心部落格讀者了解目前資安發展之最新動態。原文連結為:https://www.twcert.org.tw/tw/cp-104-3257-35dde-1.html

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *