400个木马病毒侵入Google Play

我们常常建议安卓用户只从官方应用商店下载app。比如Google Play里的所有app在最终发布前均经过严格的多级审查,因此在Google Play中搜寻app安全得多。

我们常常建议安卓用户只从官方应用商店下载app。比如Google Play里的所有app在最终发布前均经过严格的多级审查,因此在Google Play中搜寻app安全得多。

但有时也有流氓app渗透到Google Play里面。最近,就有一桩重大安全事件被曝光:Google Play内有超过400款app(其它应用商店则有近3,000款)被证明携带了DressCode木马病毒。

该恶意软件因首次发现的受感染app而命名:2016年8月,研究人员在许多女孩打扮的游戏app中发现这一木马病毒。

这类游戏在Google Play的下载量均在1-5万之间。此后,还在其它app内发现感染了相同的木马病毒。同时还发现了400款受感染的app,其中大约有40款来自于Google Play。研究人员随即告知Google,后者立即将这些流氓app从应用商店中删除。

与此同时,这一木马病毒也引起了另一个研究小组的兴趣,他们决定深入挖掘并专门针对该木马对各大应用商店进行调查研究。而就在几天前,该团队突然发现了约3000款受DressCode感染的app;而其中有超过400款来自于Google Play。

大多数受感染app都是游戏或游戏周边—例如,游戏攻略和游戏修改器。其它恶意app则包括了大量性能提升器、优化器以及其它看似实用的工具。

DressCode的最大问题是难以检测到。相比’宿主’的程序,该木马的代码极小。这可能是为什么如此多的受感染app能通过Google审核并潜入Google Play的原因。

DressCode有哪些行为

一般情况下,DressCode的目的是建立与命令和控制服务器之间的连接。通常一旦连接成功,服务器即会向木马病毒发送命令让其进入”睡眠状态”,从而使安全程序无法检测到。而当不法分子决定使用该受感染设备,他们就会唤醒木马让受感染的智能手机或平板连接代理服务器,并用它重新定向网络流量。

网络骗子如何从中获益?

首先,受感染设备可作为僵尸网络的一部分使用,以请求获取特定IP地址。这一方法能让犯罪分子增加流量、生成横幅广告和收费URL的点击量以及组织DDoS攻击造成目标网站瘫痪。

其次,如果受感染设备(比如企业智能手机)还能访问一些本地网络资源,攻击者也能有权访问这些资源并利用设备窃取敏感数据。

如何避免成为僵尸网络的一部分?

只从官方应用商店下载app的设备也会感染木马病毒,这种情况相当少见。但事实是,相比其它安卓应用商店,Google Play内的恶意app比例极低,但一下出现400款受感染app也需引起足够重视。此外,其中还有大量诸如”我的世界GT 5版”(没错,的确有)的流行app,下载数量均超过了50万。

我们将推荐清单缩减至简单的两条:

1.下载app时需要相当谨慎小心。在安装未知app前,认真阅读用户评价和权限清单,并三思而后行。可惜,你实在不能信任Google Play上的所有用户评价,但至少能就app的可靠性而言能获得一些意见。

2.在自己的移动设备上安装一款出色安全解决方案。Kaspersky Antivirus & Security安卓版能检测出DressCode为HEUR:Backdoor.AndroidOS.Sobot.a。如果你运行的是我们收费版安全保护套件,就能自动扫描所有新装app并禁止携带DressCode木马的工具运行。如果你安装的是免费版,那千万不要忘了定期扫描你的设备。

提示