越來(lái)越多的用戶開(kāi)始意識(shí)到從Google官方市場(chǎng)下載應(yīng)用可以遠(yuǎn)離Android惡意軟件，但這還不夠，因?yàn)楣粽甙l(fā)現(xiàn)了一個(gè)新的渠道——移動(dòng)廣告。

Android惡意軟件制造者已經(jīng)開(kāi)發(fā)了一個(gè)廣告網(wǎng)絡(luò)SDK——BadNews，這讓惡意軟件可以通過(guò)表面無(wú)害的軟件潛入用戶的Android手機(jī)。根據(jù)移動(dòng)安全公司Lookout的報(bào)告，Google近日已經(jīng)查封了幾家可疑的開(kāi)發(fā)者帳號(hào)，但是這些帳號(hào)上傳的32個(gè)攜帶惡意廣告BadNews代碼的應(yīng)用已經(jīng)累計(jì)被下載了900萬(wàn)次。

廣告有毒

通常來(lái)說(shuō)，合法的廣告網(wǎng)絡(luò)SDK，例如Google自己的AdMob SDK，向應(yīng)用開(kāi)發(fā)者提供用于在程序內(nèi)發(fā)布廣告的代碼庫(kù)，幫助他們從免費(fèi)app中掙錢。而惡意廣告網(wǎng)絡(luò)將自己偽裝成合法廣告，主要面向講俄語(yǔ)的用戶。該SDK已經(jīng)被安裝在包括游戲、食譜、成人和字典等類被的應(yīng)用中，其中部分應(yīng)用也針對(duì)講英語(yǔ)的用戶。

Lookout的首席安全研究員馬克羅杰斯認(rèn)為：

“由于很難向Google Play直接上傳惡意軟件代碼，Badnews的作者采取了迂回戰(zhàn)術(shù)，開(kāi)發(fā)了一個(gè)惡意廣告網(wǎng)絡(luò)，等待母體軟件通過(guò)審核后，再通過(guò)惡意廣告網(wǎng)絡(luò)向用戶推送惡意軟件。”

植入惡意廣告網(wǎng)絡(luò)代碼的應(yīng)用會(huì)想用戶發(fā)送假信息，例如在消息通知中建議用戶為俄羅斯社交網(wǎng)絡(luò)Vkontake、Skype等應(yīng)用安裝“關(guān)鍵更新”，而當(dāng)用戶點(diǎn)擊時(shí)則會(huì)被跳轉(zhuǎn)至一個(gè)惡意網(wǎng)站安裝付費(fèi)短信app，同時(shí)將用戶的手機(jī)號(hào)碼和設(shè)備ID發(fā)送給控制服務(wù)器。

攻擊者還采用聯(lián)盟網(wǎng)站的方式進(jìn)行營(yíng)銷，而通過(guò)廣告網(wǎng)絡(luò)部署惡意軟件是移動(dòng)安全領(lǐng)域的一個(gè)重大“進(jìn)展”，這意味著攻擊者能夠繞過(guò)官方應(yīng)用市場(chǎng)的審核。

繞過(guò)Google的安全審查

被Google下架的32款包含惡意廣告代碼的應(yīng)用，以俄文應(yīng)用為主

2012年早些時(shí)候，Google為Google Play部署了服務(wù)器端掃描器Bouncer，可以有效阻止惡意軟件的提交，此后在2012年晚些時(shí)候Google又在Android4.2版本系統(tǒng)(果凍豆)中增加了一個(gè)客戶端惡意軟件掃描器，可以用來(lái)檢測(cè)從第三方市場(chǎng)下載的應(yīng)用。

上周俄羅斯安全公司Dr Web發(fā)現(xiàn)惡意軟件發(fā)布者們開(kāi)始使用Android的程序內(nèi)廣告發(fā)布虛假防病毒軟件Android.Fakealert，手法與PC年代的老套做法如出一轍。Drweb稱此類虛假防病毒Android惡意軟件從去年10月份就已出現(xiàn)，但其傳播成功繞過(guò)了Google Play。

原文地址：http://www.ctocio.com/ccnews/12143.html