Android惡意軟件的新通道:移動(dòng)廣告
越來(lái)越多的用戶開(kāi)始意識(shí)到從Google官方市場(chǎng)下載應(yīng)用可以遠(yuǎn)離Android惡意軟件,但這還不夠,因?yàn)楣粽甙l(fā)現(xiàn)了一個(gè)新的渠道——移動(dòng)廣告。
Android惡意軟件制造者已經(jīng)開(kāi)發(fā)了一個(gè)廣告網(wǎng)絡(luò)SDK——BadNews,這讓惡意軟件可以通過(guò)表面無(wú)害的軟件潛入用戶的Android手機(jī)。根據(jù)移動(dòng)安全公司Lookout的報(bào)告,Google近日已經(jīng)查封了幾家可疑的開(kāi)發(fā)者帳號(hào),但是這些帳號(hào)上傳的32個(gè)攜帶惡意廣告BadNews代碼的應(yīng)用已經(jīng)累計(jì)被下載了900萬(wàn)次。
廣告有毒

通常來(lái)說(shuō),合法的廣告網(wǎng)絡(luò)SDK,例如Google自己的AdMob SDK,向應(yīng)用開(kāi)發(fā)者提供用于在程序內(nèi)發(fā)布廣告的代碼庫(kù),幫助他們從免費(fèi)app中掙錢。而惡意廣告網(wǎng)絡(luò)將自己偽裝成合法廣告,主要面向講俄語(yǔ)的用戶。該SDK已經(jīng)被安裝在包括游戲、食譜、成人和字典等類被的應(yīng)用中,其中部分應(yīng)用也針對(duì)講英語(yǔ)的用戶。
Lookout的首席安全研究員馬克羅杰斯認(rèn)為:
“由于很難向Google Play直接上傳惡意軟件代碼,Badnews的作者采取了迂回戰(zhàn)術(shù),開(kāi)發(fā)了一個(gè)惡意廣告網(wǎng)絡(luò),等待母體軟件通過(guò)審核后,再通過(guò)惡意廣告網(wǎng)絡(luò)向用戶推送惡意軟件。”
植入惡意廣告網(wǎng)絡(luò)代碼的應(yīng)用會(huì)想用戶發(fā)送假信息,例如在消息通知中建議用戶為俄羅斯社交網(wǎng)絡(luò)Vkontake、Skype等應(yīng)用安裝“關(guān)鍵更新”,而當(dāng)用戶點(diǎn)擊時(shí)則會(huì)被跳轉(zhuǎn)至一個(gè)惡意網(wǎng)站安裝付費(fèi)短信app,同時(shí)將用戶的手機(jī)號(hào)碼和設(shè)備ID發(fā)送給控制服務(wù)器。
攻擊者還采用聯(lián)盟網(wǎng)站的方式進(jìn)行營(yíng)銷,而通過(guò)廣告網(wǎng)絡(luò)部署惡意軟件是移動(dòng)安全領(lǐng)域的一個(gè)重大“進(jìn)展”,這意味著攻擊者能夠繞過(guò)官方應(yīng)用市場(chǎng)的審核。
繞過(guò)Google的安全審查

被Google下架的32款包含惡意廣告代碼的應(yīng)用,以俄文應(yīng)用為主
2012年早些時(shí)候,Google為Google Play部署了服務(wù)器端掃描器Bouncer,可以有效阻止惡意軟件的提交,此后在2012年晚些時(shí)候Google又在Android4.2版本系統(tǒng)(果凍豆)中增加了一個(gè)客戶端惡意軟件掃描器,可以用來(lái)檢測(cè)從第三方市場(chǎng)下載的應(yīng)用。
上周俄羅斯安全公司Dr Web發(fā)現(xiàn)惡意軟件發(fā)布者們開(kāi)始使用Android的程序內(nèi)廣告發(fā)布虛假防病毒軟件Android.Fakealert,手法與PC年代的老套做法如出一轍。Drweb稱此類虛假防病毒Android惡意軟件從去年10月份就已出現(xiàn),但其傳播成功繞過(guò)了Google Play。
原文地址:http://www.ctocio.com/ccnews/12143.html