知名安全廠商Bitdefender 發(fā)布的一份報(bào)告稱，他們在過去6個(gè)月中發(fā)現(xiàn)了 6萬款不同類型的 Android 應(yīng)用秘密地嵌入了廣告軟件安全程序。

報(bào)告指出，經(jīng)分析，該活動(dòng)旨在將廣告軟件傳播到用戶的Android系統(tǒng)設(shè)備，以此來增加收入。然而，網(wǎng)絡(luò)攻擊者可以輕松地改變策略，將用戶重定向到其他類型的惡意軟件，如針對(duì)銀行賬戶的竊取程序。

據(jù)統(tǒng)計(jì)，該廣告軟件主要針對(duì)美國用戶（55.27%），其次是韓國（9.8%）、巴西（5.96%）和德國（2.93%）。大量獨(dú)特樣本表明，有人設(shè)計(jì)了一個(gè)自動(dòng)化過程來創(chuàng)建帶有惡意軟件的應(yīng)用程序，通過仿冒游戲破解程序、免費(fèi) VPN、Netflix 虛假教程、無廣告版YouTube/TikTok以及虛假的安全程序來分發(fā)。

廣告軟件活動(dòng)的國家分布

偷偷安裝以逃避檢測

這些應(yīng)用程序托管在第三方網(wǎng)站上，研究人員沒有在 Google Play 的應(yīng)用程序中發(fā)現(xiàn)相同的廣告軟件。訪問這些網(wǎng)站時(shí)，用戶將被重定向到這些應(yīng)用的下載站點(diǎn)，當(dāng)用戶安裝這些應(yīng)用程序后，并不會(huì)將自身配置為自動(dòng)運(yùn)行，因?yàn)檫@需要額外的權(quán)限。相反，它依賴于正常的 Android 應(yīng)用程序安裝流程，該流程會(huì)提示用戶在安裝后“打開”應(yīng)用程序。

此外，這些應(yīng)用程序不會(huì)顯示圖標(biāo)，并在應(yīng)用程序標(biāo)簽中使用 UTF-8 字符，因此更難被發(fā)現(xiàn)。這是一把雙刃劍，因?yàn)檫@也意味著如果用戶在安裝后不啟動(dòng)該應(yīng)用程序，則該應(yīng)用程序很可能不會(huì)在安裝后啟動(dòng)。

如果啟動(dòng)，該應(yīng)用程序?qū)@示一條錯(cuò)誤消息，指出“應(yīng)用程序在您所在的地區(qū)不可用。點(diǎn)擊確定卸載?！钡珜?shí)際上，應(yīng)用程序并沒有被卸載，而只是在注冊兩個(gè)意圖（Intent）之前進(jìn)行了休眠，這兩個(gè)意圖可讓應(yīng)用程序在設(shè)備啟動(dòng)或設(shè)備解鎖時(shí)開始運(yùn)作。Bitdefender 表示后一種意圖在前兩天被禁用，可能是為了逃避用戶的檢測。

注冊啟動(dòng)廣告程序的 Android 意圖

啟動(dòng)后，該應(yīng)用程序?qū)⑦B接到運(yùn)營方的服務(wù)器并檢索要在移動(dòng)瀏覽器中顯示或作為全屏 WebView 廣告顯示的廣告鏈接。

Android 設(shè)備是惡意軟件開發(fā)人員的高度攻擊目標(biāo)，因?yàn)橛脩裟軌蛟诓皇?Google Play 商店保護(hù)之外的其他地方安裝應(yīng)用程序。但目前，即便在Google Play 中也未必安全。近期，來自 Dr. Web 和 CloudSEK 的研究人員發(fā)現(xiàn)，惡意間諜軟件 SDK  通過 Google Play 上的應(yīng)用程序在 Android 設(shè)備上竟安裝了超過 4 億次。

雖然 Google Play 仍然有惡意應(yīng)用程序，但從官方商店安裝 Android 應(yīng)用程序總體還是要安全得多，強(qiáng)烈建議用戶不要從第三方站點(diǎn)安裝任何 Android 應(yīng)用程序，因?yàn)樗鼈兪菒阂廛浖某Ｒ娸d體。