全球網(wǎng)路安全解決方案廠商 Check Point Software Technologies Ltd. 研究人員近日在 Google Play 商店中發(fā)現(xiàn)一種新型態(tài)惡意廣告軟體 SimBad。SimBad 是一種軟體開發(fā)套件(Software Development Kit, SDK)病毒,目前已知約有 210 款應(yīng)用程式受害,總下載次數(shù)高達(dá) 1.5 億,大部分受感染的應(yīng)用為模擬類手機(jī)遊戲。Google 已迅速掌握狀況,且 Google Play 商店已下架所有受感染的應(yīng)用程式。
Check Point 指出,此種惡意軟體藏於由「addroider [.] com」提供,名為「RXDrioder」的廣告相關(guān)軟體開發(fā)套件中。使用者一旦安裝了受感染的應(yīng)用程式,SimBad 將註冊到「BOOT_COMPLETE」和「USER_PRESENT」程式碼內(nèi),在裝置啟動時及使用者使用裝置時進(jìn)行惡意操作。惡意軟體將連結(jié)至特定的命令暨控制(C&C)伺服器,強(qiáng)制執(zhí)行使用者行動裝置上一系列的功能,例如:從桌面刪除應(yīng)用程式圖標(biāo),增加使用者移除程式的難度;或者顯示域外廣告,強(qiáng)制打開瀏覽器至指定的網(wǎng)址連結(jié)。
SimBad 的危害主要分為三類,顯示廣告、網(wǎng)路釣魚及連結(jié)其他應(yīng)用程式。SimBad 能在使用者的瀏覽器中打開指定網(wǎng)址連結(jié),讓攻擊者為多個平臺生成網(wǎng)路釣魚頁面,對使用者進(jìn)行魚叉式網(wǎng)路釣魚攻擊(Spear Phishing)。攻擊者也可透過特定關(guān)鍵字搜索,或利用單一頁面打開其他手機(jī)應(yīng)用程式(如 Google Play 商店和 9Apps),使其他攻擊者有機(jī)可乘,甚至可以從指定伺服器安裝遠(yuǎn)端遙控程式,控制使用者的行動裝置下載其他惡意軟體。Check Point 表示,雖然 SimBad 的危害主要是開啟域外廣告,但它能遙控開啟其他應(yīng)用程式,這未來可能會造成使用者更大的資安威脅。
-
![image]( "SimBad 攻擊模式說明")
SimBad 攻擊模式說明
Check Point Mobile 的研究人員認(rèn)為應(yīng)用程式的開發(fā)人員應(yīng)不知情,並非惡意針對特定國家或地區(qū)進(jìn)行攻擊。
|
套件名稱
|
應(yīng)用程式名稱
|
全球安裝數(shù)量
|
|
com.heavy.excavator.simulator.driveandtransport
|
Snow Heavy Excavator Simulator
|
1000 萬
|
|
com.hoverboard.racing.speed.simulator
|
Hoverboard Racing
|
500 萬
|
|
com.zg.real.tractor.farming.simulator.game
|
Real Tractor Farming Simulator
|
500 萬
|
|
com.ambulancerescue.driving.simulator
|
Ambulance Rescue Driving
|
500 萬
|
|
com.heavymountain.bus2018simulator
|
Heavy Mountain Bus Simulator 2018
|
500 萬
|
關(guān)於 C&C 伺服器
這次所發(fā)現(xiàn)的 C&C 伺服器是 www [.] addroider.com,此伺服器運行一個 Parse 伺服器(GitHub 上的原始碼)的示例,即 Parse 後端基礎(chǔ)設(shè)施的開源版本。該模型為 Web 應(yīng)用和行動應(yīng)用程式開發(fā)者提供一個連結(jié)應(yīng)用程式與後臺雲(yún)端儲存和後端應(yīng)用程序公開的 API,提供管理及推送通知的功能。
網(wǎng)域名稱 addroider [.] com 是經(jīng)由 GoDaddy 註冊,使用瀏覽器造訪此網(wǎng)域時,將看到類似惡意軟體的登錄頁面。「註冊」和「登記」連結(jié)已損毀,並將使用者重新導(dǎo)向登錄頁面。
根據(jù) RiskIQ PassiveTotal 資料,該網(wǎng)域名稱已於 7 個月之前到期。因此推測該網(wǎng)域名稱最初應(yīng)是入侵(compromised)、寄放網(wǎng)域(Parked Domain)的合法使用,但現(xiàn)在卻被用於惡意攻擊。
新聞評語
