安卓Trojan模块在Google Play的潜在威胁
关键要点
- 在Google Play上发现了一个Trojan模块,可能导致数百万Android用户面临网络攻击风险。
- 此模块以营销软件开发工具包(SDK)的形式分发,涉及超过4.2亿次下载。
- Trojan模块可通过mini游戏和各种“奖励”吸引用户并收集设备信息。
- 移动应用开发者应谨慎检查SDK的功能,避免被恶意代码利用。
在Google Play上发现了一个Trojan模块及其多个变种,这可能意味着数百万Android用户正处于网络攻击的风险中。根据,这个Trojan模块以营销软件开发工具包(SDK)的形式分发,涉及至少4.2129亿次下载,涵盖了101个GooglePlay应用。
被称为“Android.Spy.SpinOk”,Dr.
Web报告称,该模块旨在通过迷你游戏、任务系统和各种“奖品”以及“奖励”抽奖来保持用户的兴趣。一旦初始化,这个恶意SDK会向一个命令控制服务器发送请求,包含大量感染设备的技术信息。该Trojan模块会忽略设备的代理设置,从而在安全团队的分析过程中隐藏网络连接。
Dr. Web表示,该模块随后从服务器接收一系列URL,并在WebView中打开这些链接以显示广告横幅。TrojanSDK扩展了在载入网页上执行的JavaScript代码的能力,加入了多种功能,包括:获取指定目录中的文件列表;验证设备上是否存在指定文件或目录;从设备获取文件;复制或替代剪贴板内容。
对于移动应用开发者而言,SDK用于完成特定的已知任务,无论是免费的还是付费的。Zimperium产品策略副总裁KrishnaVishnubhotla表示,然而,很多人并不总是会检查SDK可以执行的其他功能,尤其是当其在最终用户设备上的应用内运行时。
“恶意行为者并不会让这件事简单,因为大多数可疑活动代码仅在设备满足特定条件时下载,以避免被检测。”Vishnubhotla说道,“因此,对于源代码扫描器而言,SDK在大多数情况下看起来是无害的。如果是专有的SDK,那么你根本无法访问源代码。如今的SDK足够复杂,能够规避标准的检测机制。看不见的威胁往往是最危险的。对于移动设备,我们必须使用合适的移动专用工具,超越表面,覆盖静态和动态分析。”
Viakoo首席执行官BudBroomhead补充道,威胁行为者深深植根于某个特定的Android游戏细分市场,这些游戏声称能够为玩家赚钱。Broomhead表示,他们可能在这个细分市场中显现出来,是因为观察资金转移到银行账户的过程,或者威胁行为者可能会拥有可以进一步被利用的特定文件。
Broomhead指出,这421百万以上的下载数字与现实并不完全相符。他表示,如果全球约有20亿部Android手机和平板设备,那么这个间谍模块的安装次数达到421百万次,这意味着大约五分之一的手机受到影响。
“如果估算25%的应用只下载一次就不再使用的情况是准确的,那么依然有3.16亿次‘活跃’下载。”Broomhead说道,“在这种情况下,使用Wi-
Fi可能会带来一些好处。虽然应用可能会模糊设备的流量,但本地路由器及其防火墙可能提供一定的可追溯性和保护。使用多层网络安全措施可以帮助减少重大数据外泄事件的发生。”
通过提高用户意识和安全措施,我们可以更好地保护Android设备免受此类威胁的侵害。
