卡巴斯基实验室专家发现一款名为Guerilla的安卓木马程序,改程序会试图绕过Google Play商店的反欺诈保护机制。这种木马使用一个流氓Google Play客户端,其行为就像是一个真正的人在操作。这种假冒的应用能够让攻击者实施隐蔽地广告推广活动,利用受干扰设备下载、安装、评价和评论发布了Google Play上的移动应用。这种恶意软件只能绕过已root设备上的Google Play保护机制。
作为一个拥有数千万用户和开发者的应用平台,Google Play成为一个吸引网络罪犯攻击的目标。网络罪犯会利用Google Play应用商店进行所谓的刷榜行动,而这种行为在中国很普遍。这些欺诈广告行为的目的是推广一些合法应用,为这些应用打出高的评分,增加它们的下载率,对这些应用给出正面的评论。用来执行这些广告推广行动的应用通常不会给受感染设备用户造成“标准”的威胁,例如不会窃取用户的数据或资金。但是,这些应用对用户仍然有害:这些应用能够在受感染设备上下载其他附加应用,造成用户的移动互联网浏览增加,费用增加。有些情况下,刷榜应用除了能够安装免费应用外,还会偷偷安装付费应用,并且使用用户绑定Google Play账户的银行卡作为支付手段。
要实施这类行动,网络罪犯会创建多个假冒的Google Play账户,或者利用特殊的恶意软件感染用户设备,这些恶意软件会根据黑客发送的指令在Google Play上偷偷执行操作。
虽然Google采用了高强度的保护机制,能够检测和拦截假冒用户实施欺诈行为,但是Guerilla木马的作者似乎试图绕过这些保护机制。
这种木马会通过名为Leech的rootkit入侵目标设备。Leech是一种能够让攻击者获取受感染设备访问权限的恶意软件。这些权限能够让攻击者不受限制地操纵设备上的数据。此外,该恶意软件还能够让攻击者访问受害者的用户名、密码和验证凭证,而这些信息是应用同官方Google服务进行通讯所必需的,普通的应用在未root设备上根本无法访问这些信息。安装完成后,Guerilla木马会利用这些数据通Google Play商店进行通讯,表明上看就好像是真正的Google Play应用。
网络罪犯非常谨慎:他们会使用真实用户的验证数据,还会利用假冒的客户端向Google Play发送应用请求,这些请求看上去同真正应用发送的请求一样。
这款木马还有一个不同寻常之处,就是恶意软件编写者会试图模仿真正的用户使用应用商店的行为。例如,在要求访问某个特定应用页面之前,Guerilla木马会搜索类似的应用,就像真正的用户查找应用所采取的行动一样。
卡巴斯基实验室安全专家Nikita Buchka说:“Guerilla是首个试图欺骗和操纵Google Play应用商店的恶意应用,而且它实现的手段相对较为复杂,之前从未见过这种恶意攻击手段。这种攻击手段背后的思维非常清晰:Google能够很轻松地分辨出机器人向Google Play发送的请求,大多数已知的刷榜恶意软件只会向特定应用的特定页面自动发送请求。真正的用户不会这么做,所以Google很容易分辨出哪些请求不是来自真正的授权用户。但Guerilla木马在访问某个特定应用时,会首先搜索应用,这使得检测这种刷榜行为变得更为复杂,因为大多数普通用户就是这样使用Google Play的。值得注意的是,这种恶意软件只能够绕过已root设备上的Google Play保护机制。所以,这再一次提示我们,不要使用已root的安卓设备和平板电脑。”
为了保护自己以及基于安卓的移动设备不受恶意软件的侵害,卡巴斯基实验室专家建议用户采取以下措施:
· 限制从非官方应用商店安装应用
· 使用可靠的保护解决方案保护基于安卓的设备,全面抵御恶意软件和其他网络威胁
· 不要root安卓设备
声明:IT之家网站刊登/转载此文出于传递更多信息之目的,并不意味着赞同其观点或论证其描述。
网友评论