Bitdefender 安全研究人员在 Google Play 商店中发现了一批新的 35 个恶意 Android 应用,总下载量超 200 万次。
这些应用程序通过假装提供一些专门的功能来引诱用户安装它们,但在安装后立即改变其名称和图标,使它们难以被发现和卸载。并通过滥用 WebView 向用户提供侵入性广告;由于这些应用程序使用自己的框架来加载广告,因此可能会在受感染的设备上投放额外的有效负载。
根据介绍,这些广告软件应用程序实现了多种方法来隐藏在 Android 上,甚至接收以后的更新,以便更容易隐藏在设备上。安装后,这些应用程序通常会有一个齿轮图标并将自身重命名为 “Settings”,以逃避检测和删除。如果用户点击该图标,应用程序会启动大小为 0 的恶意软件应用程序以隐藏在视图中。然后该恶意软件启动合法的 Settings 菜单,欺骗用户以认为他们启动了正确的应用程序。
在某些情况下,这些应用程序会呈现摩托罗拉、Oppo 或三星系统应用程序的外观。恶意应用程序还具有大量代码混淆和加密功能,以阻止逆向工程工作,将主要的 Java 有效负载隐藏在两个加密的 DEX 文件中。这些应用程序向用户隐藏的另一种方法是将自己从 “最近的应用程序” 列表中排除,因此即使它们在后台运行,暴露活动进程也不会显示它们。
35 款恶意安卓应用的下载量从 1 万到 10 万不等,总下载量超过 200 万次。其中最受欢迎的是以下几款,每款都有 10 万的下载量。如下所示:
- Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
- Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
- Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
- Engine Wallpapers (gb.helectronsoftforty.comlivefour)
- Stock Wallpapers (gb.fiftysubstantiated.wallsfour)
- EffectMania – Photo Editor 2.0 (gb.actualfifty.sevenelegantvideo)
- Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincingeight)
- Fast Emoji Keyboard APK (de.eightylamocenko.editioneights)
- Create Sticker for Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix)
- Math Solver – Camera Helper 2.0 (gb.labcamerathirty.mathcamera)
- Photopix Effects – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo)
- Led Theme – Colorful Keyboard 2.0 (gb.theme.twentythreetheme)
- Animated Sticker Master 1.0 (am.asm.master)
- Sleep Sounds 1.0 (com.voice.sleep.sounds)
- Personality Charging Show 1.0 (com.charging.show)
- Image Warp Camera
- GPS Location Finder (smart.ggps.lockakt)
科技网站 Bleeping Computer 就此事联系了 Google。并指出,截至发稿时 “Walls light – Wallpapers Pack”、“Animated Sticker Master” 和 “GPS Location Finder” 仍可在 Play 商店中使用。其余列出的应用程序可在多个第三方应用程序商店(如 APKSOS、APKAIO、APKCombo、APKPure 和 APKsfull)上获得,但显示的下载次数来自它们在 Play 商店中的时间。
也就是说,如果你过去安装了这些应用程序中的任何一个,应该立即从设备中找到并删除它们。由于这些应用程序将自己伪装成设置,因此在这种情况下,运行移动 AV 工具来定位和删除它们可能会有所帮助。