安全研究人员在下载配置文件后显示了激进的全屏广告时,观察到总共安装了210万以上的十二种恶意Android应用程序。
在8月下旬在Play商店中发现了这25个应用程序,这些应用程序在安装后立即没有表现出任何恶意行为,随后将下载可打开其“邪恶”模式的恶意软件配置文件。
这些将告诉捆绑的恶意软件组件启用旨在隐藏应用程序图标的模块,并开始显示广告,从而允许恶意软件开发人员使用被感染的Android设备赚钱。
恶意应用安装了500,000次
绕过Google Play保护
通过确保恶意功能未在提交给Google的APK(Android套件工具包)中未进行硬编码,在成功登陆Play商店后,9月2日向Google报告后,所有25种伪装成时尚和照片实用程序的应用程序均已被删除。评论。
赛门铁克威胁情报小组说:“相反,该开关通过下载的配置文件进行远程控制,从而使恶意软件开发人员可以逃避Google Play的严格安全测试。”
“这25个恶意隐藏应用程序共享相似的代码结构和应用程序内容,这使我们相信开发人员可能属于同一组织组,或者至少使用相同的源代码库。”
为了避免其应用程序被识别为恶意软件,威胁行为者使用初始化矢量和加密密钥对恶意软件源代码中的某些关键字进行编码和加密,从而能够绕过基于规则的检测引擎,以检测潜在的反恶意软件解决方案。设备。
恶意软件配置文件
随机显示的广告,滥用排名榜
这些应用程序的设计宗旨是:先通过删除其图标将其隐藏起来,然后即使这些应用程序已关闭,也开始在受感染的设备上展示广告。
赛门铁克的报告说:“全屏广告以随机的间隔显示,在广告窗口中没有注册任何应用程序标题,因此用户无法知道哪个应用程序负责该行为。”
恶意软件配置文件
附带说明一下,这些应用程序背后的开发人员之一采用了一种创新方式将恶意应用程序部署到目标设备上:他向商店发布了两个相同的应用程序,其中一个干净,另一个带有捆绑的恶意代码。
干净的版本被晋升为Play商店的“热门应用程序”类别,希望该恶意副本也将被偶然安装,并用侵略性的广告推送恶意软件感染用户。
危害指标(应用程序ID,哈希,下载计数)
Symantec Threat Intelligence团队分析结束时,将提供25个恶意应用程序中每个应用程序的危害指标(IOC)的完整列表,包括应用程序ID(程序包名称),哈希,开发人员名称和下载计数 。
转发是对我们最大的鼓励
点个在看吧↓
原文始发于微信公众号(红数位):恶意Android应用居然使用远程命令逃避了Google Play保护
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论