手電筒等22款Android程式暗藏木馬,下載已破200萬

資安業者Sophos上周揭露有22款Android程式含有木馬,可受到遠端C&C伺服器的操控,目前駭客主要的目的是利用它們來執行廣告點選詐騙,這些Android程式的總下載量已逾200萬次,當中光是Sparkle Flashlight手電筒程式的下載量即超過100萬次。Google在接獲報告後已於11月底將它們自Google Play上移除。

研究顯示,這些程式來自不同的開發人員,其中有3款存在Google Play上的時間超過1年,另外19款都是在今年6月才上架,但這3款老程式也是在今年6月才被注入惡意程式。

這批惡意程式會在每次手機重新啟動之後自動執行,就算是被使用者強制關閉,也會在3分鐘之後自行重新出現,它們都下載了廣告詐騙模組,每80秒就會接收來自C&C伺服器的指令。

其廣告詐騙手法是送出偽裝成其它程式及其它裝置的廣告請求,包括偽裝成來自iPhone 5到iPhone 8 Plus的點選,或是來自33種不同品牌的Android手機的點選,其中一個原因是這樣比較不容易被發現是廣告詐騙,另一個原因則是iPhone的廣告主通常願意支付更高的廣告費用,而帶來更多的廣告收入。

而在使用者的手機上,這些廣告並非以礙眼的全螢幕呈現,反之是透過隱藏的瀏覽器視窗,模擬使用者與廣告的互動來創造擊選數量。

儘管駭客的用意是訛詐廣告費,看似與手機用戶無關,但這些應用程式與C&C伺服器的通訊太頻繁,不但容易耗盡手機電池,也會加大數據傳輸量,此外,還可能成為下載及執行其它惡意程式的管道。

有趣的是,這些程式同樣也出現在蘋果的App Store中,卻未具備與Android版程式同樣的廣告詐騙功能,使得有媒體認為這再度證明了Google在程式市集的管控上仍比蘋果略遜一籌。

原文來自 iThome Online