研究人员概述了两个独立的恶意广告系列,这两个系列总共感染了200多个安卓应用程序,超过了2.5亿的下载里程碑。
这两个分别专注于广告软件和数据捕获的广告系列,只针对安卓用户,通过欺骗开发者使用恶意软件开发工具包(SDK)来感染大量应用。
根据Check Point Research的数据,这两个比较突出的广告名为“SimBad”,已经感染了206个下载的应用程序,总共下载了1.5亿次,因为它们主要影响的是模拟游戏。
恶意软件本身存在于广告相关的“RXDroider”SDK中,由“addroider.com”提供,被大量开发者采用。
一旦用户下载并安装了受感染的应用程序,SimBad就会向设备注册,并允许自动操作。安装后,恶意软件随后与命令和控制服务器连接以接收订单。这些可能包括用给定的网址打开浏览器,并从启动器中删除应用程序图标。
该应用程序的三管齐下的功能包括显示广告、打开钓鱼页面和将用户暴露给其他应用程序。攻击者还可以从指定的服务器安装远程应用程序,从而可以自行决定进一步感染用户的恶意软件。
研究人员表示,“它有能力在范围之外显示广告,让用户接触其他应用程序,并在浏览器中打开网站”。“SimBad”现在被用作广告软件,但它已经拥有了进化的基础设施,并成为了更大的威胁。"
在昨天的第二份报告中,检查点研究也概述了“绵羊行动”。这涉及到一群安卓应用未经用户同意,大规模收集用户手机的联系方式。
这种恶意软件也被加载到为数据分析而构建的软件开发工具包中,到目前为止,已经在多达12个不同的安卓应用程序中出现过。这些已累计下载超过1.11亿次。
SWAnlaytics SDK已经集成到十几款在中国第三方应用商店(如华为应用商店、Xioami应用商店、腾讯MyApp)发布的看似无害的安卓应用中。
研究人员于2018年9月首次遇到感染样本,并追踪了一条数据捕获路径,这条路径通向汪顺科技拥有的服务器。根据Check Point Research的说法,一旦安装了恶意应用程序,整个联系人列表就会上传到公司的服务器上。
他们还在腾讯MyApp Store中指出,12款被感染的应用中有8款累计下载量达到1.11亿次。
“理论上,”研究人员推测,“汪顺科技可能收集了中国三分之一人口的姓名和联系电话,如果不是更多的话。”
他们补充说,汪顺没有关于数据使用的明确声明,也没有监管,这些数据很容易在地下市场交易,并以各种方式被滥用。这些可能从流氓营销到滥用朋友推荐程序。
研究人员表示:“与财务数据和政府发放的身份证件相比,个人联系信息通常被视为不太敏感的数据。
“根据公众的意见,使用这些数据需要额外的努力,而潜在的利润与黑客的努力并不一致。因此,不太可能成为目标。
“然而,随着地下市场日益专业化,以及可以从这些个人联系数据中获利的新“商业模式”,这种情况正在发生变化。”