超過 60,000 個 Android 應用程序在設備上悄悄安裝惡意軟件

最近，網絡安全研究人員發現在過去的六個月里，超過 60,000 款安卓應用偷偷偽裝成正版軟件。

已經確定這些惡意應用程序已經在不被發現的情況下秘密地將廣告軟件植入到毫無戒心的移動設備上。

就在一個月前，Bitdefender 在其 Bitdefender Mobile Security 軟件中整合了異常檢測功能，有效地識別出了這些惡意應用。

傳播

(相關資料圖)

該惡意軟件的分發形式多種多樣，據猜測該活動始于 2022 年 10 月，包括：

偽造的安全軟件

偽造的游戲破解補丁

偽造的作弊工具

偽造的 VPN 軟件

偽造的 Netflix 應用

第三方網站上的偽造實用工具應用

偽造的教程

無廣告的 YouTube/TikTok

偽造的視頻

惡意軟件會在用戶搜索應用、修改版應用、破解補丁和相關資源時出現，從而實現有機的傳播模式。

值得注意的是，針對修改版應用的市場越來越大且利潤豐厚，導致專門的網站致力于提供這些誘人的合集。

該惡意軟件活動已針對以下國家的用戶進行攻擊：

美國

韓國

巴西

德國

英國

法國

修改版應用的主要特點在于其能夠修改原始應用程序，從而完全訪問其功能或引入編程更改。

偷偷安裝并逃避檢測

Google Play 不受惡意應用程序的影響，因為它們更傾向于存在于通過谷歌搜索發現的第三方網站上，并通過 APK 文件吸引用戶。

在瀏覽這些網站時，可能會被重定向到展示廣告的網站，或遇到提示誘導您下載所需的應用程序。

根據 Bitdefender 的報告，這些下載平臺被有意設計為 Android 應用程序的分發中心，這些應用程序嵌入了惡意代碼，能夠在安裝后感染 Android 設備并植入廣告軟件。

為了避免獲取額外權限，這些應用程序在安裝后不會自動配置以啟動自動執行。

相反，它完全依賴于 Android 應用程序的常規安裝過程，在安裝后提示用戶手動 " 打開 " 應用程序。

此外，這些應用故意避免使用圖標，并巧妙地在應用程序的標簽中使用 UTF-8 字符，增加了它們的隱藏性并使其更難以識別。

這種情況具有雙重性質，因為它表示如果用戶忽略了在安裝后啟動應用程序，那么它被后續啟動的可能性會下降。

應用程序啟動后會立即生成一個錯誤消息，并向用戶提供以下通知：

" 該應用程序在您的地區不可訪問。點擊 " 確定 " 以卸載。"

Android 應用悄悄安裝惡意軟件

盡管表面上看起來如此，但該應用程序并不會自行卸載；相反，它會進入兩個小時的非活動階段，在此期間注冊兩個 " 意圖 "，以在設備啟動或解鎖時觸發其啟動。

在部署后，該應用程序將與攻擊者控制的服務器建立連接。從這些服務器上，它將開始獲取廣告 URL，這些 URL 將在以下位置展示：

移動瀏覽器

全屏 WebView 廣告

盡管目前惡意應用的主要功能是展示廣告，但研究人員警告稱，威脅行為者可以輕松將廣告 URL 替換為更具威脅性質的網站。

檢測到惡意域

下面，我們提到了所有檢測到的惡意域：

Konkfan [ . ] com

beahor [ . ] com

gogomeza [ . ] com

kenudo.net

ehojam [ . ] com

adc-ad-assets.adtilt [ . ] com

adc3-launch.adcolony [ . ] com

adservice.google [ . ] com

auction-load.unityads.unity3d [ . ] com

config.unityads.unity3d [ . ] com

googleads.g.doubleclick.net

httpkafka.unityads.unity3d [ . ] com

pagead2.googlesyndication [ . ] com

publisher-config.unityads.unity3d [ . ] com

Wd.adcolony [ . ] com

IOCs

以下是 IOCs（指示性危險指標）：

53f3fbd3a816f556330d7a17bf27cd0d com.contec.aflwallpapers4k

a8b18a67256618cf9dcd433a04448a5b com.deadsimpleapps.all

53406cc4b3ced24152860a7984d96dbf com.devindie.appfacil

c1d312818d07cddb76d2bece7ad43908 book.com.ram.app

4df8c05d0e323c5aeeb18c61e3c782c6 com.alamincarectg.app

d6e33f7b6ff314e2b61f54434a77e8f0 stickers.russia2018

8ec0432424da16eb8053453f0ce0731a net.playtouch.connectanimalsok

db9f921ccecdef6cd8fb7f5cb0a779d2 com.advfn. Android.ihubmobile

1313fa114436229856797384230a0a73 com.deadsimpleapps.all

3050f562374b275f843f6eb892d2f298 edu.cpcc.go

400568ea7406f4d3704fb4c02682313a com.ik.class3pdf

7a1efcc701f10d2eef08a4f4bcf16fc2 ir.amin.rostami

84aed79a10dd21e0996e08ba0c206965 com.alamincarectg.app

4376ecd8add3622c2793239f658aa5e6 com.fhuchudev.apyarcardownload

8fcc39166b1a8c29fba3f87307967718 book.com.ram.app

b7fb1fa1738c5048cecbe73086823843 com.kacyano.megasena

fd37ff8ded80e9fe07004e201422a129 com.ikeyboard.theme.tiedye.neon.weed

ef83a9b6ffe20b3abdba08a6517b08f0 studio.harpreet.autorefreshanywebsite

319421d550ff761aa4ac2639b3985377 com.mdpabhel.autowebpagereloader2022

7e3fa8b054346c013a8148d76be81a48 uz.pdp.ussds11

60bae94bfa0c79c19fcc19bc5a9fb8e6 com.alamincarectg.app