超过2500万台安卓设备感染「特工史密斯」病毒 印度等南亚地区是感染重灾区

作者:   杭州安恒信息技术股份有限公司广州分公司 2019/07/11 14:55:05 24次阅读 国际
文章来源:https://www.landiannews.com/archives/60783.html

        国外安全公司最近发现某个针对安卓设备的恶意软件,这种恶意软件主要在感染设备后隐藏自身并弹出广告。

        据统计目前已超过2500万台安卓设备糟糕该病毒的感染,这些设备不断地弹广告为背后的控制者带来收益。分析发现尽管特工史密斯病毒当前只是弹出广告进行获利,但该病毒也有能力劫持用户例如窃取银行凭证等。

        注:特工史密斯是知名电影《黑客帝国》中的虚构角色,在电影中这是个伪装成人类的电脑程序扮演代理人。

        通过具有诱惑类的图标诱导用户下载:
        特工史密斯系列病毒主要通过谷歌官方商店外进行传播,也就是依靠部分国家和地区的第三方商店进行下载。幕后控制者编写多个安卓应用程序并将其描述为免费成人电影、成人游戏、谷歌更新器、谷歌系统组件等等。

        通过这种方式将其上传到应用商店后诱导用户主动下载安装,成功安装后病毒会立即注册自启以及隐藏图标。接下来病毒模块开始工作,例如在屏幕上弹广告、强制安装广告应用甚至劫持其他应用程序的正常广告等等。


3fd777a267d693b0b2d093788af9c9d0.png


        即便用户卸载也无济于事:
        部分用户下载安装后发现没有图标可能意识到自己被骗,于是可能会转到应用管理中将异常的应用直接卸载。但实际上即便卸载安装的病毒加载器也无济于事,因为安装后病毒会立即将其他正常应用程序感染并替换掉。例如病毒有个模块是自动匹配已安装程序的信息并向其植入恶意模块,然后再使用病毒包替换正常的程序包。所以即便卸载异常应用也不太可能会发现正常应用也被感染,而且弹广告还可能认为是正常应用弹出的广告。
        在这个过程中攻击者还利用安卓系统高危漏洞Janus,该漏洞可绕过应用程序签名机制并向其添加任意代码。
        尽管谷歌两年前就把这个高危漏洞修复但绝大多数设备无法更新,因此漏洞被发现后就会存在继续影响安全。


feb2f78378a645e73dbc05af098e297d.png


        南亚地区是感染重灾区:
        能够感染千万级别的设备自然单个国家或地区是不容易的,特工史密斯病毒实际把南亚地区等用户作为目标。
        受感染最多的是印度合计被感染高达1500万台设备,孟加拉被感染250万台设备、巴基斯坦被感染170万台。
        攻击者甚至制作和感染360多种不同的应用,将正常应用篡改植入病毒模块是这次事件中攻击者的主要手段。这些带毒的应用被上传到第三方应用商店供用户下载,由于第三方应用商店审核不严问题导致感染规模扩大。特工史密斯病毒最早可以追溯到三年前,现在病毒开发者还将其控制服务器搬到亚马逊云计算平台进行托管。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室