研究人员已经概述了两个单独的恶意广告系列,它们共同感染了超过200个Android应用程序,这些应用程序已超过2.5亿下载里程碑。
分别以广告软件和数据抓取为中心的这两个广告系列仅针对Android用户,并且通过欺骗开发人员使用恶意软件开发工具包(SDK)来感染大量应用程序。
根据Check Point Research的数据,这两个被称为“SimBad”的更为突出的广告,因为它主要影响模拟游戏,已经感染了206个被下载的应用程序,总共下载了1.5亿次。
恶意软件本身存在于广告相关的“RXDroider”SDK中,由“addroider.com”提供并由大量开发人员采用。
一旦用户下载并安装了一个受感染的应用程序,SimBad就会将自己注册到设备并允许自动执行操作。安装后,恶意软件随后与命令和控制服务器连接以接收订单。这些可能包括打开具有给定URL的浏览器以及从启动器中删除应用程序图标。
该应用程序的三管齐下的功能包括展示广告,打开网络钓鱼页面以及将用户暴露给其他应用程序。攻击者还可以从指定的服务器安装远程应用程序,允许他们自行决定进一步感染用户的恶意软件。
研究人员表示,“有能力展示范围外的广告,将用户暴露给其他应用程序,并在浏览器中打开网址”,“SimBad”现在充当广告软件,但已经拥有了进化的基础设施成为一个更大的威胁。“
CheckPoint Research在昨天的第二份报告中也概述了“Operation Sheep”。这涉及一组Android应用程序在未经用户同意的情况下大规模收集用户手机的联系信息。
此恶意软件同样已加载到为数据分析而构建的SDK中,迄今为止已在多达12种不同的Android应用程序中看到过。这些已被集体下载超过1.11亿次。
SWAnlaytics SDK已经集成到在第三方应用商店(如华为App Store,Xioami App Store和腾讯MyApp)上发布的十几个看似无害的Android应用程序中。
研究人员首先在2018年9月遇到了感染样本,并追踪了一条数据抓取路径,该路径通向顺旺科技拥有的服务器。根据Check Point Research的说法,一旦安装了恶意应用程序,整个联系人列表就会上传到公司的服务器。
他们还在腾讯MyApp商店中指出,12个受感染的应用程序中有8个共同积累了1.11亿次下载。
“从理论上讲,”研究人员推测,“顺旺科技可能已经收集了三分之一的人口名称和联系电话,如果不是更多的话。”
他们补充说,顺旺没有明确的数据使用声明,也没有监管监督,数据很容易在地下市场内交易,并以各种方式滥用。这些可能包括从流氓营销到朋友推荐计划滥用。
“与财务数据和政府发布的件信息相比,个人联系信息通常被视为不太敏感的数据,”研究人员说。
“根据大众的看法,它需要额外的努力来利用这些数据,而潜在的利润与黑客的努力不相符。因此它不太可能成为目标。
“然而,随着地下市场的专业化程度不断提高,以及可从这些个人联系数据中获利的新”商业模式“,这种情况正在发生变化。”