俄罗斯反病毒软件公司Dr.Web的安全专家于上周在Google Play商店中发现了三种新的Android木马病毒,分别被检测为Android.Click.415、Android.Click.416和Android.Click.417。用于传播木马病毒的恶意应用伪装成了合法的Android应用,在安装之后能够接受攻击者的命令加载和显示任何网页。Dr.Web的安全专家表示,这个功能可被用于发起网络钓鱼攻击。
安全专家表示,检测到的恶意应用与合法的应用程序具有相同的名称和相似的图标。就拿Android.Click.415来说,用于传播该木马的恶意应用模仿了几款流行的合法Android应用,如QIWI app(俄罗斯支付服务提供商)、Odnoklassniki和VK(俄罗斯流行社交网络)以及NTV(俄罗斯独立电视台)。
当恶意应用每次启动时,它们都会连接到命令和控制(C&C)服务器。服务器会响应“无(none)”参数,或发送由攻击者指定的网页链接。当收到参数时,恶意应用会从其资源中提取多个图像并将其显示给受害者。
如果恶意应用从C&C服务器接收到的是网页链接,它们将加载网页并显示它。然后,通过WebView直接在应用程序中打开该页面。在这种情况下,这些网页可能是某些网上银行系统或社交网络的虚假登录界面,这使得受害者面临网络钓鱼攻击风险。
接下来,让我们来看看被检测为Android.Click.416和Android.Click.417的木马病毒是如何运作的。
Dr.Web的安全专家共发现了70多款用于传播这两种木马病毒的恶意应用,下载量超过27万。与传播Android.Click.415的恶意应用类似,它们也伪装成了某些合法Android应用,这些应用可能是某些手机游戏、菜谱大全和编织手册应用程序。
与Android.Click.415一样,在受害者设备上建立立足点之后,Android.Click.416和Android.Click.417也会通过接受来自C&C服务器的命令响应来显示任意网页。
另外,在Dr.Web安全专家的发现中,至少有4名软件开发者参与了这些木马病毒的分发活动。他们在Google Play商店的用户名分别是:Tezov apps、Aydarapps、Chmstudio和SVNGames。
Dr.Web目前已经将这些发现向谷歌团队进行了通报,并同时提醒各位用户,即使是从Google Play商店等可靠来源下载应用程序,也需要注意软件开发者的名称以及软件描述下方的评论。