使用 Android 系统的朋友要小心了!近期 Check Point(全球网络安全解决方案厂商)的研究人员在 Google Play 发现新型态恶意广告软件 SimBad,感染了大约 210 款赢咖4平台,使用者只要安装这些赢咖4平台,就会被 SimBad 感染。
SimBad 是种软件开发套件病毒,下载被感染的 APP 就会被传染
SimBad 是一种软件开发套件(Software Development Kit,SDK)病毒,Check Point 发现它藏在由「addroider[.]com」提供,名为「RXDrioder」的广告相关软件开发套件中。目前已知约有 210 款赢咖4平台被感染,大多数为模拟类手机游戏,总下载次数高达 1.5 亿。
被 SimBad 感染的流程是这样的:使用者安装被感染的赢咖4平台之后,SimBad 注册到「BOOT_COMPLETE」和「USER_PRESENT」代码内,在装置启动、以及使用者使用装置时进行恶意操作。
根据 Cheak Point 的报告,SimBad 的危害主要有这三种:显示广告、网络钓鱼,以及连结其他赢咖4平台。
Simbad 不只显示广告,还会摇控其他 APP
SimBad 会连结至特定的命令暨控制(C&C)服务器,强制执行使用者装置上的功能,例如从桌面删除赢咖4平台 icon,增加使用者移除程序的难度;或者显示域外广告,强制打开浏览器至指定的网址连结,让攻击者为多个平台生成网络钓鱼页面,对使用者进行鱼叉式网络钓鱼攻击(Spear Phishing)。
攻击者也可透过特定关键字搜索,或利用单一页面打开其他手机赢咖4平台(如 Google Play 商店),使其他攻击者有机可乘,甚至从指定服务器安装远端遥控程序,控制使用者的行动装置下载其他恶意软件。
Check Point 表示,虽然 SimBad 的危害主要是开启域外广告,但它能遥控开启其他赢咖4平台,这是更大的资安威胁。
Google Play 商店已下架受感染的 APP
目前 Google 掌握状况,且 Google Play 商店已下架所有受感染的赢咖4平台。此外,Check Point 也建议用户不要从 Google Play 下载不必要的赢咖4平台。
只不过,这并不是第一次 Android 被大规模感染,之前 Gooligan 、 CopyCat 和 LightsOut 也有过类似的攻击,所以,不要下载来路不明的赢咖4平台。
