近期，ESET的安全人員在Google Play應(yīng)用商店中發(fā)現(xiàn)數(shù)百款應(yīng)用感染了Porn clicker木馬。

[[163261]]

Porn clicker木馬主要是通過(guò)偽裝成受歡迎游戲應(yīng)用來(lái)實(shí)現(xiàn)感染，它使用與合法應(yīng)用十分相似的名稱和圖標(biāo)。例如，研究人員發(fā)現(xiàn)了30多個(gè)冒充的Subway Surfers游戲和60多個(gè)的GTA游戲。該木馬安裝后與合法的Subway Surfers或GTA并無(wú)任何共同點(diǎn)，甚至它沒(méi)有任何合法的功能，只是利用了一些廣為人知的游戲名稱，當(dāng)然，越有趣的名稱和圖標(biāo)就會(huì)帶來(lái)更多點(diǎn)擊量和安裝量，為開(kāi)發(fā)者帶去更多的利益。

圖一 GooglePlay中的惡意木馬

通過(guò)分析攻擊者服務(wù)器中的數(shù)據(jù)，研究人員發(fā)現(xiàn)了更多的Porn clicker木馬應(yīng)用(列表)。雖然很難確定這些應(yīng)用是否都發(fā)布在了Google Play應(yīng)用商店——也有可能只是托管在第三方應(yīng)用商店中，但是目前已經(jīng)在應(yīng)用商店中發(fā)現(xiàn)其中了187款。

有些Porn clicker木馬的版本實(shí)現(xiàn)了檢查設(shè)備上的殺毒軟件的功能，如果檢測(cè)到殺毒軟件，那么該木馬的惡意功能就不會(huì)被觸發(fā)。一旦安裝完成后，該木馬會(huì)隱藏其啟動(dòng)圖標(biāo)，但是仍然在后臺(tái)運(yùn)行，通過(guò)點(diǎn)擊劫持誘使用戶訪問(wèn)色情網(wǎng)站，獲取暴利。

最新版本的Porn clicker木馬的檢測(cè)列表中已經(jīng)包含了56個(gè)安全應(yīng)用。

圖二 殺毒軟件和安全應(yīng)用列表

如何保證安全

當(dāng)惡意軟件使用相同的名稱和圖標(biāo)偽裝成游戲的新版本時(shí)，安卓用戶應(yīng)該盡量閱讀用戶評(píng)論。在很多Porn clicker木馬應(yīng)用下，許多受害的用戶留下了負(fù)面的評(píng)論，以便其他用戶在安裝這些應(yīng)用之前能了解到其負(fù)面影響。無(wú)論用戶是否已經(jīng)安裝了該木馬，都應(yīng)該升級(jí)設(shè)備中的安全應(yīng)用，以阻止此類(lèi)木馬的威脅。

另外，如果開(kāi)啟了Google的“Verify apps”選項(xiàng)，那么久可以檢查到此類(lèi)Porn clicker木馬，并阻止其安裝。然而不幸的是，貌似只有已經(jīng)從應(yīng)用商店刪除的應(yīng)用才能被檢測(cè)到。

圖三 Google的應(yīng)用驗(yàn)證系統(tǒng)

總結(jié)

此前就應(yīng)經(jīng)發(fā)生過(guò)多次Pornclicker木馬事件，該木馬已經(jīng)感染了很多安卓設(shè)備。我們當(dāng)然希望此類(lèi)偽造的應(yīng)用不能再逃過(guò)應(yīng)用商店的評(píng)估系統(tǒng)，但是，由于提供廣告鏈接的服務(wù)器仍然可用，這可能不是我們最后一次經(jīng)歷Porn clicker木馬。