據(jù)Bleeping Computer消息，追蹤移動(dòng)應(yīng)用生態(tài)系統(tǒng)的安全研究人員注意到，最近Google Play 商店的木馬滲透率激增，其中一款應(yīng)用的下載安裝量超過了50萬次。

這些發(fā)現(xiàn)來自Dr. Web，在今年1月份啟動(dòng)的調(diào)查中，他們發(fā)現(xiàn)這些應(yīng)用大多屬于具有詐騙性質(zhì)的惡意軟件，通常會(huì)導(dǎo)致用戶的經(jīng)濟(jì)損失及個(gè)人敏感信息的泄露。

Dr. Web 的分析師在Google Play上發(fā)現(xiàn)的惡意應(yīng)用包括加密貨幣管理程序、社會(huì)福利救助工具、照片編輯器、以IOS15為主題的啟動(dòng)器及Gasprom投資軟件的克隆版。對(duì)于虛假的投資類應(yīng)用，通常都會(huì)提示受害者創(chuàng)建一個(gè)新賬戶并存入資金用于交易，但這些資金只是轉(zhuǎn)移到詐騙者的銀行賬戶。其他應(yīng)用則試圖誘使用戶注冊(cè)昂貴的訂閱內(nèi)容。

虛假的Gasprom投資軟件

目前，Dr. Web 報(bào)告的大多數(shù)應(yīng)用程序都已從Google Play商店中刪除，但Bleeping Computer仍然找到了一款未被清理的惡意應(yīng)用，如導(dǎo)航軟件Top Navigation，其下載安裝量超過了50萬次。順著查閱該應(yīng)用的開發(fā)者Tsaregorotseva，Bleeping Computer發(fā)現(xiàn)了第二款惡意應(yīng)用Advice Photo Power，下載量超過 10萬次。

惡意導(dǎo)航應(yīng)用Top Navigation

惡意應(yīng)用Advice Photo Power

該應(yīng)用下的用戶差評(píng)揭示了類似于訂閱詐騙的策略，通過誘騙受害者輸入他們的電話號(hào)碼后，加載附屬服務(wù)網(wǎng)站并通過 Wap Click 技術(shù)啟用付費(fèi)訂閱。

根據(jù)Dr. Web 的報(bào)告，自1月以來發(fā)現(xiàn)的主要威脅是名為GBWhatsApp、OBWhatsApp 或 WhatsApp Plus等非官方 WhatsApp模組的木馬化版本，這些模組提供阿拉伯語支持、主屏幕小部件、單獨(dú)的底欄、隱藏狀態(tài)選項(xiàng)、呼叫阻止以及自動(dòng)保存收到的媒體等原版 WhatsApp 中沒有的附加功能，因而受到不少用戶青睞。但在這些木馬化版本中，捆綁的惡意軟件會(huì)嘗試通過 Flurry stat 服務(wù)從 Google Play 應(yīng)用商店和 Samsung Galaxy 應(yīng)用商店程序中獲取通知。

此外，在對(duì)OBWhatsApp的研究中，該木馬從命令和控制服務(wù)器收到的URL中下載一個(gè)額外的APK，并要求用戶以O(shè)BWhatsApp更新為幌子進(jìn)行安裝，以此用來任意顯示對(duì)話框，其特點(diǎn)是動(dòng)態(tài)設(shè)置和遠(yuǎn)程更新的內(nèi)容，使攻擊者能夠?qū)⒂脩糁囟ㄏ虻綈阂饩W(wǎng)站。

如何遠(yuǎn)離這些應(yīng)用程序?首先要避免從不知名的來源下載APK，并檢查用戶評(píng)論，在安裝時(shí)仔細(xì)檢查權(quán)限請(qǐng)求。此外，在之后的使用中要注意檢查電池和互聯(lián)網(wǎng)數(shù)據(jù)，看是否存在異常消耗。

此外，確保定期檢查Google Play Protect的狀態(tài)，并通過使用知名廠商的移動(dòng)安全工具增加第二層保護(hù)。

參考來源：https://www.bleepingcomputer.com/news/security/android-trojan-persists-on-the-google-play-store-since-january/