自从智慧型手机普及以来,不肖人士早已将手机作为自己「一展长才」的领域,尤其是自由度高的开放式 Android 系统,更是各显神通的舞台,Google 同时也在不断提高自家的安全防护技术以应对推陈出新的恶意入侵手段。近日安全研究单位发现从今年 1 月开始 Play 商店中的特洛伊木马渗透激增,其中最受欢迎的应用程式安装量超过 50 万次。
安全研究人员发现特洛伊木马隐身在 Google Play 商店的多款应用中
Dr. Web 的安全研究人员从 2022 年 1 月开起对行动装置上的病毒活动进行监测,发现 Google Play 商店中含有恶意软体的应用程式大多数都属於使用在各种骗局中的特洛伊家族,主要的危害在个人资料的窃取与经济损失方面。此外,还有一款新的 Android 木马以 WhatsApp 模组外挂的形式出现,透过在社群媒体上的发文、论坛与 SEO 病毒式行销推广在网路上传播。
首先看到 Dr. Web 在 Play 商店里面发现的木马应用程式,其中包含加密货币管理、社会服务援助工具、山寨版 Gasprom 投资工具、照片编辑器以及 iOS 15 主题桌面启动器等。
大多数假的投资应用会要求用户创建一个新帐号并储值据称用於交易的钱,而这笔钱只是存入诈骗者的银行帐户中;其他应用程式则是试图诱骗用户支付高额的订阅费用。被 Dr. Web 回报的应用大多数已经从 Play 商店中下架,这些应用程式下载安装後将载入联盟服务网站,并在诱骗受害者输入其电话号码後透过 Wap Click 技术启用付费订阅。
▲这些都是假的天然气投资类应用程式
Bleeping Computer 另外还在 Play 商店中找到一款已经有超过 50 万人下载的导航应用程式「Top Navigation」,这款应用中就包含有恶意病毒,但因为下载人数众多,使它成为安全危害的重要问题。
另外一款内含安全威胁的应用是由 Tsaregorotseva 开发的应用程式「Advice Photo Power」,这款相片编辑器已经有超过 10 万人次的下载量。该应用程式下方的使用者评论中有用户叙述了类似於订阅诈骗的策略,每周收取 2 美元宣称是授权或移除广告费用,但不提供任何真正的服务。
在这些木马威胁中最大的危害就是名为 GBWhatsApp、OBWhatsApp 或 WhatsApp Plus 的非官方 WhatsApp 模组外挂木马版本应用,这些模组提供阿拉伯语支援、主萤幕小工具、独立的底部栏位、隐藏个人状态、阻止呼叫以及自动储存收到的多媒体等附加功能。这些模组外挂由於提供了原先在 WhatApp 上面没有的附加功能而在线上论坛非常受欢迎。
但是,在特洛伊木马版本中,夹带在里面的恶意软体试图透过 Flurry 统计服务从 Google Play 商店和三星 Galaxy Store 应用程式中获取通知。此外,该特洛伊木马从从命令和控制伺服器接收的 URL 下载额外的 APK,并以 OBWhatsApp 更新的幌子请求使用者安装。接着,该应用程式将任意显示对话方块,其中包含远端动态设定和更新的内容,从而允许攻击者将使用者重新定向到恶意网站。
想要远离这些安全威胁最有效的办法,就是避免从不知名、不安全的来源下载 APK,即使在 Play 商店等知名平台下载前也要查阅底下的用户评论,安装时务必仔细检查应用向你索取的权限,并且在安装後密切监控电量与网路的使用量以揪出在背景运行的可能。此外,你一定要定期检查 Google Play Protect 的状态,如果预算许可且你经常会下载各式应用还可以安装信用良好的安全工具来增加第二层保护。