您的移動防病毒應用程序帶來的是保護還是攻擊?DU Antivirus Security 真相揭秘
2017 年上半年,在美洲發生的所有網路攻擊中,移動攻擊佔比近 20%,用戶經常接到警告,讓他們小心那些會影響其數據和隱私的安全風險,並安裝安全軟體來保護其設備。但如果防病毒解決方案並不可信,而且實際還會侵害用戶隱私,又會是何種局面?
Check Point 移動威脅研究人員最近發現,一款免費移動防病毒應用程序會在未經設備所有者同意的情況下收集用戶數據,該應用是由 Android 應用程序開發者 DU 所開發。根據 Google Play 數據,該應用名為DU Antivirus Security,通過 Google 官方應用商店 Google Play 發布,並擁有 1000 萬 到 5000 萬 次的下載量。
據 Check Point 研究發現,DU Antivirus Security 應用在首次運行時會從設備收集信息,例如唯一標識符、聯繫人列表、通話記錄,而且還可能收集設備位置。該應用會對信息加密並發送到遠程伺服器。隨後,DU 集團另一款名為「Caller ID & Call Block – DU Caller」的應用程序將利用該客戶信息,為用戶提供來電信息。
用戶相信 DU Antivirus Security 能夠保護私人信息,事實卻完全相反。其未經許可擅自收集用戶的個人信息,並將該私人信息用於商業目的。這款應用會記錄您的私人電話、通話對象和時長等信息,以備日後使用。
圖 1:Google Play 上的 DU Antivirus Security 應用
2017 年 8 月 21 日,Check Point 向 Google 報告了該應用程序非法使用用戶的私人信息,2017 年 8 月 24 日,該應用從 Google Play 移除。2017 年 8 月 28 日,不包含有害代碼的新版本重新上傳到 Play 商店。最新一版包含隱私泄露代碼的 DU Antivirus Security 版本號為 3.1.5,但舊版本可能仍包含此代碼。
除 DU Antivirus Security 之外,Check Point 研究人員在其他 30 個應用中也檢測到相同代碼,其中 12 個出現在 Google Play 上,隨後也已移除。這些應用程序可能會以外部庫的形式實施代碼,並將盜用數據傳輸至 DU Caller 所用的同一遠程伺服器。總而言之,根據 Google Play 數據,安裝這些應用後感染該非法代碼的用戶人數高達 240 萬至 890 萬。
用戶如果安裝 DU Antivirus Security 或任何其他有害應用,應確保升級至不含此代碼的最新版本。
由於防病毒應用有正當理由請求異常廣泛的許可權,因此在企圖濫用這些許可權的詐騙者眼中,防病毒應用就是他們最好的掩護。在某些情況下,移動防病毒應用甚至被用作傳播惡意軟體的誘餌。用戶應該留意這些可疑的防病毒解決方案,並且在使用移動威脅防護機制時,僅選擇信譽良好且確實能夠保護移動設備及其中所存儲數據的供應商。
技術細節:
DU Antivirus Security 應用程序在第一次運行時會從用戶設備上竊取信息。之後將失竊信息發送到名為 caller.work 的伺服器,該伺服器並未在 DU 應用程序中註冊。但是,該域有兩個子域,表明它確實連接到 DU Caller 應用程序。首先,子域 http://reg.caller.work/是個 PHP 網頁,指定的主機名為:us02-Du_caller02.usaws02,其中包含 DU Caller 應用程序的名稱。(有關完整的技術報告,請參閱 Check Point Research)
另外,子域 vfun.caller.work 的主機使用 IP 47.88.174.218,這是個私人伺服器,也是域 dailypush.news 的主機伺服器。該域註冊在 zhanliangliu@gmail.com名下,這是一名百度員工,其曾使用相同的郵件地址發布過有關解析電話號碼的帖子 (http://zliu.org/post/python-libphonenumber/)。由於 DU 應用程序屬於百度公司,並且該帖子涉及與 Caller 應用程序相關的功能,因此很顯然失竊信息和這款應用之間存在關聯。
圖 2:DU Antivirus Security 應用和 Caller 應用之間的聯繫
DU Caller 應用的隱私政策在不同頁面上顯示不同的條款,而且無論用戶同意與否,都會執行其活動,因此早已因為隱私政策模糊不清而為人詬病。去年,獵豹移動 (Cheetah Mobile) 的防病毒應用 (Anti-Virus) 曾因提供可能違反隱私規定的服務而面臨類似指控。
※SonicWall推出前所未有的無線、移動和有線網路安全產品加速創新
※什麼是多雲?雲計算的下一步
※曙光榮膺「2017中國大數據產業應用10強企業」
※安全、互聯 全新一代大機IBM Z具有怎樣的現實意義
※從雲、大數據到人工智慧 保險行業踐行數字化轉型
TAG:至頂網 |