百萬 Android 用戶受感染！

關鍵時刻，第一時間送達！

還是在 Google 官方商店 —— Google Play 上！

作者 | 言則

責編 | 沭七

「開源」的 Android 系統一直很受惡意軟體的青睞。

近年來，一樁樁漏洞事件影響範圍不斷擴大，包括允許惡意攻擊者繞過應用程序的簽名、並將惡意代碼植入 Android 應用程序的 Janus 漏洞，允許遠程代碼執行、影響超 10 億用戶的 Stagefright 漏洞等等，不勝枚舉。僅 2017 年，Android 用戶感染的惡意軟體數就高達 2.14 億，並且在以驚人的速度持續增長。各種入侵方式更是五花八門，防不勝防——即使是在 Google 官方商店 Google Play 上也無法避免。

據外媒 ZDNet 近日報道，一個名為 Andr / HiddnAd-AJ 的惡意應用程序，通過複雜的技術偽裝成功上線了 Google Play，目前已經感染了至少 100 多萬個 Android 用戶系統。

流氓軟體的偽裝技術越來越高超了。

通過將惡意軟體偽裝成一系列看起來正常的應用程序，攻擊者向 Android 系統受害者發送了大量的廣告。

這些軟體潛伏在 Google Play 商店中，並偽裝成七個不同的應用程序——六個二維碼識別器和一個「智能指南針」。通過巧妙的編碼方式和延遲響應速度來隱藏攻擊意圖，從而成功地繞過系統安全檢查。

當第一次運行惡意應用程序時，它會由背後的伺服器向主頁發送配置信息。最重要的是，為了隱藏攻擊意圖，在安裝完成的頭 6 個小時內，受感染設備上不會運行任何惡意操作。一旦前幾個小時的潛伏期過去了，伺服器的配置下載就會運行起來，提供 URL、消息、圖標和鏈接列表——感染方式包括引導廣告軟體下載，用全屏廣告轟炸手機，或者轉到廣告網頁的鏈接界面，發送包含廣告相關鏈接的各種通知。

此外，惡意軟體還會將廣告軟體的代碼嵌入到應用程序文件的標準 Android 編程庫中，並且還會添加一個看起來無害的「圖形」部分，包含獲取運行惡意廣告所需的所有信息和文件的說明。

攻擊者的所有手段都是為了生成「點擊收入」，即使應用本身並未正常運行，只要受感染用戶點擊了就會為其帶來相關資金收入。

上圖是一些用於傳遞垃圾廣告的惡意應用程序。這些「偽裝」的應用程序極具通用性，所以用戶在下載時會比較隨意，謹慎性不夠就很容易中招。

SophosLabs 的研究人員表示，這個被稱為 Andr / HiddnAd-AJ 的惡意軟體至少已經感染了至少一百萬用戶（有更可能更多），其中一個應用的下載量甚至超過了 50 萬次。

在發現這些惡意應用程序的第一時間，Sophos 就向谷歌發出了通知，谷歌現在已經從 Play 商店刪除了這些應用程序。

儘管谷歌還未發現這些應用程序的惡意特性，但 Sophos 建議，Android 用戶最好從 Play 商店下載應用，因為這比從第三方 Android 應用程序商店下載要安全得多。而且通過 Play 商店下載，如果惡意應用漏洞百出，用戶還可以幫助 Google 提醒威脅的存在。

Sophos 高級技術專家 Paul Ducklin 表示，「如果你在 Play 商店發現一款惡意軟體，根據計算機安全原則，即使只對其中一人造成了傷害，也是值得報告的。」畢竟，如果報告有助於說服 Google 刪除違規應用程序，那麼這很好的防止了其他人下載它。

對此次的惡意軟體問題，Google方面並未有任何回應。

但是，在Google的最近一份報告中提到，事實上 99％的應用程序都含有惡意內容，但是絕大多數用戶仍然是可以安全使用惡意軟體的。儘管如此，如果用戶群體規模巨大，那麼就算只有一小部分惡意應用程序通過網路無意中招，也會導致數百萬用戶利益受損。

參考鏈接：

http://www.zdnet.com/article/android-malware-found-inside-apps-downloaded-500000-times/

https://www.engadget.com/2018/03/26/android-malware-in-qr-code-apps/

https://www.digitaltrends.com/mobile/qr-reader-malware-google-play/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！