Google在今個月內,第二次出手移除在Google Play市集內的惡意應用程式,這次是繼移除木馬程式Dvmap之後,移除內含Ztorg木馬病毒的「Magic Browser」和「Noise Detector」兩款應用程式,事件同事揭露了網絡罪犯逃避Google Play上架前的惡意程式掃瞄,潛伏在用戶裝置的新方法。
上載潔淨版逃避偵測
這次被刪除的兩款惡意應用程式,Magic Browser是一款模仿Chrome的瀏覽器,自從5月15日上架以來總共被安裝超過5萬次,期間並沒有進行任何更新。Noise Detector則自稱可以量度噪音,在5月20日上架,下載次數超1萬,研究人員指此應用程式原本打算行rooting版的Ztorg木馬程式,收藏在加密的模組內,只是暫時仍未開始解密而已。
根據研究人員的分析,網絡罪犯為了逃避偵測,上載的版本並非全部都含有惡意程式,初期只上載「潔淨版」該Google偵測,隨後再逐步在更新中加入惡意程式的內容,研究人員估計,如果以上應用程式沒有被Google刪除,下一個更新可能便會觸動rooting惡意程式。
發送收費SMS謀利
如果Ztorg木馬程式一經發動,它便會收集裝置的資料,再發送到網絡罪犯的C&C伺服器,然後便開始成為罪犯的「提款機」。最簡單的方法是利用Ztorg的SMS功能,關閉SMS提示聲,發送收費的SMS討息,甚至刪除收到的SMS訊息,這種謀利的方式經常被黑客所利用,因為最為簡單直接,在去年利用《Pokemon Go》的熱潮,吸50萬用戶下載的「Guide for Pokemon Go」惡意應用程式,也同樣用上Ztorg木馬程式。
Ztorg木馬病毒持續在Google Play市集內出現,而且不斷嘗試使用新技倆去逃避偵測,感染的裝置和OS版本越來越廣泛,所以在下載應用程式時並沒有問題,也無法保證一直都是安全的應用程式,Google和保安研究人員時刻需要保持警惕,主動出擊才能保護用戶裝置的安全。
資料來源:Threat Post