Harly:Google Play上的訂閱器木馬程式

惡意程式在官方平台Google Play上都盡力偽裝成無害,而且很不幸,即使平台如何努力,很多時都只能事後把惡意程式移除,當中最為氾濫的可算是訂閱器的木馬程式,在用戶不知道的情況下訂閱收費服務,Harly正是其中之一,也是惡名昭彰的Jocker Trojan的變種。

低調的Harly木馬程式

自從2020年起,超過190款被Harly感染的應用程式被發現在Google Play之上,精略估計下載次數接近480萬次,真實數字可能更高。一如Joicker Trojan,Harly家族模擬合法的應用程式,騙徒會從Google Play下載原本的志用程式,然後加入惡意編碼,再以不同的名字上載到Google Play上,應用程式可能仍存有列舉的功能,令用戶不察覺當中的威脅。

大部份Jocker家族的成員都是多階段的下載工具,從騙徒的C&C伺服器下載惡意內容,但Harly家族則在應用程式內含有全部惡意內容,使用不同的方法解密和啟動。

Harly的運作方法

就以一個名為com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7)的應用程式為例子,一款照明應用程式在Google Play上累積超過1萬次下載。當應用程式啟動時,會讀取一個狡滑的library,該library會在應用程式資源中解密檔案。惡意程式製作者懂得使用GoRust語言,但直至現在他們的技技只限於解密和讀取惡意SDK。

一如其他訂閱器木馬程式,Harly收集用戶裝置的資料,尤其關於流動網絡的部份,當電話轉到流動網絡,木馬程式便會要求C&C伺服器設定必需駐冊的訂閱清單。例子中的木馬程式只對泰國營運商有效,它會檢查MNCs (Mobile Network Codes),以確保網絡營運商屬於泰國公司,然而在測試的部份則彩用中國的電訊碼46011,顯示惡意程式開發者很可能位於中國。

木馬程式在一個隱形的視窗打開訂閱地址,透過注入JS腳本輸入用戶的電話號碼、點選需要的按鍵和從短訊輸入確定碼,結果是用戶在不知情的情況下訂閱了收費服務。另一個令人注目的地方,是木馬程式不但能通過以短訊形式發送確定碼的訂閱程序,電話聯絡的方式也能夠通過,木馬程式懂得致電特定碼號以確定訂閱。

防範訂閱器木馬程式

Kaspersky的產品現時已能偵測有害的應用程式為Trojan.AndroidOS.Harly和Trojan.AndroidOS.Piom,安裝可靠的保安方案依然是防範的首選,此外,官方平台一直持續與惡意程式的散播對抗,儘管不是經常成功,但用戶在安裝應用程式前,不妨先查看Google Play上的評語和評分,當然仍要小心做假的情況。

資料來源:Kaspersky Blog