雖然Android一直不違餘力地保持官方應用程式平台Google Play的安全,但惡意程式的入侵在今年也有加速的趨勢,儘管2023年仍未完結,根據已發現的個案,已經能夠計今次從官方平台上下載到惡意程式的數量將超過6億次。
5萬次下載:iRecorder的竊聽
首先舉出一個比較「溫和」的個案,iRecorder作為Android智能手機上的螢幕攝錄應用程式,早在2021年9已經上載到Google Play,然後到2022年8月開發者加入惡意功能遙距存取木馬程式AnMyth的編碼,可以每15分鐘從米高峯記錄的錄音傳送到開發者的伺服器,直至2023年被研究人員發現,累計下載超過5萬次。這個案正好顯示了惡意應用程式潛入Google Play的方法,首先上載無害的應用程式以通過檢查,等應用程式有一點聲譽之後(可能數月或數年),便透過更新加入惡意的功能。
62萬下載:Fleckpe訂閱木馬
同樣在2023年5月,Kaspersky的研究人員在Google Play上發應幾款含有Fleckpe訂閱木馬的應用程式,當時已累積超過62萬次下載,那些應用程式由不同開發者上載,也是另一種常見的策略,網絡犯罪份子製作幾個開發者帳號,即使一個未能過關被攔截,仍有其他類似的應用程式在其他帳號上。當執行惡意應用程式後,主要的惡意內容便會下載到受害者的智能手機,木馬程式會與C&C伺服器連線,傳輸國家與流動網絡的資料,因應有關資料,伺服器送出運作的指示。Fleckpe會在用戶不察覺的情況下打開付費訂閱的網頁,然後攔截確定碼,為受害者訂閱不需要的付費服務。
150萬下載:個人資料間諜程式
在2023年7月Google Play上找到兩款檔案管理應用程式,其中一款有100萬次下載,另一款50萬次下載,雖然開發者自稱不會收集任何數據,但研究員發現兩者都會把大量用戶資料傳送到位於中國的伺服器,包括聯絡人、實時地理位置、智能手機型號和流動網絡數據、相片、音效和視訊檔案等等,更為了被用戶移除安裝,受感染應用程式會隱藏自己的桌面圖示,也是流動惡意程式創造者的常用手法。
250萬下載:背景廣告程式
就在不久前的2023年8月,研究人員發現了多達43個應用程式,包括TV/DMB播放器、音樂下載器、新聞和日曆等等,在螢幕關閉時偷偷載入廣告,從背景為攻擊者帶來利益,應用程式會要求用戶把程式加入排除省電清單之外,受害者的電量明顯受到影響。在累計250萬次下載中,主要針對的目標是韓國人。
2000萬下載:詐騙獎勵應用程式
一項在2023年初發表的研究揭示,Google Play上幾款合共累計超過2000萬次下載的應用程程,聲稱是健康追蹤器,承諾在步行和其他活動後提供現金獎賞,以及觀看廣告和安裝其他應用程式,更準確來說,用戶只是被贈送點數,然後「理應」可以轉換為真錢,但最大的問題是,要取得獎賞需要超大量的點數,基本上是無法達成。
3500萬下載:內含廣告的《Minecraft》複製版
惡意遊戲也瞄準了Google Play,而主要的目標仍然是《Minecraft》的玩家(並非首次發生),作為全球最受歡迎遊戲之一,在2023年4月從Google Play上找到38款《Minecraft》複製版,合共累計3500萬次下載,而應用程式中隱藏廣告程式「HiddenAds」。當被感染的惡意程式被啟動,便會在用戶不察覺的情況下「展示」隱藏的廣告,看似對用戶沒有多大損害,其實會影響裝置效能和電池壽命,而攻擊者則能從中獲得金錢利益。
1億下載:數據收集和點擊詐騙
同樣在2023年4月,從Google Play上發現了60款含有廣告程式Goldoson的應用程式,它們合共累積超過1億次下載,而且在韓國知名平台ONE store也錄得800萬下載。那些應用程式同樣在背景打開隱藏的網頁,同時會收集用戶數據,包括安裝的應用程式、地理位置、裝置經Wi-Fi和藍芽連接智能電話的地址等等。Goldoson似乎已經感染了很多正常開發者使用的library,令他們的應用程式含有惡意功能而不自知。這也是另一種常見手法,不親自推出應用程式,而是製作受感染的library然後假借他人之手令應用程式上架。
4.51億下載:迷你遊戲廣告和數據收集
本年數量最大的個案是在2023年5月發現,涉及101款Google Play上的應用程式,累計下載量高達4.21億次,它們全部都使用SpinOk code library,事件曝光後不久,有其他研究人員發現另外92款同樣使用SpinOk library,下載數量3000萬,即是接近200款含有SpinOk編碼的惡意應用程式被發現,合共4.51億次下載,再次顯示危險編碼經由第三方library進入應用程式的危險。
表面上應用程式顯示入侵式的迷你遊戲推廣現金獎賞,其實背後收集和發送用戶資料和檔案到開發者的C&C伺服器。
防範隱身Google Play的惡意程式
上述個案並非全部2023年Google Play上的全部,只是部份比較奪目的個案,重點是即使從官方平台下載也不要掉以輕心:
- 每次下載新應用程式,小心檢查是否在官方平台上的「真貨」,尤其開發者名稱,不少不法之後複製知名應用程式來混水摸魚。
- 不如只看應用程式評分和留言,因為都很容易做假,注意留言上低分的負評,通常應找出應用程式的真正問題。
- 在Android裝置安裝可靠的保安方案,當木馬程式嘗試潛入裝置時會發出警告。
資料來源:Kaspersky Blog
