影響六百萬使用者的35個惡意防毒軟體
近日,研究人員從Google+Play/">Google Play Store發現了35個基於Android的惡意反病毒應用程式,這些應用已被全球超過600萬用戶下載安裝。大部分應用在過去幾年裡都未被發覺,悄無聲息的感染了數百萬使用者。
這些惡意應用會偽裝成合法的防毒軟體,同時執行各種惡意活動,如彈出不需要的廣告、竊取使用者的移動資料,或是產品本身就不具有安全防護功能。攻擊者通過刷下載和好評的行為為產品前期推廣贏得聲譽,藉以增加產品的下載次數。
這些應用除了會模仿合法的安全應用中存在的基本安全功能外,還經常將合法的應用檢測為惡意程式。此外它還會在受害者的手機中生成虛假的安全警報,迫使他們點選並獲得其他應用的許可。
根據ESET的分析,在這35款應用中,只有少數幾個對使用者來說是有用的,但它們也有各種各樣的問題:有一款應用需要付費升級後才能起到防護作用;有一個應用執行了一個原始而易於繞過的app-locker管理器;還有一個應用雖然將其他34個惡意應用標記為“危險”,但它本身也是個惡意軟體。
在這些假防毒軟體中,最基礎的安全功能和檢測機制都是不完善的,所以會產生大量誤報。
4種各類app中普遍存在的檢測機制分別為:
·白名單和黑名單——此機制的原理是將非常受歡迎的應用如Facebook,Instagram,LinkedIn,Skype等列入白名單,還有將少量應用黑名單。
· 許可權黑名單——所有的應用程式(包括合法的)如果需要一些列出來的被認為是危險的許可權,如傳送和接收簡訊,訪問位置資料,訪問攝像頭等,都會被標記出來。
· 來源白名單——除了來自官方Android商店Google Play的應用程式外,其餘所有應用都會被標記,即使它們完全是良性的。
· 活動黑名單——包含任何黑名單活動的應用程式。
研究人員表示,在這種情況下,本文中描述的35個偽安全應用並不是傳統意義上的勒索軟體或其他硬核惡意軟體,它們唯一的危害就是展示煩人的廣告。
當然,安全的防病毒軟體是絕對需要的,但並不是所有被命名為安全或防病毒的應用程式都能提供絕對的安全。