互联网

应用内的无障碍服务被滥用,恶意应用传播虚假评论

来源:网络    作者:      2020-02-10

导语:

卡巴斯基研究人员检测到一款木马应用,该木马会使用未经请求的广告恐吓用户,并提升在线购物应用程序的安装数量,同时欺骗了用户和广告商。

这种恶意应用会访问智能手机的应用商店,下载和启动应用程序,并以用户的名义留下虚假的评论,而设备所有者对此浑然不知。

随着冬季销售季的带来,用户和品牌商家都需要保持警惕。在选择在线商店时,用户严重依赖评论,而零售商则会增加促销和广告预算。但事实证明,上述两者都不能完全相信他们在网上看到的东西,因为一个新的木马应用程序正在提高流行的购物应用程序的评级和安装数量,并传播可能使用户烦恼的大量广告。

这款木马被称为“购物者(shopper)”,其在广泛使用混淆技术以及谷歌无障碍服务后最早引起了研究人员的注意。该服务允许用户设置语音以读出应用内容,并自动与用户界面交互,这些功能旨在帮助残障人士。当时,在攻击者手中,这些功能对设备所有者构成严重威胁。

一旦它获得了使用该服务的权限,恶意软件就可以获得几乎无限的机会与系统接口和应用程序进行交互。它能够捕获屏幕上显示的数据,按下按钮,甚至模拟用户手势。目前尚不清楚该恶意应用程序是如何传播的,但卡巴斯基研究人员认为,可能是设备所有者在试图获得合法应用程序时,从欺诈性广告或第三方应用商店下载的恶意应用。该恶意应用会将自己伪装为系统应用程序,并使用名为 ConfigAPK 的系统图标来隐藏自身。一旦屏幕锁定,该因公就会启动,收集受害者设备信息,并将其发送到攻击者的服务器。服务器返回要执行的应用程序的命令。根据命令,该应用可以:

使用设备所有者的Google或Facebook账户来注册常用的购物和娱乐应用,包括AliExpress、Lazada、Zalora、Shein、Joom、Likee和阿里巴巴;

假冒设备所有者在Google Play上留下对应用的评价;

检查使用无障碍服务的权限。如果未获得权限,则发送钓鱼请求来获得该权限;

关闭Google Play 保护,该功能可在下载之前对来自Google Play商店的应用程序进行安全检查;

在一个隐形窗口中打开从远程服务器接收到的链接,并在解除阻止多个屏幕后从应用程序菜单中隐藏自己;

在解锁设备屏幕时,显示广告,并在应用菜单中创建广告标签;

从Apkpure[.]com“应用市场”下载应用并安装它们;

在Google Play商店中打开和下载广告应用程序;

将已安装应用的标签替换为广告页面的标签

2019年10月至11月,被Trojan-Dropper.AndroidOS.Shopper.a感染的用户比例最高的国家为俄罗斯,该国家有购物习惯的用户有惊人的28.46%都被感染。近五分之一(18.70%)的感染在巴西,印度的感染率为14.23%。

“尽管目前该恶意应用造成的真正危险仅限于未经请求的广告和假借受害者名义发布的虚假应用评论和评分,但没有人能够保证该恶意软件的制作者不会将其有效载荷更改为其他目的。目前,该恶意应用的重点是零售渠道,但其功能使攻击者能够通过用户的社交媒体账户和其他平台传播虚假信息。例如,它可以自动在用户账户个人页面分享Shopper背后的运营者希望分享的视频内容,让互联网上充满大量不可靠信息,”卡巴斯基恶意软件分析师Igor Golovin说。

卡巴斯基产品能够成功检测和拦截Shopper恶意软件,检测名称为:Trojan-Dropper.AndroidOS.Shopper. 更多有关Shopper恶意软件详情,请参阅Securelist.com.

为了降低遭受此类恶意软件威胁感染的风险,建议用户采取以下措施:

提防需要使用无障碍服务的应用程序,尤其是这些应用并不需要这些功能的情况下

一定要检查应用程序的权限,查看已安装的应用允许执行哪些操作

不要安装来自不受信任来源的应用,即使其推广很多,另外,在您的智能手机设置关闭从位置来源安装应用程序的功能

使用可靠的移动安全解决方案,例如卡巴斯基安全软件安卓版,这些安全软件可以帮助识别下载的应用程序时的潜在危险或可疑请求,并解释与不同类型的常见权限相关的风险。


(文章为作者独立观点,不代表艾瑞网立场)
  • 合作伙伴

  • 官方微信
    官方微信

    新浪微博
    邮件订阅
    第一时间获取最新行业数据、研究成果、产业报告、活动峰会等信息。
     关于艾瑞| 业务体系| 加入艾瑞| 服务声明| 信息反馈| 联系我们| 广告赞助| 友情链接

Copyright© 沪公网安备 31010402000581号沪ICP备15021772号-10

扫一扫,或长按识别二维码

关注艾瑞网官方微信公众号