趋势科技的安全研究人员在 Google Play 中发现了一款使用 Kotlin 编程语言开发的恶意应用程序。
恶意应用程序 Swift Cleaner 伪装成一款用于清理和优化安卓设备的实用程序,安全研究人员在其中检测到了 ANDROIDOS_BKOTKLIND.HRX。被发现时,该应用程序的安装量在 1000 和 5000 之间。
original="https://static.oschina.net/uploads/space/2018/0111/062159_LF4d_2720166.png" data-image-enhancer="larger than third of 645" />
Kotlin 于去年被谷歌宣布成为安卓开发的官方支持语言,它是开源的,而且使用 Kotlin 的开发者可以提供更安全的应用程序。目前还不确定的是恶意软件开发人员在构建恶意代码时如何利用这门编程语言。
趋势科技表示,这款恶意应用程序可能涉及广泛的恶意活动,其中包括远程命令执行。它还能够窃取用户的信息、发送短信、转发网址,并进行点击欺诈。此外,还发现它被设计用于在未经用户许可的情况下,暗自订阅昂贵的短信服务。
趋势科技解释到,首次启动应用程序时,恶意软件会将获取到的设备信息发送到远程服务器,并启动后台服务以接收来自 C&C 服务器的任务。在最初被感染时,恶意软件还会向 C&C 提供的指定号码发送消息。
在收到 SMS 命令后,远程服务器开始执行 URL 转发,并在受感染的设备上进行欺诈操作。
在点击欺诈程序期间,恶意软件使用无线应用协议(WAP),WAP 是通过移动无线网络访问信息的技术标准。接下来,会注入恶意 JavaScript 代码并替换正则表达式,以便恶意软件可以在特定的搜索字符串中解析广告的 HTML 代码。
随后,它将悄悄打开设备的移动数据,解析 base64 图片,破解 CAPTCHA,并将完成的任务发送到远程服务器。
恶意程序可以将服务提供者、登录数据和验证码图片上的信息发送给 C&C 服务器。一旦这样的信息被上传,C&C 服务器可自动订阅昂贵的短信服务,使得受害者蒙受损失。
据趋势科技透露,已告知谷歌 Swift Cleaner 应用程序会带来的安全风险,谷歌方面证实 Google Play Protect 可以保护用户免受这系列恶意软件的攻击。
来自:SecurityWeek
相关文章
