投稿者:Martin Zhang
我们遇到了一种广泛传播的新型安卓恶意软件(检测为Android.Sockbot)。这些软件在Google Play上冒充正规应用程序,并随后将受感染设备添加到僵尸网络之中。到目前为止,我们已经发现了至少八个这样的应用程序,且有60万至260万台设备安装了这种程序。这种恶意软件主要针对美国用户,但俄罗斯、乌克兰、巴西和德国也有它的踪影出现。
图.其中一款恶意应用程序伪装成“我的世界口袋版”的皮肤应用程序
这种应用程序的正规用途是修改“我的世界:口袋版(PE)”中的人物形象。在此应用程序的后台,启用了复杂且伪装良好的攻击功能。我们对这个恶意软件的活动进行了网络分析,之后发现这种活动明显是为了赚钱非法的广告收入。
该应用程序通过9001端口与命令和控制(C&C)服务器相连,以接收相关命令。C&C服务器使用SOCKS请求该应用程序打开套接口,之后在指定端口等待一个来自指定IP地址的连接。在通过指定端口的IP地址给出连接后,C&C服务器将发出连接目标服务器的命令。之后,恶意应用程序将连接到所需目标服务器,并开始接收广告列表和相关元数据(广告类型、屏幕尺寸和名称)。该应用程序使用相同的SOCKS代理机制,在接收命令后与广告服务器相连并发出广告请求。
该应用程序中并没有显示广告的功能。
这种高度灵活的代理拓扑结构可轻松扩展,从而利用大量网络漏洞来跨越安全界限。除了启用随机网络攻击外,网络攻击者还可利用这种感染范围广的特性,发起分布式拒绝服务(DDoS)攻击。
有一个软件开发者账户与这次活动相关。这种应用程序的恶意代码很混淆,关键字串也遭到加密,从而阻碍了基本级别的检测。此外,该开发者使用一种特殊的开发者密钥来签署每个应用程序,避开了静态分析检测。
我们已于10月6日通知谷歌有关这些恶意应用程序的事宜,随后谷歌将这几个程序从Google Play上删除。
[click_to_tweet:1]
赛门铁克建议手机用户遵守以下最佳安全经验:
赛门铁克和诺顿产品检测此恶意软件为Android.Sockbot。