超过60000个安卓应用程序感染了会推送恶意软件的广告

Bitdefender发现了一个隐藏的恶意软件活动，该恶意活动旨在将带有恶意软件的广告推送到安卓设备上，而让人奇怪的是，该恶意活动在全球移动设备上存在了六个多月而未被发现。

Bitdefender在一篇博客中表示：“通过这些广告推送，相关威胁行为者可以很容易地将用户重定向至其他类型的恶意软件，比如能窃取凭据的银行木马或勒索软件。”

到目前为止，这家网络安全公司已经发现了6万个安卓应用程序都“感染”了会推送恶意软件的广告（下文称恶意广告软件），他们还表示可能有更多的应用程序在感染的路上。该恶意广告软件至少从2022年10月开始运行，其主要面向美国、韩国、巴西、德国、英国和法国等区域的用户。

Bitdefender说：“由于发现了大量独特的样本，此感染过程很可能完全是自动化的。”

Bitdefender表示：“威胁行为者会使用第三方应用程序分发恶意软件，因为此恶意广告软件不在任何官方商店中。恶意软件运营商需要说服用户下载并安装第三方应用程序，因此他们将威胁伪装在了其他备受追捧的应用程序上，而这些合法的应用程序会在官方商店中出售。”

这些合法的应用程序包括游戏破解、具有解锁功能的游戏、免费VPN、虚假教程、没有广告的YouTube/TikTok、破解的实用程序、PDF查看器，甚至还有一些虚假的安全程序，而恶意广告软件会以“模仿的形式”混于其中。

Bitdefender表示：“恶意广告软件的分布是有机的，用户在搜索这些类型的应用程序或mod时就会出现恶意广告软件。其中，mod应用程序是一种热门商品，网站完全致力于提供这些类型的包。”

通常，mod应用程序是在原始应用程序的基础上进行修改的，其全部功能已解锁，只是对初始程序进行了更改。当用户从谷歌搜索mod应用程序并打开引导网站后，他们会被重定向至一个随机的广告页面，该页面往往就是恶意广告软件的下载页面。

带有恶意广告软件的应用程序在安装时与正常的安卓应用程序类似，其在安装后会提示用户单击“打开”。然而，恶意广告软件不会将自己配置为自动运行，因为这需要额外的权限。

一旦注册了启动器，谷歌就会取消Android上隐藏应用程序图标的功能，但这仅适用于已注册启动器的情况。Bitdefender表示：“为了避免这种情况，该应用程序不会注册任何启动器，而是依靠用户和默认的安卓安装行为进行首次运行。”

恶意广告软件一经安装就会显示一条消息：“应用程序不可用。”，这是为了让用户误认为该恶意广告软件从未被安装过。

Bitdefender在博客中表示：“恶意广告软件的启动器中没有图标，标签中有UTF-8字符，这使得发现它和卸载它都变得更加困难，其将始终位于列表的末尾，这意味着用户不太可能找到它。”

而恶意广告软件一旦启动，该应用程序将与攻击者的服务器进行通信，之后会检索在移动浏览器中显示的广告URL或全屏WebView广告。

安卓设备越来越多地成为了恶意软件的攻击目标

安卓设备已成为威胁行为者主要的攻击目标之一。上个月，网络安全公司Doctor Web发现了一个名为SpinOk的安卓软件模块，其具备间谍软件功能。

该恶意软件能收集存储在设备上的文件信息，并可将其传输给恶意行为者，同时它还可以窃取剪贴板内容并将其上传到远程服务器。研究发现，带有SpinOk模块的Android应用程序被安装次数超过了421000000次。

本周早些时候，CloudSek发现了另外101个被SpinOK安卓恶意软件作为广告SDK分发的应用程序，其中有43款应用程序仍在Play Store上活跃，部分应用程序的下载量超过了500万。总的来说，估计有3000万用户受到了这些额外应用程序的影响。