Google年度安全报告--8大潜在的恶意程序

最新Google年度安全报告中提到:2017年,从Google Play下载到有害应用程序的可能性比小行星撞击地球的可能性还要低。

安智客在空余时间将报告进行了全文翻译,即将给大家分享中文翻译版!今天我们首先看一看Google安全报告中所列的8大PHA(有害应用程序)。

Chamois

Chamois是Android中迄今为止最大的PHA种类之一,并通过多种渠道分发。 尽管该系列的后门版本在2016年已被清理完毕,但2017年出现了一个新的变体。为避免检测,此版本采用了许多技术,如实现自定义代码混淆,防止用户通知,以及不出现在设备的应用列表中。在许多情况下预装了系统映像的Chamois应用程序试图通过显示欺骗性图形来欺骗WAP或SMS欺诈来诱骗用户点击广告。

2017年,印度的Chamois下载量最高(占总量的25%),而且几乎所有下载都来自Google Play之外。

IcicleGum

IcicleGum是一款间谍软件PHA种类,其应用程序依赖于提供动态代码加载支持的Igexin广告SDK版本。IcicleGum应用程序使用该库的代码加载功能从命令和控制服务器通过HTTP获取加密的DEX文件。 这些文件然后解密并通过类反射加载,以读取和发送电话呼叫记录和其他数据到远程位置。 一些包含Igexin的应用程序中的开发人员可能不知道SDK的风险,并且可能无法控制正在加载和执行的恶意代码 - 这是由命令与控制服务器根据从每个设备收到的配置信息动态决定的。 2017年俄罗斯的IcicleGum下载量最高(占总数的21%),其中70%的IcicleGum下载量来自Google Play。

BreadSMS

BreadSMS是我们在2017年初开始追踪的一个大型短信欺诈PHA种类。这些应用程序在未经用户同意的情况下编写并发送短信至指定号码。 在某些情况下,BreadSMS应用程序还实施基于订阅的SMS欺诈,并默默注册用户使用其移动运营商提供的服务。 这些应用程序链接到一组命令和控制服务器,这些服务器的IP地址经常变化,并用于向应用程序提供高级SMS号码和消息文本。泰国在2017年的BreadSMS下载次数最多(占总数的98%), 大多数下载来自Google Play。

JamSkunk

JamSkunk是一个由应用程序组成的收费欺诈PHA种类,这些应用程序未经用户同意就向用户提供服务。 这些应用程序禁用Wi-Fi以强制流量通过用户的移动数据连接,然后联系命令和控制服务器动态获取试图绕过网络WAP服务订购验证步骤的代码。 这种类型的PHA通过WAP计费(通过移动数据连接起作用的支付方式)将他们的滥用货币化,并允许用户使用其现有账户轻松注册并支付新服务(即,服务由运营商直接支付,而不是服务提供商;用户不需要新的账户或不同的支付形式)。 一旦验证被绕过,JamSkunk应用程序会将设备注册到用户可能不会注意到的服务中,直到他们收到并阅读他们的下一个帐单。 2017年,越南的JamSkunk下载次数最多(占总数的83%),大部分下载来自Google Play。

Expensive Wall

Expensive Wall是一系列短信诈骗应用,它们在2017年影响了大量设备。Expensive Wall

应用使用代码混淆来减缓分析并规避检测,并依靠JS2Java桥接器来允许在Webview中加载JavaScript代码 Java方法是Java应用程序直接执行的方式。 启动后,Expensive Wall应用连接到命令和控制服务器以获取域名。 然后通过加载网页的Webview实例联系该域,并执行调用Java方法的JavaScript代码来撰写和发送高级SMS消息或在用户不知情的情况下点击广告。 比利时和法国的下载量最高(分别为17%和16%),大部分下载来自Google Play。

BambaPurple

BambaPurple是一个两阶段欺诈欺诈PHA种类,试图通过伪装成流行的应用来诱骗用户安装它。 安装后,应用程序将禁用Wi-Fi以强制设备使用其3G连接,然后在用户不知情的情况下重定向到订阅页面,使用下载的JavaScript单击订阅按钮,并拦截收到的订阅SMS消息以防止用户取消订阅。 在第二阶段,BambaPurple会安装一个后门应用程序,用于请求设备管理员权限并删除.dex文件。 此可执行程序将进行检查以确保它未被调试,未经用户许可即可下载更多应用程序,并显示广告。2017年,俄罗斯的BambaPurple下载量最高(占总量的63%),所有下载均来自Google Play之外。

KoreFrog

KoreFrog是一个特洛伊木马程序系列,它要求获得权限才能安装软件包,并在系统应用程序未经用户授权的情况下将其他应用程序推送到设备上。系统应用程序可以由用户禁用,但不能轻松卸载。 KoreFrog应用程序作为守护程序在后台运行,尝试通过使用误导性的名称和图标来冒充Google和其他系统应用程序以避免检测。 除了应用程序之外,KoreFrog PHA家族也被观察到可以投放广告。 2017年,俄罗斯和印度的KoreFrog下载次数最多(分别为11%和7%),大部分下载来自Google Play之外。

Gaiaphish

Gaiaphish是一个庞大的木马应用系列,其目标是存储在设备上的认证令牌,用于滥用用户的特权以实现各种目的。这些应用使用base64编码的URL字符串,以避免检测到他们依赖的命令和控制服务器来下载APK文件。 这些文件包含尝试窃取GAIA身份验证令牌的网上诱骗应用,授予用户访问Google服务的权限,例如Google Play,Google +和YouTube。 借助这些令牌,Gaiaphish应用程序能够生成垃圾邮件并自动发布内容(例如,假应用程序评分和评论)。印度在2017年的Gaiaphish下载量最高(占总数的23%).Installs来自Google Play以及Google Play之外(分别为51%,49%)。

原文发布于微信公众号 - 安智客(china_safer)

原文发表时间:2018-03-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大数据文摘

看我如何发现Uber合作方网站XXE 0day漏洞并获得9000美元赏金

18130
来自专栏空木白博客

为爱❤心助力!替换网站的404为腾讯宝贝回家把404页面利用起来!

相信大家对404都是不陌生的,在一个站点的帖子找不到的时候都会进入404页面。

22230
来自专栏编程一生

业务高速增长场景下的稳定性建设实战

28420
来自专栏ytkah

微信公众平台数据接口正式对所有认证公众号开放

  经过10多天的微信公众平台数据接口内测,现在正式对所有认证公众号开放了。微信公众平台数据接口正式向所有已微信认证(通过资质认证即可)的服务号和订阅号开放。通...

49430
来自专栏FreeBuf

五大安全研究者必用的搜索引擎

CNN 曾在 2013 年 4 月 8 日 的新闻报道中称 Shodan 是“互联网上最可怕的搜索引擎”。 甚至光是听它的名字,就让人觉得不寒而栗! 那只是三年...

26370
来自专栏北京马哥教育

有福了!六步使用Python写一个小小的自动化项目监控

本文由马哥教育Python自动化实战班5期学员推荐,转载自互联网,作者为 Defshine,内容略经小编改编和加工,观点跟作者无关,最后感谢作者的辛苦贡献与付出...

1.9K100
来自专栏带你撸出一手好代码

请给你的电脑加上固态硬盘

电脑速度慢,那是老生常谈的话题了。 不管是笔记本电脑还是台式机,是二三千块DIY的货色还是上万土豪配置, 在新系统刚装好那会, 使用起来肯定是顺滑如丝一般的感觉...

32750
来自专栏顶级程序员

微软一脸懵逼:32TB的Win10源码泄露!

综合自:36氪、 Solidot、快科技、程序猿等媒体 黑客泄露微软 Win 10 大量源代码,数据超过 32 TB 据 theregister 报道,已经有多...

47570
来自专栏FreeBuf

上传恶意文件时无意泄露两个0-day,被研究人员抓个正着

一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的 PDF 文件时,无意间泄露了两个 0-day 漏洞。漏洞被研究人员捕获,并及时上报给厂商修复。

10210
来自专栏HaHack

化繁为简的企业级Git管理实战(三):分支管理策略

13640

扫码关注云+社区

领取腾讯云代金券