首个利用脏奶牛漏洞的Android病毒现身国内应用商店

来自趋势科技的安全研究人员日前已经通过数据监测发现某个利用脏奶牛安全漏洞的Android 恶意应用程序。

攻击者利用该漏洞可以取得Android设备的完整控制权,然后即可在后台悄悄地的发送SP业务短信进行获利。

虽然多个操作系统都已在 2016 年修复这枚安全漏洞,但显然仍然有很多设备无法升级系统故无法修复漏洞。

同时该漏洞自去年10月被发现至今才发现恶意应用程序,可能说明攻击者花费了更多的时间开发可靠的木马。

首个利用脏奶牛漏洞的Android病毒现身国内应用商店

(订购名为名为小鸭子历险记2和阅读星的增值业务)

已经有国内用户遭到感染:

值得注意的是趋势科技已经在中国市场发现被感染的用户,感染媒介主要是垃圾网站投放的色情类应用广告

同时攻击者还在正规应用程序中暗藏恶意代码然后上传至国内应用商店,因此用户正常下载亦可能会被感染。

当成功感染用户的Android设备后立即与远程服务器连接, 成功连接后会按照服务器预设置的指令进行操作。

而预设的指令主要是向运营商发送SP短信订购业务,当成功订购增值业务后会自动删除掉订购和开通的短信。

因此用户如果没有关注资费账单或者余额动态的话, 可能始终都不会发现已经被病毒订购了多个增值类业务。

目前趋势科技仅在中国监测到该病毒执行此类恶意操作, 相信很快其他国家和地区被感染用户也会逐渐增加。

首个利用脏奶牛漏洞的Android病毒现身国内应用商店

自动下载Rootkit工具包对设备进行Root

约30万款含有病毒的应用开始投放:

尽管依靠色情类应用广告和恶意网站可以传播该木马病毒, 但其传播效率自然是与传统的商店渠道无法相比。

因此黑产团队已经利用自动化程序修改了约30万款正常应用,然后将含有病毒的版本上传至应用商店和网站。

目前趋势科技已经在全球40多个国家和地区发现了该病毒的受害者,不过当前亦仅 5,000 多名被感染的用户。

这款名为 ZNIU 的恶意应用程序主要受害者位于中国和印度, 同时美国、日本、加拿大、德国等地也有发现。

首个利用脏奶牛漏洞的Android病毒现身国内应用商店

远程服务器位于中国,图为病毒的后台管理系统登录入口

安全建议:

对于绝大多数无法升级Android系统版本的用户而言,保持良好的使用习惯可能会避免遭到ZNIU木马的感染。

目前不少垃圾网站都会投放色情类应用诱导用户下载, 实际上此类广告最终不是扣费的就是含有病毒的应用

因此对于用户而言不应该点击这类广告以及下载和安装其提供的应用, 同时也应通过正规应用商店下载应用

另外如果手机话费用量不是很大的情况下则不要充值太多话费, 同时定期查看余额和账单是否存在异常扣费。

本文来源 蓝点网 编译,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 编译 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
哇哦恭喜您已成功屏蔽了蓝点网的小广告
扫码关注蓝点网微信公众号

发表评论