News & Promotions

Kaspersky Lab

2020-01-14

Android木馬病毒幫用戶為特定App發佈好評

有手機 App 開發商為了吸引更多人下載,招聘「外判」製作假評論和 5 星正評已經不是新聞,然而有惡意程式 App 也使用相似的技倆,令正常用戶在不知情的情況下為其他 App 或廣告程式留下正評,而且整個過程完全自動,情況令人擔心。

使用木馬病毒提升某些 App 的正評
網絡罪犯以 Trojan-Dropper.AndroidOS.Shopper.a 去提升某些應用程式的正評,並增加安裝和登記的數目,這些動作都可以用來斯騙廣告商,更甚者是木馬程式可以在受感染裝置顯示廣告訊息,製作廣告網站的捷徑和進行其他動作。

Trojan-Dropper.AndroidOS.Shopper.a 可以打開 Google Play 或其他 App store,安裝不同的應用程式並為它們填寫假的評論,為了令用戶不發現以上的行為,所有動作都在隱形的視窗中進行,當需要使用權限去安裝應用程式時,木馬程式便透過 AccessibilityService 的權限去進行,這項服務原意是讓傷健人士能順暢地使用智能手機而設,但落到網絡罪犯手上便對裝置的主人成為威脅。在這種情況下,惡意程式幾乎能無限制地操控系統界面和應用程式,例如攔截顯示在螢幕上的資料、點擊按鍵和模擬用戶的使用動作。

木馬程式可進行發佈評論以外的行為
惡意程式以 ConfigAPKs 之名瞞騙用戶,令人以為是系統應用程式,而且當螢幕解鎖後,應用程式便會開始解密和下載更多惡意的內容,接下來木馬會收集用受害裝置的資料,例如:國家、網絡類型、供應商、智能電話型號、電郵地址、IMEI 和 IMSI,然後發送到網絡罪犯的伺服器,隨後再從伺服器接收指令,令 Shopper.a 能夠:

– 從遠端伺服器收接連結並在隱形視窗內打開連結
– 解鎖螢幕一定次數後,從 App 選單中隱藏
– 檢查 AccessibilityService 權限的擁有權,如果沒有,則間歇性發送釣魚的權限要求騙取用戶信任。
– 關閉 Google Play Protect
– 在 App 選單建立廣告網站的捷徑
– 從第三方「市集」下載應用程式並且安裝
– 在 Google Play 打開廣告程式並「點擊」進行安裝
– 以廣告網站捷徑取代已安裝的應用程式
– 以用戶的身份在 Google Play 發佈假評論
– 當螢幕解鎖時展示廣告
– 以用戶的 Google 或 Facebook 帳號登錄一連串應用程式

雖然現時 Trojan-Dropper.AndroidOS.Shopper.a 只進行了以上的行為,但它使用到 AccessibilityService 就引起研究人員注目,該項功能通常用作協助視障人士使用智能電話,但以上的行為可以隨著伺服器的指令而改變。用戶必需謹記切勿從可疑來源安裝應用程式,即使來自廣告或作出甚麼承諾,儘管現階段該惡意程式只自動發佈評論,也難保證幕後黑手稍後時間會改變主意,進行更多更具破壞力的惡意行為。