廣告木馬程式暗中竊取Android用戶個資，超過800項App慘遭感染

趨勢科技資安團隊日前偵測Google Play的App發現，廣告木馬程式Xavier潛藏在800項以上的App，包含追蹤程式、相片編輯程式、桌面背景製作程式、鈴聲製作程式、媒體播放器和其他類型App，暗中竊取用戶的個資，總共累積數百萬人次下載受感染的App。

資安人員調查指出，Xavier屬於惡意軟體AdDown家族一員。 AdDown家族在2015年就出現了第一個變種joymobile，攻擊者利用joymobile來蒐集和洩漏Android用戶的裝置資料，包含裝置製造商、SIM卡製造商、產品名稱、裝置名稱、裝置ID、使用語言、作業系統版本、已安裝應用程式、Android ID，以及電子郵件地址等16種資訊，透過C&C伺服器來傳送資料，這些資料僅加密在程式碼裡面的常數字串（constant strings）。

不僅如此，攻擊者可以在遠端鎖定受joymobile感染的行動裝置，執行任意程式碼，而且該行動裝置如果已經刷機（root），攻擊者能在背景執行狀態下，不影響其他程式的運行，安裝其他的APK（Android應用程式套件）至裝置裡面，造成用戶很難偵測此惡意行為。

接著，2016年初出現了AdDown家族第二個變種nativemob，程式碼的結構已經與joymobile不同，並增加了新的功能，如行動裝置在未刷機的狀態，也能夠暗中安裝其他App，以及完整加密所有資料的程式碼。

目前，AdDown家族第三個變種Xavier在2016年9月開始出現，除了攻擊者可以在遠端下載程式碼，載入至受感染裝置並執行，也開發了一套自我保護機制，來躲避行動裝置的安全偵測，無論是動態和靜態分析機制，例如利用HTTPS協定傳遞資料，防止傳輸流量中途遭攔截，以及掃描用戶電子郵件是否含特定字串來隱藏入侵行為等。研究人員說明，大多數下載遭Xavier感染App的用戶，都來自越南、菲律賓、印尼等東南亞國家。