廣告木馬Xavier感染了800項以上App,包含追蹤程式、照片編輯程式等

圖片來源: 

趨勢科技

趨勢科技資安團隊日前偵測Google Play的App發現,廣告木馬程式Xavier潛藏在800項以上的App,包含追蹤程式、相片編輯程式、桌面背景製作程式、鈴聲製作程式、媒體播放器和其他類型App,暗中竊取用戶的個資,總共累積數百萬人次下載受感染的App。

資安人員調查指出,Xavier屬於惡意軟體AdDown家族一員。 AdDown家族在2015年就出現了第一個變種joymobile,攻擊者利用joymobile來蒐集和洩漏Android用戶的裝置資料,包含裝置製造商、SIM卡製造商、產品名稱、裝置名稱、裝置ID、使用語言、作業系統版本、已安裝應用程式、Android ID,以及電子郵件地址等16種資訊,透過C&C伺服器來傳送資料,這些資料僅加密在程式碼裡面的常數字串(constant strings)。

不僅如此,攻擊者可以在遠端鎖定受joymobile感染的行動裝置,執行任意程式碼,而且該行動裝置如果已經刷機(root),攻擊者能在背景執行狀態下,不影響其他程式的運行,安裝其他的APK(Android應用程式套件)至裝置裡面,造成用戶很難偵測此惡意行為。

接著,2016年初出現了AdDown家族第二個變種nativemob,程式碼的結構已經與joymobile不同,並增加了新的功能,如行動裝置在未刷機的狀態,也能夠暗中安裝其他App,以及完整加密所有資料的程式碼。

目前,AdDown家族第三個變種Xavier在2016年9月開始出現,除了攻擊者可以在遠端下載程式碼,載入至受感染裝置並執行,也開發了一套自我保護機制,來躲避行動裝置的安全偵測,無論是動態和靜態分析機制,例如利用HTTPS協定傳遞資料,防止傳輸流量中途遭攔截,以及掃描用戶電子郵件是否含特定字串來隱藏入侵行為等。研究人員說明,大多數下載遭Xavier感染App的用戶,都來自越南、菲律賓、印尼等東南亞國家。


Advertisement

更多 iThome相關內容