資安業者FireEye發現一隻源自中國的新Android惡意程式,這隻名為Kemoge的惡意廣告程式非常惡毒,能夠取得root權限而完全接管使用者的手機,而且感染速度相當快,範圍已遍及全球20個國家。

基本上Kemoge是一個惡意廣告程式,會將受歡迎的Android程式重新包裝成含毒的app以引誘使用者下載與安裝,主要透過非官方的Android程式商店散播。除了用來遞送廣告之外,在取得root最高權限之後還會嘗試移除或關閉裝置上的防毒程式。由於相關惡意程式家族會連結至位於Kemoge網域的遠端伺服器,因此被命名為Kemoge。駭客還透過程式內廣告來推廣這些假冒的程式。

Android裝置受到感染的初期,Kemoge會蒐集裝置資訊並上傳至遠端的廣告伺服器,接著開始推送廣告,連在Android裝置首頁都會看到廣告。不過這還只是Kemoge送給使用者的小菜,真正邪惡的事還在後頭。

接著它會載入至少8種Android攻擊程式,以取得裝置的root最高權限,隨後可從遠端程式下載其他惡意程式,也會嘗試移除與關閉裝置上的合法程式與防毒程式,疑似準備展開進一步的攻擊。

↓ Kemoge惡意廣告程式的感染生命周期:1. 透過非官方app商店散播。或者透過廣告推廣安裝。 2. 感染之後開始蒐集手機資訊,推送廣告。 3. 載入8種root攻擊程式,取得手機root權限。 4. 接管你的手機,開始進行遠端控制:可以安裝、移除,以及執行任意程式。

FireEye在所有發現的Kemoge樣本中都看到簡體中文,因此推論該惡意程式的作者來自中國,且已感染包括中國、美國及俄國等超過20個國家的Android裝置,橫跨政府機構與各種大型的產業。

FireEye建議Android用戶不要點選來路不明的連結,也不要透過第三方程式市集安裝程式,最好採用最新版的Android平台。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容