网络安全企业Sophos上周披露有22款Android程序含有木马,可受到远程C&C服务器的操控,目前黑客主要的目的是利用它们来执行广告点击诈骗,这些Android程序的总下载量已超过200万次,其中光是Sparkle Flashlight手电程序的下载量即超过100万次。Google在接获报告后已于11月底将它们自Google Play上移除。
研究显示,这些程序来自不同的开发人员,其中有3款存在Google Play上的时间超过1年,另外19款都是在今年6月才上架,但这3款老程序也是在今年6月才被注入恶意程序。
这批恶意程序会在每次手机重新启动之后自动执行,就算是被用户强制关闭,也会在3分钟之后自行重新出现,它们都下载了广告诈骗模块,每80秒就会接收来自C&C服务器的指令。
其广告诈骗手法是送出伪装成其它程序及其它设备的广告请求,包括伪装成来自iPhone 5到iPhone 8 Plus的点击,或是来自33种不同品牌的Android手机的点击,其中一个原因是这样比较不容易被发现是广告诈骗,另一个原因则是iPhone的广告主通常愿意支付更高的广告费用,而带来更多的广告收入。
而在用户的手机上,这些广告并非以碍眼的全面屏呈现,反之是通过隐藏的浏览器窗口,仿真用户与广告的交互来创造击选数量。
尽管黑客的用意是讹诈广告费,看似与手机用户无关,但这些应用程序与C&C服务器的通信太频繁,不但容易耗尽手机电池,也会加大数据传输量,此外,还可能成为下载及执行其它恶意程序的渠道。
有趣的是,这些程序同样也出现在苹果的App Store中,却未具备与Android版程序同样的广告诈骗功能,使得有媒体认为这再度证明了Google在程序市场的管控上仍比苹果略逊一筹。