卡巴斯基实验室在上周披露了一款新的Android木马Trojan-Dropper.AndroidOS.Shopper.a,它假冒为系统程序并进驻Android用户的手机,却能关闭Google Play Protect,擅自从第三方或Google Play安装程序,还能替Google Play程序进行假评论,使得安全研究人员再度呼吁用户最好不要安装来路不明的Android程序。
研究人员指出,Trojan-Dropper.AndroidOS.Shopper.a假冒为一系统程序,使用误导的说明,像是系统的图标,并以ConfigAPKs为名,他们所以注意到ConfigAPKs完全是因为该程序的功能非常模糊,而且可疑地向用户获取“无障碍服务”(AccessibilityService)的权限。
分析显示,在用户安装了ConfigAPKs之后,它会先搜集设备信息,包括国家、网络形态、手机型号、电子邮件地址、IMEI及IMSI等,并将它们发送到黑客的C&C服务器,再自C&C服务器接收各种指令,像是关闭Google Play Protect、创建广告网站的捷径、自第三方市场下载及安装程序、打开在Google Play上营销的程序并安装它们、在Google Play上发布假评论、在屏幕锁上时秀出广告,或是以受害者的脸书与Google账号来注册其它应用程序。
总之,ConfigAPKs看起来就是一支专门执行广告诈骗的木马。
比较特别的是,ConfigAPKs滥用了Google专为残障人士设计的AccessibilityService功能,以让该木马能在用户不知不觉的情况下进行各种恶意活动,例如它能在安静的状态下与屏幕上显示的数据交互,还能点击按钮,甚至是仿真用户的手势。
在所有感染Trojan-Dropper.AndroidOS.Shopper.a的Android设备中,有高达28.46%位于俄罗斯,居次的是巴西的18.7%,印度以14.23%排名第三。
研究人员猜测ConfigAPKs可能是通过第三方程式市场或恶意广告进驻Android用户的设备,除了提醒用户应该要留意那些不当请求AccessibilityService权限的程序之外,也建议用户最好不要安装来路不明的程序。