記者洪聖壹/台北報導
全球網路資安解決方案廠商趨勢科技近日發現一項重大 Android 系統漏洞,用戶在 Google Play 商店下載或找尋應用程式,就有可能會受到廣告木馬程式 Xavier 感染,目前有超過 800 個應用程式已經確認被感染,而且這些應用程式目前已經被下載超過百萬次。
從趨勢科技公布的資訊來看,Xavier 是 AdDown 家族的成員。AdDown 家族的第一個版本於 2015 年初被資安專家們發現,稱為 joymobile,當時該變體已經能夠遠程執行代碼,攻擊者除了收集和洩露用戶信息之外,此廣告庫還可以安裝其他APK,如果設備已紮根,則可以靜默地執行此操作,甚至鎖定受到感染的行動裝置,執行任意程式碼,最後用戶很難偵測此惡意行為。
從AdDown家族出現的第二個變種叫做nativemob,該變種病毒於 2016 年初被發現,其程式碼的結構與 joymobile 不同,並增加了新的功能,如行動裝置在未刷機的狀態,也能夠暗中安裝其他 App,以及完整加密所有資料的程式碼,同樣的,當應用程式一但深耕於手機,攻擊者同樣能遠端觀看所有用戶的使用行為。
這次公布的Xavier屬於AdDown家族第三個變種,其第一個版本最早在2016年9月被發現,該版本刪除了APK安裝和根檢查,但是使用TEA算法添加了數據加密。不久之後,它增加了一種機制來轉義動態檢測,它有一個自我保護機制,可以讓它逃避靜態和動態分析。
此外,Xavier還具有下載和執行其他惡意代碼的功能,這可能是惡意軟件更危險的一個方面。Xavier的行為取決於下載的代碼和由遠程服務器配置的代碼的URL。
根據趨勢科技移動應用程序信譽服務的數據指出,目前在 Google Play 商店的應用程式裡面,至少有 800 個以應用程式潛藏廣告型木馬程式Xavier,這些類型包括追蹤程式、相片編輯程式、桌面背景製作程式、鈴聲製作程式、媒體播放器和其他類型App,自上週公佈以來,總共累積下載次數已經超過百萬,來自越南、菲律賓和印尼等東南亞地區用戶的下載次數最高,台灣也有 5.26%,換算下來,台灣用戶至少已經下載超過 5 萬次相關受到感染的應用程式。
趨勢科技最新調查發現,Xavier 其實是一款廣告庫,內嵌在各種免費的應用程式,可以躲過 Google Play 的檢測,要避免像 Xavier 這樣的狡猾惡意軟件的方法有以下三個方向:
一、不要下載安裝來路不明的應用程序。
二、仔細查看評論與公司名稱,即使是在 Google Play 等合法應用商店,仍要仔細觀看開發商與相關介紹、用戶評論,確認真的是可信任的,再決定是否要下載。
三、將手機更新到最新版本,為自己的手機做好前期防護。
※資料來源:趨勢科技
讀者迴響