Google Play被爆41款APP感染惡意軟體，7億用戶受影響

近期，Check Point的安全研究專家在Google自家的官方App商城Google Play中發現了一種大規模惡意軟體活動。這款惡意軟體名叫「Judy」，這是一款自動點擊型惡意軟體，目前已經在Google Play上發現有41款App感染了這種惡意軟體。

值得一提的是，這41款App均是由一家韓國公司開發的。Judy可以利用受感染設備生成大量的廣告欺詐點擊行為，而廣告的點擊量將給這種惡意活動背後的始作俑者帶來豐厚的金錢回報。鼎源科技的移動安全專家分析，由於人們將越來越多的注意力轉移到手機APP上，黑客自然不會放過這一龐大的目標群體。

據初步統計，目前每一款受感染App的下載量在450萬到1850萬次不等，而且研究人員還發現其中的部分App已經在Google Play上架了好幾年了，但所有的受感染App近期都更新過。目前我們仍不清楚這些App是在什麼時候感染了惡意代碼，因此Judy的具體感染情況現在仍不得而知。

除了那41款由韓國某公司開發的App之外，Google Play上還有幾款由其他開發者上架的App同樣也感染了Judy。目前仍不清楚這兩個惡意活動之間的關係，不過其中的一個惡意活動很有可能抄襲了另一個的惡意代碼。第二個惡意活動中最老款的App最近一次更新是在2016年的四月份，這也就意味著這些惡意代碼已經在Google Play應用商店中存在已久了，但至今才被檢測到。這些App的下載量也非常大，從4百萬到1800萬不等。研究人員根據這些數據推測，目前Judy惡意軟體的設備感染量很可能已經達到了850萬至3650萬台。

這款惡意軟體與之前滲透Google Play的惡意軟體（例如FalseGuide和Skinner）十分相似，Judy同樣依靠其背後的命令控制伺服器（C&C）來控制其具體操作和惡意互動。目前Check Point已經將這一威脅告知了Google，受感染App也從Google Play應用商店迅速下架了。

Judy的運行機制

為了繞過Bouncer(Google Play的市場審核保護機制)，攻擊者需要創建一個看似無害的Bridgehead App，然後將它上傳至應用商店並用它來與目標用戶的設備建立鏈接。當用戶下載了惡意App之後，它便會在用戶設備上悄悄註冊接收器並與惡意C&C伺服器建立通信鏈接。此時，伺服器會返回實際的惡意Payload，其中包含有惡意JavaScript代碼、用戶代理信息（user-agent String）和惡意軟體開發者控制的URL地址。惡意軟體首先會通過用戶代理打開URL地址（模仿PC瀏覽器打開隱藏網頁），然後會接收到指向其他網站的重定向鏈接。當用戶被重定向到了目標網站之後，惡意軟體便會開始利用其中的JavaScript代碼來定位並點擊頁面中的廣告內容。點擊了廣告之後，惡意軟體作者便會收到網站開發者支付的廣告點擊和流量獎勵了。

從我們所得出的經驗來看（例如之前發現的惡意軟體DressCode），開發者的信譽度高並不意味著這款App就足夠的安全。攻擊者不僅可以隱藏App的真實意圖，而且甚至還可以控制用戶讓他們在毫不知情的情況下給這款App好評。實際上，用戶不能僅憑App的來源去判斷其是否安全，哪怕是官方應用商店提供的App也同樣是如此。因此，研究人員建議移動端用戶儘快部署能夠檢測並阻止惡意軟體的先進安全防護方案。

鼎源科技APP檢測平台 快速便捷識別惡意程序

鼎源科技的APP安全檢測平台（www.appbesafe.com），基於應用安全、源碼安全、數據安全和伺服器安全等多項風險弱點，使用全自動化的靜態、動態兩種分析方式，對APP進行全方位、多維度的安全性檢測。一鍵上傳、即時獲取檢測報告，幫助企業或個人開發者隨時隨地發現APP問題並且提供專業的安全解決方案。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！