【国际资讯】沃钛移动被指利用“山寨”安卓恶意软件感染1400万台设备 2017-07-07 14:09:26 阅读:346次 点赞(0) 收藏 来源: thehackernews.com
【国际资讯】沃钛移动被指利用“山寨”安卓恶意软件感染1400万台设备 作者:360代码卫士
【国际资讯】沃钛移动被指利用“山寨”安卓恶意软件感染1400万台设备

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


“山寨”能root受感染设备、保持持续访问权限并将恶意代码注入守护进程Zygote中。Zygote用于发布安卓app,为黑客提供全部的访问权限。


1400万台设备受感染;其中800万台被root

研究人员指出,“山寨”恶意软件已感染1400万台设备,其中近800万台设备被root;380万台设备传播广告,440万台设备用于窃取在谷歌应用商店安装app的信誉。

大部分受害者位于南亚和东南亚,其中印度受影响最大;超过28万台位于美国的安卓设备也受影响。

跟Gooligan一样,“山寨”恶意软件还利用“先进技术”实施多种广告欺诈活动。“山寨”使用多个利用代码如CVE-2013-6282 (VROOT)、CVE-2015-3636 (PingPongRoot)和CVE-2014-3153 (Towerroot)攻击运行安卓5.0及之前版本的设备。这些版本的使用范围广且非常老旧。攻击的成功说明数百万名用户依然


“山寨”如何感染设备

“山寨”会伪装成用户从第三方应用商店下载的流行安卓app。一旦被下载,它就会开始收集关于被感染设备的信息并下载后门root用户手机。随后,“山寨”会删除设备的安全防御措施并将代码注入Zygote app,启动进程安装app并显示广告从中牟利。

研究人员指出,“山寨”利用Zygote进程显示欺诈广告并隐藏其来源,这样用户就难以理解屏幕上为何会弹出广告。“山寨”还会直接将欺诈广告安装到设备上。这些活动会为操作者带来丰厚利益。

在仅为2个月的时间里,“山寨”恶意软件就给黑客牟利150多万美元。主要收集来自近490万次安装,显示有1亿次广告。多数受害者位于印度、巴基斯坦、巴格达、印度尼西亚和缅甸,不过超过38.1万台设备位于加拿大,而超过28万台设备位于美国。


沃钛移动被指为幕后黑手

虽然并未有直接证据标明“山寨”恶意软件的幕后黑手是谁,但研究人员认为中国广告公司沃钛移动跟“山寨”恶意软件之间存在诸多关联:

“山寨”恶意软件和沃钛移动都在同一台服务器上操作

多行“山寨”代码是由沃钛移动签名的

“山寨”和“沃钛移动”使用相同的远程服务

“山寨”并没有针对中国用户发动攻击,然而超半数受害者位于亚洲

运行老旧安卓版本的用户仍然易受“山寨”攻击,不过只有在从第三方应用商店下载app的用户才受影响。2017年3月份,Check Point研究员告知谷歌关于“山寨”攻击活动的情况。谷歌已更新Play Protect拦截该恶意软件。因此即使运行老旧设备的安卓用户也受到Play Protect的保护。


【国际资讯】沃钛移动被指利用“山寨”安卓恶意软件感染1400万台设备
【国际资讯】沃钛移动被指利用“山寨”安卓恶意软件感染1400万台设备 本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:http://thehackernews.com/2017/07/copycat-rooting-malware.html

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

分页:12
转载请注明
本文标题:【国际资讯】沃钛移动被指利用“山寨”安卓恶意软件感染1400万台设备
本站链接:http://www.codesec.net/view/557851.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(71)