34款APP被指捆绑“点击欺诈木马”,下载量超1亿次

点击欺诈木马,英文名“Clicker Trojan”,是一种广泛存在的恶意程序,旨在通过提高某些网站的访问量来从中获利。

如果不好理解,你可以打开你手机上的任何一款APP。你每点击一次上面显示的广告,该APP的运营商就可以从广告商手里拿到利润提成。

点击欺诈木马则可以模拟你的点击操作,隐蔽地打开一些广告,“借用”你的手机资源来为它的运营者赚钱,甚至“好心”帮你订阅一些付费服务。

俄罗斯安全公司Doctor Web最近就在Google Play应用商店上发现了一种这样的木马,并将它命名为“Android.Click.312.origin”。

恶意APP伪装成字典、在线地图、音乐播放器……

DoctorWeb公司的病毒分析师表示,Android.Click.312.origin被嵌入在数十款看似合法的APP中,如字典、在线地图、音乐播放器、条形码扫描软件等,且这些APP的确具有它们所描述的功能。

为了避免引起怀疑,Android.Click.312.origin只会在APP安装完成8小时候开始其恶意活动。

一旦开始运行,Android.Click.312.origin就会向C&C服务器发送受感染设备的以下信息:

  • 制造商和型号
  • 操作系统版本
  • 用户所在的国家和默认系统语言
  • 用户代理的ID
  • 移动运营商名称
  • 网络连接类型
  • 屏幕参数
  • 时区
  • 其他应用程序数据

作为响应,C&C服务器会发送回一些必要的设置参数。例如,用于注册广播接收器和内容观察器的参数,以便Android.Click.312.origin能够使用它们来监视APP的安装和更新。

一旦有新的apk文件被下载或安装,Android.Click.312.origin就会将该APP的信息以及设备的一些技术数据发送给C&C服务器。作为响应Android.Click.312.origin会接收到用于在隐藏窗口中打开的网站地址,以及在浏览器或Google Play上加载的链接。

如此一来,根据C&C服务器的设置及其发送的指令,Android.Click.312.origin不仅可以在Google Play上宣传一些APP,而且还可以隐蔽地加载任何网站,包括广告(甚至视频)或其他内容。

甚至有用户抱怨称,自己在安装了这些APP后,被自动订阅了一些付费服务。比如,下图中的第一位用户评论说“安装完成后,它会订阅付费服务。小心,不要安装这个应用程序!”,第二位用户评论说“安装完成后,我被订阅了5个服务,现在我的手机账户已经被掏空。”

共检测出34款恶意APP,下载量超1亿次

DoctorWeb公司的病毒分析师表示,他们一共检测出了34款APP捆绑了Android.Click.312.origin及其变种Android.Click.313.origin,其中捆绑了Android.Click.312.origin的APP已经被下载了超过5700万次,而捆绑了Android.Click.313.origin的APP至少以已经被下载了5000万次。

也就是说,这34款恶意APP目前的总下载量已经超过了1亿次,详见下表:

DoctorWeb公司的病毒分析师还表示,在他们向谷歌公司通报了这一情况之后,其中一些APP已经被下架,另一些则已经被删除了恶意组件。不过,至少在8月8日,仍有一些包含了恶意组件的APP可以被下载。