点击欺诈木马,英文名“Clicker Trojan”,是一种广泛存在的恶意程序,旨在通过提高某些网站的访问量来从中获利。
如果不好理解,你可以打开你手机上的任何一款APP。你每点击一次上面显示的广告,该APP的运营商就可以从广告商手里拿到利润提成。
点击欺诈木马则可以模拟你的点击操作,隐蔽地打开一些广告,“借用”你的手机资源来为它的运营者赚钱,甚至“好心”帮你订阅一些付费服务。
俄罗斯安全公司Doctor Web最近就在Google Play应用商店上发现了一种这样的木马,并将它命名为“Android.Click.312.origin”。
恶意APP伪装成字典、在线地图、音乐播放器……
DoctorWeb公司的病毒分析师表示,Android.Click.312.origin被嵌入在数十款看似合法的APP中,如字典、在线地图、音乐播放器、条形码扫描软件等,且这些APP的确具有它们所描述的功能。
为了避免引起怀疑,Android.Click.312.origin只会在APP安装完成8小时候开始其恶意活动。
一旦开始运行,Android.Click.312.origin就会向C&C服务器发送受感染设备的以下信息:
- 制造商和型号
- 操作系统版本
- 用户所在的国家和默认系统语言
- 用户代理的ID
- 移动运营商名称
- 网络连接类型
- 屏幕参数
- 时区
- 其他应用程序数据
作为响应,C&C服务器会发送回一些必要的设置参数。例如,用于注册广播接收器和内容观察器的参数,以便Android.Click.312.origin能够使用它们来监视APP的安装和更新。
一旦有新的apk文件被下载或安装,Android.Click.312.origin就会将该APP的信息以及设备的一些技术数据发送给C&C服务器。作为响应Android.Click.312.origin会接收到用于在隐藏窗口中打开的网站地址,以及在浏览器或Google Play上加载的链接。
如此一来,根据C&C服务器的设置及其发送的指令,Android.Click.312.origin不仅可以在Google Play上宣传一些APP,而且还可以隐蔽地加载任何网站,包括广告(甚至视频)或其他内容。
甚至有用户抱怨称,自己在安装了这些APP后,被自动订阅了一些付费服务。比如,下图中的第一位用户评论说“安装完成后,它会订阅付费服务。小心,不要安装这个应用程序!”,第二位用户评论说“安装完成后,我被订阅了5个服务,现在我的手机账户已经被掏空。”
共检测出34款恶意APP,下载量超1亿次
DoctorWeb公司的病毒分析师表示,他们一共检测出了34款APP捆绑了Android.Click.312.origin及其变种Android.Click.313.origin,其中捆绑了Android.Click.312.origin的APP已经被下载了超过5700万次,而捆绑了Android.Click.313.origin的APP至少以已经被下载了5000万次。
也就是说,这34款恶意APP目前的总下载量已经超过了1亿次,详见下表:
DoctorWeb公司的病毒分析师还表示,在他们向谷歌公司通报了这一情况之后,其中一些APP已经被下架,另一些则已经被删除了恶意组件。不过,至少在8月8日,仍有一些包含了恶意组件的APP可以被下载。