日前名為 Check Point Research(CPR)的保安研究小組在 Google Play 上就找到幾款偽裝成防毒Apps、但實質內藏木馬程序的 Apps。
潛伏於這些 Apps 內的木馬程序名為「SharkBot」,用戶的手機在被感染後會被誘導在一個偽裝成銀行登入的介面輸入機密登入資料,其後銀行戶口內的存款就會被轉走,屬於典型的騙財類木馬 Apps。
不過值得留意的,是 SharkBot 還內置了大量花巧功能,懂得識別攻擊目標以及避開偵查。
首先,SharkBot 自帶了用戶識別機制,並不會對所有手機發動攻擊;據 CPR 透露,但凡來自中國、印度、羅馬尼亞、俄羅斯、烏克蘭以及白羅斯的用戶,SharkBot 識別後都會無視用戶、讓這些用戶即使手機受到感染仍能「躲過一劫」。
另一方面,SharkBot 又加入了逃跑機制,當發現程序正被放在「沙盒(Sandbox)」(即被分離於手機主系統的獨立操作環境、一般用於有害程序調查)內運行,就會啟動此機制並即時停止運作,使 SharkBot 變得難以被一般的保安掃描偵測。
雖然會自己識別不同地區的用戶頗有「劫富濟貧」的意味,但 SharkBot 本質始終是病毒,難保它在未來會因應 Apps 的更新而變種,如有發現的話當然要採取刪除手段以免除後患。
從 CPR 公開的資料當中,在 Google Play Store 上共找到 6 個帶有 SharkBot 的「防毒 Apps」,分別出自 Zbynek Adamcik、Adelmio Pagnotto以及 Bingo Like Inc.三個開發者帳戶,總共下載人次達到 15000 次以上,名單如下: -Atom Clean-Booster, Antivirus -Antivirus, Super Cleaner -Alpha Antivirus, Cleaner -Powerful Cleaner, Antivirus -Center Security - Antivirus -Center Security - Antivirus(同名,但出自不同的開發者) 在回報之後,這些 Apps 已從官方的 Google Play Store 下架,但據報仍然存在於第三方的 App Store 之中,用戶可能會以 APK 方式誤將其下載;另一方面,載有 SharkBot 的 Apps 亦被發現不斷地重複再上架,雖然在回報過後同樣很快消失了,然而難保有漏網之魚,各位 Android 用戶仍然需要提高警覺,尤其不要輕易下載不知名開發者上載的 Apps。
