神奇宝贝Go Guide App随半百万的下载Hacks Android设备
安全研究人员在Google Play上发现了一个有超过500,000个下载的恶意应用程序,旨在完全控制Android设备。
Kaspersky Lab的研究人员在博客文章中说,伪装作为流行神奇宝贝的指导和使用多层混淆来绕过Google Play的恶意软件检测机制。
该应用程序包含一个恶意模块,该模块不会立即执行。相反,应用程序等待用于安装或卸载的另一个应用程序,以便确定它是否在真实设备上运行或在仿真环境中运行,如用于检测恶意软件的那些。
一旦应用程序确定它在真实设备上运行,它就在执行恶意模块之前再次等待两个小时,然后将其连接到远程服务器并发送有关设备的数据。服务器可以指示模块下载用于在2012和2015之间发现的Android中发现的本地权限升级漏洞的漏洞。
这些被称为root漏洞利用,因为它们授予Android上的最高特权帐户 - root帐户。换句话说,成功的开发将导致设备完全妥协。
谷歌为所有这些漏洞发布了修补程序,但由于Android生态系统的碎片,可能有很多设备在那里有很多设备,那里的所有更新都已收到所有更新。
这并不意味着500,000下载代表受损设备的数量。Android具有本地保护功能,如验证专门设计用于检测和阻止已知的根漏洞的应用程序和SafetyNet。
卡巴斯基鉴定了6,000多种成功的感染,主要是在俄罗斯,印度和印度尼西亚。“然而,由于该应用程序面向讲英语用户,因此在此地域等人员中也可能被击中,”卡巴斯基研究人员表示。
恶意“神奇宝贝Go”应用程序不是唯一包含此木马模块的Google Play商店中的应用程序。卡巴斯基自2015年12月以来,在商店中发现了其他此类应用程序。大多数旧应用程序有大约10,000个下载,但一个被称为“数字时钟”的下载有超过10万下载。
谷歌在过去几年中将恶意软件留出了官方应用商店,但由于这种事件表明,恶意应用程序仍然可以不时滑动。