安全研究人員發現特洛伊木馬隱身在 Google Play 商店的多款應用中

自從智慧型手機普及以來，不肖人士早已將手機作為自己「一展長才」的領域，尤其是自由度高的開放式 Android 系統，更是各顯神通的舞台，Google 同時也在不斷提高自家的安全防護技術以應對推陳出新的惡意入侵手段。近日安全研究單位發現從今年 1 月開始 Play 商店中的特洛伊木馬滲透激增，其中最受歡迎的應用程式安裝量超過 50 萬次。

安全研究人員發現特洛伊木馬隱身在 Google Play 商店的多款應用中

Dr. Web 的安全研究人員從 2022 年 1 月開起對行動裝置上的病毒活動進行監測，發現 Google Play 商店中含有惡意軟體的應用程式大多數都屬於使用在各種騙局中的特洛伊家族，主要的危害在個人資料的竊取與經濟損失方面。此外，還有一款新的 Android 木馬以 WhatsApp 模組外掛的形式出現，透過在社群媒體上的發文、論壇與 SEO 病毒式行銷推廣在網路上傳播。

首先看到 Dr. Web 在 Play 商店裡面發現的木馬應用程式，其中包含加密貨幣管理、社會服務援助工具、山寨版 Gasprom 投資工具、照片編輯器以及 iOS 15 主題桌面啟動器等。

大多數假的投資應用會要求用戶創建一個新帳號並儲值據稱用於交易的錢，而這筆錢只是存入詐騙者的銀行帳戶中；其他應用程式則是試圖誘騙用戶支付高額的訂閱費用。被 Dr. Web 回報的應用大多數已經從 Play 商店中下架，這些應用程式下載安裝後將載入聯盟服務網站，並在誘騙受害者輸入其電話號碼後透過 Wap Click 技術啟用付費訂閱。

▲這些都是假的天然氣投資類應用程式

Bleeping Computer 另外還在 Play 商店中找到一款已經有超過 50 萬人下載的導航應用程式「Top Navigation」，這款應用中就包含有惡意病毒，但因為下載人數眾多，使它成為安全危害的重要問題。

另外一款內含安全威脅的應用是由 Tsaregorotseva 開發的應用程式「Advice Photo Power」，這款相片編輯器已經有超過 10 萬人次的下載量。該應用程式下方的使用者評論中有用戶敘述了類似於訂閱詐騙的策略，每周收取 2 美元宣稱是授權或移除廣告費用，但不提供任何真正的服務。

在這些木馬威脅中最大的危害就是名為 GBWhatsApp、OBWhatsApp 或 WhatsApp Plus 的非官方 WhatsApp 模組外掛木馬版本應用，這些模組提供阿拉伯語支援、主螢幕小工具、獨立的底部欄位、隱藏個人狀態、阻止呼叫以及自動儲存收到的多媒體等附加功能。這些模組外掛由於提供了原先在 WhatApp 上面沒有的附加功能而在線上論壇非常受歡迎。

但是，在特洛伊木馬版本中，夾帶在裡面的惡意軟體試圖透過 Flurry 統計服務從 Google Play 商店和三星 Galaxy Store 應用程式中獲取通知。此外，該特洛伊木馬從從命令和控制伺服器接收的 URL 下載額外的 APK，並以 OBWhatsApp 更新的幌子請求使用者安裝。接著，該應用程式將任意顯示對話方塊，其中包含遠端動態設定和更新的內容，從而允許攻擊者將使用者重新定向到惡意網站。

想要遠離這些安全威脅最有效的辦法，就是避免從不知名、不安全的來源下載 APK，即使在 Play 商店等知名平台下載前也要查閱底下的用戶評論，安裝時務必仔細檢查應用向你索取的權限，並且在安裝後密切監控電量與網路的使用量以揪出在背景運行的可能。此外，你一定要定期檢查 Google Play Protect 的狀態，如果預算許可且你經常會下載各式應用還可以安裝信用良好的安全工具來增加第二層保護。

Source: Bleeping Computer