研究人员发现谷歌商店多款App暗藏木马病毒

来自趋势科技的安全研究人员在检测谷歌应用商店时发现至少超过 800 款应用程序潜藏了某个广告木马病毒。

这个名为 Xavier 的广告木马病毒主要会随被感染的应用持续潜伏在用户设备中然后大肆收集用户的个人信息。

趋势科技的安全研究人员在统计分析后发现这些含有 Xavier 木马病毒的应用在全球下载总量已超过百万人次。

臭名昭著的 AdWown 家族

事实上 Xavier 广告木马病毒属于恶意软件 AdDown 家族成员， 该家族在 2015 年时就已经出现了首个变种。

这款恶意软件主要在后台收集诸如用户已安装的应用列表以及电子邮件地址等16 种内容再上传到作者服务器。

如果用户的设备已经获得了Root权限那么还可以静默安装广告应用，这会造成用户数据流量暴增且续航下降。

值得注意的是这款恶意软件还开发了自我保护机制用来躲避安全检测， 无论是动态或静态分析机制均可躲避。

恶意软件都用上了HTTPS加密传输

在谷歌和Mozilla等科技公司开始推广安全性更高的HTTPS时，恶意软件与时俱进使用 HTTPS 加密传输协议。

Xavier 为了安全起见全程通过HTTPS加密协议传输木马上传的数据资料防止遭到第三方通过中间人攻击窃取。

显然在很多正规应用程序还在使用 HTTP 明文传输协议时，恶意软件已经走在时代前列开始使用HTTPS加密。

受感染的用户主要来自东南亚

趋势科技统计分析数据表明这款恶意软件的感染者主要集中在东南亚地区，例如越南、菲律宾以及印尼等地。

由于中国大陆地区无法使用谷歌官方应用商店， 或许也正是因此避免出现了大规模的Android木马感染事件。

PS：但没有谷歌应用商店国内的Android木马病毒似乎更多，各种应用下载渠道都含有木马或者吸费的应用。

开发者需谨慎选择广告SDK

对于大多数个人开发者而言在自己的应用里添加广告SDK来赚取收益本身就天经地义而且也是个不错的选择。

但很多广告SDK本身就不是什么正规的广告供应商， 当你的应用添加不靠谱的广告SDK后那么就需要谨慎了。

Google Play此前就出现过大量应用自己添加非法广告SDK， 最终导致被谷歌官方批量下架并且进行了处罚。

因此对于开发者而言切不可为了赚取广告费不加选择供应商，否则出了事了最终受伤的还是自己和应用程序。