講到第三方應用程式商店時,我們都會談論到安全風險。先前的研究已經顯示第三方應用程式商店往往是惡意軟體的溫床,具體來說,是惡意版本的熱門應用程式。除了惡意應用程式外,我們也看到「下載器應用程式」明顯地增加在這些商店內,其主要功能是下載其他可能對行動用戶造成危害的應用程式。
中國第三方應用程式商店內的下載器應用程式
趨勢科技的工程師決定來研究在中國最受歡迎的第三方Android應用程式商店。他們發現該網站有數以千計的應用程式被特別封裝來誘騙使用者下載其它應用程式。
一個例子是偽裝成遊戲應用程式的火雲邪神。我們的分析顯示這只是個重新封裝過的應用程式,會在安裝後跳出視窗。該訊息通知使用者系統缺少某些應用程式所需核心組件,並促使他們加以修復以得到「更好的使用者體驗」。一旦按下「修復」按鈕就會開始下載。
圖1、(左圖)遊戲應用程式;(右圖)指出該設備需要下載組件的訊息
當下載「修復」時,會出現其他應用程式的圖片訊息來要求使用者點擊。點擊任何圖片都會下載其它應用程式。我們注意到下載的應用程式並不一定是圖片所廣告的那一個。
如果使用者不按圖片,圖片會停在螢幕上,直到下載完成。使用者可以按下「X」來關閉圖片,但是另一個圖片會馬上出現加以替換。
下載完成後,會要求使用者安裝「組件」。這其實是個下載器,com.andriod.frames。
圖2、該組件是com.andriod.frames
安裝完成後,com.andriod.frames會在背景執行。它會下載其他應用程式並要求使用者安裝。
圖3、com.andriod.frames在背景執行並下載其他應用程式
下載器應用程式的危害
我們在資料庫內搜索這些應用程式,發現它們的套件名稱似乎很隨機。
圖4、應用程式的隨機套件名稱
我們也注意到它們都包裝同個套件,com.android.yuyouwall,其主要活動就是誘騙使用者下載如com.andriod.frames的應用程式。基於這些點,我們相信這些應用程式都是自動產生的。
圖5、應用程式內的程式碼顯示下載行為
在本文撰寫時,我們在這個第三方應用程式商店看到大約有5,000個具備相同行為的應用程式。這些應用程式看起來像是遊戲或其他像藍芽傳檔等受歡迎的應用程式。他們誘騙使用者去下載所謂的核心組件或資料套件,但實際上卻是下載器。
這類型的應用程式行為對於行動裝置構成嚴重的安全隱憂。下載的應用程式可能是惡意軟體或會派送大量廣告給使用者的應用程式。儘管這些應用程式的安裝還是需要使用者的授權,算是種「臨時」的安全措施,但不停出現的通知和彈跳視窗仍然是令人討厭。
從第三方應用程式商店下載時都要特別小心。最好只從官方應用程式商店(Google Play商店)或開發者的官方網站下載應用程式。此外,行動用戶應該要投資在行動安全解決方案上,能夠真正保護他們的設備免於這些威脅。
趨勢科技的行動安全防護可以保護使用者免於這些下載器應用程式所害,並將其偵測為ANDROIDOS_YUYOU.HBT。
我們現在正在與應用程式網站一同合作來解決此一問題。
本文中所提到的檔案雜湊值:
- bd87fcf7d474b9f4edb9a90a9bbe1fd0613ae75d
- 06d63a09d2fc4a150622d2ef17af895ec9191329
@原文出處:App “Component” Downloads Apps Onto Devices