Ghost Push 背後很可能是一個有組織的網路犯罪集團,因為他們對於惡意程式產業非常熟悉。除了 Ghost Push 之外,該集團到目前為止總共發行了 658 個非重複的惡意應用程式 (共 1,259 個不同版本),皆透過非官方應用程式商店流傳。其中,有一個惡意程式感染了 100,000 多個裝置;有兩個感染了 10,000 多個裝置;有七個感染了 1,000 多個裝置。
萬聖節還沒到,但 Android (安卓)使用者已經開始遭到幽靈騷擾,也就是 Ghost Push 惡意程式可以取得手機最高權限,並且下載有害的廣告和應用程式。它經常包裝在非官方應用程式商店下載的 App 中。Ghost Push可監控任何可能通知使用者的執行程序,因此可肆無忌憚地從事惡意活動。
Ghost Push 惡意行徑還包含:強制關閉手機 Wi-Fi 功能,改用行動數據連線來下載惡意程式、在螢幕開啟時啟動應用程式和廣告、竊取裝置上的個人資訊、更新已安裝的惡意應用程式等等。
根據趨勢科技對 Ghost Push 的深入調查,其近期變種較先前版本更進化,會利用下列方式來讓它更難被偵測和移除:
- 將其 APK 和 Shellcode (漏洞攻擊程式碼) 加密。
- 直接執行惡意的 DEX 檔案 (Android 執行檔) 而不產生通知。
- 加入了保護機制來監控其執行程序是否正常執行。
- 將惡意程式的 .APK 檔案 (Android 應用程式安裝包) 重新命名。
- 啟動新的系統活動。
目前網路上流傳的 Ghost Push 變種大約有 20 多個,以下是幾個已知會散布這些變種的網址:
- {blocked}.{blocked}dn.com /testapk/[sample name].apk
- {blocked}.{blocked}ecdn.com/testapk/[sample name].apk
- {blocked}.{blocked}dn.com/testapk/[sample name].apk
- {blocked}.{blocked}n.com:80/testapk/[sample name].apk
Ghost Push 從今年 4 月起即活躍至今,但 9 月份出現的變種數量明顯高於前幾個月。
