新的一年,新的恶意软件。安全研究人员发现了去年遭受重创的一个程序的演变。它名为 HummingWhale,可在 Google Play 商店中使用,并可与虚拟机配合使用。
2016年,嗡嗡坏很高兴地跻身最赚钱、最广泛的恶意软件名单。他拥有 8500 万台 Android 设备受到感染,每月通过欺诈广告赚取 30 万美元收入,当他被 Check Point 专家发现时,他在网络安全领域留下了自己的印记。根据 Check Point 的数据,它占 2016 年上半年攻击的 72%,在全球最活跃的恶意软件中排名第四。
在 Play 商店中安装
坏消息,HummingBad 并没有死,他已经进化了。 Check Point 专家再次发现了这种突变。它被称为 HummingWhale,已在 20 多个 Android 应用程序中被发现,而在 Google Play 商店中,这是一个相当令人担忧的问题。特别是当我们了解山景城公司近年来所做的所有努力以及最近的计划时核实,应该在 Android 设备上寻找潜在有害的应用程序(PHA,即潜在有害应用程序)。
该安全公司解释说,大约 1200 万用户可信地下载了这些损坏的应用程序,这些应用程序是通过虚假的中国开发者帐户发布到网上的。
自我虚拟化的恶意软件
正是这些应用程序在启动时的奇怪行为暴露了它们。他们确实寻求在这种背景下执行不寻常的事件。除此之外,研究人员指出,它们还包含一个加密的 1.3 MB 文件,保存为图像 (.png),但实际上是可执行文件 (.apk)。
这是恶意软件的核心。最后一个文件用作滴管,也就是说,它将下载并运行其他应用程序,就像 HummingBad 所做的那样。然而,这里还有一个重要的新奇之处。这滴管使用由一家专门从事网络安全的中国公司开发的插件来测试虚拟机中的应用程序。它名为 Droidplugin,会在此虚拟机中安装欺诈性应用程序。优点是蜂鲸因此不需要根智能手机受到攻击而无法工作。事实上,使用虚拟机并不需要提升权限。
一旦智能手机受到损害,与恶意软件链接的命令和控制服务器就会向其发送虚假广告和虚假程序。因此,该应用程序在虚拟机中运行,然后生成一个虚假的参考 ID,从而使黑客能够产生收入。
就像它的一些前辈一样,特别是这个目标Check Point 研究人员指出,HummingWhale 正在努力提高其在 Play 商店中的声誉。它为损坏的应用程序添加评论和正面评级。
因此,如果您下载或已经下载了由中国帐户在线发布的应用程序,该帐户下没有太多程序,并且评级差异过大,请务必小心。
如果您有疑问并认为您已经下载了这样的应用程序,请注意它们往往无法工作、启动并立即崩溃。因此,将此标准添加到之前的标准中,可以成为识别这些危险应用的一种方法(并非 100% 可靠)。
来源 :
检查点博客
