谷歌商店山寨APP 被用于传播新型木马病毒

俄罗斯反病毒软件公司Dr.Web的安全专家于上周在Google Play商店中发现了三种新的Android木马病毒，分别被检测为Android.Click.415、Android.Click.416和Android.Click.417。用于传播木马病毒的恶意应用伪装成了合法的Android应用，在安装之后能够接受攻击者的命令加载和显示任何网页。Dr.Web的安全专家表示，这个功能可被用于发起网络钓鱼攻击。

安全专家表示，检测到的恶意应用与合法的应用程序具有相同的名称和相似的图标。就拿Android.Click.415来说，用于传播该木马的恶意应用模仿了几款流行的合法Android应用，如QIWI app（俄罗斯支付服务提供商）、Odnoklassniki和VK（俄罗斯流行社交网络）以及NTV（俄罗斯独立电视台）。

当恶意应用每次启动时，它们都会连接到命令和控制（C&C）服务器。服务器会响应“无（none）”参数，或发送由攻击者指定的网页链接。当收到参数时，恶意应用会从其资源中提取多个图像并将其显示给受害者。

如果恶意应用从C＆C服务器接收到的是网页链接，它们将加载网页并显示它。然后，通过WebView直接在应用程序中打开该页面。在这种情况下，这些网页可能是某些网上银行系统或社交网络的虚假登录界面，这使得受害者面临网络钓鱼攻击风险。

接下来，让我们来看看被检测为Android.Click.416和Android.Click.417的木马病毒是如何运作的。

Dr.Web的安全专家共发现了70多款用于传播这两种木马病毒的恶意应用，下载量超过27万。与传播Android.Click.415的恶意应用类似，它们也伪装成了某些合法Android应用，这些应用可能是某些手机游戏、菜谱大全和编织手册应用程序。

与Android.Click.415一样，在受害者设备上建立立足点之后，Android.Click.416和Android.Click.417也会通过接受来自C＆C服务器的命令响应来显示任意网页。

另外，在Dr.Web安全专家的发现中，至少有4名软件开发者参与了这些木马病毒的分发活动。他们在Google Play商店的用户名分别是：Tezov apps、Aydarapps、Chmstudio和SVNGames。

Dr.Web目前已经将这些发现向谷歌团队进行了通报，并同时提醒各位用户，即使是从Google Play商店等可靠来源下载应用程序，也需要注意软件开发者的名称以及软件描述下方的评论。