在Google Play商店中发现了基于恶意的基于Minecraft的Android应用,这些应用破坏了创建僵尸网络的设备。
星期三,赛门铁克公司的研究人员表示,店内托管的8个应用程序感染了Sockbot恶意软件,安装量从60万到260万台。
在博客文章中,赛门铁克表示,这些应用程序通过构建流行的Minecraft:Pocket Edition(PE)游戏的附加功能,设法将其侵入Google Play官方Android应用商店。他们不是官方的Minecraft应用程序,而是提供可以用来修改游戏中人物外观的“皮肤”。
安全小组认为,这些应用最初是为了产生非法的广告收入。其中一个应用程序被观察到连接到C&C服务器,以便在连接到目标服务器之前使用SOCKS打开套接字,以向应用发送广告和元数据列表以启动广告请求。
然而,在应用程序中没有显示广告的功能,因此研究人员认为,该应用程序利用的网络系统也可能用于将移动设备用于其他目的。
被称为Sockbot的嵌入式木马为广告收入和潜在的僵尸网络奴役创造了SOCKS代理。
赛门铁克说:“这种高度灵活的代理拓扑可以轻松扩展,以利用一些基于网络的漏洞,并可能跨越安全边界。“除了实现任意网络攻击外,还可以利用这种感染的大面积来安装分布式拒绝服务(DDoS)攻击。”
有一个开发者与所涉及的应用程序相关联。配音FunBaster,运营商确保应用程序的代码被模糊化,密钥字符串被加密,这可能解释了应用程序如何绕过Google的安全过程,首先进入Google Play。此外,开发人员使用不同的开发人员键签名每个应用程序。
安装后,应用程序会请求一大堆权限,包括访问GPS数据和Wi-Fi,打开网络连接,读取和写入外部存储设备的权限以及显示警报的功能。
恶意软件主要针对美国,但在俄罗斯,乌克兰,巴西和德国也发现了受害者。
赛门铁克于10月6日向Google通报了这些应用程序,科技巨头迅速将其从商店中删除。
9月份,Checkpoint研究人员在Google Play商店发现了50个应用程序,这些应用程序使犯罪分子能够通过秘密地向高价位短信服务发送消息并在不知情的情况下将用户订阅付费在线服务来赚钱。