木马程式Xavier入侵Android,台湾用户至少下载5万次

记者洪圣壹台北报导

全球网路资安解决方案厂商趋势科技近日发现一项重大 Android 系统漏洞用户在 Google Play 商店下载或找寻应用程式,就有可能会受到广告木马程式 Xavier 感染,目前有超过 800 个应用程式已经确认被感染,而且这些应用程式目前已经被下载超过百万次。

从趋势科技公布的资讯来看,Xavier 是 AdDown 家族成员。AdDown 家族的第一个版本于 2015 年初被资安专家们发现,称为 joymobile,当时该变体已经能够远程执行代码攻击者除了收集和泄露用户信息之外,此广告库还可以安装其他APK,如果设备扎根,则可以静默地执行此操作,甚至锁定受到感染的行动装置,执行任意程式码,最后用户很难侦测此恶意行为。

从AdDown家族出现的第二个变种叫做nativemob,该变种病毒于 2016 年初被发现,其程式码的结构与 joymobile 不同,并增加了新的功能,如行动装置在未刷机状态,也能够暗中安装其他 App,以及完整加密所有资料的程式码,同样的,当应用程式一但深耕于手机,攻击者同样能远端观看所有用户的使用行为。

这次公布的Xavier属于AdDown家族第三个变种,其第一个版本最早在2016年9月被发现,该版本删除了APK安装和根检查,但是使用TEA算法添加了数据加密。不久之后,它增加了一种机制来转义动态检测,它有一个自我保护机制,可以让它逃避静态和动态分析。

此外,Xavier还具有下载和执行其他恶意代码的功能,这可能是恶意软件更危险的一个方面。Xavier的行为取决于下载的代码和由远程服务器配置的代码的URL。

根据趋势科技移动应用程序信誉服务的数据指出,目前在 Google Play 商店的应用程式里面,至少有 800 个以应用程式潜藏广告型木马程式Xavier,这些类型包括追踪程式、相片编辑程式、桌面背景制作程式、铃声制作程式、媒体播放器和其他类型App,自上周公布以来,总共累积下载次数已经超过百万,来自越南菲律宾印尼东南亚地区用户的下载次数最高,台湾也有 5.26%,换算下来,台湾用户至少已经下载超过 5 万次相关受到感染的应用程式。

趋势科技最新调查发现,Xavier 其实是一款广告库,内嵌在各种免费的应用程式,可以躲过 Google Play 的检测,要避免像 Xavier 这样的狡猾恶意软件的方法有以下三个方向

一、不要下载安装来路不明的应用程序。

二、仔细查看评论公司名称,即使是在 Google Play 等合法应用商店,仍要仔细观看开发商与相关介绍、用户评论,确认真的是可信任的,再决定是否要下载。

三、将手机更新到最新版本,为自己的手机做好前期防护。

※资料来源:趋势科技