根據 McAfee Mobile 研究團隊近期的發現:有新的 clicker malware 潛伏在應用程式商店 (Google Play) 中。目前,約有16個含有惡意程式碼的應用程式,又被稱為 clicker,可以在 Google Play 中被下載,初估下載量達 200000000 次。目前 McAfee 已經通知了 Google,此些含有惡意攻擊的應用程式已經不能被下載,已經下載此應用程式的用戶,目前也都受到 Google Play Protecter 的保護。
這些 Clicker,通常被包覆在工具性的APP外皮之下,從 Google Play 中看起來,它們不過就是普通的手電筒、 QR code 掃描器、相機、單位換算、任務管理記錄等小工具;誘使使用者在沒有警覺的情況下下載這些含有惡意背景廣告 (ad fraud features) 的應用程式。
#攻擊手法
一旦使用者下載並打開這些應用程式,它將傳送一個 http request 使設備自動下載一個遠端配置 (remote configuration) 。在此配置被下載之後,它註冊成為 FCM (Firebase Cloud Messaging) listener,之後負責接收和 push 訊息。FCM 內建有不同的函式,一旦特定的參務或是呼叫的指令被使用,FCM便會執行對應的任務。其中,當使用者的活動和FCM達到特定的條件,latent 函式會被執行。在 latent 函式中,網站會訪問FCM所指定的網頁並在背景中假冒使用者瀏覽此些網頁的活動。這樣的行為可能在使用者沒有注意到時,引發巨大的網路流量,並消秏大量的電力。被用於假冒用戶行為的惡意的元素包含:(1) CAS 和 (2) LivePosting,其中:(1) CAS (com.click.cas) 代表自動點擊行為 和 (2) LivePosting (com.liveposting)- 代表在背景中播放並下載廣告內容。惡意的開發者即透過假冒使用者瀏覽廣告的行為向廣告商賺取利潤。在下載這些惡意活動的過程中,為了防止被使用者發現,在下載後的一個小時內以及使用者使用手機的期間,不會有任何的惡意行為被執行。
#McAfee 的建議
McAfee Mobile 建議可以下載安全性軟體,可以協助發現任何可疑和惡意的行為。一旦這些惡意的clicker被移除之外,使用者會發現網路的使用量、電池的使用量都有顯著的減少;更重要的是用戶個人的資料也不會被暴露在被竊取的風險之中。
參考資料
New Malicious Clicker found in apps installed by 20M+ users, McAfee (Oct 19, 2022)- https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-malicious-clicker-found-in-apps-installed-by-20m-users/
【資安日報】2022年10月25日…, iThome(Oct 25, 2022) - https://www.ithome.com.tw/news/153807