美國安全軟件公司 McAfee 在 Google Play 上發現有多達 144 款 App 植入了新款惡意軟體「 Grabos 」,全部均為具有免費音樂下載器功能的 App 。 Grabos 的惡意代碼受商業加密工具的保護,巧妙避開了 Google Play 的安全機制,更以劣質手段去提高於 Google Play 上的評價及下載量。直到 10 月為止的資料顯示,被植入了 Grabos 程式碼的 App 下載量超過 1,740 萬次,平均評價為 4.4 星!
在被植入 Grabos 程式碼的 Android App 當中,有部分是由 Grabos 的開發者所開發的惡意程式,而另一部分是他們在一些開放源碼的 App 裡偷偷植入惡意程式碼。而 Grabos 程式碼的起動方法更加非常巧妙,它會基於以下的條件來決定開啟無害的音樂播放器和檔案總管偽裝程式,又或者開啟能偷取個人資料的音樂下載器惡意程式(真正程式)。
- isOnline: 檢查用家是否有連接網路。
- getIsBlacklisted:當用家有打開 Android Debug Bridge 以及開發人員選項時,又或是檢查該設備是否在模擬器上運作,如在模擬器上運作則會將設備記入黑名單,並開啟偽裝的程式。
- getIsForcedBlacklisted:由控制伺服器設置的旗標
代碼還有一個測試模式,去決定是否執行惡意程式。這一連串檢查,可以檢測出程式是否正受到動態分析,以防止隱藏程式碼被執行。
真正的 Grabos 惡意程式表面上是個音樂下載器,可讓用家從 YouTube 等網站上搜索歌曲,並以 MP3 或 MP4 格式下載到手機。但其實 Grabos 會加密上傳它從用戶手機蒐集到的信息,還會檢測是否安裝了某些社交軟件等資料。同時為了加快 Grabos 的散布,開發者還以提升下載速度作為利誘,要求用戶於 Google Play 將 App 評價為 5 星並將它分享給友人,以獲得更佳的服務。
目前植入 Grabos 的相關 App 皆以被下架,但相信 Google Play 依然有大量類似的 App 未被發現,各位 Android 用家應盡量避免下載不可信的 App 為妙。