赛门铁克的安全研究人员发现了一种通过官方应用市场 Google Play 传播的恶意程序 Android.Sockbot。恶意程序冒充正规应用,随后将受感染设备添加到僵尸网络之中。新恶意软件Sockbot,具有“高度灵活的代理机制”,可以用于各种恶意用途。
赛门铁克研究人员发现,用于更改视频游戏(Minecraft的安卓袖珍版)角色外观的8个“皮肤应用”都被嵌入了新的恶意软件,并将这款恶意软件命名为“Sockbot”。研究人员说到,尽管这款恶意软件目前被用于向用户推送恶意广告,由于Sockbot的“高度灵活的代理机制”,它还可以将受感染设备添加到僵尸网络之中,并且利用这些设备启动分布式拒绝服务攻击和利用各种基于网络的漏洞。
对恶意应用的分析发现,应用程序通过 9001 端口与 CC 服务器相连,以接收相关命令。CC 服务器使用 SOCKS 请求该应用程序打开套接口,之后在指定端口等待一个来自指定 IP 地址的连接,Sockbot由此而得名。一位研究员解释说:“在通过指定端口的IP地址给出连接后,CC 服务器将发出连接目标服务器的命令。之后,恶意应用程序将连接到所需目标服务器,并开始接收广告列表和相关元数据(广告类型、屏幕尺寸和名称)。该应用程序使用相同的SOCKS代理机制,在接收命令后与广告服务器相连并发出广告请求。但它并没有显示广告的功能。”
这款由“FunBaster”开发的APP,在Google Play的安卓官方应用商店都可以下载。赛门铁克估计大约有60万至260万的下载量。恶意软件主要针对美国用户,但俄罗斯、乌克兰、巴西和德国也有它的踪影出现。Google 已经将这些应用移除。
* 原文链接:http://t.cn/ROFmb4X
* 来源:DARKReading
* 翻译:鼎源科技翻译组
