“透明APP”正偷電量、偷流量、偷隱私|微軟警告“Cryware”信息竊取惡意軟件
近日,北京周女士的手機莫名其妙地一直彈出廣告,而且無法關閉。專業人員檢查發現,她的手機桌面上存在一款沒有文件名、圖標透明的不法軟件。
“新華視點”記者調查發現,這類不法軟件不僅耗電、耗流量,推送各類廣告令機主不勝其擾,還往往過度索權,存在個人信息泄露風險。
手機上看不見的隱患
周女士的遭遇并非個例。廣州大學生李博近來發現手機電量消耗得特別快,充滿電用不了半天。以前一個月30G流量夠用,如今只能用半個月,“明明什么程序都沒開,手機流量還是攔不住地減少,感覺手機里有‘內鬼’”。
李博到手機品牌店咨詢,工作人員打開手機任務欄后,發現有一個空白程序一直在運行。“不知道什么時候安裝上的,也不知道是怎么把這個程序‘喚醒’的。工作人員說如果實在刪不掉就只能刷機了。”李博說。
記者調查發現,以沒有名稱、圖標透明的方式隱藏在手機里的App,是最新出現的一類不法軟件。
透明不法App在手機桌面上看不到,長按出現卸載等提示,應用管理中顯示為空白圖標。
不法軟件是如何被安裝到手機上的?
“利用廣告、推送等方式,在用戶易觸位置,如‘關閉’‘跳過’等按鈕中藏入下載鏈接,一旦用戶不經意點擊,手機后臺便開始悄悄下載。”中國金融認證中心高級安全專家紀崇廉告訴記者,有的透明不法軟件甚至利用其他App進行捆綁安裝,“有可能機主根本沒點錯按鈕,也會在不知不覺中下載了不法軟件”。
廣州劉女士在一次下載App時,偶然發現手機被安裝上了不法軟件。她反復嘗試卸載未能成功,推送廣告的行為也沒有停止。
騰訊手機管家目前甄別出透明App不法軟件樣本共500多萬份。騰訊手機管家安全專家鄭揚帆告訴記者,透明App在后臺長期開啟,不僅額外消耗手機電量、流量,頻繁彈窗推送廣告,還會通過技術手段使手機按鍵失效,強制用戶觀看廣告。此外,一些惡意軟件甚至誘導用戶開啟麥克風、攝像頭等權限并進行鍵盤記錄,竊取用戶照片、通訊錄、短信、位置等個人隱私。
“吸金”套路多
不法軟件泛濫的背后,是非法獲利的灰黑產業鏈。
——推送廣告賺取分紅。
劉女士告訴記者,自從手機里有了透明不法App后,解鎖屏幕時都被迫先看廣告。點擊頁面上的“解鎖”,甚至會觸發新的廣告推送。
奇安信安全專家謝斯說,透明App本身沒有實質性功能,但一些無良開發者通過往里加入各種功能盈利。廣告分紅一般通過用戶的觀看次數、點擊跳轉次數、下載量等數據進行計算,開發者通過埋伏功能強制推送廣告獲利。
——誘導下載惡意扣費。
佛山白領吳先生近日發現,手機出現一款名為“XX騎士團”的游戲,每個月被扣掉10元錢。吳先生仔細查看發現,該款游戲是無意中從瀏覽器下載來的。“想投訴也不知道投訴誰,只能吃啞巴虧。”吳先生說。
——獲取用戶信息實施商業目的。
深圳程序員王先生父親的手機里頻繁出現廣告彈窗,他仔細檢查發現,手機隱藏的透明App,是某購物軟件的小插件。
“父親說這個購物軟件是點擊微信上別人發來的鏈接之后下載的。第一次打開購物App時彈出的權限都點擊了‘允許’。”王先生告訴記者,由于該款透明App捆綁于購物軟件,因此,在購物軟件中輸入的商品信息和瀏覽記錄可能會被記錄下來。隨后,王先生嘗試在父親手機上打開其他購物軟件,發現頁面中出現了瀏覽過的同類別商品。
“這個透明App里被嵌入了第三方SDK功能包,會收集用戶的行為數據,甚至可能將收錄的信息內容賣給其他服務商。”王先生說。
專家表示,此類不法App不僅推送廣告獲取收益分紅,還有可能竊取個人信息,成為實施電信詐騙等違法活動的工具。
專家建議用戶盡量更新系統,
不要點擊不明鏈接
國家信息技術安全研究中心專家王揚說,新版本的安卓系統不允許沒有圖標的軟件在后臺運行,一些不法軟件就披上了各式外衣,透明圖標就是其中一種。“實現‘透明’圖標很容易,在開發時只需要設置圖標屬性以及置空App名字。”
據悉,該類App安裝上之后,僅僅刪除某個桌面文件并不能將其卸載,一般需要進入設備設置中的“應用管理”進行卸載。有的甚至一次性安裝兩個以上的程序:一個主程序,一個守護程序,主程序被卸載,守護程序會將其再安裝回來,如此反反復復很難徹底刪掉。
王揚表示,由于眾多App的主體難辨,各類軟件安裝門檻較低、侵害用戶權益的App層出不窮,用戶在安裝使用App時需格外留心。
據了解,市面上一些大廠商生產的安卓手機內置的系統會實時自動更新,系統的惡意代碼庫也在不斷完善,新系統會對常見的惡意代碼進行“阻攔”。但是有的廠商為了節約成本會去掉一些功能,如自動更新,那樣手機就無法收到最新的系統補丁。
對此,暨南大學副校長翁健教授提醒:用戶盡可能將系統更新到最新版本;惡意應用很少能通過應用商店審核,用戶不要點擊不明鏈接,盡量通過系統自帶的應用商城下載應用;用戶可以在系統設置中打開“禁止安裝未知來源軟件”的選項,避免不小心安裝上惡意程序。
翁健建議,手機廠商在安裝應用的流程設計上特別標明應用的權限和風險級別,在應用商城中做好甄別篩選機制;有關部門加大執法力度,打擊不法軟件灰黑產業鏈。
2021年以來,廣東省通信管理局對272款App發出違法違規處置通知,對未按期完成整改的27款App進行了下架處理。針對透明App等手機不法軟件新載體,廣東省通信管理局表示,下一步將不斷擴大App監管平臺數據采集范圍,提升監測能力和技術檢測水平,加大處置和曝光力度,強化個人信息保護和數據安全監管。
據了解,2021年工信部對208萬款App進行了技術檢測,通報違規App共1549款,下架514款,持續推進個人信息保護專項整治。
記者:胡林果、張藝騰
編輯:秦交鋒
視覺:宋佳
微軟警告“Cryware”信息竊取惡意軟件
微軟警告稱,針對聯網加密貨幣錢包的新威脅正在出現,這標志著在網絡攻擊中使用數字硬幣的情況有所不同。
這家科技巨頭將這種新威脅稱為“cryware”,這些攻擊通過向對手控制的錢包進行欺詐性轉移,導致虛擬貨幣不可逆轉地被盜。
“Cryware 是直接從非托管加密貨幣錢包(也稱為熱錢包)收集和竊取數據的信息竊取程序,”Microsoft 365 Defender 研究團隊的 Berman Enconado 和 Laurie Kirk在一份新報告中表示。
“因為熱錢包與托管錢包不同,它存儲在本地設備上,并且可以更輕松地訪問執行交易所需的加密密鑰,因此越來越多的威脅正以它們為目標。”
這種攻擊不是理論上的。今年早些時候,卡巴斯基披露了由總部位于朝鮮的 Lazarus Group 發起的一項出于財務動機的活動,該活動涉及使用旨在從熱錢包中抽走資金的惡意軟件針對加密公司。
Cryware 包含以下威脅
1.Cryptojackers偷偷消耗目標設備資源來挖掘加密貨幣
2.使用加密貨幣作為贖金支付以避免被發現的勒索軟件活動
3.信息竊取者(例如Mars Stealer、RedLine Stealer、Arkei和Raccoon)越來越多地升級以虹吸熱錢包數據以及存儲在系統中的其他有價值的信息
4.ClipBankers(又名Clippers)通過監視剪貼板并將原始錢包地址替換為攻擊者的地址來竊取交易期間的加密貨幣
這種信息竊取攻擊旨在提取熱錢包數據,例如私鑰、助記詞和錢包地址,從而允許攻擊者發起惡意交易并將資金轉移到另一個錢包。
或者,還觀察到網絡犯罪分子利用內存轉儲等技術以明文形式顯示私鑰、鍵盤記錄以捕獲受害者輸入的擊鍵,或設計相似的錢包網站來誘騙用戶輸入他們的私鑰。
為了緩解此類威脅,微軟建議用戶和組織在不交易時鎖定熱錢包,斷開與錢包連接的站點,避免以明文形式存儲私鑰,并在復制和粘貼信息時驗證錢包地址的值。
“Cryware 標志著加密貨幣在攻擊中的使用發生了轉變:不再是達到目的的手段,而是目的本身,”研究人員說。
