一百萬台第三方安卓設備暗藏詐騙者後門

研究人員揭露惡意軟體活動

多家公司的研究人員指出，這次的惡意活動似乎來自於一個鬆散連結的詐騙團體生態系，而不是單一的行動者。每個團體都有自己版本的Badbox 2.0後門和惡意軟體模組，並以多種方式分發這些軟體。在某些情況下，惡意應用程式會預先安裝在受感染的裝置上，但在研究人員追蹤的許多例子中，攻擊者會誘騙用戶不知不覺地安裝受感染的應用程式。

惡意應用程式的分發手法

研究人員強調了一種技術，詐騙者會創建一個正常的應用程式，例如遊戲，並將其發布在Google的Play商店中以顯示其已被審核，但隨後會誘騙用戶下載幾乎相同但不在官方應用商店中託管的惡意版本。研究人員表示，這種“邪惡雙胞胎”應用程式至少出現了24次，讓攻擊者在Google Play版本的應用程式中進行廣告詐騙，並在冒牌應用程式中分發惡意軟體。Human公司還發現，詐騙者分發了超過200個受感染的重新打包流行應用程式，這是他們散播後門的另一種方式。

多樣化的詐騙模組

Human公司的威脅情報副總裁Lindsay Kaye表示：“我們看到了四種不同類型的詐騙模組——兩個廣告詐騙模組、一個假點擊模組，然後是一個住宅代理網絡模組——但這是可擴展的。”她補充說：“所以你可以想像，如果時間繼續推移，他們能夠開發更多模組，或許建立更多關係，還有機會增加更多模組。”

Trend Micro的合作調查

安全公司趨勢科技 (Trend Micro) 的研究人員與Human公司合作調查Badbox 2.0，特別是專注於活動背後的行動者。

活動規模龐大

趨勢科技的高級威脅研究員Fyodor Yarochkin表示：“這次行動的規模非常龐大。”他補充說，雖然任何一個團體“輕易就能有多達一百萬台裝置在線上”，但“這只是目前連接到他們平台的裝置數量。如果算上所有可能攜帶惡意負載的裝置，可能會超過幾百萬台。”

與中國市場的聯繫

Yarochkin補充說，參與這些活動的許多團體似乎與中國的灰色市場廣告和行銷公司有某些聯繫。Yarochkin解釋說，十多年前，中國有多起法律案件，涉及公司在裝置上安裝“靜默”插件，並用於各種看似詐騙的活動。

適應市場變化的公司

“基本上在2015年那個時代存活下來的公司是那些適應了的公司，”Yarochkin說。他指出，他的調查現在已經識別出多個在中國的“商業實體”，似乎與參與Badbox 2的某些團體有聯繫。這些聯繫包括經濟和技術上的聯繫。“我們找到了他們的地址，看到了一些他們辦公室的照片，他們有些員工在LinkedIn上的帳號，”他說。

合作削弱Badbox 2.0基礎設施

Human、趨勢科技和Google還與網路安全組織Shadow Server合作，通過sinkholing技術盡可能削弱Badbox 2.0的基礎設施，讓其流量和指令請求進入虛無。然而，研究人員警告說，在原始Badbox計劃曝光後，詐騙者轉向其他方式，因此曝光Badbox 2.0不太可能永久終止這些活動。

消費者需提高警覺

“作為消費者，你應該記住，如果裝置便宜得令人難以置信，你應該準備好可能會有一些隱藏的驚喜，”趨勢科技的Yarochkin說。“沒有免費的奶酪，除非奶酪在捕鼠器上。”