数百万安卓用户面临风险，因谷歌 Play 中发现恶意 SDK 媒体

安卓Trojan模块在Google Play的潜在威胁

关键要点

在Google Play上发现了一个Trojan模块及其多个变种，这可能意味着数百万Android用户正处于网络攻击的风险中。根据Dr Web周一的博客文章，这个Trojan模块以营销软件开发工具包SDK的形式分发，涉及至少42129亿次下载，涵盖了101个Google Play应用。

被称为“AndroidSpySpinOk”，Dr Web报告称，该模块旨在通过迷你游戏、任务系统和各种“奖品”以及“奖励”抽奖来保持用户的兴趣。一旦初始化，这个恶意SDK会向一个命令控制服务器发送请求，包含大量感染设备的技术信息。该Trojan模块会忽略设备的代理设置，从而在安全团队的分析过程中隐藏网络连接。

Dr Web表示，该模块随后从服务器接收一系列URL，并在WebView中打开这些链接以显示广告横幅。Trojan SDK扩展了在载入网页上执行的JavaScript代码的能力，加入了多种功能，包括：获取指定目录中的文件列表；验证设备上是否存在指定文件或目录；从设备获取文件；复制或替代剪贴板内容。

对于移动应用开发者而言，SDK用于完成特定的已知任务，无论是免费的还是付费的。Zimperium产品策略副总裁Krishna Vishnubhotla表示，然而，很多人并不总是会检查SDK可以执行的其他功能，尤其是当其在最终用户设备上的应用内运行时。

“恶意行为者并不会让这件事简单，因为大多数可疑活动代码仅在设备满足特定条件时下载，以避免被检测。”Vishnubhotla说道，“因此，对于源代码扫描器而言，SDK在大多数情况下看起来是无害的。如果是专有的SDK，那么你根本无法访问源代码。如今的SDK足够复杂，能够规避标准的检测机制。看不见的威胁往往是最危险的。对于移动设备，我们必须使用合适的移动专用工具，超越表面，覆盖静态和动态分析。”

Viakoo首席执行官Bud Broomhead补充道，威胁行为者深深植根于某个特定的Android游戏细分市场，这些游戏声称能够为玩家赚钱。Broomhead表示，他们可能在这个细分市场中显现出来，是因为观察资金转移到银行账户的过程，或者威胁行为者可能会拥有可以进一步被利用的特定文件。

Broomhead指出，这421百万以上的下载数字与现实并不完全相符。他表示，如果全球约有20亿部Android手机和平板设备，那么这个间谍模块的安装次数达到421百万次，这意味着大约五分之一的手机受到影响。

“如果估算25的应用只下载一次就不再使用的情况是准确的，那么依然有316亿次‘活跃’下载。”Broomhead说道，“在这种情况下，使用WiFi可能会带来一些好处。虽然应用可能会模糊设备的流量，但本地路由器及其防火墙可能提供一定的可追溯性和保护。使用多层网络安全措施可以帮助减少重大数据外泄事件的发生。”

通过提高用户意识和安全措施，我们可以更好地保护Android设备免受此类威胁的侵害。