自从不到一个月前被发现以来,我们发现了一种新的Android木马恶意软件Android /特洛伊。FakeAdsBlock已经在500多台设备上看到了,而且还在上升。这个令人讨厌的移动恶意软件巧妙地隐藏在Android设备上,同时提供大量广告:整页广告、打开默认浏览器时发送的广告、通知中的广告,甚至通过主屏幕小部件发送的广告。同时,讽刺的是,冒充一个广告拦截器,名字模糊的广告拦截器。

在安装:麻烦

直接进入这个移动威胁,让我们看看它感染的容易程度。立即安装,它要求允许显示在其他应用程序的权利。

当然,这是为了显示它提供的所有广告。

之后,应用程序打开并要求连接请求“建立一个VPN连接,允许它监控网络流量。”对于广告拦截器来说,建立VPN连接并不罕见,所以你为什么不点击呢好吗?

澄清一下,这款应用实际上并没有连接到任何VPN。相反,通过点击好吧,用户实际上允许恶意软件一直在后台运行。

接下来是添加主屏幕小部件的请求。

这就是事情变得可疑的地方。添加的小部件无处可寻。在我测试的设备上,它将这个小部件添加到了一个新的主屏幕页面。祝你找到和/或点击它。

然后假广告拦截器输出一些术语,使其看起来合法。

仔细看一看,因为这很可能是你最后一次看到这个广告拦截器,如果你是许多不幸感染它的受害者之一。

极端的隐形

一旦安装了广告拦截程序,就很难在移动设备上找到它。首先,广告拦截器没有图标。但是,有一些提示它的存在,例如,一个小的键图标状态栏。

这个键图标是在接受假VPN连接消息后创建的,如上所示。因此,这个小钥匙就是恶意软件正在后台运行的证据。

虽然很难发现,但另一个线索是隐藏在眼前的空白通知框。

警告:如果你碰巧按了这个空白通知,它将请求允许未知应用程序安装有一个切换按钮允许从这个来源。在这种情况下,它的来源是恶意软件,点击它可以安装更多的恶意软件。

如果你想找到广告拦截器应用程序信息页上手动删除,它再次隐藏自己与一个空白的白框。

幸运的是,它不能隐藏应用程序使用的存储空间,所以浮动6.57 MB上面的图可以帮助我们找到它。除非你发现这个应用程序的存储编号,并找出它属于哪个应用程序(通过删除过程),否则你无法从你的设备上删除广告拦截程序。

Android恶意软件的毒牙还在

这种Android恶意软件在其广告服务能力和频率方面绝对是无情的。事实上,在我写这篇博客的时候,它在我测试的设备上以每几分钟一次的频率提供了大量的广告。此外,广告使用了各种不同的方法来展示。

例如,它从基本的全页广告开始:

此外,它还在通知中提供广告:

哦,看,它想通过默认浏览器发送广告:

最后,还记得向主屏幕添加一个看起来不可见的小部件的请求吗?看不见的小部件显示:更多的广告。

这些广告本身涵盖了各种各样的内容,其中一些相当令人讨厌——当然不是你想在移动设备上看到的。

感染人数在上升

不用说,当人们下载广告拦截软件时,这种向用户推送粗俗广告的隐蔽的Android恶意软件并不是他们想要的。不幸的是,我们已经发现了超过500个Android/木马。fakeadsblock。此外,我们在我们的FakeAdsBlock移动智能系统中收集了1800多个样本,使我们相信感染率是相当高的。从积极的方面来看,必威平台APPAndroid伪清除了超过500个在其他情况下很难手动清除的感染。

感染源

目前还不清楚这个Android恶意软件到底来自哪里。我们拥有的最令人信服的证据是基于VirusTotal提交的数据,这表明感染正在美国蔓延。最有可能的情况是,用户正在从第三方应用程序商店下载应用程序,寻找合法的广告拦截器,但却在不知不觉中安装了这个恶意软件。

此外,从几个提交的文件名,如绿巨人(2003),银河护卫队。小丑(2019). apk。另一个可能的感染源是假冒的电影应用商店。

还有证据表明,Android恶意软件也可能在法国和德国等欧洲国家蔓延。一个论坛帖子创建了法语版本CCM.net,并向VirusTotal提交了一个德国文件名。

一种新型的移动恶意软件

一种新型的隐形手机恶意软件显然正在崛起。早在8月份,我们就写过隐藏的移动恶意软件xHelper,我们检测为android /Trojan.Dropper.xHelper。当时,xHelper已经从33000个移动设备中移除,而且这个数字还在继续增长。广告拦截器甚至更隐蔽,很容易达到同样的感染率。

如果你愿意,你可以称其为无耻的插入,但这种潜行的Android恶意软件的趋势突出了一个好的手机防恶意软件扫描仪的必要性,比如必威平台APP.随着越来越多的用户将手机用于银行、购物、存储健康数据、发送邮件和其他敏感而重要的功能,防止手机恶意软件变得至关重要。当然,要当心第三方应用商店,但要有备份,以防广告拦截器等应用欺骗了你。

在外面注意安全!