【搵食艱難】Android app螯伏四個月 只為DDoS防毒軟件公司
為咗避過 Google Play Store 嘅審查,黑客喺設計 Android app 時都要避免將一啲可疑嘅程式碼或功能隱藏起嚟,甚至乎完全唔放喺入面,等日後獲准上架後先透過軟件更新嚟加料。最近防毒軟件公司 ESET 就發表報告,指出一隻名叫 Updates for Android 嘅應用軟件,就透過呢個方法感染約 5 萬部 Android phone,再借用嚟向目標網站發動 DDoS 攻擊。點解佢哋咁清楚呢?因為 ESET 正正就係被攻擊目標呀!
ESET 安全專家喺報告入面詳細講述事發經過,喺今年一月某一日,佢哋嘅網站突然受到 DDoS 攻擊,攻擊由超過 4000 個 IP 所發動,而且持續約 7 個鐘,不過呢啲攻擊好快已被阻擋落嚟。專家發現,呢啲攻擊源自一個當時仲喺 Play Store 上架嘅應用軟件 Updates for Android,而上架日期係上年 9 月 9 日。呢隻軟件登記為 System apps 類別,但專家指出同更新系統毫無關係,至於點解有成 5 萬人下載,就可能同佢會持續轉載新聞有關。專家續指,Updates for Android 喺上架時係完全無任何惡意功能,但當用家安裝之後,佢就會通過連接黑客 C&C 伺服器嚟下載及執行惡意 Javascript,令到隻 app 可以用嚟隱藏軟件icon、執行其他程式等等,當然仲包括發動 DDoS 攻擊啦。
如果一開始係正常 app,之後先變壞,咁可以點防備呢?ESET 專家就話呢類攻擊好難防,因為唔少 app 都會採用類似嘅開放工具同更新方法,所以如果只係靠偵測相關程式碼嚟分類,只為出現好多「假陽性」結果,將正常 app 都攔截埋落嚟。不過,ESET 專家就話通過呢次事件,佢哋已經可以靠某啲行為去判斷有無惡意功能潛伏,例如 app 嘅功能係咪喺每次著機時都會啟動?有無隱藏軟件 icon 或唔尋常嘅廣告?用邊啲 port 位嚟同 C&C 伺服器溝通?雖然唔可以靠單一項目嚟分辨,但只要出現多於一項風險因素,就更有把握捉鬼啦。
