Check Point 的研究人员近日在 Google Play 商店中发现一种新型态恶意广告软件 SimBad。SimBad 是一种软件开发工具包病毒,已知约有210款应用程序受害,总下载次数高达1.5亿,大部分受感染的应用为模拟类手机游戏,Google Play 商店现已下架所有受感染的应用程序。Check Point 发现此种恶意软件藏于由「addroider[.]com」提供,名为「RXDrioder」的广告相关软件开发工具包中。用户一旦安装了受感染的应用程序,SimBad 将注册到「BOOT_COMPLETE」和「USER_PRESENT」程序代码内,在装置启动时及用户使用装置时进行恶意操作。恶意软件将链接至特定的命令暨控制(C&C)服务器,强制执行用户行动装置上一系列的功能,例如:从桌面删除应用程序图标,增加用户移除程序的难度;或者显示域外广告,强制打开浏览器至指定的网址连结。SimBad 的危害主要分为三类,显示广告、网络钓鱼及链接其他应用程序。SimBad 能在使用者的浏览器中打开指定网址连结,让攻击者为多个平台生成网络钓鱼页面,对用户进行鱼叉式网络钓鱼攻击(Spear Phishing)。攻击者也可透过特定关键词搜索,或利用单一页面打开其他手机应用程序(如 Google Play 商店和9Apps),使其他攻击者有机可乘,甚至可以从指定服务器安装远程遥控程序,控制用户的行动装置下载其他恶意软件。Check Point 表示,虽然 SimBad 的危害主要是开启域外广告,但它能遥控开启其他应用程序,这未来可能会造成使用者更大的资安威胁。相关手机安全信息: