- A+
概述: 最近我们正在Google Play商店调查一个杀毒app。这款app显示虚假的病毒检测并恐吓用户购买优质服务。Google Play商店数据表明,“AntiVirus for Android™(安卓杀毒)”app下载次数已超过100万次,并且这款软件在工具类免费app中的排名为前100名。Wildfire分析云捕获了这款app并将其识别为恐吓软件。
1月20日,我们将此事件报告给谷歌,2天之后,谷歌将其移除。
Google Play列表信息(现已删除)显示,AntiVirus for Android™由CTG网络服务公司开发。这款app被下载安装的次数介于100万至500万次。在被删之前,这款app获得5162次推荐以及16,531次评论,评分达到4.0。AppBrain表示,它同时在工具类中被美国、日本、法国及韩国评为畅销app前30名。
图1:Google Play应用商店中的AntiVirus for Android™
当用户打开这款app时,它总会报告称已经发现设备中存在两个或三个威胁,包括以下内容:
-
Android.Lotoor.C:一款流行root漏洞利用程序
-
Android.Metasploit.C:一款安全渗透测试工具,以及
-
Android.Plankton.C:一个安卓旧木马
图2:这款app提示发现两个安全威胁
如果用户点击“修复”按钮,这款app将会提示其中的一个威胁已被清除并
且建议用户更新完整版本以移除其余威胁。如果用户点击“更新完全保护”按钮,他们会被通过Google Play程序内购买引到需要花费4.99美元/月的服务页面(见图表3)。
图3:这款app要求用户支付4.99美元/月以完全保护设备
通过分析这款app的代码,我们发现许多提示显示这个程序并非合法杀毒程序,而实际上是一款恐吓软件。首先,第一步的“威胁检测结果”在app中被硬编码(图表4),这意味着这款app实际上并没有对手机上的威胁进行检测。开发人员甚至在源代码中将这些“被感染的数据包”标记为“fake.virus”
图4:硬编码虚假威胁检测结果
由于这个检测结果是虚假的,因此随后的清理也不是真的——消除操作仅仅在这款app的内部数据库中将“initial_virus_cleared”标记为“1”。图表5中的代码表明,在图表3中显示的“We have eliminated 1 of %d Threat(s)”也被硬编码。
图5 生成虚假威胁清理页面的代码
这个程序跟其他虚假杀毒app程序的一个不同之处非常有趣:“AntiVirus for Android™”实际上为付费用户提供了真正的杀毒服务。这款app整合了一款由Bitdefender提供的移动杀毒引擎,而且如果用户更新至优质版本,它将会通过这个引擎扫描app以及设备的SD卡。这就是我们将这个程序当做恐吓软件而不仅仅是虚假杀毒软件的主要原因。
目前尚不清楚这款app的开发者是否得到这个整合的BitDefender杀毒引擎许可。这个引擎检索更新的代码并从hxxp:// api.androidsantivirus .com /antivirus/android-arm更新签名,这个网址被放在这款app的官方网站上。
图6.这款App为优质用户整合了BitDefender杀毒引擎
2014年3月,一款名为“反病毒盾牌”的虚假杀毒app售价为3.99美元并且快速上升至Google Play新付费app前几名。反病毒盾牌下载次数超过30,000次,远远不及这款最新的恐吓软件,尽管我们尚不得知有多少用户在这款恶意app被删除之前支付了4.99美元/月的服务。AntiVirus for Android™包含真正的杀毒引擎使得其他程序将其识为恐吓软件的困难加大,因为这一点让它看起来就像是合法的。虽然谷歌已经将其删除,我们将持续跟进这款安卓app以确保WildFire为客户提供最佳保护措施。