100 万台第三方 Android 设备为诈骗者提供了秘密后门

快速阅读: 据《有线》称，多家公司研究人员发现，“坏盒子2.0”行动源自松散连接的欺诈组织，而非单一行为者。这些组织使用独特后门和恶意模块，通过篡改应用或诱导用户安装恶意软件进行欺诈。研究还发现，诈骗者通过重新打包流行应用传播后门。尽管已采取措施削弱其基础设施，但此类活动仍难以根除。专家提醒消费者对异常低价设备保持警惕。

多家公司的研究人员表示，此次行动似乎来自一个松散连接的欺诈组织生态系统，而不是单一行为者。每个组织都有其独特的“坏盒子2.0”后门和恶意模块版本，并以多种方式分发软件。在某些情况下，恶意应用程序预装在被篡改的设备上，但在研究人员追踪到的许多示例中，攻击者诱使用户不知情地安装被篡改的应用程序。研究人员强调了一种技术：诈骗者创建一个良性应用——比如一款游戏——发布在谷歌的“Play商店”以证明其经过验证，但随后诱使用户下载未在官方应用商店托管的几乎完全相同的应用程序，这些应用程序是恶意的。这种“双胞胎恶魔”应用程序至少出现了24次，允许攻击者在其应用程序的谷歌“Play商店”版本上运行广告欺诈，并在其假冒应用程序中分发恶意软件。研究人员还发现，诈骗者重新打包并分发了超过200个流行主流应用的被篡改版本，作为另一种传播后门的方式。“我们看到了四种不同的欺诈模块——两种广告欺诈模块、一个虚假点击模块，以及住宅代理网络模块——但它可以扩展，”人类威胁情报副总裁林赛·凯说道。“你可以想象，如果时间继续推移，他们能够开发更多模块，或许建立更多关系，就有机会增加更多的模块。”

安全公司趋势科技与人类合作调查了“坏盒子2.0”，特别关注活动背后的行为者。“该行动规模巨大，”趋势科技高级威胁研究员费奥多尔·亚罗奇金说。他补充道，虽然任何一组可能有“多达一百万台设备在线”，但“这只是目前连接到他们平台的设备数量。如果计算所有可能携带其有效载荷的设备，数量可能会超过几百万。”亚罗奇金补充说，许多参与此次行动的团体似乎与中国的灰色市场广告和营销公司有某种联系。十多年前，亚罗奇金解释说，在中国有多起法律案件涉及公司在设备上安装“静默”插件并用于各种看似欺诈性的活动。“那些在2015年存活下来的公司是那些能够适应变化的公司，”亚罗奇金说。他指出，他的调查现在识别出多个与中国灰色市场相关的实体，这些实体似乎与参与“坏盒子2.0”的部分团体有关联。这些联系包括经济和技术联系。“我们找到了他们的地址，看到过他们办公室的一些照片，他们在领英上有员工账号。”

人类、趋势科技和谷歌还与互联网安全组织“影子服务器”合作，通过将僵尸网络重定向到一个无效地址来尽可能地削弱“坏盒子2.0”基础设施，使其基本上将其流量和指令请求重定向到一个无效地址。但研究人员警告称，由于诈骗者在原版“坏盒子”计划曝光后进行了调整，暴露“坏盒子2.0”不太可能永久结束此类活动。“作为消费者，你应该记住，如果设备的价格低得不正常，你应当警惕这可能意味着设备内藏有其他问题，”趋势科技的亚罗奇金说。“除非奶酪在捕鼠器里，否则没有免费的奶酪。”

(以上内容均由Ai生成)