某知名应用市场“惊现”大量木马应用

By | 2014年3月12日

AVL移动安全团队最近对国内某知名安卓应用市场上的3W多个应用进行抽样检测和分析,结果发现有高达12.6%的样本应用非官方应用,并且捆绑了恶意的木马或吸费广告,其中对恶意的样本应用统计结果表示,87%为木马应用,G-Ware和RiskWare分别占据7%和6%。统计了数量在Top 5的恶意家族情况,并且意外的发现83.3%的恶意代码均为FakeMoJi家族。

401B522A-B737-48DF-AFBE-8CD73497F7B823206AB7-5427-43F5-985A-84DC6F0E8AF0

下图为捆绑有FakeMoJi木马应用在该应用市场上架时间分布,可以看到在2013年上半年该市场上就已经出现少量捆绑有木马的应用,在2013年下半年捆绑有木马的应用数量开始激增,并且每个月都有新增四百左右的木马应用上架,从数量的激增推断可能木马制作者开发出了自动化的捆绑工具。

1EB5C79D-0FEC-40B1-B912-EABBFF14948C

下图是该应用市场的一款名为“安卓智能管家”的下载页面,可以看到下载量已有4862次:

5F4C5D51-CDD1-4F1F-9499-63293FF6267B

安装后AVL Pro报毒:

device-2014-03-12-151038

比较从该市场下载的应用和其官方应用包结构,发现其捆绑了恶意的包结构com.parand

6FB13057-3319-4B41-AE02-4F98198EB88E44B0A0BD-788D-49C6-AA9F-F4215B6292A9

FakeMoJi家族简介

FakeMoJi木马会联网获取指令;上传手机联系人信息,并且遍历手机联系人发送推广短信;私自发送扣费短信并拦截回馈信息。造成了手机用户的隐私泄露和资费损失,给用户手机的安全性带来了极高的威胁。

小结

AVL移动安全团队对该知名应用市场部分样本应用进行抽样检测和分析,发现了市场中有捆绑FakeMoJi木马应用大量泛滥,极大的威胁了用户手机安全。相关的应用市场也应该加强对上架应用的检测,并尽快下架捆绑有恶意木马的应用,避免沦为恶意代码的免费推手。

用户可以下载AVL移动安全团队AVL Pro对上述恶意应用进行查杀。

One thought on “某知名应用市场“惊现”大量木马应用

  1. Pingback: 多个知名应用市场存在欺诈木马 | AVL Team

发表评论

电子邮件地址不会被公开。 必填项已用*标注