SimBad恶意软件通过Google Play商店感染了数百万Android用户

Check Point的安全专家发现了一个复杂的恶意软件活动，通过Google Play商店传播的SimBad恶意代码，据专家介绍，已有超过1.5亿用户受到影响。

SimBad会伪装成广告，隐藏在RXDrioder软件开发工具包（SDK）中，使用该SDK开发的每一个APP程序都会被木马感染。

专家在发表的分析中说明

该恶意软件位于'RXDrioder'软件开发工具包（SDK）中，该工具包由'addroider[.]com'提供，诱骗开发者使用这个恶意的SDK。

由于大量受感染的APP程序是Simulator games，所以该恶意软件被称为'Simbad'。

该addroider[.]com域名是通过GoDaddy注册的，隐私信息已经被保护，该域名在7个月前过期。通过访问域名，用户可以看到类似的恶意软件登录页面。该“注册”和“登录”链接已损坏，会将用户“重定向”到登录页面。

SimBad恶意软件还能够将Android用户重定向到钓鱼网站，并从Play商店或远程服务器下载更多恶意应用程序。

一旦Android用户并安装被感染的APP程序，SimBad恶意软件就会将自己注册到'BOOT_COMPLETE'(开机完毕后启动的服务)和'USER_PRESENT'(进入Home后启动的服务)中。通过这种方式，恶意软件可以用用户不知情的情况下执行任意操作。

安装后，SimBad恶意软件将连接到攻击者的服务器，并随时接收执行命令，在安装后会删除该桌面中的图标导致用户无法卸载，同时会在后台打开钓鱼网站，进行欺诈。

专家说明

SimBad共有三组功能，展示广告、网络钓鱼以及查清手机的其他应用。由于能够在浏览器中打开给定的URL，“Simbad”背后的攻击者可以制作多个钓鱼网站，并在浏览器中打开它们，从而对用户进行网络钓鱼攻击。

由于能够打开手机商城APP程序，例如Google Play和9Apps，通过特定的关键字搜索特定应用程序，这样攻击者可以安装其他的攻击者指定的恶意软件，来获得收益。

Check Point表示，大多数受感染的应用程序都是Simulator games，其次是照片编辑器和壁纸应用程序。在受到SimBad恶意软件感染的Top10个App程序如下：

1. Snow Heavy Excavator Simulator (10,000,000 downloads)

2. Hoverboard Racing (5,000,000 downloads)

3. Real Tractor Farming Simulator (5,000,000 downloads)

4. Ambulance Rescue Driving (5,000,000 downloads)

5. Heavy Mountain Bus Simulator 2018 (5,000,000 downloads)

6. Fire Truck Emergency Driver (5,000,000 downloads)

7. Farming Tractor Real Harvest Simulator (5,000,000 downloads)

8. Car Parking Challenge (5,000,000 downloads)

9. Speed Boat Jet Ski Racing (5,000,000 downloads)

10. Water Surfing Car Stunt (5,000,000 downloads)

这里提供了受恶意软件感染的应用程序的完整列表

之前也曝光过类似的黑客攻击事件。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/82654/malware/simbad-malware-google-play.html