1000万安卓用户下载了假冒的“三星更新”应用

近期，有超过1000万用户被欺骗安装了一个名为Updates for Samsung的假冒三星应用。表面上看，该应用负责进行设备固件更新，但实际上，它会把用户重定向到一个广告网站，并收取“固件”下载费用。

CSIS安全小组的恶意软件分析师Aleksejs Kuprins在近期的一次采访中告诉Zdnet，在早些时候他们发布了一份关于该应用的可疑行为报告。而且他还表示，已经联系了谷歌Play商店，要求他们考虑删除该钓鱼应用。

该钓鱼应用瞄准的是三星手机固件和操作系统更新较为困难这一痛点，因此有大量用户安装了此应用。

安全研究人员表示，此次安全事件的责任并不在用户，现在的新型安卓设备往往会预装大量的第三方软件，这就降低了用户的警惕性，容易掉入精心设计的钓鱼陷阱。

此外，某些官方渠道的软件更新并不是很稳定，导致用户去寻找其他方法进行系统更新。

限制下载速度

Updates for Samsung表面上承诺为所有用户提供覆盖全三星系统的安全更新，任何三星手机的用户都可从应用获得设备固件和操作系统的更新。

但根据Kuprins的说法，该应用与三星没有任何关联，它只是在WebView（Android浏览器）组件中加载updato.com域名。

通过该应用的评论，你可以看到成百上千的用户抱怨这个网站是个充斥广告的地狱，他们很难从中找到所需要的软件，而且还经常卡死崩溃。

该网站提供免费和付费两种的三星固件更新方式，但在深入分析该应用的源代码后，Kuprins表示，网站将免费下载的速度限制为56kbps，并且某些免费的固件下载最终一定会超时。

Kuprins说：“在我们的测试中，即使在高速网络中，也难以下载完成。”

而之所以做出这样的限制，是为了诱导用户购买一个34.99美元的高级软件包，以便能够高速下载任意文件。

这样的做法明显违反了谷歌商店的规则，绕过了谷歌商店的支付系统，使得用户的支付数据处于容易被第三方抓取的危险状态。

同时，该应用还提供了一个价值19.99美元的SIM卡解锁服务。目前还不清楚这是否是正常功能，还是仅仅是另一次钓鱼。

涉嫌欺诈

总的来说，该应用并不是传统意义上的恶意软件，因为它不会未经用户同意而执行任何恶意操作。对其运作模式而言，更好的说法是“欺诈”、“诈骗”或“广告软件”。

Kuprins也承认，没有发现该应用在工作时有任何恶意操作。不过他也表示，当应用打开时，它会显示大量的全屏广告，几乎每一次点击都有。

Kuprins认为谷歌商店的搜索语法也存在问题，只要用户一搜索“update”，这个应用就会出现，而且还有很多其他可疑的软件。

而此次攻击者之所以选择三星作为模板，是因为三星设备的市场占有率极高。

要完全让这1000万用户卸载此应用，可能还需要谷歌长时间的努力。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/fake-samsung-firmware-update-app-tricks-more-than-10-million-android-users/