火眼公司研究人员表示,新银河技术有限公司感染并“完全”劫持了数万台安卓手机,不过由于粗心大意,导致其全球僵尸网络易被劫持且手机易受恶意软件感染。研究人员表示自称为app广告游戏的大玩家新银河技术有限公司是攻击的幕后黑手。目前尚不清楚受感染的受害者人数。
安全研究人员表示通过让客户安装恶意软件的方式构建了自己的客户网络。安装的恶意软件在运行所有安卓操作系统版本的308台设备上获得了访问权限。 受害者被“非常大型”的全球僵尸网络所奴役,不过令人难以置信的是,这个僵尸网络为命令和控制通信使用了明文允许“任何人”实施劫持。
一旦被感染,恶意软件就会在不经过用户同意的情况下安装合法但臃肿的app,它会自动点击安装和许可的告警弹出消息。它在设备上安装了后门并让其一直停留在设备上,并且为第三方恶意软件开放了攻击向量。
目前新银河尚未对此事做出回应,不过它已经将网站下线。研究人员表示,“这是一种在全球范围内传播的恶意广告软件家族,威胁程度高,很可能是由中国 的组织机构控制的……受影响的用户信息可能包括一些在线服务的用户凭证,用户应立即更改在线服务密码,如iTunes、网银、电子邮件和工作账户等。
研究人员表示攻击者太粗心大意导致受影响的app会允许任何恶意软件攻陷这个权限访问。也就是说危害程度少卿的恶意软件能够利用这次感染获取根权限、劫持设备、并遭受“永久的损失”。
目前发现受感染的app有300款左右,其中包括亚马逊、Memory Booster以及Clean Master。这款广告软件采用了“新型”且令人印象深刻的技术进行存留和混淆如安装系统级别的服务、以及修改用来闪存新操作系统ROM的重启恢复脚本。 研究人员表示攻击者已经对流行的app通过持续更新的恶意逻辑进行了重新包装。最近发现的样本采用了更加强大的混淆和包装机制。