https://twcert2024.informationsecurity.com.tw/

觀點

Google雲端通訊服務成為Android病毒散布新管道

2013 / 08 / 19
編輯部
Google雲端通訊服務成為Android病毒散布新管道

網路攻擊又有新手法!卡巴斯基實驗室(Kaspersky Lab.)最近發現,網路攻擊者利用Google雲端通訊服務(GCM; Google Cloud Messaging)散布惡意軟體。

GCM為Google Play Services的一項免費服務,開發人員可透過該服務將伺服器中的資料傳送給Android 應用程式使用,其訊息的大小上限為4 KB,內容可包括連結、文字廣告,或指令集。

卡巴斯基研究人員指出,目前已經偵測到數個Android病毒將GCM作為主要或次要的散布管道。其中最活躍的病毒為Trojan-SMS.AndroidOS.FakeInst.a,一旦Android手機受到該病毒的感染,就會主動傳送付費簡訊(Premium SMS)以進行費用詐欺,卡巴斯基發現該病毒的總下載次數超過480萬次,分佈範圍達130個國家,主要鎖定的地區為俄國、烏克蘭、哈薩克茲,以及烏茲別克。

另一個也相當活躍的病毒為Trojan-SMS.AndroidOS.Agent.ao.,該病毒會偽裝成色情app,不過其目的與FakeInst.a相同,一旦手機受到感染,就會自動寄出付費簡訊。除此之外,其他透過GCM散播的病毒還包括Trojan-SMS.AndroidOS.OpFake.a、Backdoor.AndroidOS.Maxit.a和Trojan-SMS.AndroidOS.Agent.az 。

卡巴斯基實驗室資深病毒分析師Roman Unuchek分析,對網路攻擊者來說,GCM是一個低成本且容易的使用工具,雖然目前透過該管道散布的病毒仍是少數,但如果沒有採取妥當的防範措施,GCM未來很可能會持續被濫用並造成更大規模的傷害。

然而,要阻擋GCM成為惡意軟體散播管道的最大困難在於,GCM訊息是透過作業系統本身接收,而非應用程式,一般來說,防毒軟體是無法鎖住系統層級的行為,因此,無論使用者或手機防毒程式都無法阻擋接收來自GCM的惡意訊息。

Unuchek表示,若要阻擋惡意GCM訊息,唯一的方法只有鎖住那些已遭惡意軟體使用的開發者帳號,而他們已經向Google通報已偵測到遭惡意軟體使用的GCM開發者帳號。此外,他建議,也可以主動分析GCM訊息是否含有惡意內容,好比入侵偵測系統分析網路流量的方式,主動找出散布惡意訊息的來源。