警告:18000个Android应用包含代码用于监视你的短信

安全 作者:站内编辑 2015-10-29 03:45:56 阅读:302
安卓短信 据称,大量的第三方Android应用程序被发现感染了设备,抓取其接收或发送的短信副本,并将所有抓取到的发送到攻击者的服务器。 63000多个Android应用程序使用Taomike SDK ——中国最大的移动广告解决方案之一 ——来帮助开发人员展示他们的移动应用程序广告并产生收入。 然而,根据硅谷安全公司Palo Alto Networks的研究员发现,大约有18000 个Android应用中包含恶意代码,它们能监视用户的短信。 Taomike提供了一个软件开发工具包(SDK),还为Android应用程序开发人员提供了有以下功能的服务: 1向用户显示广告; 2发售应用内置购买(IAPs)。 Android应用窃取短信 考虑到分配应用程序技术搭建的收入,安全研究人员解释:“并不是所有使用Taomike的应用程序都窃取短信”。 安全研究人员给出以下细节: 包含嵌入的URL,hxxp://112.126.69.51/2c.php的示例能够执行这样的功能。 该软件发送SMS消息以及其他Taomike服务所使用的Taomike API服务器的IP地址到上述的URL。 在WildFire 中,63000多个Android应用程序包含Taomike库,但是自从2015年8月1日以来,有大约18000个Android应用程序具有短信窃取功能。 一些受感染的应用程序甚至包含或显示成人内容。 “Wildfire”是Palo Alto Networks自有的基于云的服务,它集成了Palo Alto的防火墙,并提供检测和预防恶意软件的功能。 现在还不清楚Taomike如何利用偷来的短信;然而,应该没有任何库复制了所有消息并将其发送到该装置外部的系统。 在Android版本4.4(KitKat)中,谷歌开始阻止应用获取短信,除非它们被定义为“默认”的短信应用程序。 这起攻击是如何运作的? 该Taomike库,被称为“zdtpay',是Taomike的IAP系统的一个组成部分。 这个库需要短信和网络的相关权限,还需要下载一个应用程序。该库还注册了一个接收器名为com.zdtpay.Rf2b,为了执行 SMS_RECEIVED和BOOT_COMPLETED动作。 当短信到达手机时,接收器Rf2b读取消息,然后收集消息主体以及发送者。 此外,如果该设备重新启动,MySd2e服务会开启注册用于接收器的Rf2b。 接收器收集的SMS消息和作为密钥的“其他”部分存储在一个hashmap中,然后发送到一个上传消息到地址112.126.69.51的机制中。 研究人员称,这个库盲目地抓取并上传从受感染手机里收到的所有短信,而不只是那些与Taomike平台相关的。 有的用户没有此风险因为这个短信窃取库只影响: 来自除了中国的其他国家的用户; 只从Google Play商店下载Apps 的用户。 由于这一威胁已被发现,库也及时更新过了,研究人员表示,此短信窃取已经不存在于早期版本的SDK了。   文章来源【360安全播报】

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

图库
关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接