“
赛门铁克的安全研究人员发现了一种通过官方应用市场GooglePlay传播的恶意程序Android.Sockbot。恶意程序冒充正规应用,随后将受感染设备添加到僵尸网络之中。新恶意软件Sockbot,具有“高度灵活的代理机制”,可以用于各种恶意用途。
恶意软件Sockbot是如何工作的?
赛门铁克研究人员发现,用于更改视频游戏(Minecraft的安卓袖珍版)角色外观的8个“皮肤应用”都被嵌入了新的恶意软件,并将这款恶意软件命名为“Sockbot”。研究人员说到,尽管这款恶意软件目前被用于向用户推送恶意广告,由于Sockbot的“高度灵活的代理机制”,它还可以将受感染设备添加到僵尸网络之中,并且利用这些设备启动分布式拒绝服务攻击和利用各种基于网络的漏洞。
对恶意应用的分析发现,应用程序通过端口与CC服务器相连,以接收相关命令。CC服务器使用SOCKS请求该应用程序打开套接口,之后在指定端口等待一个来自指定IP地址的连接,Sockbot由此而得名。一位研究员解释说:“在通过指定端口的IP地址给出连接后,CC服务器将发出连接目标服务器的命令。之后,恶意应用程序将连接到所需目标服务器,并开始接收广告列表和相关元数据(广告类型、屏幕尺寸和名称)。该应用程序使用相同的SOCKS代理机制,在接收命令后与广告服务器相连并发出广告请求。但它并没有显示广告的功能。”
恶意软件Sockbot造成的影响
这款由“FunBaster”开发的APP,在GooglePlay的安卓官方应用商店都可以下载。赛门铁克估计大约有60万至万的下载量。恶意软件主要针对美国用户,但俄罗斯、乌克兰、巴西和德国也有它的踪影出现。Google已经将这些应用移除。