在Google Play中發現使用Kotlin開發的安卓惡意軟件

趨勢科技的安全研究人員在 Google Play 中發現了一款使用 Kotlin 編程語言開發的惡意應用程序。

惡意應用程序 Swift Cleaner 偽裝成一款用于清理和優化安卓設備的實用程序，安全研究人員在其中檢測到了 ANDROIDOS_BKOTKLIND.HRX。被發現時，該應用程序的安裝量在 1000 和 5000 之間。

Kotlin 于去年被谷歌宣布成為安卓開發的官方支持語言，它是開源的，而且使用 Kotlin 的開發者可以提供更安全的應用程序。目前還不確定的是惡意軟件開發人員在構建惡意代碼時如何利用這門編程語言。

趨勢科技表示，這款惡意應用程序可能涉及廣泛的惡意活動，其中包括遠程命令執行。它還能夠竊取用戶的信息、發送短信、轉發網址，并進行點擊欺詐。此外，還發現它被設計用于在未經用戶許可的情況下，暗自訂閱昂貴的短信服務。

趨勢科技解釋到，首次啟動應用程序時，惡意軟件會將獲取到的設備信息發送到遠程服務器，并啟動后臺服務以接收來自 C&C 服務器的任務。在最初被感染時，惡意軟件還會向 C&C 提供的指定號碼發送消息。

在收到 SMS 命令后，遠程服務器開始執行 URL 轉發，并在受感染的設備上進行欺詐操作。

在點擊欺詐程序期間，惡意軟件使用無線應用協議(WAP)，WAP 是通過移動無線網絡訪問信息的技術標準。接下來，會注入惡意 JavaScript 代碼并替換正則表達式，以便惡意軟件可以在特定的搜索字符串中解析廣告的 HTML 代碼。

隨后，它將悄悄打開設備的移動數據，解析 base64 圖片，破解 CAPTCHA，并將完成的任務發送到遠程服務器。

惡意程序可以將服務提供者、登錄數據和驗證碼圖片上的信息發送給 C&C 服務器。一旦這樣的信息被上傳，C&C 服務器可自動訂閱昂貴的短信服務，使得受害者蒙受損失。

據趨勢科技透露，已告知谷歌 Swift Cleaner 應用程序會帶來的安全風險，谷歌方面證實 Google Play Protect 可以保護用戶免受這系列惡意軟件的攻擊。

來自：SecurityWeek