210個Android應用程序中含惡意軟件軟件，會在用戶設備啟動后顯示廣告、安裝應用程序或者自動打開網(wǎng)頁。商店中的應用程序也處處是危險，不要隨意下載，下載前最好先看看評論。

據(jù)報道，攻擊者利用210個Android應用程序中的惡意軟件，在用戶設備啟動后顯示廣告、安裝應用程序或者自動打開網(wǎng)頁。目前谷歌已經(jīng)刪除了這些應用程序。

所有應用程序都使用了一個名為“RXDrioder”的惡意軟件開發(fā)工具包，當設備啟動或用戶解鎖屏幕時，攻擊者就會在Android設備上顯示廣告和打開URL。目前還不清楚是不是應用程序開發(fā)人員故意使用了這個惡意軟件。

Check Point的報告顯示，這些應用程序被稱為“SimBad”，主要是駕駛和競速模擬器游戲，比如Snow HeavyExcavator Simulator、Ambulance Rescue Driving和Water Surfing Car Stunt。這些應用程序的總安裝量超過1.5億次，其中Snow Heavy Excavator Simulator的安裝量超過1000萬次。

Snow Heavy Excavator Simulator的安裝量

應用安裝后會自動注冊，以便在設備啟動或用戶解鎖手機后自動啟動。設備一旦啟動，這些應用程序就會在設備上顯示廣告。

Snow Heavy Excavator Simulator 評論界面

一些安全廠商正在檢測帶有名為“Android.AirPush”惡意庫的應用程序。

啟動時，廣告軟件應用程序將連接到位于www.addroider.com的命令和控制服務器，以便接收要執(zhí)行的命令，攻擊流程如下圖所示。

SimBad攻擊流程

命令和控制服務器會響應一個要執(zhí)行的命令。在下面的圖片中，你可以看到一個可用命令列表發(fā)送到應用程序，其中包括在桌面刪除應用程序的圖標，使其很難被真正刪除；顯示通知；開始背景廣告；打開網(wǎng)址；打開Google Play、應用推廣和下載其他應用。

可用命令

這個惡意SDK使用的addroider.com域名無人知曉，因為它在GoDaddy下注冊并且啟用了隱私保護。當訪問該頁面時，它的標題為Addroider，并且只顯示登錄提示。

命令和控制服務器登錄頁面

雖然這些應用程序被用于顯示廣告，但Check Point表示，攻擊者也可以利用其打開網(wǎng)頁的能力進行釣魚攻擊。SimBad的功能可以分為三類——顯示廣告、網(wǎng)絡釣魚和推廣其他應用程序。

有了在瀏覽器中打開特定URL的能力，SimBad背后的黑客可以為多個平臺生成網(wǎng)絡釣魚頁面，從而對用戶執(zhí)行魚叉式網(wǎng)絡釣魚攻擊。

Check Point在2019年1月28日發(fā)現(xiàn)了這些惡意應用，并向谷歌報告。研究人員稱，谷歌于2019年2月22日刪除了這些應用程序。

不過，這一事件表明，Android用戶在安裝應用程序之前一定要閱讀安裝評論。這些評論會顯示，應用是否有一些不對勁的地方，從而可以保護自己免受網(wǎng)絡攻擊。