Porn clicker木马再次来袭，影响Google Play数百款应用

近期，ESET的安全人员在Google Play应用商店中发现数百款应用感染了Porn clicker木马。

Porn clicker木马主要是通过伪装成受欢迎游戏应用来实现感染，它使用与合法应用十分相似的名称和图标。例如，研究人员发现了30多个冒充的Subway Surfers游戏和60多个的GTA游戏。该木马安装后与合法的Subway Surfers或GTA并无任何共同点，甚至它没有任何合法的功能，只是利用了一些广为人知的游戏名称，当然，越有趣的名称和图标就会带来更多点击量和安装量，为开发者带去更多的利益。

图一 GooglePlay中的恶意木马

通过分析攻击者服务器中的数据，研究人员发现了更多的Porn clicker木马应用（列表）。虽然很难确定这些应用是否都发布在了Google Play应用商店——也有可能只是托管在第三方应用商店中，但是目前已经在应用商店中发现其中了187款。

有些Porn clicker木马的版本实现了检查设备上的杀毒软件的功能，如果检测到杀毒软件，那么该木马的恶意功能就不会被触发。一旦安装完成后，该木马会隐藏其启动图标，但是仍然在后台运行，通过点击劫持诱使用户访问色情网站，获取暴利。

最新版本的Porn clicker木马的检测列表中已经包含了56个安全应用。

图二 杀毒软件和安全应用列表

如何保证安全

当恶意软件使用相同的名称和图标伪装成游戏的新版本时，安卓用户应该尽量阅读用户评论。在很多Porn clicker木马应用下，许多受害的用户留下了负面的评论，以便其他用户在安装这些应用之前能了解到其负面影响。无论用户是否已经安装了该木马，都应该升级设备中的安全应用，以阻止此类木马的威胁。

另外，如果开启了Google的“Verify apps”选项，那么久可以检查到此类Porn clicker木马，并阻止其安装。然而不幸的是，貌似只有已经从应用商店删除的应用才能被检测到。

总结

此前就应经发生过多次Pornclicker木马事件，该木马已经感染了很多安卓设备。我们当然希望此类伪造的应用不能再逃过应用商店的评估系统，但是，由于提供广告链接的服务器仍然可用，这可能不是我们最后一次经历Porn clicker木马。

*原文地址：welivesecurity，FB小编vul_wish编译