近期，ESET的安全人員在Google Play應用商店中發現數百款應用感染了Porn clicker木馬。

[[163261]]

Porn clicker木馬主要是通過偽裝成受歡迎游戲應用來實現感染，它使用與合法應用十分相似的名稱和圖標。例如，研究人員發現了30多個冒充的Subway Surfers游戲和60多個的GTA游戲。該木馬安裝后與合法的Subway Surfers或GTA并無任何共同點，甚至它沒有任何合法的功能，只是利用了一些廣為人知的游戲名稱，當然，越有趣的名稱和圖標就會帶來更多點擊量和安裝量，為開發者帶去更多的利益。

圖一 GooglePlay中的惡意木馬

通過分析攻擊者服務器中的數據，研究人員發現了更多的Porn clicker木馬應用(列表)。雖然很難確定這些應用是否都發布在了Google Play應用商店——也有可能只是托管在第三方應用商店中，但是目前已經在應用商店中發現其中了187款。

有些Porn clicker木馬的版本實現了檢查設備上的殺毒軟件的功能，如果檢測到殺毒軟件，那么該木馬的惡意功能就不會被觸發。一旦安裝完成后，該木馬會隱藏其啟動圖標，但是仍然在后臺運行，通過點擊劫持誘使用戶訪問色情網站，獲取暴利。

最新版本的Porn clicker木馬的檢測列表中已經包含了56個安全應用。

圖二 殺毒軟件和安全應用列表

如何保證安全

當惡意軟件使用相同的名稱和圖標偽裝成游戲的新版本時，安卓用戶應該盡量閱讀用戶評論。在很多Porn clicker木馬應用下，許多受害的用戶留下了負面的評論，以便其他用戶在安裝這些應用之前能了解到其負面影響。無論用戶是否已經安裝了該木馬，都應該升級設備中的安全應用，以阻止此類木馬的威脅。

另外，如果開啟了Google的“Verify apps”選項，那么久可以檢查到此類Porn clicker木馬，并阻止其安裝。然而不幸的是，貌似只有已經從應用商店刪除的應用才能被檢測到。

圖三 Google的應用驗證系統

總結

此前就應經發生過多次Pornclicker木馬事件，該木馬已經感染了很多安卓設備。我們當然希望此類偽造的應用不能再逃過應用商店的評估系統，但是，由于提供廣告鏈接的服務器仍然可用，這可能不是我們最后一次經歷Porn clicker木馬。