Check Point發現此種惡意軟體藏於由「addroider[.]com」提供，名為「RXDrioder」的廣告相關軟體開發套件中。使用者一旦安裝了受感染的應用程式，SimBad將註冊到「BOOT_COMPLETE」和「USER_PRESENT」程式碼內，在裝置啟動時及使用者使用裝置時進行惡意操作。惡意軟體將連結至特定的命令暨控制（C&C）伺服器，強制執行使用者行動裝置上一系列的功能，例如：從桌面刪除應用程式圖標，增加使用者移除程式的難度；或者顯示域外廣告，強制打開瀏覽器至指定的網址連結。

SimBad的危害主要分為三類，顯示廣告、網路釣魚及連結其他應用程式。SimBad能在使用者的瀏覽器中打開指定網址連結，讓攻擊者為多個平台生成網路釣魚頁面，對使用者進行魚叉式網路釣魚攻擊（Spear Phishing）。攻擊者也可透過特定關鍵字搜索，或利用單一頁面打開其他手機應用程式（如Google Play商店和9Apps），使其他攻擊者有機可乘，甚至可以從指定伺服器安裝遠端遙控程式，控制使用者的行動裝置下載其他惡意軟體。Check Point表示，雖然SimBad的危害主要是開啟域外廣告，但它能遙控開啟其他應用程式，這未來可能會造成使用者更大的資安威脅。

SimBad攻擊模式說明

Check Point Mobile的研究人員認為應用程式的開發人員應不知情，並非惡意針對特定國家或地區進行攻擊。

套件名稱 應用程式名稱 全球安裝數量
com.heavy.excavator.simulator.driveandtransport Snow Heavy Excavator Simulator 1000萬
com.hoverboard.racing.speed.simulator Hoverboard Racing 500萬
com.zg.real.tractor.farming.simulator.game Real Tractor Farming Simulator 500萬
com.ambulancerescue.driving.simulator Ambulance Rescue Driving 500萬
com.heavymountain.bus2018simulator Heavy Mountain Bus Simulator 2018 500萬

完整受感染應用程式列表請見：
https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/

關於C&C伺服器
這次所發現的C&C伺服器是www[.]addroider.com，此伺服器運行一個Parse伺服器（GitHub上的原始碼）的示例，即Parse後端基礎設施的開源版本。該模型為Web應用和行動應用程式開發者提供一個連結應用程式與後台雲端儲存和後端應用程序公開的API，提供管理及推送通知的功能。

網域名稱addroider[.]com是經由GoDaddy註冊，使用瀏覽器造訪此網域時，將看到類似惡意軟體的登錄頁面。「註冊」和「登記」連結已損毀，並將使用者重新導向登錄頁面。

根據RiskIQ PassiveTotal資料，該網域名稱已於7個月之前到期。因此推測該網域名稱最初應是入侵（compromised）、寄放網域（Parked Domain）的合法使用，但現在卻被用於惡意攻擊。

關於 Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) 是全球領先的政府與企業網路安全解決方案供應商，能夠保護客戶免於遭受網路攻擊，對惡意軟體、勒索軟體與其他攻擊類型的攔截率領先業界其他廠商。Check Point 提供多層式安全架構來保護企業放置於雲端、網路與行動裝置上的資訊，以及最全面、最直觀的單點控制安全管理系統。Check Point 為超過 10 萬家各種規模的企業組織提供防禦措施。

- 新聞稿有效日期，至2019/04/20為止

上一篇：邁可先生智能電話機器人行業應用-貸款公司篇
下一篇：FunNow 攜手台灣旅遊新創 Lalalocker 讓旅遊更輕鬆