因为普通的恶意软件几乎不可能通过Google Play应用商店的审核,"BadNews"的原理是伪装成一个在线广告联盟。当用户下载了带有"BadNew"的应用之后,BadNews会推送假新闻 消息和通知,诱使用户下载更多的恶意应用,例如AlphaSMS,一款骗钱的短信应用。BadNews也会将用户的私人信息,包括通讯录、电话号码和设备 ID等,传送到它的“指挥中心”服务器。
这种伪装成在线广告联盟的设计是以前的病毒软件从来没有使用过的,也是很成功的,因为BadNews获得了广泛的传布。通过与“指挥中心”服务器的协调,被BadNews感染的应用在审核过程之中是看不出任何异常的。从BadNews,我们应该学到两个教训:
- 开发者们在使用第三方Libary的时候应该特别注意其中是否有恶意代码,以免砸了自己的牌子。
- 企业IT安全管理人员应该意识到就算是很严格的应用审核过程也不可能发现某些类型的病毒。
根据“指挥中心”服务器的地理位置和BadNews试图推广的应用,BadNews应该来源于东欧,俄罗斯。
