疫情下的职场众生相：请别拿理想绑架我降薪

图片来源@视觉中国文深响，作者｜鸿键你在的公司降薪了吗？疫情之下，各行各业都很难，在经营跌至冰点的日子里，员工工资是企业最大的固定支出。要不要降薪节流，企业的不同做法里上演着世间百态。老乡鸡董事长束从轩手撕员工联名信的视频广为流传：员工提出“疫情期间不拿工资”，而束从轩称卖房卖车也要让员工有

　　最近在 Google Play 上发现了多个恶意应用程序（由 Trend Micro 检测为 AndroidOS_BadBooster.HRX），它们能够访问远程恶意广告配置服务器、进行广告欺诈并下载多达 3000 多个恶意软件变体或恶意负载。这些恶意应用程序通过清理、组织和删除文件来提高设备性能，已被下载超过 47 万次。该攻击活动自 2017 年以来一直很活跃，Google Play 已经从商店中删除了恶意应用程序。

　　根据分析，3000 个恶意软件变体或恶意有效负载会下载到设备上，伪装成设备启动程序或程序列表上不显示图标的系统程序。攻击者可以使用受影响的设备发表有利于恶意应用的虚假评论，并通过点击弹出的广告来进行广告欺诈。

　　技术分析

　　攻击活动中名为 Speed Clean 的程序具有提升移动设备性能的功能。使用时应用程序会弹出广告，看上去对于移动应用程序是无害的行为。

Speed Clean 还能够启动透明的活动背景来隐藏恶意内容。

　　这之后，Java 包“com.adsmoving”下名为“com.adsmoving.MainService”的恶意服务将建立与远程广告配置服务器的连接，注册新的恶意安装用户。注册完成后 Speed Clean 将开始向用户推送恶意广告，恶意广告内容和木马程序将显示在应用程序的“推荐页面”下。

图 6 为恶意软件流量。

　　在安装了“alps-14065.apk”之后，启动程序或设备的程序列表上也不会显示任何应用程序图标。它会添加了一个名为“com.phone.sharedstorage”的应用程序，可以在“下载的应用程序”找到。

　　与 2017 年检测到的安卓恶意软件家族之一 ANDROIDS TOASTAMIGO 相同，Speed Clean 应用程序可以下载恶意软件变体或有效载荷，从而执行不同的广告欺诈。本次攻击活动中使用的一些典型恶意广告欺诈行为如下：

　　1、模拟用户点击广告。恶意应用集成在合法的移动广告平台中，如谷歌 AdMob 和 Facebook 等。

　　2、将来自移动广告平台的应用程序安装到虚拟环境中，以防止被用户发现。

　　3、诱使用户启用访问权限，停用 Google Play Protect 的安全保护功能。确保恶意负载可以下载并安装更多的恶意应用程序，不会被用户发现。

　　4、使用受影响设备发布虚假评论。

　　5、使用 accessibility 功能利用 Google 和 Facebook 帐户登陆恶意软件。

　　从恶意软件变体以及与此攻击活动相关的恶意有效载荷中获取信息如下：

　　还注意到受感染最严重的国家或地区是日本、台湾、美国、印度和泰国。

　　可以将国家/地区代码的地理参数值修改为任何国家/地区代码，甚至是随机的不存在的国家/地区代码，远程广告配置服务器始终返回恶意内容，但是该活动排除了中国用户。

　　总结

　　攻击者试图通过更为真实的恶意应用来欺骗用户，因此用户应在下载任何应用之前应进行仔细的辨别。可以通过在商店用户评论来验证应用的合法性。但是，恶意应用程序能够下载有效载荷并发布虚假评论。尽管有很多正面评价，但会出现许多不同的用户留下了内容相同正面评价。

　　*参考来源：trendmicro，由 Kriston 编译，转载请注明来自 FreeBuf.COM