Check Point的研究人員近日在Google Play商店中發現一種新型態惡意廣告軟體SimBad。SimBad是一種軟體開發套件（Software Development Kit, SDK）病毒，目前已知約有210款應用程式受害，總下載次數高達1.5億，大部分受感染的應用為模擬類手機遊戲。Google已迅速掌握狀況，且Google Play商店已下架所有受感染的應用程式。

Check Point發現此種惡意軟體藏於由「addroider[.]com」提供，名為「RXDrioder」的廣告相關軟體開發套件中。使用者一旦安裝了受感染的應用程式，SimBad將註冊到「BOOT_COMPLETE」和「USER_PRESENT」程式碼內，在裝置啟動時及使用者使用裝置時進行惡意操作。惡意軟體將連結至特定的命令暨控制（C&C）伺服器，強制執行使用者行動裝置上一系列的功能，例如：從桌面刪除應用程式圖標，增加使用者移除程式的難度；或者顯示域外廣告，強制打開瀏覽器至指定的網址連結。

SimBad的危害主要分為三類，顯示廣告、網路釣魚及連結其他應用程式。SimBad能在使用者的瀏覽器中打開指定網址連結，讓攻擊者為多個平台生成網路釣魚頁面，對使用者進行魚叉式網路釣魚攻擊（Spear Phishing）。攻擊者也可透過特定關鍵字搜索，或利用單一頁面打開其他手機應用程式（如Google Play商店和9Apps），使其他攻擊者有機可乘，甚至可以從指定伺服器安裝遠端遙控程式，控制使用者的行動裝置下載其他惡意軟體。Check Point表示，雖然SimBad的危害主要是開啟域外廣告，但它能遙控開啟其他應用程式，這未來可能會造成使用者更大的資安威脅。

``SimBad攻擊模式說明
Check Point Mobile的研究人員認為應用程式的開發人員應不知情，並非惡意針對特定國家或地區進行攻擊。
套件名稱 應用程式名稱 全球安裝數量
com.heavy.excavator.simulator.driveandtransportSnow Heavy Excavator Simulator 1000萬
com.hoverboard.racing.speed.simulatorHoverboard Racing 500萬
com.zg.real.tractor.farming.simulator.gameReal Tractor Farming Simulator 500萬
com.ambulancerescue.driving.simulatorAmbulance Rescue Driving 500萬
com.heavymountain.bus2018simulator Heavy Mountain Bus Simulator 2018 500萬

``完整受感染應用程式列表請見：
https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/關於C&C伺服器
這次所發現的C&C伺服器是www[.]addroider.com，此伺服器運行一個Parse伺服器（GitHub上的原始碼）的示例，即Parse後端基礎設施的開源版本。該模型為Web應用和行動應用程式開發者提供一個連結應用程式與後台雲端儲存和後端應用程序公開的API，提供管理及推送通知的功能。

網域名稱addroider[.]com是經由GoDaddy註冊，使用瀏覽器造訪此網域時，將看到類似惡意軟體的登錄頁面。「註冊」和「登記」連結已損毀，並將使用者重新導向登錄頁面。

根據RiskIQ PassiveTotal資料，該網域名稱已於7個月之前到期。因此推測該網域名稱最初應是入侵（compromised）、寄放網域（Parked Domain）的合法使用，但現在卻被用於惡意攻擊。