欢迎光临KOTOO财情




Google Play 防御机制失灵!30 万使用者不幸下载金融木马 App

2024-03-29 228


虽然 Google Play 商店三不五时就会出现恶意 App 不是新闻,但每隔一阵子更新最新 Google Play 恶意 App 相关讯息,还是 Android 族群最重要的例行工作。据报导,Google Play 又再度发现恶意 App,这些内嵌金融木马程式的恶意 App 成功突破 Google 许可权限制机制的侦测防线,下载次数超过 30 万。使用者一旦下载,将面临密码及双因素认证码被窃,屏幕画面与击键被撷取与记录的可能风险。 

Google 为了扼止层出不穷诈骗 App 意图在自家 Play 商店大搞挂羊头卖狗肉的勾当,祭出一连串安全限制之举,包括针对视障使用者存取服务的安全限制措施,以防止恶意 App 能不经使用者同意就自动安装的风险。

App 安装后才露出真面目,要求使用者更新并趁机植入木马

这次发现的金融木马 App 成功绕过 Google Play 防御机制,直到使用者下载后才露出恶意攻击的真面目,全拜一连串花招所赐。下载前会假扮成 PDF / QR 码扫描器及加密货币钱包等十分常见的热门 App,骨子里却是不折不扣的植入程式(Dropper),骗过 Google 后成功以正常合法 App 之姿上架。

总之,使用者下载至 Android 手机前,这些 App 会极力压抑植入程式的本性,并表现得和正常无害 App 没什么不同,使用者即使透过 VirusTotal 之类扫毒服务或软件扫描,也会得到完全没有病毒的结果。

但恶意花招就在 App 安装后不久上演,使用者会收到要求下载更新以安装新功能的讯息,一旦更新,恶意软件会悄悄植入使用者手机系统。这些 App 主要使用 4 种家族的 Android 恶意软件,网络散播已有 4 个月。感染数量最大的是 Anatsa 恶意软件系列,是恶名昭彰的先进 Android 金融木马,具远端存取与自动转账能力,能自动清空受害者账号,并将内容发送给恶意攻击者账号。

App 本身所占空间太小,运用各种花招让 Google Play 防御机制破功

行动安全公司 ThreatFabric 研究人员在许多案例发现,这些 App 会运用其他机制规避安全侦测,例如恶意攻击者只会在检查受感染手机的地理位置,抑或执行一连串无害增量更新作业后,才会手动安装恶意更新,这让安全机制更难发挥作用。

研究人员并指出,并非所有内嵌植入程式的行动装置都会被植入 Anatsa 木马,因为恶意攻击者只会对感兴趣的领域及目标发动攻击。除了 Anatsa 木马,研究人员发现其他恶意软件系统还有 Alien、Hydra 及 Ermac。植入程式之一会下载并安装 Gymdrop 恶意封包负载,会使用基于受害装置机型的过滤规则,以避免遭研究人员装置锁定。

据 ThreatFabric 官网文章指出,专门散布 Alien 金融木马的植入程式,不会请求可存取服务权限,他们想要的是安装特定套件许可权,会透过安装新健身训练 App 的承诺,引诱使用者授予安装套件许可权。

除了前述的各种规避手法,恶意 App 能成功规避 Google Play 安全防御制的另一个关键要素,就是这些植入程式 App 所占空间小到难以第一时间侦测到。面对如此难搞的恶意 App,必须培养谨慎观念,不要抢快安装来路不明的新 Android App,等到市场有正面评价后才安装,是最理智的明哲保身之道。

  • How Android Banking Trojans Are Slipping Past Google Play’s Defenses

(首图来源:ThreatFabric)

2021-12-03 11:00:00

标签:   资讯头条 kotoo科技资讯 kotoo科技 kotoo科技资讯头条 科技资讯头条 KOTOO商业产经 新闻网 科技新闻网 科技新闻 Kotoo科技新闻网 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条 Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 KOTOO商业产经 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条
0