惡意軟體運營商利用各種伎倆繞過應用商店的限制,竊取密碼、按鍵記錄和其他資料。
最近有研究人員稱,他們發現了一批從Google Play下載超過30萬次的應用其實是銀行木馬,竊取使用者密碼和雙重身份驗證程式碼、記錄按鍵並截圖。
這些應用冒充二維碼掃描程式、PDF掃描程式和加密貨幣錢包,分屬四個獨立的安卓惡意軟體系列,在四個月內廣為傳播。谷歌設計了一些限制,試圖控制欺詐性應用在其官方應用商店無休止的傳播,但被這些應用透過一些伎倆規避了。這些限制包括限制供視障使用者使用的輔助服務,以防止未經使用者同意而自動安裝應用。
蹤跡難尋
某移動安全公司的研究人員在一篇文章中寫道:“從自動化(沙盒)和機器學習的角度來看,這些Google Play傳播活動非常難以檢測的原因是,病毒投放程式留下的惡意足跡都非常小。而這種小足跡是Google Play實施的許可權限制造成的(直接)後果。”
其實,這些傳播活動在一開始提供的應用通常是沒問題的。但在安裝後,使用者會收到資訊,提示他們下載更新以安裝額外的功能。這些應用通常需要從第三方來源下載更新,但許多使用者當時已經很信任它們了。如果用VirusTotal上提供的惡意軟體檢查工具,大多數應用最初根本檢測不出有病毒。這些應用還利用其他一些機制躲避檢測。在許多情況下,惡意軟體運營商在核實受感染手機的地理位置後,才會手動安裝惡意更新,或透過增量方式更新。
移動安全公司博文解釋說:“這些應用處心積慮地讓自己深藏不露,導致自動惡意軟體檢測不怎麼靠譜。就本博文中調查的9個病毒投放程式來看,它們的VirusTotal總體得分非常低,恰恰證明了這一看法。”
造成最大規模感染的惡意軟體系列被稱為Anatsa。這個“相當先進的安卓銀行木馬”提供了多種功能,包括遠端訪問和自動轉賬系統,能夠自動將受害者的賬戶洗劫一空,然後將資產傳送到惡意軟體運營商擁有的賬戶。
研究人員寫道:
感染Anatsa的過程是這樣的:從Google Play開始安裝時,使用者被強制更新應用,以便繼續使用該應用。此時,Anatsa的payload (有效負載)從C2伺服器下載,並安裝在毫無防備的受害者裝置上。
幕後黑手們費盡心思,讓他們的應用看起來合法又好用,在應用下面刷了大量好評。安卓使用者可能因為看到安裝量和這些好評而安裝該應用。此外,這些應用也確實擁有其聲稱的功能;安裝後,它們也確實能正常執行,這又進一步讓受害者相信其合法性。
儘管安裝數量巨大,但並不是每臺安裝了病毒投放程式的裝置都會收到Anatsa,因為幕後黑手們只針對他們感興趣的地區發起攻擊。
研究人員發現的其他三個惡意軟體系列包括Alien、Hydra和Ermac。其中一個用於下載和安裝惡意payload的病毒投放程式被稱為Gymdrop。它採用基於受感染裝置型號的過濾規則,以避免將研究人員的裝置作為目標。
新鍛鍊方法
這篇文章寫道:“只要所有條件都滿足,payload就將下載和安裝。這個病毒投放程式也不要求輔助服務的許可權,只要求有安裝軟體包的許可權,並承諾安裝所謂的新鍛鍊方法,以誘使使用者授予這一許可權。一旦安裝,payload就會啟動。我們的威脅情報顯示,目前這個病毒投放程式用來傳播Alien銀行木馬。”
在被問及有何評論時,谷歌發言人指出,4月份的這篇博文詳細介紹了谷歌如何檢測提交到Google Play的惡意應用。
在過去十年中,惡意應用經常困擾著Google Play。就像這次的情況一樣,谷歌一旦收到欺詐性應用的通知,就會迅速將其刪除。但長期以來,已經有成千上萬的惡意應用廣為傳播並感染了數千甚至數百萬的使用者,谷歌也無從尋找。
要揭穿這些詭計有時並不容易。閱讀使用者評論有一定的幫助,但也不是萬全之策,因為騙子經常在提交應用時混入假評論。避開使用者少的不知名應用也有幫助,但在這種情況下,這一策略無法奏效。使用者從第三方市場下載或更新應用之前,也務必要三思而後行。
要遠離惡意安卓應用,最佳建議就是非常謹慎地安裝應用。如果你長時間沒有使用某個應用,不妨直接解除安裝了它。
稿件來源:https://www.wired.com/story/malicious-google-play-apps-stole-banking-info/
