虽然GooglePlay商店三不五时就会出现恶意App不是新闻,但每隔一阵子更新最新GooglePlay恶意App相关讯息,还是Android族群最重要的例行工作。据报导,GooglePlay又再度发现恶意App,这些内嵌金融木马程式的恶意App成功突破Google许可权限制机制的侦测防线,下载次数超过30万。使用者一旦下载,将面临密码及双因素认证码被窃,屏幕画面与键盘被记忆与记录的可能风险。
Google为了扼止层出不穷诈骗App意图在自家Play商店大搞挂羊头卖狗肉的勾当,祭出一连串安全限制之举,包括针对视障使用者存取服务的安全限制措施,以防止恶意App能不经使用者同意就自动安装的风险。
App安装后才露出真面目,要求使用者更新并趁机植入木马
这次发现的金融木马App成功绕过GooglePlay防御机制,直到使用者下载后才露出恶意攻击的真面目,全拜一连串花招所赐。下载前会假扮成PDF/QR码扫描器及加密货币钱包等十分常见的热门App,骨子里却是不折不扣的植入程式(Dropper),骗过Google后成功以正常合法App之姿上架。
总之,使用者下载至Android手机前,这些App会极力压抑植入程式的本性,并表现得和正常无害App没什么不同,使用者即使透过VirusTotal之类扫毒服务或软体扫描,也会得到完全没有病毒的结果。
但恶意花招就在App安装后不久上演,使用者会收到要求下载更新以安装新功能的讯息,一旦更新,恶意软体会悄悄植入使用者手机系统。这些App主要使用4种家族的Android恶意软体,网路散播已有4个月。感染数量最大的是Anatsa恶意软体系列,是恶名昭彰的先进Android金融木马,具远端存取与自动转帐能力,能自动清空受害者帐号,并将内容发送给恶意攻击者帐号。
App本身所占空间太小,运用各种花招让GooglePlay防御机制破功
行动安全公司ThreatFabric研究人员在许多案例发现,这些App会运用其他机制规避安全侦测,例如恶意攻击者只会在检查受感染手机的地理位置,抑或执行一连串无害增量更新作业后,才会手动安装恶意更新,这让安全机制更难发挥作用。
研究人员并指出,并非所有内嵌植入程序的app都会被植入Anatsa木马,因为恶意攻击者只会对感兴趣的领域及目标发动攻击。除了Anatsa木马,研究人员发现其他恶意软件系统还有Alien、Hydra及Ermac。植入程式之一会下载并安装Gymdrop恶意封包负载,会使用基于受害装置机型的过滤规则,以避免遭研究人员装置锁定。
据ThreatFabric
