一批Android網銀木馬躲過官方應用商店檢測 清理前下載量已達30萬
Threat Fabric 安全研究人員剛剛公佈了一批 Android 網銀木馬,而且在被 Google Play 清理之前,其下載量就已經超過了 30 萬次。 在二維碼掃描器、PDF 掃描器、加密貨幣錢包等表像的掩飾下,這些惡意應用會在暗中竊取使用者登錄憑證、雙因素身份驗證碼、記錄按鍵、以及屏幕截圖。
(來自:Threat Fabric)
通過持續四個月的追蹤,Threat Fabric 發現了四個獨立的 Android 惡意軟體系列。 可知其利用了多種技巧,來規避 Google Play 應用商店的檢測機制
安全研究人員指出,之所以從Google Play的自動化(安全沙箱)和機器學習審核流程中逃逸,正是該平臺試試許可權限制的直接後果。
通常情況下,這些惡意軟體會先以一款良性App的面目示人。 所以在早期的 VirusTotal 惡意軟體檢測過程中,它們並不會在第一時間被揪出。
但在使用者安裝後,它們就會開始誘騙使用者下載並安裝帶有”附加功能”的更新包。 此時這些惡意應用會通過第三方來源來獲取,但此時它們已經騙取了使用者的普遍信任。
為了躲避雷達追蹤,這些惡意程式還利用了其它手段。 在許多情況下,幕後操縱者只有在檢查受感染的設備的地理位置、或通過增量更新後,才會手動部署惡意內容。
這種致力於躲過不必要關注的手段,實在讓人難以置信。 然而現實表明,基於自動化流程的傳統惡意軟體檢測方案,正在變得不那麼可靠。
在近日發表的一篇博客文章中,Threat Fabric 詳細闡述了被調查的 9 款 dropper 惡意軟體。 其中造成最多感染的,被稱作Anatsa家族。
這款「相當先進」的 Android 網銀木馬內置了許多功能,包括遠端訪問和自動轉賬系統。 受害者將被無情地清空帳戶,將資金轉移到幕後黑手控制的帳戶中。
感染 Anatsa 惡意軟體的過程,是從 Google Play 下載看似人畜無害的初始安裝包後開始的。 之後相關 App 會強制使用者更新,以繼續使用該應用程式。
但現實是,幕後黑手在遠端更新伺服器上託管了夾帶私貨的惡意內容,並通過騙取信任的方式,將之安裝在了毫無戒備的受害者設備上。
為了裝得更像一些,幕後團夥甚至會雇人在Google Play應用商店刷好評,以引誘更多無辜者上當受騙。
最後,研究人員還發現了另外三大惡意軟體家族(分別稱之為 Alien、Hydra 和 Ermac)。
其特點是植入了 Gymdrop 惡意負載,並利用基於受感染設備模型的過濾規則,來躲過安全研究人員的搜捕。