庫克“一語成讖”:又有 30 萬臺安卓裝置被“感染”了!

語言: CN / TW / HK

整理 | 鄭麗媛

出品 | CSDN(ID:CSDNnews)

各家應用商店中的惡意軟體總是層出不窮,哪怕是一向以“安全”著稱的蘋果,也不能完全杜絕 App Store 中惡意軟體的亂入。但在這之中,作為“圍牆花園”的蘋果自認還是高人一等的:

  • 蘋果曾援引諾基亞 2019 年、2020 年的威脅情況報告稱, Android 平臺惡意軟體的數量是 iPhone 的 15~47 倍 。
  • 庫克在 11 月初也就此表示:“ 如果你想側載 App,你可以買一部 Android 手機 。”

巧的是,彷彿是為了印證了庫克的說法,近日,據網路安全公司 ThreatFabric 研究人員發現, Google Play 中存在一批“表面正經”實際暗藏 Android 銀行木馬的惡意軟體,總下載量超過 30 萬次

“偽善”的外表

根據木馬型別,ThreatFabric 將這批惡意軟體分為 4 類:Anatsa、Alien、Hydra 和 Ermac。

  • Anatsa

Anatsa 的下載量最高——超過 20 萬名 Android 使用者曾安裝隱藏 Anatsa 木馬的 App。ThreatFabric 將 Anatsa 稱為“一種相當先進的 Android 銀行木馬”,具有 RAT 和半 ATS 功能: 可竊取使用者名稱和密碼、使用可訪問性日誌記錄來捕獲使用者螢幕上顯示的所有內容、利用鍵盤記錄器記錄輸入到手機中的所有資訊

經 ThreatFabric 分析,共有 6 款惡意軟體在分發 Anatsa 木馬。為了欺騙使用者下載,它們分別偽裝成二維碼掃描器、PDF 掃描器和加密貨幣 App,其中光一個二維碼掃描器下載量就高達 5 萬次,甚至為了引誘人們下載,攻擊者還僱人刷好評,該 App 下載頁面上多為正 面評價 。

  • Alien

下載量第二多的是 Alien 木馬,這同樣也是一款 Android 銀行木馬,可竊取雙因素身份驗證功能,暗藏這款木馬的 App 下載量超 9.5 萬次。

其中,名為“Gymdrop”的健身 App 就是一個成功的載體。這款 App 的設計初看十分正常,很難察覺其惡意軟體的身份。但仔細研究後便可發現,它只是一個健身房網站的模板,上面沒有任何有用的資訊 ,甚至在頁面中還包含“Lorem Ipsum”的佔位符文字。

  • Hydra 和 Ermac

關於 Hydra 和 Ermac 這兩款木馬,ThreatFabric 認為其與 Brunhilda 有關(Brunhilda 是一個網路犯罪組織,以使用銀行惡意軟體攻擊 Android 裝置而聞名),Hydra 和 Ermac 要是為攻擊者提供竊取銀行資訊所需的裝置的訪問許可權

以下為 ThreatFabric 發現暗藏以上四類 Android 銀行木馬的 12 款惡意軟體:

學會了“見機行事”

如開頭所說,每個應用商店都有其自己的應用稽核流程,Google Play 自然也不例外,但為什麼這些惡意軟體能夠“瞞天過海”,在短短 4 個月的時間內就肆意傳播超過 30 萬次?原因在於: 攻擊者在努力減少檢測過程中 App 包含的惡意載入程式

上文中不論是二維碼掃描器 QR Code Scanner,還是健身 App GymDrop,在最初下載的時候是不包含木馬病毒的,並且為了避免使用者產生懷疑,通常都具備應有的功能。但 在取得使用者信任後,這類 App 便會指示他們下載附加功能的更新包 (通常從第三方來源下載更新) ,也正是這個更新包“內有乾坤”——會連線到命令和控制伺服器並將木馬的有效載荷下載到裝置上,為攻擊者提供竊取銀行詳細資訊和其他資訊的手段。

也就是說, 這類惡意軟體的“惡意”是隱藏的,並沒有包含在測試環境中,只有在安裝應用後才會開始傳送惡意部分 ,這極大增加了 Google Play 利用自動化和機器學習技術檢測這類 App 的難度,也因此它們才能躲過審查成功混入 Google Play。

不僅如此,這些攻擊者還學會了“見機行事”:儘管惡意軟體的下載量超過 30 萬次,但並非所有使用者都會“中招”。 為了讓植入 App 中的木馬更難被發現,攻擊者只會手動啟用在受感染裝置上安裝的木馬 ,通過位置檢查確保受害者僅存在於某些特定地區,使得應用商店的自動檢測更難以察覺其中的“陰謀”。

除了被動刪除,谷歌別無他法

據瞭解,ThreatFabric 方面已經向谷歌報告了以上所有惡意軟體,結果應該與之前的類似情況一樣:谷歌會迅速下架所有相關 App,這大概也是谷歌唯一能做的了——網路攻擊者傳播惡意軟體的方式愈發層出不窮,而目前谷歌還沒能找到一個有效的辦法來杜絕這類 App 混入 Google Play,只能發現一個刪一個。

雖然應用商店方面暫且還無法確保其中所有 App 的安全性,但 ThreatFabric 的移動惡意軟體專家 Dario Durando 建議,使用者可以採取一些措施以避免木馬的侵入:“ 在授予可訪問服務許可權之前,記得檢查應用更新,同時也要警惕要求安裝其他軟體的 App 。”

對於這件事, 網友的目光聚焦在了“側載”上

“雖然這樣說不好,但事實就是:側載應用是啟用這些木馬程式的原因。”

“我是 iOS 使用者,幸虧 Apple 對應用商店進行了嚴格監管,所以我強烈不希望這種情況發生改變。”

參考連結:

  • https://www.threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html#tactics-used-by-threat-actors

☞ 騰訊迴應QQ比微信更受年輕人歡迎;iPhone 13出現紅綠雙色屏;Spring Boot 2.6.1 釋出|極客頭條

新浪網成立23週年;釘釘上線7週年;古登堡計劃釋出 | 歷史上的今天

軟體正在吞噬汽車,傳統汽車業面臨淘汰? 返回搜狐,檢視更多

責任編輯:

「其他文章」