Google Play惡意軟件使用手機的運動傳感器隱藏自己

Google Play市場中託管的惡意應用正在嘗試一種避免檢測的聰明技巧 - 它們會在安裝強大的銀行木馬之前監控受感染設備的運動傳感器輸入,以確保它不會加載到研究人員用於檢測攻擊的模擬器上。

Google Play惡意軟件使用手機的運動傳感器隱藏自己

監控背後的想法是真實終端用戶設備中的傳感器將在人們使用它們時記錄運動。相比之下,安全研究人員使用的模擬器 - 可能還有谷歌員工篩選提交給Play的應用程序 - 不太可能使用傳感器。最近發現兩個Google Play應用程序在受感染設備上丟棄Anubis銀行惡意軟件只會在首先檢測到動作時激活有效負載。否則,該木馬將保持休眠狀態。


安全公司趨勢科技在兩個應用程序中發現了動作激活的滴管 - BatterySaverMobi,其下載量約為5,000,而貨幣轉換器的下載量未知。谷歌一旦得知它們是惡意的,就將其刪除。

動作檢測不是惡意應用程序的唯一聰明功能。一旦其中一個應用程序在設備上安裝了Anubis,dropper就會通過Twitter和Telegram使用請求和響應來查找所需的命令和控制服務器。

“然後,它向C&C服務器註冊,並通過HTTP POST請求檢查命令,”趨勢科技研究員Kevin Sun寫道。“如果服務器使用APK命令響應應用程序並附加下載URL,則Anubis有效負載將在後臺刪除。”然後,Dropper嘗試使用如下所示的虛假系統更新誘騙用戶安裝應用程序:

一個虛假的系統更新,旨在誘騙用戶安裝Anubis銀行木馬。

Google Play惡意軟件使用手機的運動傳感器隱藏自己

一旦安裝了Anubis,它就會使用內置的鍵盤記錄程序來竊取用戶的帳戶憑據。惡意軟件還可以通過截取受感染用戶屏幕的屏幕截圖來獲取憑據。孫繼續說:

我們的數據顯示,最新版本的Anubis已經分發到93個不同的國家/地區,並針對377種不同的財務應用程序的用戶來提供帳戶詳細信息。我們還可以看到,如果Anubis成功運行,攻擊者就可以訪問聯繫人列表和位置。它還具有錄製音頻,發送SMS消息,撥打電話和更改外部存儲的能力。Anubis可以使用這些權限向聯繫人發送垃圾郵件,從設備發送電話號碼以及其他惡意活動。安全公司Quick Heal Technologies 之前的研究表明,Anubis的版本甚至可以作為勒索軟件。

Google Play惡意軟件使用手機的運動傳感器隱藏自己

報告中有兩個要點。首先是惡意Android應用程序的質量正在提高。第二,Android用戶在下載和安裝應用程序之前應繼續仔細考慮。這些現已刪除的應用程序的所謂好處是最小的。人們最好堅持使用來自知名開發人員的少量應用程序。


分享到:


相關文章: