APP下载

超过30万Android用户自Google Play下载了含有后门的行动程式

消息来源:baojiabao.com 作者: 发布时间:2024-11-24

报价宝综合消息超过30万Android用户自Google Play下载了含有后门的行动程式
图片来源: 

original photo by Denny Müller on unsplash

荷兰资安业者ThreatFabric在本周警告,尽管Google Play的安全把关愈来愈严格,但骇客依然能够成功进驻该行动程式市集,利用具备完善功能的行动程式夹带后门,再借由伪造的更新来植入金融木马程式,在4个月内就有超过30万次的安装,让使用者成为潜在的受害者。

骇客的手法与时俱进,特别是Google甫于本月变更了无障碍服务(Accessibility Services)的使用条件,过去相关的API是这些恶意程式绕过Google审核的主要管道之一,于是骇客只好尽量减少行动程式中恶意程式码的足迹,以期躲过侦测,再借由之后的更新,选择性地植入金融木马,以窃取受害者的金融凭证。

ThreatFabric即发现,自今年8月以来,就有4款金融木马家族,利用此一手法进驻了Google Play,它们分别是Anatsa、Alien、Hydra及Ermac,每款金融木马所借道的恶意程式各自不同,由于这些恶意程式只嵌入了极少的恶意程式码,几乎都曾或迄今仍躲过防毒软件的侦测,目前相关恶意程式的安装数量已超过30万次。

其中的Anatsa主要利用6款恶意程式散布,包括PDF Document Scanner Free、QR Scanner 2021、QR Scanner、PDF Document Scanner - Scan to PDF、PDF Document Scanner及CryptoTracker,它们都具备如程式说明所描述的完整功能,而且评价不错,加总的下载量超过20万次。

图片来源_ThreatFabric

当使用者安装上述任一种程式之后,使用者将被迫进行更新以继续使用,这时骇客就可透过C&C服务器于使用者装置上植入Anatsa。不过,骇客并不会在所有安装恶意程式的装置植入金融木马,而是依照这些装置的位置而定,例如只在位于英国、荷兰或德国的Android用户装置植入金融木马,骇客也能依照当时的策略,变更植入金融木马的区域。

图片来源_ThreatFabric

Anatsa是个拥有RAT能力的金融木马,不但可窃取凭证,储存纪录,也能侧录键盘。

至于Hydra与Ermac都是透过一款名称为QR CreatorScanner的Android程式来散布,该程式的安装数量超过1.5万,所锁定的攻击区域还包含美国。

Alien所利用的程式包括Master Scanner Live、Gym and Fitness Trainer与PDF AI : TEXT RECOGNIZER等,下载量超过9.5万次。

ThreatFabric指出,有些程式在使用者下载的当下完全没有任何恶意功能,以躲过Google的侦测,也避免使用者起疑,甚至是在植入金融木马之后,程式仍一如往常地正常运作,这些以合法掩护非法的手段愈来愈受到骇客青睐,也让侦测变得更困难,建议Android用户在下载程式时应更加小心。

2021-11-30 16:47:00

相关文章