虽然 Google Play 商店三不五时就会出现恶意 App 不是新闻,但每隔一阵子更新最新 Google Play 恶意 App 相关讯息,还是 Android 族群最重要的例行工作。据报导,Google Play 又再度发现恶意 App,这些内嵌金融木马程式的恶意 App 成功突破 Google 许可权限制机制的侦测防线,下载次数超过 30 万。使用者一旦下载,将面临密码及双因素认证码被窃,屏幕画面与击键被撷取与记录的可能风险。
Google 为了扼止层出不穷诈骗 App 意图在自家 Play 商店大搞挂羊头卖狗肉的勾当,祭出一连串安全限制之举,包括针对视障使用者存取服务的安全限制措施,以防止恶意 App 能不经使用者同意就自动安装的风险。
App 安装后才露出真面目,要求使用者更新并趁机植入木马
这次发现的金融木马 App 成功绕过 Google Play 防御机制,直到使用者下载后才露出恶意攻击的真面目,全拜一连串花招所赐。下载前会假扮成 PDF / QR 码扫描器及加密货币钱包等十分常见的热门 App,骨子里却是不折不扣的植入程式(Dropper),骗过 Google 后成功以正常合法 App 之姿上架。
总之,使用者下载至 Android 手机前,这些 App 会极力压抑植入程式的本性,并表现得和正常无害 App 没什么不同,使用者即使透过 VirusTotal 之类扫毒服务或软件扫描,也会得到完全没有病毒的结果。
但恶意花招就在 App 安装后不久上演,使用者会收到要求下载更新以安装新功能的讯息,一旦更新,恶意软件会悄悄植入使用者手机系统。这些 App 主要使用 4 种家族的 Android 恶意软件,网络散播已有 4 个月。感染数量最大的是 Anatsa 恶意软件系列,是恶名昭彰的先进 Android 金融木马,具远端存取与自动转账能力,能自动清空受害者账号,并将内容发送给恶意攻击者账号。
App 本身所占空间太小,运用各种花招让 Google Play 防御机制破功
行动安全公司 ThreatFabric 研究人员在许多案例发现,这些 App 会运用其他机制规避安全侦测,例如恶意攻击者只会在检查受感染手机的地理位置,抑或执行一连串无害增量更新作业后,才会手动安装恶意更新,这让安全机制更难发挥作用。
研究人员并指出,并非所有内嵌植入程式的行动装置都会被植入 Anatsa 木马,因为恶意攻击者只会对感兴趣的领域及目标发动攻击。除了 Anatsa 木马,研究人员发现其他恶意软件系统还有 Alien、Hydra 及 Ermac。植入程式之一会下载并安装 Gymdrop 恶意封包负载,会使用基于受害装置机型的过滤规则,以避免遭研究人员装置锁定。
据 ThreatFabric 官网文章指出,专门散布 Alien 金融木马的植入程式,不会请求可存取服务权限,他们想要的是安装特定套件许可权,会透过安装新健身训练 App 的承诺,引诱使用者授予安装套件许可权。
除了前述的各种规避手法,恶意 App 能成功规避 Google Play 安全防御制的另一个关键要素,就是这些植入程式 App 所占空间小到难以第一时间侦测到。面对如此难搞的恶意 App,必须培养谨慎观念,不要抢快安装来路不明的新 Android App,等到市场有正面评价后才安装,是最理智的明哲保身之道。
- How Android Banking Trojans Are Slipping Past Google Play’s Defenses
(首图来源:ThreatFabric)
