一大批恶意应用程序冒充安卓文件管理器,使成千上万用户中招

砍柴网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

来源:嘶吼RoarTalk  

一大批恶意应用程序冒充安卓文件管理器,使成千上万用户中招 一批新的恶意安卓应用程序冒充无害的文件管理器,渗入到了官方的 Google Play 应用程序商店中,用 Sharkbot 银行木马感染众多用户。

这些应用程序在安装时并不携带恶意攻击载荷,以便在 Google Play 上提交时躲避检测,而是之后从远程资源获取攻击载荷。

由于这批木马应用程序是文件管理器,请求危险的权限以加载 Sharkbot 恶意软件时,不太可能引起怀疑。

虚假的文件管理器感染安卓

Sharkbot 是一种危险的恶意软件,通过在银行应用程序的合法登录提示中显示虚假的登录表单,企图窃取网上银行账户。当用户试图使用这些虚假表单登录银行时,登录信息就被窃取,并发送给威胁分子。

这种恶意软件一直在进化,以种种形式出现在 Play Store 上,或者从木马应用程序加载。

在安全公司比特梵德的一份新报告中,分析师们发现了新的安卓木马应用程序伪装成文件管理器,并向谷歌报告了这些木马应用程序。所有这些恶意应用程序此后已从 Google Play Store 中删除。

然而,许多以前下载了木马应用程序的用户可能仍然在 手机 上装有它们,或者仍然遭受未被发现的残留恶意软件感染。

第一个恶意应用程序是 Victor Soft Ice LLC 开发的 "X-File Manager",在谷歌最终将其删除之前,它通过 Google Play 已被下载了 10000 次。

一大批恶意应用程序冒充安卓文件管理器,使成千上万用户中招 图 1. Google Play 上的 X-File Manager(来源:比特梵德)

这款应用程序执行反模拟检查以逃避检测,并只会在英国或意大利的 SIM 卡中加载 Sharkbot,所以它是一起针对性的攻击活动的一部分。

被该恶意软件盯上的移动银行应用程序列表如下所示,不过比特梵德特别指出,威胁分子可以随时远程更新这份列表。

一大批恶意应用程序冒充安卓文件管理器,使成千上万用户中招 图 2. 被这起 Sharkbot 活动盯上的银行(来源:比特梵德)

比特梵德的遥测数据表明了这起活动的攻击范围很窄,因为这起 Sharkbot 攻击浪潮的大多数受害者都在英国,其次是在意大利、伊朗和德国。

恶意应用程序请求用户授予有风险的权限,比如读写外部存储、安装新软件包、访问帐户详细信息和删除软件包(以清除痕迹)等。

然而,这些权限在文件管理应用程序中看起来很正常,也属意料之中,因此用户不太可能谨慎地对待请求。

Sharkbot 作为虚假的程序更新被获取,X-File Manager 在安装前提示用户批准。

第二个安装银行木马的恶意应用程序是 Julia Soft Io LLC 开发的 "FileVoyager",通过 Google Play 下载了 5000 次。

图 3. Google Play 上的 FileVoyager(来源:比特梵德)

FileVoyager 具有与 X-File Manager 相同的运作模式,针对意大利和英国的同一批 金融 机构。

比特梵德发现的另一个 Sharkbot 加载应用程序是 LiteCleaner M,该应用程序在被发觉、从 Play Store 下架之前已累计下载了 1000 次。

目前,该应用程序只通过 APKSOS 等第三方应用程序商店才能获得。同一个第三方应用程序商店上有第四个名为 "Phone AID, Cleaner, Booster 2.6" 的 Sharkbot 加载程序。

如果安装了这些应用程序,安卓用户应该立即删除它们,并更改他们使用的任何网上银行账户的密码。

由于威胁分子直接从 Google Play 分发这些应用程序,保护自己的最佳方法是启用 Play Protect 服务,以便在检测到恶意应用程序后删除它们。

此外,安卓移动安全杀毒应用程序将有助于检测恶意流量和应用程序,甚至在它们被报告到 Google Play 之前就能检测出来。

随意打赏

提交建议
微信扫一扫,分享给好友吧。