【CNMO新闻】研究人员表示,谷歌Play商店中发现的恶意Android应用程序只会在智能手机移动时触发。
谷歌Play
近日,有网络安全团队表示,被命名为Currency Converter和BatterySaverMobi的两个应用程序伪装成正常的服务、货币转换器和节电程序。第二个应用程序收到了来自73位评论者的4.5星评价,已被下载超过5000次,但研究人员认为这些评级可能是有欺诈性的。
这些恶意应用程序部署了一个名为Anubis的银行特洛伊木马程序,Currency Converter和BatterySaverMobi尝试使用受害者的设备和传感器来避免检测。当用户移动他们的设备时,会生成运动传感器信息。
这些应用程序会监视已安装的设备以获取此传感器数据,如果检测到了相关信息,就开始部署Anubis。
但是,如果没有检测到运动,这可能表明该设备实际上是一个模拟器或沙箱环境,研究人员可以在这种环境中将恶意代码找出来。因此,如果没有移动,应用程序将不会尝试部署其有效负载。
如果传感器确实生成了运动数据,那么恶意应用程序将弹出并通过假的系统更新消息欺骗用户下载并安装一个APK,可是这个APK实际上是Anubis特洛伊木马。该代码连接到命令和控制服务器上,而该银行特洛伊木马也托管在同样的域中。如果受害者允许应用程序下载并执行其APK,则银行特洛伊木马将开始工作。
研究人员指出:“这些域经常改变IP地址,自2018年10月以来可能已经改变了6次。”
内置的键盘记录器记录键盘操作,该恶意软件还能够隐蔽地截取屏幕截图,这两种方法都可能会窃取银行凭据。而且,该恶意软件还可以访问联系人列表和位置数据,并能够录制音频、发送SMS消息、拨打电话和篡改外部存储等。这些权限为幕后黑手提供了通过垃圾邮件和诈骗电话将恶意软件传播给其他受害者的机会。
研究人员还表示,Anubis还有可能成为勒索软件。然后,这些信息将通过C2服务器发送给Anubis操纵者。
早在六月份,IBM X-Force的研究人员就发现了之前的Anubis攻击。一个名为“Google Protect”的恶意应用程序,以假冒购物和股票市场应用程序掩护部署Anubis恶意软件,目标是也是窃取银行凭据。
相关人员表示,最新版本的Anubis已经散播到93个国家,并试图提取与377个金融应用程序相关的帐户凭据,这些金融应用程序可能涉及从银行到其他金融服务在内的多种类别。“移动安全性的风险可能会给许多用户带来严重后果,因为设备被用于存储大量信息并连接到许多不同的帐户,用户应该特别警惕任何要求提供银行凭证的应用程序,并确保它们与银行有合法关联。”
加入收藏
