在Google Play上发现安装了13万次的Android恶意软件投放器-VPS资讯_海外云服务器资讯_海外服务器资讯

安卓恶意软件

发现一组 Android 恶意软件植入程序渗入 Google Play 商店以安装伪装成应用程序更新的银行木马。

恶意软件释放器是一类很难阻止的应用程序，因为它们本身不包含恶意代码，因此在提交到商店时可以更轻松地通过 Google Play 评论。

同时，它们提供了宣传的功能，不会引起用户的怀疑，并且在幕后进行恶意行为。

Threat Fabric的研究人员发现了一组新的释放器，他们报告称，在 Android 恶意软件分发中使用释放器的情况有所增加，这正是因为它们可以提供一种隐蔽的途径来感染设备。

考虑到每个主要 Android 版本引入的不断增加的限制和保护措施，防止恶意软件滥用权限、从外部资源获取恶意模块或使用辅助功能服务在设备上执行无限操作，这一点尤其重要。

SharkBot 活动

Threat Fabric 在 2022 年 10 月初发现的第一个 dropper 活动推动了被称为 SharkBot的银行木马。

SharkBot 是一种 Android 恶意软件，它可以通过覆盖在合法网站登录表单上的虚假登录提示窃取凭据、执行键盘记录、窃取和隐藏 SMS 消息，以及对移动设备进行远程控制。

研究人员发现了两个看起来无害的滴管应用程序，“Codice Fiscale 2022”和“File Manager Small, Lite”，用于在受害者的移动设备上安装 SharkBot。

第一个应用程序“Codice Fiscale 2022”被伪装成计算意大利纳税的工具，已被下载 10,000 次。

当用户安装恶意 dropper 应用程序时，它最终会提示他们安装虚假更新，从而在他们的设备上安装 SharkBot 恶意软件。

要从远程服务器安装其他 Android 软件包，Google 要求应用请求“REQUEST_INSTALL_PACKAGES”。然而，较新版本的 Android 警告此权限的危险，使得说服用户安装“更新”变得更加困难。

滴管反而会打开一个看起来像 Google Play 的网页，诱使用户点击浏览器中的“更新”按钮，从而绕过对此权限的需求。

SharkBot 版本使用虚假登录覆盖、SMS 拦截 2FA 代码、键盘记录和 cookie 窃取器删除目标意大利银行。

File Manager dropper 应用程序提供了一个目标更广泛的 SharkBot，配置为为意大利、英国、德国、西班牙、波兰、奥地利、澳大利亚和美国的银行加载覆盖。

另一个使用 dropper 应用程序的活动提供了 Vultur 恶意软件，这也是一种由称为“Brunhilda Project”的威胁参与者操作的银行木马。

Vultur 可以通过为其运营商提供社交媒体和消息应用程序的远程屏幕流和键盘记录来执行设备欺诈。

最新活动中分发的新变种还具有以前未见的 UI 日志系统，记录点击、手势以及受害者在设备上采取的所有操作。

Threat Fabric 认为，恶意软件开发人员添加此功能是为了绕过 Android 上的安全标志限制，从而防止某些应用程序窗口的内容出现在屏幕截图或截屏视频中。

分发 Vultur 的 dropper 如下：

与 SharkBot 滴管一样，这些滴管也会显示安装虚假更新的请求，这一次伪装成 Google Play 通知。如果用户允许安装更新，它将下载并安装 Vultur 恶意软件。

为了在提交到 Play 商店时规避检测，安装逻辑不包含在 dropper 应用程序中，而是由攻击者的命令和控制服务器发送的附加 dex 文件动态加载。

此外，dropper 使用 AES 加密来混淆他们的字符串，以隐藏自动扫描仪的所有功能。

使用 dropper 已成为恶意软件安装绕过扫描程序和欺诈检测机制的可靠方法；因此，他们的部署率预计将进一步增长。

Threat Fabric 警告说：“对于大多数不同级别的参与者而言，通过 Google Play 上的投放器进行分发仍然是接触受害者的最“实惠”和可扩展的方式。

“虽然面向电话的攻击交付等复杂策略需要更多资源且难以扩展，但官方和第三方商店的投放器允许威胁行为者通过合理的努力接触到广泛的毫无戒心的受众。”

droppers 的唯一缺点是需要让受害者参与至少一项手动操作，因为他们必须手动同意安装有效载荷，这是他们最脆弱的时刻。

但是，使用令人信服的网站和界面可能会继续允许以这种方式安装恶意软件。

因此，如果可能，永远不要允许来自远程源的更新，并分析 URL 以确认您是从官方 Google Play 商店而不是第三方站点安装应用程序，这一点始终很重要。