一组伪装成无害文件管理器的新恶意 Android 应用程序已渗透到官方 Google Play 应用程序商店,使用户感染 Sharkbot 银行木马。
这些应用程序在安装时不会携带恶意负载以逃避在 Google Play 上提交时的检测,而是稍后从远程资源中获取它。
由于木马应用程序是文件管理器,因此在请求加载 Sharkbot 恶意软件的危险权限时不太可能引起怀疑。
假文件管理器感染 Android
Sharkbot 是一种危险的恶意软件,它试图通过在银行应用程序的合法登录提示上显示虚假登录表单来窃取在线银行帐户。当用户尝试使用这些虚假表单之一登录他们的银行时,凭据将被盗并发送给威胁参与者。
该恶意软件不断发展, 以 各种伪装出现在 Play 商店中 或 从木马应用加载。
在 Bitdefender的一份新报告中,分析师发现了伪装成文件管理器的新 Android 木马应用程序,并将其报告给了谷歌。所有这些都已从 Google Play 商店中删除。
但是,许多以前下载过它们的用户可能仍将它们安装在手机上,或者仍然遭受未被发现的残余恶意软件感染。
第一个恶意应用程序是 Victor Soft Ice LLC (com.victorsoftice.llc) 的“X-File Manager”,在 Google 最终将其删除之前通过 Google Play 下载了 10,000 次。
该应用程序执行反仿真检查以逃避检测,并且只会在英国或意大利的 SIM 卡上加载 Sharkbot,因此它是有针对性的活动的一部分。
恶意软件针对的移动银行应用程序列表如下所示,但正如 Bitdefender 指出的那样,威胁行为者可以随时远程更新此列表。
Bitdefender 的遥测数据反映出此次活动的目标范围狭窄,因为特定 Sharkbot 分发浪潮的大多数受害者位于英国,其次是意大利、伊朗和德国。
恶意应用程序要求用户授予风险权限,如读写外部存储、安装新包、访问帐户详细信息、删除包(以擦除痕迹)等。
但是,这些权限在文件管理应用程序的上下文中显得正常且符合预期,因此用户不太可能谨慎对待请求。
Sharkbot 是作为虚假程序更新获取的,X-File Manager 会在安装前提示用户批准。
第二个安装银行木马的恶意应用程序是 Julia Soft Io LLC (com.potsepko9.FileManagerApp) 的“FileVoyager”,通过 Google Play 下载了 5,000 次。
FileVoyager 具有与 X-File Manager 相同的操作模式,并且针对意大利和英国的相同金融机构。
Bitdefender 发现的另一个 Sharkbot 加载应用程序是“LiteCleaner M”(com.ltdevelopergroups.litecleaner.m),它在被发现并从 Play 商店中删除之前积累了 1,000 次下载。
目前,此应用只能通过 APKSOS 等第三方应用商店获得。同一第三方应用商店托管了第四个 Sharkbot 加载程序,名为“Phone AID、Cleaner、Booster 2.6”(om.sidalistudio.developer.app)。
如果安装了这些应用程序,Android 用户应立即将其删除并更改其使用的任何网上银行账户的密码。
由于威胁行为者直接从 Google Play 分发这些应用程序,因此保护自己的最佳方法是保持 Play Protect 服务处于启用状态,以便在检测到恶意应用程序时将其删除。
此外,Android 移动安全防病毒应用程序将有助于检测恶意流量和应用程序,甚至在它们被报告给 Google Play 之前。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Android文件管理器应用程序感染了数以千计的Sharkbot恶意软件
