一批恶意Google Play应用窃取用户银行信息
恶意软件运营商利用各种伎俩绕过应用商店的限制,窃取密码、按键记录和其他数据。
最近有研究人员称,他们发现了一批从Google Play下载超过30万次的应用其实是银行木马,窃取用户密码和双重身份验证代码、记录按键并截图。
这些应用冒充二维码扫描程序、PDF扫描程序和加密货币钱包,分属四个独立的安卓恶意软件系列,在四个月内广为传播。谷歌设计了一些限制,试图控制欺诈性应用在其官方应用商店无休止的传播,但被这些应用通过一些伎俩规避了。这些限制包括限制供视障用户使用的辅助服务,以防止未经用户同意而自动安装应用。
踪迹难寻
某移动安全公司的研究人员在一篇文章中写道:“从自动化(沙盒)和机器学习的角度来看,这些Google Play传播活动非常难以检测的原因是,病毒投放程序留下的恶意足迹都非常小。而这种小足迹是Google Play实施的权限限制造成的(直接)后果。”
其实,这些传播活动在一开始提供的应用通常是没问题的。但在安装后,用户会收到信息,提示他们下载更新以安装额外的功能。这些应用通常需要从第三方来源下载更新,但许多用户当时已经很信任它们了。如果用VirusTotal上提供的恶意软件检查工具,大多数应用最初根本检测不出有病毒。这些应用还利用其他一些机制躲避检测。在许多情况下,恶意软件运营商在核实受感染手机的地理位置后,才会手动安装恶意更新,或通过增量方式更新。
移动安全公司博文解释说:“这些应用处心积虑地让自己深藏不露,导致自动恶意软件检测不怎么靠谱。就本博文中调查的9个病毒投放程序来看,它们的VirusTotal总体得分非常低,恰恰证明了这一看法。”
造成最大规模感染的恶意软件系列被称为Anatsa。这个“相当先进的安卓银行木马”提供了多种功能,包括远程访问和自动转账系统,能够自动将受害者的账户洗劫一空,然后将资产发送到恶意软件运营商拥有的账户。
研究人员写道:
感染Anatsa的过程是这样的:从Google Play开始安装时,用户被强制更新应用,以便继续使用该应用。此时,Anatsa的payload (有效负载)从C2服务器下载,并安装在毫无防备的受害者设备上。
幕后黑手们费尽心思,让他们的应用看起来合法又好用,在应用下面刷了大量好评。安卓用户可能因为看到安装量和这些好评而安装该应用。此外,这些应用也确实拥有其声称的功能;安装后,它们也确实能正常运行,这又进一步让受害者相信其合法性。
尽管安装数量巨大,但并不是每台安装了病毒投放程序的设备都会收到Anatsa,因为幕后黑手们只针对他们感兴趣的地区发起攻击。
研究人员发现的其他三个恶意软件系列包括Alien、Hydra和Ermac。其中一个用于下载和安装恶意payload的病毒投放程序被称为Gymdrop。它采用基于受感染设备型号的过滤规则,以避免将研究人员的设备作为目标。
新锻炼方法
这篇文章写道:“只要所有条件都满足,payload就将下载和安装。这个病毒投放程序也不要求辅助服务的权限,只要求有安装软件包的权限,并承诺安装所谓的新锻炼方法,以诱使用户授予这一权限。一旦安装,payload就会启动。我们的威胁情报显示,目前这个病毒投放程序用来传播Alien银行木马。”
在被问及有何评论时,谷歌发言人指出,4月份的这篇博文详细介绍了谷歌如何检测提交到Google Play的恶意应用。
在过去十年中,恶意应用经常困扰着Google Play。就像这次的情况一样,谷歌一旦收到欺诈性应用的通知,就会迅速将其删除。但长期以来,已经有成千上万的恶意应用广为传播并感染了数千甚至数百万的用户,谷歌也无从寻找。
要揭穿这些诡计有时并不容易。阅读用户评论有一定的帮助,但也不是万全之策,因为骗子经常在提交应用时混入假评论。避开用户少的不知名应用也有帮助,但在这种情况下,这一策略无法奏效。用户从第三方市场下载或更新应用之前,也务必要三思而后行。
要远离恶意安卓应用,最佳建议就是非常谨慎地安装应用。如果你长时间没有使用某个应用,不妨直接卸载了它。
稿件来源:https://www.wired.com/story/malicious-google-play-apps-stole-banking-info/
一批恶意Google Play应用窃取用户银行信息相关推荐
- 华为确认与三家EDA公司停止合作;开源安卓恶意软件窃取用户隐私信息;三星高通回应7纳米EUV工艺问题……...
关注并标星星CSDN云计算 极客头条:速递.最新.绝对有料.这里有企业新动.这里有业界要闻,打起十二分精神,紧跟fashion你可以的! 每周三次,打卡即read 更快.更全了解泛云圈精彩news g ...
- python decorator ssh_Python库现后门 可窃取用户SSH信息
原标题:Python库现后门 可窃取用户SSH信息 导语:Python处理SSH连接的库模块被黑,恶意代码可以收集用户SSH,并发送数据到远程服务器. 研究人员发现Python模块存在后门,注意是py ...
- 【阿里聚安全·安全周刊】Python库现后门 可窃取用户SSH信息|Facebook再曝300万用户数据泄露...
本周七个关键词:Python库现后门丨Facebook再曝数据泄露丨加密协议被曝严重漏洞丨英国报摊将出售"色情通行证"丨HTTPS的绿色锁图标丨机器学习和预测应用的API丨Ecli ...
- 通过sql注入窃取用户数据库信息
一.SQL注入的定义 SQL Injection ,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的.SQL注入漏洞的危害是巨大的,常常会导 ...
- 老牌硬件钱包Trezor用户遭钓鱼攻击,攻击者或已窃取大量账户信息
7月1日,Trezor团队发现其加密钱包用户遭到了钓鱼攻击,他们认为"有迹象表明攻击手段是DNS中毒或BGP劫持",因为攻击者劫持了官方网站wallet.trezor.io的流量, ...
- 千万下载量开源软件托管给陌生人 植入恶意代码窃取用户密币
0x00 事件背景 2018年11月21日,名为 FallingSnow的用户在知名JavaScript应用库event-stream在github Issuse中发布了针对植入的恶意代码的疑问,表示 ...
- app窃取用户隐私_窃取您的隐私8步初学者指南
app窃取用户隐私 Below is a quick rationale of why we need to take these steps, followed by the first 8 ste ...
- 新的Android恶意软件可以窃取用户密码,用这些APP的要小心了
今天,网络安全组织东方联盟安全研究人员发现了一种新型的银行恶意软件,不仅针对银行应用,而且还从社交网络,约会和加密货币应用中窃取了数据和凭证,目标列表中共有337种非金融Android应用.研究人员将 ...
- Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 npm安全团队从 npm 门户网站中删除了一个恶意 JavaScript 库.该库的目的是为了从受感染用户浏览器和 Discord 应 ...
- 大数据早报:微信开放数据能力 谷歌出手大力整治窃取用户数据应用(8.16)
数据早知道,上乐投网看早报! 『共享单车』小蓝单车拟投放变速单车 未来将达总量一半 8 月 15 日,小蓝单车正式在全国运营城市中大规模投放"最好骑"的三档变速共享单车 blueg ...
最新文章
- matlab算法开发与C++调用
- java二个整数相减_Java-消息框显示两整数加减乘除
- 机器学习篇-指标:AUC
- 图的存储以及深度优先以及广度优先遍历
- iOS关于rar解压第三方库Unrar4iOS使用总结
- JS五种运算符,运算符的优先级
- OSPF区域内拓扑计算原理与实验
- Lync常识之Lync Server有哪些角色
- 解决H61、H81、B85以上的主板安装XP系统蓝屏
- Excel复制单元格样式
- 消息中间件(消息队列)
- xml大于等于转移_Mybatis.xml文件中大于小于等于
- windows2003下ISA防火墙的安装及简单配置
- 360浏览器出现https证书错误怎么办
- 旋转编码器旋钮程序_让我们使用SwiftUI构建具有旋转手势的复古音频旋钮
- 【探花交友】用户登录总结
- 哈理工OJ 1986 大悲咒(简单递推)
- 获取百度网盘下载真实地址
- CVPR 2022 在星空下起舞,伯克利联合Intel Labs提出极弱光环境下的视频降噪方案
- 中国有多少java程序员_中国有多少个程序员?