據eset(總部位于斯洛伐克布拉迪斯拉發的一家世界知名的電腦安全軟體公司,創立于1992年)4月19日官方報道,一個具有自動鎖屏功能的銀行惡意軟體近期僞裝成google play上的手電筒應用,廣大安卓使用者成為了它的狩獵目标乃至囊中之物。與其它靜态式的銀行業務木馬不同,該木馬能夠動态地調整自身功能。
除了用來作掩護的手電筒功能之外,這種利用遠端控制的木馬還具有很多附加功能,最終目的就是竊取使用者的銀行賬戶資訊。該木馬可以通過c&c伺服器指令模拟真實應用的界面,鎖住受感染裝置,避免受害者發現惡意活動,攔截短信并顯示僞造的通知,最終達到繞過雙因素身份驗證的目的。
這種惡意軟體能夠感染安卓系統的所有版本。而且由于功能動态變化的特點,它不會受限于應用程式的類型——隻需獲得安裝在受害裝置上應用程式的html代碼,在啟動該應用後用html代碼僞造的虛假螢幕覆寫掉就可以了。
eset公司檢測到的trojan.android/charger.b的特洛伊木馬于3月30日被背後的操縱者上傳至google play,截至eset4月10日釋出正式通知前,大約已經有5000多名不知情的使用者下載下傳安裝了該木馬病毒。
google play上的木馬程
一旦安裝并啟動了這個木馬程式,它就會請求獲得受害裝置的管理者權限。使用安卓6.0或更高版本的使用者還需手動設定使用權限并開啟“draw over other apps(允許在其他應用的上層顯示)”的功能。獲得權限與許可後,該程式就會自動隐藏圖示,以插件的形式在裝置上顯示。
實際的有效負載已經在google play的apk檔案資源中加密,這種處理方式能夠避免其惡意功能被發現。當受害者運作該應用時,有效載荷也會自動解密并執行攻擊任務。
木馬首先會将受感染的裝置注冊到攻擊者的伺服器上。除了發送裝置資訊和裝置上所安裝的應用程式資訊之外,它還能擷取裝置前置攝像頭所拍攝的照片。
如果資訊顯示這台裝置位于俄羅斯、烏克蘭或白俄羅斯,c&c伺服器就會自動停止攻擊活動,唯一的可能性就是該惡意程式的所有者希望避免來自本國攻擊者的控訴。
根據受感染裝置上安裝的應用程式清單,c&c以惡意html代碼的形式發送相應的虛假活動。受害者隻要啟動其中一個目标應用程式,html就會在webview中顯示。緊接着,真實應用的界面就被僞造的界面所覆寫,該界面要求使用者輸入信用卡資訊或銀行應用的登入憑據等。
那麼哪些應用容易被這種木馬盯上?這個問題也許是無解的。因為不同裝置所安裝的應用不同,竊取的html代碼也不同。據調查,已經發現存在虛假界面的應用程式有以下這些:commbank、nab、westpac手機銀行、facebook、whatsapp、instagram和google play。
僞造界面上的登入憑據都會以不加密的方式發送到攻擊者的c&c伺服器上。
至于裝置被鎖住的問題,eset猜測這項功能會在攻擊者從受害銀行賬戶提現時自動啟用。攻擊者通過一個虛假的外觀更新界面來隐藏自己的欺詐活動,以免受害者發現惡意活動、加以幹預。
在受感染在被感染裝置上找到的模仿真實應用的釣魚界面
用于鎖定受感染裝置的虛假系統界面
該木馬濫用firebase cloud messages(fcm)與c&c伺服器進行通信,這是我們第一次發現安卓惡意軟體使用了這種通信管道。
研究顯示,該應用是android/charger的改良版,由check point研究人員于2017年1月首次發現。第一個版本主要通過鎖住裝置并進行勒索的方式對受害者進行直接敲詐,但是現在charger背後的惡意黑客改用釣魚的方式,目标直接鎖定受害者的銀行資訊——這種演變在安卓惡意軟體家族中十分少見。
android/charger.b使用的是虛假的登入界面與裝置鎖定功能,這與我們二月份發現并分析的銀行業務惡意軟體存在一定相似之處。但為什麼說這次發現的木馬更加危險呢?因為與一般惡意軟體中的寫死不同,它的攻擊目标是動态變化、毫無限制的!
如果你剛好最近從google play下載下傳了手電筒應用,那麼你就需要檢查下是否無意中碰到過這種木馬程式。
惡意應用可以在設定>應用程式管理/應用>手電筒插件中找到。
應用程式管理器中的惡意軟體
找到這個惡意程式很簡單,但是要想解除安裝它就比較頭疼了。該木馬通過禁止使用者關閉活動的裝置管理器(解除安裝app的必要步驟)的方式防止受害者解除安裝。如果我們選擇停用選項,螢幕會彈出一個隻能點選“激活”選項的彈框——惡意程式慣用的流氓手段。
避免惡意軟體帶來傷害的關鍵說到底還是預防。
下載下傳應用時我們應盡可能地選擇官方應用商店。盡管google play也存在漏網之魚,但它的确采取了進階的安全防禦機制來抵制惡意軟體,而很多不規範的應用商店都做不到這一點。
如果你對想要安裝的應用程式不放心,可以通過檢視該應用的安裝次數、評分和評論内容再作決定。
安裝并運作某個應用後,一定要注意它所請求獲得的裝置權限。如果它要求的權限超過了功能所需(如手電筒應用卻要求獲得裝置管理者的權限),那麼這時候你就需要慎重考慮了。
當然最後一點,我們也可以選擇一家值得信賴的安全服務供應商來保護我們的裝置,避免最新的威脅造成不可估量的損失!
資料包名稱:com.flashscary.widget
哈希值:ca04233f2d896a59b718e19b13e3510017420a6d
檢測結果:android/charger.b
本文來自合作夥伴“阿裡聚安全”,發表于2017年05月02日 10:23.