据eset(总部位于斯洛伐克布拉迪斯拉发的一家世界知名的电脑安全软件公司,创立于1992年)4月19日官方报道,一个具有自动锁屏功能的银行恶意软件近期伪装成google play上的手电筒应用,广大安卓用户成为了它的狩猎目标乃至囊中之物。与其它静态式的银行业务木马不同,该木马能够动态地调整自身功能。
除了用来作掩护的手电筒功能之外,这种利用远程控制的木马还具有很多附加功能,最终目的就是窃取用户的银行账户信息。该木马可以通过c&c服务器命令模拟真实应用的界面,锁住受感染设备,避免受害者发现恶意活动,拦截短信并显示伪造的通知,最终达到绕过双因素身份验证的目的。
这种恶意软件能够感染安卓系统的所有版本。而且由于功能动态变化的特点,它不会受限于应用程序的类型——只需获得安装在受害设备上应用程序的html代码,在启动该应用后用html代码伪造的虚假屏幕覆盖掉就可以了。
eset公司检测到的trojan.android/charger.b的特洛伊木马于3月30日被背后的操纵者上传至google play,截至eset4月10日发布正式通知前,大约已经有5000多名不知情的用户下载安装了该木马病毒。
google play上的木马程
一旦安装并启动了这个木马程序,它就会请求获得受害设备的管理员权限。使用安卓6.0或更高版本的用户还需手动设置使用权限并开启“draw over other apps(允许在其他应用的上层显示)”的功能。获得权限与许可后,该程序就会自动隐藏图标,以插件的形式在设备上显示。
实际的有效负载已经在google play的apk文件资源中加密,这种处理方式能够避免其恶意功能被发现。当受害者运行该应用时,有效载荷也会自动解密并执行攻击任务。
木马首先会将受感染的设备注册到攻击者的服务器上。除了发送设备信息和设备上所安装的应用程序信息之外,它还能获取设备前置摄像头所拍摄的照片。
如果信息显示这台设备位于俄罗斯、乌克兰或白俄罗斯,c&c服务器就会自动停止攻击活动,唯一的可能性就是该恶意程序的所有者希望避免来自本国攻击者的控诉。
根据受感染设备上安装的应用程序列表,c&c以恶意html代码的形式发送相应的虚假活动。受害者只要启动其中一个目标应用程序,html就会在webview中显示。紧接着,真实应用的界面就被伪造的界面所覆盖,该界面要求用户输入信用卡信息或银行应用的登录凭据等。
那么哪些应用容易被这种木马盯上?这个问题也许是无解的。因为不同设备所安装的应用不同,窃取的html代码也不同。据调查,已经发现存在虚假界面的应用程序有以下这些:commbank、nab、westpac手机银行、facebook、whatsapp、instagram和google play。
伪造界面上的登录凭据都会以不加密的方式发送到攻击者的c&c服务器上。
至于设备被锁住的问题,eset猜测这项功能会在攻击者从受害银行账户提现时自动启用。攻击者通过一个虚假的外观更新界面来隐藏自己的欺诈活动,以免受害者发现恶意活动、加以干预。
在受感染在被感染设备上找到的模仿真实应用的钓鱼界面
用于锁定受感染设备的虚假系统界面
该木马滥用firebase cloud messages(fcm)与c&c服务器进行通信,这是我们第一次发现安卓恶意软件使用了这种通信渠道。
研究显示,该应用是android/charger的改良版,由check point研究人员于2017年1月首次发现。第一个版本主要通过锁住设备并进行勒索的方式对受害者进行直接敲诈,但是现在charger背后的恶意黑客改用钓鱼的方式,目标直接锁定受害者的银行信息——这种演变在安卓恶意软件家族中十分少见。
android/charger.b使用的是虚假的登录界面与设备锁定功能,这与我们二月份发现并分析的银行业务恶意软件存在一定相似之处。但为什么说这次发现的木马更加危险呢?因为与一般恶意软件中的硬编码不同,它的攻击目标是动态变化、毫无限制的!
如果你刚好最近从google play下载了手电筒应用,那么你就需要检查下是否无意中碰到过这种木马程序。
恶意应用可以在设置>应用程序管理/应用>手电筒插件中找到。
应用程序管理器中的恶意软件
找到这个恶意程序很简单,但是要想卸载它就比较头疼了。该木马通过禁止用户关闭活动的设备管理器(卸载app的必要步骤)的方式防止受害者卸载。如果我们选择停用选项,屏幕会弹出一个只能点击“激活”选项的弹框——恶意程序惯用的流氓手段。
避免恶意软件带来伤害的关键说到底还是预防。
下载应用时我们应尽可能地选择官方应用商店。尽管google play也存在漏网之鱼,但它的确采取了高级的安全防御机制来抵制恶意软件,而很多不规范的应用商店都做不到这一点。
如果你对想要安装的应用程序不放心,可以通过查看该应用的安装次数、评分和评论内容再作决定。
安装并运行某个应用后,一定要注意它所请求获得的设备权限。如果它要求的权限超过了功能所需(如手电筒应用却要求获得设备管理员的权限),那么这时候你就需要慎重考虑了。
当然最后一点,我们也可以选择一家值得信赖的安全服务供应商来保护我们的设备,避免最新的威胁造成不可估量的损失!
数据包名称:com.flashscary.widget
哈希值:ca04233f2d896a59b718e19b13e3510017420a6d
检测结果:android/charger.b
本文来自合作伙伴“阿里聚安全”,发表于2017年05月02日 10:23.