安卓恶意软件假装成功 潜藏在Google Play商店
发布时间:2022-06-14 20:02:23 所属栏目:安全 来源:互联网
导读:研究人员发现,窃取信息的Android恶意软件Sharkbot通过防病毒解决方案的掩护悄悄地潜藏在Google Play商店的深处,给用户带来了极大的危险。事件起源于Check Point Research(CPR)团队在分析商店中的可疑应用程序时,发现了潜伏已久的恶意软件。该软件伪装
研究人员发现,窃取信息的Android恶意软件Sharkbot通过防病毒解决方案的掩护悄悄地潜藏在Google Play商店的深处,给用户带来了极大的危险。事件起源于Check Point Research(CPR)团队在分析商店中的可疑应用程序时,发现了潜伏已久的恶意软件。该软件伪装成防病毒解决方案,可以下载和安装恶意软件,并凭借此外表从Android设备中窃取用户的凭据、银行信息以及具有其他一系列众多的其他独特功能。 CPR研究人员Alex Shamsur和Raman Ladutska在周四发布的一份报告中声明:Sharkbot通过引诱受害者在模仿良性证书的链接窗口中输入证书信息,而当用户在这些窗口中输入信息凭据后,相关的数据将被直接发送到恶意服务器。研究人员在检查的过程中发现了六个不同的应用程序,包括名为Atom Clean-Booster、Antivirus、Antvirus Super Cleaner和Center Security-Antivirus的应用程序。这些应用程序分别来自于三个开发人员帐户——Zbynek Adamcik、Adelmio Pagnotto和Bingo Like Inc.——其中至少有两个账户在去年秋天尤为活跃。研究人员梳理的时间表也显示了他们的活动轨迹,因为Sharkbot于11月才首次出现在研究人员的观察网上。 研究人员同时表示:一些与这些帐户关联的应用程序已被从Google Play中删除,但是却仍然存在于非官方市场中。这意味着这些恶意应用程序背后的行为者仍然在试图参与恶意活动,因此需要我们时刻保持警惕。谷歌公司虽然已经删除了这些违规应用程序,但在仍然有约15,000人次进行了下载和安装。其实从分布人群也可以看出的主要目标就像以前一样还是以英国和意大利的用户为主。 Sharkbot的不同之处 CPR研究人员表示,他们通过对Sharkbot的应用模式进行分析观察发现,Sharkbot不仅应用了典型的信息窃取策略,它还具备了与典型Android恶意软件不同的特征。研究人员认为Sharkbot使用了一种地理区分功能,它可以根据地理区域选择所攻击的用户,同时可以忽略来自中国、印度、罗马尼亚、俄罗斯、乌克兰或白俄罗斯的用户。同时研究人员还指出,Sharkbot拥有一些更为灵活的技术。一方面若Sharkbot检测到它正在沙箱(计算机安全领域中用于安全的运行程序机制)中运行时,它将停止执行并退出。Sharkbot的另一个独特标志是它会利用域名生成算法(DGA),这是Android平台恶意软件中很少使用的技术。研究表示他们使用DGA,进而每周能够生成七个域名,包括研究员观察到的所有种子和算法,每周共有56个域名,即8种不同的算法组合。因此研究人员在他们的研究中观察到了27个版本的Sharkbot,而这些版本之间的最主要区别就是拥有不同的DGA种子以及不同的botnetID和ownerID字段。 总而言之,Sharkbot能够发送22个命令,进而允许网络攻击者在用户的Android设备上执行各种恶意操作包括:请求发送短信的权限;卸载已下载的应用程序;将设备的联系人列表发送到服务器;禁用电池优化,以便Sharkbot可以在后台运行;以及模仿用户在屏幕上的滑动。 长期以来,谷歌一直在努力解决其Android应用程序商店里存在的恶意应用程序和恶意软件,并为清理这些恶意软件做出了重大努力。然而一位安全专业人士指出,伪装成防病毒解决方案出现的Sharkbot表明,攻击者在如何隐藏平台上的恶意活动方面越来越狡猾,这些现象的存在可能会损害用户对Google Play的信心。 安全公司Cerberus Sentinel解决方案架构副总裁Chris Clements在给Threatpost的电子邮件中表示:在应用程序审查过程中,通过时间延迟、代码混淆和地理位置区分来隐藏其恶意功能的恶意软件应用程序将使得防网络攻击更具有挑战性,而潜伏在官方应用程序商店中也确实损害了用户对谷歌平台上所有应用程序安全性的信任。他还认为,智能手机是人们数字生活的中心,并且也是金融、个人和工作活动的枢纽,任何损害此类中央设备安全的恶意软件都可能造成用户的重大财务损失或声誉损害。 而另一位安全专业人士则敦促Android用户在决定是否从信誉良好的供应商商店下载移动应用程序时要谨慎,即使它是一个值得信赖的品牌。 KnowBe4的安全意识倡导者James McQuiggan提醒广大用户在安装来自各种技术商店的应用程序时,最好在下载应用程序之前对其进行详细的研究。因为网络犯罪分子喜欢诱骗用户安装具有隐藏功能的恶意应用程序,以此试图窃取数据或接管帐户。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |