您的位置: 首頁 >科技 >

谷歌播放惡意軟件使用手機的運動傳感器來隱藏自己

2020-03-20 21:58:59 編輯: 來源:
導(dǎo)讀 在GooglePlay市場上托管的惡意應(yīng)用程序正在嘗試一個巧妙的技巧來避免檢測-它們在安裝強大的銀行木馬之前監(jiān)視受感染設(shè)備的運動傳感器輸入,以確保它不會加載到研究人員用來檢測攻擊的模擬器上。 監(jiān)控背后的想法是,傳感器在真正的最終用戶設(shè)備將記錄運動,因為人們使用它們。相比之下,安全研究人員使用的模擬器-可能還有谷歌員工篩選提交給Play的應(yīng)用程序-不太可能使用傳感器。兩個GooglePlay應(yīng)用程序

在GooglePlay市場上托管的惡意應(yīng)用程序正在嘗試一個巧妙的技巧來避免檢測-它們在安裝強大的銀行木馬之前監(jiān)視受感染設(shè)備的運動傳感器輸入,以確保它不會加載到研究人員用來檢測攻擊的模擬器上。

監(jiān)控背后的想法是,傳感器在真正的最終用戶設(shè)備將記錄運動,因為人們使用它們。相比之下,安全研究人員使用的模擬器-可能還有谷歌員工篩選提交給Play的應(yīng)用程序-不太可能使用傳感器。兩個GooglePlay應(yīng)用程序最近發(fā)現(xiàn),在被感染的設(shè)備上丟棄Anubis銀行惡意軟件,只有在第一次檢測到移動時才會激活有效負載。否則,特洛伊木馬仍然處于休眠狀態(tài)。

安全公司Trend Micro在兩個應(yīng)用程序中發(fā)現(xiàn)了運動激活的Dropper-Battery SaverMobi,它有大約5,000次下載,以及貨幣轉(zhuǎn)換器,它有未知的下載量。一旦谷歌得知他們是惡意的,它就會刪除他們。

運動檢測并不是惡意應(yīng)用程序的唯一聰明特征。一旦其中一個應(yīng)用程序在設(shè)備上安裝了Anubis,Dropper就會使用Twitter和Telegram上的請求和響應(yīng)來定位所需的命令和控制服務(wù)器。

“然后,它在C&;C服務(wù)器上注冊,并檢查帶有HTTP POST請求的命令,”趨勢微研究員KevinSun寫道。“如果服務(wù)器使用APK命令響應(yīng)應(yīng)用程序并附加下載URL,那么Anubis有效載荷將在后臺被丟棄。”然后,Dropper試圖誘使用戶使用下面所示的假系統(tǒng)更新來安裝應(yīng)用程序:

一旦安裝了Anubis,它就使用了內(nèi)置的密鑰記錄器,可以竊取用戶的帳戶憑據(jù)。惡意軟件還可以通過獲取受感染用戶屏幕截圖來獲得憑據(jù)。太陽繼續(xù)說:

我們的數(shù)據(jù)顯示,最新版本的Anubis已分發(fā)到93個不同的國家,并針對377個金融應(yīng)用程序的用戶,以農(nóng)場帳戶的細節(jié)。我們還可以看到,如果Anubis成功運行,攻擊者將訪問聯(lián)系人列表以及位置。它還具有錄制音頻、發(fā)送短信、打電話和改變外部存儲的能力。阿努比斯可以使用這些權(quán)限向聯(lián)系人、設(shè)備呼叫號碼和其他惡意活動發(fā)送垃圾郵件。安全公司QuickHeal Technologies先前的研究表明,Anubis的版本甚至起到了贖金的作用。

研究人員提供了以下截圖,顯示了Anubis的一些財務(wù)應(yīng)用程序目標:

這份報告有兩個要點。首先是惡意Android應(yīng)用程序的質(zhì)量正在提高。第二是Android用戶在下載和安裝應(yīng)用程序之前應(yīng)該繼續(xù)仔細考慮。據(jù)稱,這兩款現(xiàn)已被移除的應(yīng)用的好處微乎其微。人們最好還是堅持使用少數(shù)來自知名開發(fā)者的應(yīng)用程序。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。