谷歌播放惡意軟件使用手機(jī)的運(yùn)動(dòng)傳感器來隱藏自己

在GooglePlay市場(chǎng)上托管的惡意應(yīng)用程序正在嘗試一個(gè)巧妙的技巧來避免檢測(cè)-它們?cè)诎惭b強(qiáng)大的銀行木馬之前監(jiān)視受感染設(shè)備的運(yùn)動(dòng)傳感器輸入，以確保它不會(huì)加載到研究人員用來檢測(cè)攻擊的模擬器上。

監(jiān)控背后的想法是，傳感器在真正的最終用戶設(shè)備將記錄運(yùn)動(dòng)，因?yàn)槿藗兪褂盟鼈?。相比之下，安全研究人員使用的模擬器-可能還有谷歌員工篩選提交給Play的應(yīng)用程序-不太可能使用傳感器。兩個(gè)GooglePlay應(yīng)用程序最近發(fā)現(xiàn)，在被感染的設(shè)備上丟棄Anubis銀行惡意軟件，只有在第一次檢測(cè)到移動(dòng)時(shí)才會(huì)激活有效負(fù)載。否則，特洛伊木馬仍然處于休眠狀態(tài)。

安全公司Trend Micro在兩個(gè)應(yīng)用程序中發(fā)現(xiàn)了運(yùn)動(dòng)激活的Dropper-Battery SaverMobi，它有大約5,000次下載，以及貨幣轉(zhuǎn)換器，它有未知的下載量。一旦谷歌得知他們是惡意的，它就會(huì)刪除他們。

運(yùn)動(dòng)檢測(cè)并不是惡意應(yīng)用程序的唯一聰明特征。一旦其中一個(gè)應(yīng)用程序在設(shè)備上安裝了Anubis，Dropper就會(huì)使用Twitter和Telegram上的請(qǐng)求和響應(yīng)來定位所需的命令和控制服務(wù)器。

“然后，它在C&；C服務(wù)器上注冊(cè)，并檢查帶有HTTP POST請(qǐng)求的命令，”趨勢(shì)微研究員KevinSun寫道。“如果服務(wù)器使用APK命令響應(yīng)應(yīng)用程序并附加下載URL，那么Anubis有效載荷將在后臺(tái)被丟棄。”然后，Dropper試圖誘使用戶使用下面所示的假系統(tǒng)更新來安裝應(yīng)用程序：

一旦安裝了Anubis，它就使用了內(nèi)置的密鑰記錄器，可以竊取用戶的帳戶憑據(jù)。惡意軟件還可以通過獲取受感染用戶屏幕截圖來獲得憑據(jù)。太陽繼續(xù)說：

我們的數(shù)據(jù)顯示，最新版本的Anubis已分發(fā)到93個(gè)不同的國家，并針對(duì)377個(gè)金融應(yīng)用程序的用戶，以農(nóng)場(chǎng)帳戶的細(xì)節(jié)。我們還可以看到，如果Anubis成功運(yùn)行，攻擊者將訪問聯(lián)系人列表以及位置。它還具有錄制音頻、發(fā)送短信、打電話和改變外部存儲(chǔ)的能力。阿努比斯可以使用這些權(quán)限向聯(lián)系人、設(shè)備呼叫號(hào)碼和其他惡意活動(dòng)發(fā)送垃圾郵件。安全公司QuickHeal Technologies先前的研究表明，Anubis的版本甚至起到了贖金的作用。

研究人員提供了以下截圖，顯示了Anubis的一些財(cái)務(wù)應(yīng)用程序目標(biāo)：

這份報(bào)告有兩個(gè)要點(diǎn)。首先是惡意Android應(yīng)用程序的質(zhì)量正在提高。第二是Android用戶在下載和安裝應(yīng)用程序之前應(yīng)該繼續(xù)仔細(xì)考慮。據(jù)稱，這兩款現(xiàn)已被移除的應(yīng)用的好處微乎其微。人們最好還是堅(jiān)持使用少數(shù)來自知名開發(fā)者的應(yīng)用程序。