一批新的惡意安卓應用程序冒充無害的文件管理器,滲入到了官方的 Google Play 應用程序商店中,用 Sharkbot 銀行木馬感染衆多用戶。
這些應用程序在安裝時并不攜帶惡意攻擊載荷,以便在 Google Play 上提交時躲避檢測,而是之後從遠程資源獲取攻擊載荷。
由于這批木馬應用程序是文件管理器,請求危險的權限以加載 Sharkbot 惡意軟件時,不太可能引起懷疑。
虛假的文件管理器感染安卓
Sharkbot 是一種危險的惡意軟件,通過在銀行應用程序的合法登錄提示中顯示虛假的登錄表單,企圖竊取網上銀行賬戶。當用戶試圖使用這些虛假表單登錄銀行時,登錄信息就被竊取,并發送給威脅分子。
這種惡意軟件一直在進化,以種種形式出現在 Play Store 上,或者從木馬應用程序加載。
在安全公司比特梵德的一份新報告中,分析師們發現了新的安卓木馬應用程序僞裝成文件管理器,并向谷歌報告了這些木馬應用程序。所有這些惡意應用程序此後已從 Google Play Store 中删除。
然而,許多以前下載了木馬應用程序的用戶可能仍然在手機上裝有它們,或者仍然遭受未被發現的殘留惡意軟件感染。
第一個惡意應用程序是 Victor Soft Ice LLC 開發的 "X-File Manager",在谷歌最終将其删除之前,它通過 Google Play 已被下載了 10000 次。
圖 1. Google Play 上的 X-File Manager(來源:比特梵德)
這款應用程序執行反模拟檢查以逃避檢測,并隻會在英國或意大利的 SIM 卡中加載 Sharkbot,所以它是一起針對性的攻擊活動的一部分。
被該惡意軟件盯上的移動銀行應用程序列表如下所示,不過比特梵德特别指出,威脅分子可以随時遠程更新這份列表。
圖 2. 被這起 Sharkbot 活動盯上的銀行(來源:比特梵德)
比特梵德的遙測數據表明了這起活動的攻擊範圍很窄,因為這起 Sharkbot 攻擊浪潮的大多數受害者都在英國,其次是在意大利、伊朗和德國。
惡意應用程序請求用戶授予有風險的權限,比如讀寫外部存儲、安裝新軟件包、訪問帳戶詳細信息和删除軟件包(以清除痕迹)等。
然而,這些權限在文件管理應用程序中看起來很正常,也屬意料之中,因此用戶不太可能謹慎地對待請求。
Sharkbot 作為虛假的程序更新被獲取,X-File Manager 在安裝前提示用戶批準。
第二個安裝銀行木馬的惡意應用程序是 Julia Soft Io LLC 開發的 "FileVoyager",通過 Google Play 下載了 5000 次。
圖 3. Google Play 上的 FileVoyager(來源:比特梵德)
FileVoyager 具有與 X-File Manager 相同的運作模式,針對意大利和英國的同一批金融機構。
比特梵德發現的另一個 Sharkbot 加載應用程序是 LiteCleaner M,該應用程序在被發覺、從 Play Store 下架之前已累計下載了 1000 次。
目前,該應用程序隻通過 APKSOS 等第三方應用程序商店才能獲得。同一個第三方應用程序商店上有第四個名為 "Phone AID, Cleaner, Booster 2.6" 的 Sharkbot 加載程序。
如果安裝了這些應用程序,安卓用戶應該立即删除它們,并更改他們使用的任何網上銀行賬戶的密碼。
由于威脅分子直接從 Google Play 分發這些應用程序,保護自己的最佳方法是啟用 Play Protect 服務,以便在檢測到惡意應用程序後删除它們。
此外,安卓移動安全殺毒應用程序将有助于檢測惡意流量和應用程序,甚至在它們被報告到 Google Play 之前就能檢測出來。
