正文 

当前位置: 首页 > 代码 > java教程

库克“一语成谶”:又有30万台安卓设备被“感染”了!|文末福利

CSDN云计算 CSDN云计算     2023-02-20     364

关键词:

整理 | 郑丽媛

出品 | CSDN(ID:CSDNnews)

各家应用商店中的恶意软件总是层出不穷,哪怕是一向以“安全”著称的苹果,也不能完全杜绝 App Store 中恶意软件的乱入。但在这之中,作为“围墙花园”的苹果自认还是高人一等的:

  • 苹果曾援引诺基亚 2019 年、2020 年的威胁情况报告称,Android 平台恶意软件的数量是 iPhone 的 15~47 倍。

  • 库克在 11 月初也就此表示:“如果你想侧载 App,你可以买一部 Android 手机。”

巧的是,仿佛是为了印证了库克的说法,近日,据网络安全公司 ThreatFabric 研究人员发现,Google Play 中存在一批“表面正经”实际暗藏 Android 银行木马的恶意软件,总下载量超过 30 万次

“伪善”的外表

根据木马类型,ThreatFabric 将这批恶意软件分为 4 类:Anatsa、Alien、Hydra 和 Ermac。

  • Anatsa

Anatsa 的下载量最高——超过 20 万名 Android 用户曾安装隐藏 Anatsa 木马的 App。ThreatFabric 将 Anatsa 称为“一种相当先进的 Android 银行木马”,具有 RAT 和半 ATS 功能:可窃取用户名和密码、使用可访问性日志记录来捕获用户屏幕上显示的所有内容、利用键盘记录器记录输入到手机中的所有信息

经 ThreatFabric 分析,共有 6 款恶意软件在分发 Anatsa 木马。为了欺骗用户下载,它们分别伪装成二维码扫描仪、PDF 扫描仪和加密货币 App,其中光一个二维码扫描仪下载量就高达 5 万次,甚至为了引诱人们下载,攻击者还雇人刷好评,该 App 下载页面上多为正面评价 。

  • Alien

下载量第二多的是 Alien 木马,这同样也是一款 Android 银行木马,可窃取双因素身份验证功能,暗藏这款木马的 App 下载量超 9.5 万次。

其中,名为“Gymdrop”的健身 App 就是一个成功的载体。这款 App 的设计初看十分正常,很难察觉其恶意软件的身份。但仔细研究后便可发现,它只是一个健身房网站的模板,上面没有任何有用的信息,甚至在页面中还包含“Lorem Ipsum”的占位符文本。


  • Hydra 和 Ermac

关于 Hydra 和 Ermac 这两款木马,ThreatFabric 认为其与 Brunhilda 有关(Brunhilda 是一个网络犯罪组织,以使用银行恶意软件攻击 Android 设备而闻名),Hydra 和 Ermac要是为攻击者提供窃取银行信息所需的设备的访问权限

以下为 ThreatFabric 发现暗藏以上四类 Android 银行木马的 12 款恶意软件:

学会了“见机行事”

如开头所说,每个应用商店都有其自己的应用审核流程,Google Play 自然也不例外,但为什么这些恶意软件能够“瞒天过海”,在短短 4 个月的时间内就肆意传播超过 30 万次?原因在于:攻击者在努力减少检测过程中 App 包含的恶意加载程序

上文中不论是二维码扫描仪 QR Code Scanner,还是健身 App GymDrop,在最初下载的时候是不包含木马病毒的,并且为了避免用户产生怀疑,通常都具备应有的功能。但在取得用户信任后,这类 App 便会指示他们下载附加功能的更新包(通常从第三方来源下载更新),也正是这个更新包“内有乾坤”——会连接到命令和控制服务器并将木马的有效载荷下载到设备上,为攻击者提供窃取银行详细信息和其他信息的手段。

也就是说,这类恶意软件的“恶意”是隐藏的,并没有包含在测试环境中,只有在安装应用后才会开始传送恶意部分,这极大增加了 Google Play 利用自动化和机器学习技术检测这类 App 的难度,也因此它们才能躲过审查成功混入 Google Play。

不仅如此,这些攻击者还学会了“见机行事”:尽管恶意软件的下载量超过 30 万次,但并非所有用户都会“中招”。为了让植入 App 中的木马更难被发现,攻击者只会手动激活在受感染设备上安装的木马,通过位置检查确保受害者仅存在于某些特定地区,使得应用商店的自动检测更难以察觉其中的“阴谋”。

除了被动删除,谷歌别无他法

据了解,ThreatFabric 方面已经向谷歌报告了以上所有恶意软件,结果应该与之前的类似情况一样:谷歌会迅速下架所有相关 App,这大概也是谷歌唯一能做的了——网络攻击者传播恶意软件的方式愈发层出不穷,而目前谷歌还没能找到一个有效的办法来杜绝这类 App 混入 Google Play,只能发现一个删一个。

虽然应用商店方面暂且还无法确保其中所有 App 的安全性,但 ThreatFabric 的移动恶意软件专家 Dario Durando 建议,用户可以采取一些措施以避免木马的侵入:“在授予可访问服务权限之前,记得检查应用更新,同时也要警惕要求安装其他软件的 App。”

对于这件事,网友的目光聚焦在了“侧载”上

“虽然这样说不好,但事实就是:侧载应用是启用这些木马程序的原因。”

“我是 iOS 用户,幸亏 Apple 对应用商店进行了严格监管,所以我强烈不希望这种情况发生改变。”

参考链接:

https://www.threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html#tactics-used-by-threat-actors

https://arstechnica.com/information-technology/2021/11/google-play-apps-downloaded-300000-times-stole-bank-credentials/

在评论区留言你对本文的观点

CSDN云计算将选出优质留言

携手【北京大学出版社】送出

《CKA/CKAD应试指南》一本

截至12月8日14:00点

往期推荐

云计算到底是谁发明的?

从Docker的信号机制看容器的优雅停止

低代码发展专访系列之三:低代码平台会成为企业数字化基础设施么?

内容整理志愿者招募了!

点分享

点收藏

点点赞

点在看

linux之父一语成谶:valve拯救桌面版linux,但新版本仍在分裂其生态

“talkischeap,showmethecode!”相信IT行业内几乎每一个人都听说过这句话吧?这条金句来自Linux之父LinusTorvalds,他是出了名的直言不讳,其大胆辛辣的言论让人印象深刻。而近日,LinusTorvalds在2014年DebConf14会... 查看详情

天地有情尽白发,人间无意了沧桑

...折磨人,以至于斯乎?我自有仙子相配,爱你就会变成猪一语成谶,因果循环,报应轮回,屡试不爽。爱上宝儿,就会成为平凡人。位列上神,就会离开宝儿。当天蓬毫不犹豫的选择宝儿的时候,那根月老的牵丝线已经被取出。... 查看详情

1.8万计算机被感染,revil勒索软件要价750万美元?

...到REVil勒索软件攻击,短短一个周末,就造成约1.8万台计算机被感染。西班牙电信运营巨头惨遭攻击阿根廷电信是阿根廷最大的互联网服务提供商之一。上周末,某不明身份的勒索软件运营商感染了该公司约18,000台计... 查看详情

开发工具被感染?

】开发工具被感染?【英文标题】:Developmenttoolsinfected?【发布时间】:2012-02-0321:39:30【问题描述】:我的防病毒程序(CAAnti-Virus)刚刚开始报告在Eclipse中为我的Android项目生成的一些.dex文件中存在“AndroidOS/SMSTroj.D!generic”。(... 查看详情

2016中国互联网仿冒态势分析报告

...267个,平均每个应用的仿冒量达34个,总感染设备量达6790万台。广东省的仿冒应用感染设备量最大,占全国的13%。北京市作为首 查看详情

用户吐槽不能给安卓手机发视频,库克:“给你妈妈买台iphone!”

...传存在着“蓝绿气泡之争”。本周三,苹果CEO蒂姆·库克在发布了一系列新产品后参加了VoxMedia的Code2022大会,在接受采访时有人问及到苹果是否会听从谷歌的呼吁,采用RCS(富媒体通信服务)协议消除绿色气... 查看详情

为数十万台设备更新内部linux发行版,google如何做到?

...年更新周期意味着谷歌必须在操作系统EOL之前,对超过10万台设备中的每台机器进行升级。这是一项非常困难且耗时的工作,毕竟每两年让所有工程师从头开始配置他们的工作空间,这对生产力是严重的打击,并且从经济角度来... 查看详情

是否有 API 可以一次性将不同的通知推送到一百万台设备?

】是否有API可以一次性将不同的通知推送到一百万台设备?【英文标题】:IsthereanAPItopushadifferentnotificationtoamilliondevicesinoneshot?【发布时间】:2016-02-0419:46:14【问题描述】:我检查过的所有第三方服务,如AWS、OneSignal、BulkPush、Pus... 查看详情

库克10年,苹果电池为何落后安卓手机?

...别,还是原来的配方,还是熟悉的味道。今年是库克执掌苹果公司的第十个年头,人们已经习惯了没有太大创新的iPhone,但总体上每一代新机器多少能带来一些小惊喜。然而,回顾过去十年 查看详情

functions.php 被siteLock-php-injector 感染了如何清理呢? [关闭]

】functions.php被siteLock-php-injector感染了如何清理呢?[关闭]【英文标题】:functions.phpisinfectedbysiteLock-php-injectorhowtocleanit?[closed]【发布时间】:2016-04-0306:14:06【问题描述】:如何清理Functions.php,在WordPress,被siteLock-php-injector病毒感... 查看详情

怎么查看电脑感染了恶意软件

...现一些症状,下面安全中心就为大家介绍电脑被恶意软件感染出现的一些症状吧。严重感染迹象症状一:感染了勒索软件这是最为明显的症状了,勒索软件的开发者需要明确地告诉目标用户他们感染了勒索软件,不然他们怎么赚... 查看详情

iphone13预定量超500万,中国有钱人的追捧让库克始料不及

据公布的数据显示,iPhone13自9月17日开启预售以来,不到一周时间仅是中国市场的预定量就已达到500万台,超过了去年iPhone12所取得的首周预售成绩,这显示出中国消费者对这款机型相当追捧。iPhone13相比iPhone12其... 查看详情

一直被模仿的苹果,跟不上安卓了?

...念起乔布斯治下苹果的革命与创新。与之相应的是,库克掌舵苹果十年,一直深陷缺乏颠覆性创新的 查看详情

智能摩尔定律?samaltman被marcus怼了;再也不用学excel了?自愿降薪40%的库克,要被“踢出”董事会?...

本周AI业界又有哪些新鲜事?ChatGPT肯尼亚工人为ChatGPT标注数据,2美元/小时作为近年来AI领域的爆炸技术,ChatGPT热度一直不减。然而,就和视频数据需要标注一样,ChatGPT在构建内容过滤器时也需要进行数据标... 查看详情

第一个在中国卖出1000万台电视的品牌,为什么是小米?

...经理蒋聪宣布,小米电视已提前完成了2019年中国市场1000万台的销售目标。  蒋聪在微博上欣喜之情溢于言表:“本来想年后再宣布,但实在按捺不住激动的心情!小米电视已提前完成了2019年中国市场1000万台的目标!这是中... 查看详情

在设备被密码锁定时捕获图像

】在设备被密码锁定时捕获图像【英文标题】:CaptureImagewhileDeviceisLockedwithPassword【发布时间】:2013-04-1103:23:30【问题描述】:我想实现一个功能,当有人试图解锁我的设备并输入错误密码3次时,通过前置摄像头捕获图像。我检... 查看详情

vfiopfsrioviommuuio概念解释关联

...为容易而且容易维护。很容易加入主内核源码树。但是,又有很多设备难以划分到这些子系统中,比如I/O卡,现场总线接口或者定制的FPGA。通常这些非标准设备的驱动被实现为字符驱动。这些驱动使用了很多内核内部函数和宏... 查看详情

乔布斯去世十年,粉丝哀叹苹果正失去昔日创新光环,但库克是更好领导者

据外媒报道,苹果联合创始人史蒂夫・乔布斯(SteveJobs)去世十年后,这家公司已经成长为设备和服务领域的“双巨头”,成为世界上市值最高的公司。然而,这位科技行业传奇的铁杆粉丝却在哀叹苹果正... 查看详情