雖然 Google Play 商店三不五時就會出現惡意 App 不是新聞,但每隔一陣子更新最新 Google Play 惡意 App 相關訊息,還是 Android 族群最重要的例行工作。據報導,Google Play 又再度發現惡意 App,這些內嵌金融木馬程式的惡意 App 成功突破 Google 許可權限制機制的偵測防線,下載次數超過 30 萬。使用者一旦下載,將面臨密碼及雙因素認證碼被竊,螢幕畫面與擊鍵被擷取與記錄的可能風險。
Google 為了扼止層出不窮詐騙 App 意圖在自家 Play 商店大搞掛羊頭賣狗肉的勾當,祭出一連串安全限制之舉,包括針對視障使用者存取服務的安全限制措施,以防止惡意 App 能不經使用者同意就自動安裝的風險。
App 安裝後才露出真面目,要求使用者更新並趁機植入木馬
這次發現的金融木馬 App 成功繞過 Google Play 防禦機制,直到使用者下載後才露出惡意攻擊的真面目,全拜一連串花招所賜。下載前會假扮成 PDF / QR 碼掃描器及加密貨幣錢包等十分常見的熱門 App,骨子裡卻是不折不扣的植入程式(Dropper),騙過 Google 後成功以正常合法 App 之姿上架。
總之,使用者下載至 Android 手機前,這些 App 會極力壓抑植入程式的本性,並表現得和正常無害 App 沒什麼不同,使用者即使透過 VirusTotal 之類掃毒服務或軟體掃描,也會得到完全沒有病毒的結果。
但惡意花招就在 App 安裝後不久上演,使用者會收到要求下載更新以安裝新功能的訊息,一旦更新,惡意軟體會悄悄植入使用者手機系統。這些 App 主要使用 4 種家族的 Android 惡意軟體,網路散播已有 4 個月。感染數量最大的是 Anatsa 惡意軟體系列,是惡名昭彰的先進 Android 金融木馬,具遠端存取與自動轉帳能力,能自動清空受害者帳號,並將內容發送給惡意攻擊者帳號。
App 本身所占空間太小,運用各種花招讓 Google Play 防禦機制破功
行動安全公司 ThreatFabric 研究人員在許多案例發現,這些 App 會運用其他機制規避安全偵測,例如惡意攻擊者只會在檢查受感染手機的地理位置,抑或執行一連串無害增量更新作業後,才會手動安裝惡意更新,這讓安全機制更難發揮作用。
研究人員並指出,並非所有內嵌植入程式的行動裝置都會被植入 Anatsa 木馬,因為惡意攻擊者只會對感興趣的領域及目標發動攻擊。除了 Anatsa 木馬,研究人員發現其他惡意軟體系統還有 Alien、Hydra 及 Ermac。植入程式之一會下載並安裝 Gymdrop 惡意封包負載,會使用基於受害裝置機型的過濾規則,以避免遭研究人員裝置鎖定。
據 ThreatFabric 官網文章指出,專門散布 Alien 金融木馬的植入程式,不會請求可存取服務權限,他們想要的是安裝特定套件許可權,會透過安裝新健身訓練 App 的承諾,引誘使用者授予安裝套件許可權。
除了前述的各種規避手法,惡意 App 能成功規避 Google Play 安全防禦制的另一個關鍵要素,就是這些植入程式 App 所佔空間小到難以第一時間偵測到。面對如此難搞的惡意 App,必須培養謹慎觀念,不要搶快安裝來路不明的新 Android App,等到市場有正面評價後才安裝,是最理智的明哲保身之道。
(首圖來源:ThreatFabric)
