Google Play 防禦機制失靈!30 萬使用者不幸下載金融木馬 App

作者 | 發布日期 2021 年 12 月 03 日 8:15 | 分類 app , Google , 網路 Telegram share ! follow us in feedly


雖然 Google Play 商店三不五時就會出現惡意 App 不是新聞,但每隔一陣子更新最新 Google Play 惡意 App 相關訊息,還是 Android 族群最重要的例行工作。據報導,Google Play 又再度發現惡意 App,這些內嵌金融木馬程式的惡意 App 成功突破 Google 許可權限制機制的偵測防線,下載次數超過 30 萬。使用者一旦下載,將面臨密碼及雙因素認證碼被竊,螢幕畫面與擊鍵被擷取與記錄的可能風險。 

Google 為了扼止層出不窮詐騙 App 意圖在自家 Play 商店大搞掛羊頭賣狗肉的勾當,祭出一連串安全限制之舉,包括針對視障使用者存取服務的安全限制措施,以防止惡意 App 能不經使用者同意就自動安裝的風險。

App 安裝後才露出真面目,要求使用者更新並趁機植入木馬

這次發現的金融木馬 App 成功繞過 Google Play 防禦機制,直到使用者下載後才露出惡意攻擊的真面目,全拜一連串花招所賜。下載前會假扮成 PDF / QR 碼掃描器及加密貨幣錢包等十分常見的熱門 App,骨子裡卻是不折不扣的植入程式(Dropper),騙過 Google 後成功以正常合法 App 之姿上架。

總之,使用者下載至 Android 手機前,這些 App 會極力壓抑植入程式的本性,並表現得和正常無害 App 沒什麼不同,使用者即使透過 VirusTotal 之類掃毒服務或軟體掃描,也會得到完全沒有病毒的結果。

但惡意花招就在 App 安裝後不久上演,使用者會收到要求下載更新以安裝新功能的訊息,一旦更新,惡意軟體會悄悄植入使用者手機系統。這些 App 主要使用 4 種家族的 Android 惡意軟體,網路散播已有 4 個月。感染數量最大的是 Anatsa 惡意軟體系列,是惡名昭彰的先進 Android 金融木馬,具遠端存取與自動轉帳能力,能自動清空受害者帳號,並將內容發送給惡意攻擊者帳號。

App 本身所占空間太小,運用各種花招讓 Google Play 防禦機制破功

行動安全公司 ThreatFabric 研究人員在許多案例發現,這些 App 會運用其他機制規避安全偵測,例如惡意攻擊者只會在檢查受感染手機的地理位置,抑或執行一連串無害增量更新作業後,才會手動安裝惡意更新,這讓安全機制更難發揮作用。

研究人員並指出,並非所有內嵌植入程式的行動裝置都會被植入 Anatsa 木馬,因為惡意攻擊者只會對感興趣的領域及目標發動攻擊。除了 Anatsa 木馬,研究人員發現其他惡意軟體系統還有 Alien、Hydra 及 Ermac。植入程式之一會下載並安裝 Gymdrop 惡意封包負載,會使用基於受害裝置機型的過濾規則,以避免遭研究人員裝置鎖定。

據 ThreatFabric 官網文章指出,專門散布 Alien 金融木馬的植入程式,不會請求可存取服務權限,他們想要的是安裝特定套件許可權,會透過安裝新健身訓練 App 的承諾,引誘使用者授予安裝套件許可權。

除了前述的各種規避手法,惡意 App 能成功規避 Google Play 安全防禦制的另一個關鍵要素,就是這些植入程式 App 所佔空間小到難以第一時間偵測到。面對如此難搞的惡意 App,必須培養謹慎觀念,不要搶快安裝來路不明的新 Android App,等到市場有正面評價後才安裝,是最理智的明哲保身之道。

(首圖來源:ThreatFabric