备注请放最后面 违者新闻文章删除
1.媒体来源:
iThome
2.记者署名:
文/陈晓莉 | 2021-11-30发表
3.完整新闻标题:
超过30万Android用户自Google Play下载了含有后门的行动程式
4.完整新闻内文:
荷兰资安业者ThreatFabric在本周警告,尽管Google Play的安全把关愈来愈严格,但骇
客依然能够成功进驻该行动程式市集,利用具备完善功能的行动程式夹带后门,再借由伪
造的更新来植入金融木马程式,在4个月内就有超过30万次的安装,让使用者成为潜在的
受害者。
骇客的手法与时俱进,特别是Google甫于本月变更了无障碍服务(Accessibility
Services)的使用条件,过去相关的API是这些恶意程式绕过Google审核的主要管道之一
,于是骇客只好尽量减少行动程式中恶意程式码的足迹,以期躲过侦测,再借由之后的更
新,选择性地植入金融木马,以窃取受害者的金融凭证。
ThreatFabric即发现,自今年8月以来,就有4款金融木马家族,利用此一手法进驻了
Google Play,它们分别是Anatsa、Alien、Hydra及Ermac,每款金融木马所借道的恶意程
式各自不同,由于这些恶意程式只嵌入了极少的恶意程式码,几乎都曾或迄今仍躲过防毒
软件的侦测,目前相关恶意程式的安装数量已超过30万次。
其中的Anatsa主要利用6款恶意程式散布,包括PDF Document Scanner Free、QR
Scanner 2021、QR Scanner、PDF Document Scanner - Scan to PDF、PDF Document
Scanner及CryptoTracker,它们都具备如程式说明所描述的完整功能,而且评价不错,加
总的下载量超过20万次。
图片来源_ThreatFabric
当使用者安装上述任一种程式之后,使用者将被迫进行更新以继续使用,这时骇客就可透
过C&C服务器于使用者装置上植入Anatsa。不过,骇客并不会在所有安装恶意程式的装置
植入金融木马,而是依照这些装置的位置而定,例如只在位于英国、荷兰或德国的
Android用户装置植入金融木马,骇客也能依照当时的策略,变更植入金融木马的区域。
图片来源_ThreatFabric
Anatsa是个拥有RAT能力的金融木马,不但可窃取凭证,储存纪录,也能侧录键盘。
至于Hydra与Ermac都是透过一款名称为QR CreatorScanner的Android程式来散布,该程式
的安装数量超过1.5万,所锁定的攻击区域还包含美国。
Alien所利用的程式包括Master Scanner Live、Gym and Fitness Trainer与PDF AI :
TEXT RECOGNIZER等,下载量超过9.5万次。
ThreatFabric指出,有些程式在使用者下载的当下完全没有任何恶意功能,以躲过Google
的侦测,也避免使用者起疑,甚至是在植入金融木马之后,程式仍一如往常地正常运作,
这些以合法掩护非法的手段愈来愈受到骇客青睐,也让侦测变得更困难,建议Android用
户在下载程式时应更加小心。
5.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/148094
6.备注:
呼~还好我用iPhone