安卓恶意软件伪装成功,潜藏在Google Play商店

发表于:2022-6-06 09:13

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:我们会有自己的猫    来源:嘶吼网

#
安卓
分享:
  研究人员发现,窃取信息的Android恶意软件Sharkbot通过防病毒解决方案的掩护悄悄地潜藏在Google Play商店的深处,给用户带来了极大的危险。事件起源于Check Point Research(CPR)团队在分析商店中的可疑应用程序时,发现了潜伏已久的恶意软件。该软件伪装成防病毒解决方案,可以下载和安装恶意软件,并凭借此外表从Android设备中窃取用户的凭据、银行信息以及具有其他一系列众多的其他独特功能。
  CPR研究人员Alex Shamsur和Raman Ladutska在周四发布的一份报告中声明:Sharkbot通过引诱受害者在模仿良性证书的链接窗口中输入证书信息,而当用户在这些窗口中输入信息凭据后,相关的数据将被直接发送到恶意服务器。研究人员在检查的过程中发现了六个不同的应用程序,包括名为Atom Clean-Booster、Antivirus、Antvirus Super Cleaner和Center Security-Antivirus的应用程序。这些应用程序分别来自于三个开发人员帐户——Zbynek Adamcik、Adelmio Pagnotto和Bingo Like Inc.——其中至少有两个账户在去年秋天尤为活跃。研究人员梳理的时间表也显示了他们的活动轨迹,因为Sharkbot于11月才首次出现在研究人员的观察网上。
  研究人员同时表示:一些与这些帐户关联的应用程序已被从Google Play中删除,但是却仍然存在于非官方市场中。这意味着这些恶意应用程序背后的行为者仍然在试图参与恶意活动,因此需要我们时刻保持警惕。谷歌公司虽然已经删除了这些违规应用程序,但在仍然有约15,000人次进行了下载和安装。其实从分布人群也可以看出的主要目标就像以前一样还是以英国和意大利的用户为主。
  Sharkbot的不同之处
  CPR研究人员表示,他们通过对Sharkbot的应用模式进行分析观察发现,Sharkbot不仅应用了典型的信息窃取策略,它还具备了与典型Android恶意软件不同的特征。研究人员认为Sharkbot使用了一种地理区分功能,它可以根据地理区域选择所攻击的用户,同时可以忽略来自中国、印度、罗马尼亚、俄罗斯、乌克兰或白俄罗斯的用户。同时研究人员还指出,Sharkbot拥有一些更为灵活的技术。一方面若Sharkbot检测到它正在沙箱(计算机安全领域中用于安全的运行程序机制)中运行时,它将停止执行并退出。Sharkbot的另一个独特标志是它会利用域名生成算法(DGA),这是Android平台恶意软件中很少使用的技术。研究表示他们使用DGA,进而每周能够生成七个域名,包括研究员观察到的所有种子和算法,每周共有56个域名,即8种不同的算法组合。因此研究人员在他们的研究中观察到了27个版本的Sharkbot,而这些版本之间的最主要区别就是拥有不同的DGA种子以及不同的botnetID和ownerID字段。
  总而言之,Sharkbot能够发送22个命令,进而允许网络攻击者在用户的Android设备上执行各种恶意操作包括:请求发送短信的权限;卸载已下载的应用程序;将设备的联系人列表发送到服务器;禁用电池优化,以便Sharkbot可以在后台运行;以及模仿用户在屏幕上的滑动。
  活动时间表
  CPR研究人员于2月25日在Google Play上首次发现了含有Sharkbot病毒释放器的四个应用程序,此后不久于3月3日向谷歌报告了他们的发现。谷歌在发现安全漏洞后于3月9日删除了这些应用程序,但六天后,即3月15日,又发现了另一个Sharkbot病毒释放器。并且在3月22日和3月27日又发现了两个Sharkbot木马病毒释放器,他们也迅速向谷歌报告要及时予以移除。
  研究人员表示,Sharkbot木马病毒释放器本身应该引起关注。他们认为:正如他们可以从病毒释放器的功能来判断的那样,它们显然本身存在的各种可能性构成了威胁,我们的应对手段不能仅仅只是丢弃恶意软件。
  具体而言,研究人员发现Sharkbot病毒释放器伪装成以下应用程序在Google Play上。
  ·com.abbondioendrizzi.tools[.]超级清洁剂。
  · com.abbondioendrizzi.antivirus.supercleaner。
  · com.pagnotto28.sellsourcecode.alpha。
  · com.pagnotto28.sellsourcecode.supercleaner。
  · com.antivirus.centersecurity.freeforall。
  · com.centersecurity.android.cleaner。

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号