一批安卓银行木马躲过了官方应用商店的检测,下载量达到30万次30万次。这些恶意应用程序以QR码扫描仪、PDF扫描仪、加密货币钱包等为幌子,偷偷窃取用户登录凭据、双因素身份验证代码、记录击键和屏幕截图。(来自:ThreatFabric)ThreatFabric在四个月的跟踪中确定了四个独立的Android恶意软件系列。可见其使用了多种技术来规避GooglePlay应用商店的检测机制。安全研究人员指出,他们之所以能逃过GooglePlay的自动化(安全沙箱)和机器学习审查过程,是因为该平台试图限制权限。的直接后果。通常,这些恶意软件首先以良性应用程序的形式出现。因此,在早期的VirusTotal恶意软件检测过程中,它们并没有在第一时间被发现。但在用户安装后,他们就会开始诱骗用户下载安装具有“附加功能”的更新包。这时候,这些恶意应用就会通过第三方渠道获得,但此时已经骗走了用户的普遍信任。为了逃避雷达追踪,这些恶意程序还使用了其他手段。在许多情况下,只有在检查受感染设备的地理位置或通过增量更新后,才手动部署恶意内容。这种避免不必要的关注的奉献精神令人难以置信。然而,现实表明,基于自动化流程的传统恶意软件检测解决方案正变得越来越不可靠。在最近的一篇博文中,ThreatFabric详细介绍了正在调查的九种植入式恶意软件。对大多数感染负责的人被称为Anatsa家族。这个“相当先进”的安卓银行木马有很多内置功能,包括远程访问和自动汇款系统。受害者被无情地清空他们的账户,将资金转移到策划者控制的账户。从GooglePlay下载看似无害的初始安装包后,就会开始感染Anatsa恶意软件。然后,有问题的应用程序将强制用户更新以继续使用该应用程序。但现实情况是,带有私人物品的恶意内容托管在远程更新服务器上,并通过欺诈信任安装在毫无戒心的受害者设备上。为了伪装得更像,幕后黑帮甚至会雇人在GooglePlay应用商店刷好评,引诱更多无辜者上当受骗。最后,研究人员还确定了其他三个恶意软件家族(分别称为Alien、Hydra和Ermac)。其特点是植入Gymdrop恶意载荷,并使用基于受感染设备型号的过滤规则来逃避安全研究人员的搜索。
