整理 | 鄭麗媛

出品 | CSDN（ID：CSDNnews）

各家應用商店中的惡意軟件總是層出不窮，哪怕是一向以“安全”著稱的蘋果，也不能完全杜絕 App Store 中惡意軟件的亂入。但在這之中，作為“圍墻花園”的蘋果自認還是高人一等的：

• 蘋果曾援引諾基亞 2019 年、2020 年的威脅情況報告稱，Android 平臺惡意軟件的數量是 iPhone 的 15~47 倍。
  

• 庫克在 11 月初也就此表示：“如果你想側載 App，你可以買一部 Android 手機。”
  

巧的是，仿佛是為了印證了庫克的說法，近日，據網絡安全公司 ThreatFabric 研究人員發現，Google Play 中存在一批“表面正經”實際暗藏 Android 銀行木馬的惡意軟件，總下載量超過 30 萬次。

“偽善”的外表

根據木馬類型，ThreatFabric 將這批惡意軟件分為 4 類：Anatsa、Alien、Hydra 和 Ermac。

• Anatsa
  

Anatsa 的下載量最高——超過 20 萬名 Android 用戶曾安裝隱藏 Anatsa 木馬的 App。ThreatFabric 將 Anatsa 稱為“一種相當先進的 Android 銀行木馬”，具有 RAT 和半 ATS 功能：可竊取用戶名和密碼、使用可訪問性日志記錄來捕獲用戶屏幕上顯示的所有內容、利用鍵盤記錄器記錄輸入到手機中的所有信息。

經 ThreatFabric 分析，共有 6 款惡意軟件在分發 Anatsa 木馬。為了欺騙用戶下載，它們分別偽裝成二維碼掃描儀、PDF 掃描儀和加密貨幣 App，其中光一個二維碼掃描儀下載量就高達 5 萬次，甚至為了引誘人們下載，攻擊者還雇人刷好評，該 App 下載頁面上多為正面評價 。

• Alien
  

下載量第二多的是 Alien 木馬，這同樣也是一款 Android 銀行木馬，可竊取雙因素身份驗證功能，暗藏這款木馬的 App 下載量超 9.5 萬次。

其中，名為“Gymdrop”的健身 App 就是一個成功的載體。這款 App 的設計初看十分正常，很難察覺其惡意軟件的身份。但仔細研究后便可發現，它只是一個健身房網站的模板，上面沒有任何有用的信息，甚至在頁面中還包含“Lorem Ipsum”的占位符文本。

• Hydra 和 Ermac
  

關于 Hydra 和 Ermac 這兩款木馬，ThreatFabric 認為其與 Brunhilda 有關（Brunhilda 是一個網絡犯罪組織，以使用銀行惡意軟件攻擊 Android 設備而聞名），Hydra 和 Ermac 主要是為攻擊者提供竊取銀行信息所需的設備的訪問權限。

以下為 ThreatFabric 發現暗藏以上四類 Android 銀行木馬的 12 款惡意軟件：

學會了“見機行事”

如開頭所說，每個應用商店都有其自己的應用審核流程，Google Play 自然也不例外，但為什么這些惡意軟件能夠“瞞天過海”，在短短 4 個月的時間內就肆意傳播超過 30 萬次？原因在于：攻擊者在努力減少檢測過程中 App 包含的惡意加載程序。

上文中不論是二維碼掃描儀 QR Code Scanner，還是健身 App GymDrop，在最初下載的時候是不包含木馬病毒的，并且為了避免用戶產生懷疑，通常都具備應有的功能。但在取得用戶信任后，這類 App 便會指示他們下載附加功能的更新包（通常從第三方來源下載更新），也正是這個更新包“內有乾坤”——會連接到命令和控制服務器并將木馬的有效載荷下載到設備上，為攻擊者提供竊取銀行詳細信息和其他信息的手段。

也就是說，這類惡意軟件的“惡意”是隱藏的，并沒有包含在測試環境中，只有在安裝應用后才會開始傳送惡意部分，這極大增加了 Google Play 利用自動化和機器學習技術檢測這類 App 的難度，也因此它們才能躲過審查成功混入 Google Play。

不僅如此，這些攻擊者還學會了“見機行事”：盡管惡意軟件的下載量超過 30 萬次，但并非所有用戶都會“中招”。為了讓植入 App 中的木馬更難被發現，攻擊者只會手動激活在受感染設備上安裝的木馬，通過位置檢查確保受害者僅存在于某些特定地區，使得應用商店的自動檢測更難以察覺其中的“陰謀”。

除了被動刪除，谷歌別無他法

據了解，ThreatFabric 方面已經向谷歌報告了以上所有惡意軟件，結果應該與之前的類似情況一樣：谷歌會迅速下架所有相關 App，這大概也是谷歌唯一能做的了——網絡攻擊者傳播惡意軟件的方式愈發層出不窮，而目前谷歌還沒能找到一個有效的辦法來杜絕這類 App 混入 Google Play，只能發現一個刪一個。

雖然應用商店方面暫且還無法確保其中所有 App 的安全性，但 ThreatFabric 的移動惡意軟件專家 Dario Durando 建議，用戶可以采取一些措施以避免木馬的侵入：“在授予可訪問服務權限之前，記得檢查應用更新，同時也要警惕要求安裝其他軟件的 App。”

對于這件事，網友的目光聚焦在了“側載”上：

“雖然這樣說不好，但事實就是：側載應用是啟用這些木馬程序的原因。”

“我是 iOS 用戶，幸虧 Apple 對應用商店進行了嚴格監管，所以我強烈不希望這種情況發生改變。”

參考鏈接：

https://www.threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html#tactics-used-by-threat-actors

https://arstechnica.com/information-technology/2021/11/google-play-apps-downloaded-300000-times-stole-bank-credentials/

在評論區留言你對本文的觀點

CSDN云計算將選出兩名優質留言

攜手【北京大學出版社】送出

《CKA/CKAD應試指南》一本

截至12月8日14:00點

往期推薦

云計算到底是誰發明的？

從Docker的信號機制看容器的優雅停止

低代碼發展專訪系列之三：低代碼平臺會成為企業數字化基礎設施么？

內容整理志愿者招募了！

點分享

點收藏

點點贊

點在看

總結

以上是生活随笔為你收集整理的库克“一语成谶”：又有 30 万台安卓设备被“感染”了！| 文末福利的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。