Google Play上的Calculadora de Moneda应用隐藏了恶意Cerberus木马
Google因在Google Play上放太多恶意软件而受到了很多批评,您可以说这是有充分理由的。与苹果相比,谷歌在允许应用程序在Play商店中发布方面采取了更为宽松的政策,恶意软件流失的频率表明检查不够严格。话虽这么说,有时,黑客尤其决心将其恶意意图保密。例如,昨天, Avast的研究人员向我们介绍了网络犯罪分子用来掩盖最近对西班牙用户的攻击的巧妙技巧。
Table of Contents
黑客在Google Play上发布了货币换算器
该操作开始于三月,当时Cerberus银行木马的运营商在Android的官方商店上发布了一个应用程序。该应用程序名为“ Calculadora de Moneda”(西班牙语为“货币计算器”),并且经过Google的安全检查后,黑客绝对没有问题。
那是因为没有恶意。 Calculadora de Moneda的最初版本是完全良性的,甚至起到了货币换算器的作用。这样做的目的是赢得用户的信任并赢得信任。根据Avast的说法,几天前,货币转换器应用程序的下载量约为1万次。
时间线还不是很清楚,但是在三月到七月之间的某个时候,该操作的恶意阶段开始了。黑客发布了包含几行代码的更新,这些代码随后将下载并安装Cerberus。不过,他们并不急于触发它。该代码保持休眠状态,仅在几天前被激活。
骗子几天前部署了Cerberus银行木马
恶意代码联系了骗子的命令和控制服务器(C&C),并下载了APK文件,如果执行该文件,将安装Cerberus银行木马。
地狱犬是一个巨大的威胁。它可能只存在了一年左右,但它已经为自己赢得了名声,过去几个月的几次攻击表明其运营商对讲西班牙语的用户特别感兴趣。
Avast的报告没有说明它针对的是哪个银行应用程序,但确实说明了它是通过在应用程序的登录表单上绘制覆盖图并泄漏输入的凭据来窃取密码的。该木马还具有读取短信和从Google Authenticator之类的应用程序中窃取身份验证代码的能力,这意味着它可以绕过两因素身份验证。
很难说有多少人受到打击,但是正如您所看到的,他们都处于严重的危险之中。攻击已经结束,这是一件好事。
部署已停止…目前
Calculadora de Moneda应用程序于7月6日某个时候开始下载Cerberus,但仅仅几个小时后,分发就停止了。 C&C和恶意软件有效负载变得不活动,货币转换器应用程序继续正常运行。
骗子决定缩短竞选活动可能有两个原因。他们可能希望较小的攻击将有助于他们逃避检测。另外,在Avast的研究人员拦截该活动之后,他们的计划可能已更改。我们也不应该忽视这种更大的攻击之前进行测试的可能性。
无论如何,用户都应该意识到风险,并且他们需要知道该怎么做以确保自己的安全。幸运的是,在这种情况下,Android的设计可以为他们提供帮助。
第三方来源的APK文件可能很危险
Avast的研究人员将他们的发现转发给了Google,尽管您可以在Google Play上找到一个名为“ Calculadora de Moneda”的应用,但现在应该删除该恶意应用。必须指出的是,在这种特殊情况下,该恶意软件实际上并未上传到Play商店中。在这次攻击中,货币转换器充当了投掷者的角色,并从黑客的C&C下载了APK负载。
根据版本的不同,Android会显示大量警告,并会在允许APK文件在设备上运行之前询问权限。除非您更改某些默认设置,否则Google移动操作系统的较旧版本将不允许您安装APK文件。
这是因为尽管恶意软件确实会不时地出现在Play商店中,但在大多数情况下,Android威胁是通过第三方网站上托管的APK文件分发的。 Android的开发人员知道运行此类文件的风险有多大,他们正在尝试警告您。您需要做的就是听。