Google Play上的Calculadora de Moneda應用隱藏了惡意Cerberus木馬
Google因在Google Play上放太多惡意軟件而受到了很多批評,您可以說這是有充分理由的。與Apple相比,Google在允許應用在Play商店上發布方面採取了更為寬鬆的政策,惡意軟件從裂縫中漏出的頻率表明,檢查不夠嚴格。話雖這麼說,有時,黑客尤其決心將其惡意意圖保密。例如,昨天, Avast的研究人員向我們介紹了網絡犯罪分子用來掩蓋最近對西班牙用戶的攻擊的巧妙技巧。
Table of Contents
黑客在Google Play上發布了貨幣換算器
該操作開始於三月,當時Cerberus銀行木馬的運營商在Android的官方商店上發布了一個應用程序。該應用程序名為“ Calculadora de Moneda”(西班牙語為“貨幣計算器”),並且經過Google的安全檢查後,黑客絕對沒有問題。
那是因為沒有惡意。 Calculadora de Moneda的最初版本是完全良性的,甚至起到了貨幣換算器的作用。這樣做的目的是贏得用戶的信任並贏得信任。根據Avast的說法,幾天前,貨幣轉換器應用程序的下載量約為1萬次。
時間軸還不是很清楚,但是在三月到七月之間的某個時候,該操作的惡意階段開始了。黑客發布了包含幾行代碼的更新,這些代碼隨後將下載並安裝Cerberus。不過,他們並不急於觸發它。該代碼保持休眠狀態,僅在幾天前被激活。
騙子幾天前部署了Cerberus銀行木馬
惡意代碼聯繫了騙子的命令和控制服務器(C&C),並下載了APK文件,如果執行該文件,則將安裝Cerberus銀行木馬。
地獄犬是一個巨大的威脅。它可能只存在了大約一年左右的時間,但是它已經為自己贏得了名聲,並且在過去幾個月中發生的幾次攻擊表明其運營商對講西班牙語的用戶特別感興趣。
Avast的報告沒有說明它針對的是哪個銀行應用程序,但確實說明了它是通過在應用程序的登錄表單上繪製覆蓋圖並洩漏輸入的憑據來竊取密碼的。該木馬還具有讀取短信和從Google Authenticator之類的應用程序中竊取身份驗證代碼的能力,這意味著它可以繞過兩因素身份驗證。
很難說有多少人受到打擊,但是正如您所看到的,他們都處於嚴重的危險之中。攻擊已經結束,這是一件好事。
部署已停止…目前
Calculadora de Moneda應用程序於7月6日某個時候開始下載Cerberus,但僅僅幾個小時後,分發就停止了。 C&C和惡意軟件有效負載變得不活動,貨幣轉換器應用程序繼續正常運行。
騙子決定縮短競選活動可能有兩個原因。他們可能希望較小的攻擊將有助於他們逃避檢測。另外,在Avast的研究人員攔截該活動之後,他們的計劃可能已更改。我們也不應該忽視這種更大的攻擊之前進行測試的可能性。
無論如何,用戶都應該意識到風險,並且他們需要知道該怎麼做以確保自己的安全。幸運的是,在這種情況下,Android的設計可以為他們提供幫助。
第三方來源的APK文件可能很危險
Avast的研究人員將他們的發現轉發給了Google,儘管您可以在Google Play上找到一個名為“ Calculadora de Moneda”的應用,但現在應該刪除該惡意應用。必須指出的是,在這種特殊情況下,惡意軟件實際上並未上傳到Play商店中。在這次攻擊中,貨幣轉換器充當了投擲者的角色,並從黑客的C&C下載了APK負載。
根據版本的不同,Android會顯示大量警告,並會在允許APK文件在設備上運行之前詢問權限。除非您更改某些默認設置,否則Google移動操作系統的較舊版本將不允許您安裝APK文件。
這是因為儘管惡意軟件確實會不時地出現在Play商店中,但在大多數情況下,Android威脅是通過第三方網站上託管的APK文件分發的。 Android的開發人員知道運行此類文件的風險有多大,他們正在嘗試警告您。您需要做的就是聽。