Google Play防御機(jī)制失效！30 萬用戶不幸下載金融木馬 App

雖然 Google Play 商店三不五時(shí)就會(huì)出現(xiàn)惡意 App 不是新聞，但每隔一陣子更新最新 Google Play 惡意 App 相關(guān)訊息，還是 Android 族群最重要的例行工作。據(jù)報(bào)導(dǎo)，Google Play 又再度發(fā)現(xiàn)惡意 App，這些內(nèi)嵌金融木馬程式的惡意 App 成功突破 Google 許可權(quán)限制機(jī)制的偵測(cè)防線，下載次數(shù)超過 30 萬。使用者一旦下載，將面臨密碼及雙因素認(rèn)證碼被竊，屏幕畫面與鍵盤被記憶與記錄的可能風(fēng)險(xiǎn)。

Google 為了扼止層出不窮詐騙 App 意圖在自家 Play 商店大搞掛羊頭賣狗肉的勾當(dāng)，祭出一連串安全限制之舉，包括針對(duì)視障使用者存取服務(wù)的安全限制措施，以防止惡意 App 能不經(jīng)使用者同意就自動(dòng)安裝的風(fēng)險(xiǎn)。

App 安裝后才露出真面目，要求使用者更新并趁機(jī)植入木馬

這次發(fā)現(xiàn)的金融木馬 App 成功繞過 Google Play 防御機(jī)制，直到使用者下載后才露出惡意攻擊的真面目，全拜一連串花招所賜。下載前會(huì)假扮成 PDF / QR 碼掃描器及加密貨幣錢包等十分常見的熱門 App，骨子里卻是不折不扣的植入程式（Dropper），騙過 Google 后成功以正常合法 App 之姿上架。

總之，使用者下載至 Android 手機(jī)前，這些 App 會(huì)極力壓抑植入程式的本性，并表現(xiàn)得和正常無害 App 沒什么不同，使用者即使透過 VirusTotal 之類掃毒服務(wù)或軟體掃描，也會(huì)得到完全沒有病毒的結(jié)果。

但惡意花招就在 App 安裝后不久上演，使用者會(huì)收到要求下載更新以安裝新功能的訊息，一旦更新，惡意軟體會(huì)悄悄植入使用者手機(jī)系統(tǒng)。這些 App 主要使用 4 種家族的 Android 惡意軟體，網(wǎng)路散播已有 4 個(gè)月。感染數(shù)量最大的是 Anatsa 惡意軟體系列，是惡名昭彰的先進(jìn) Android 金融木馬，具遠(yuǎn)端存取與自動(dòng)轉(zhuǎn)帳能力，能自動(dòng)清空受害者帳號(hào)，并將內(nèi)容發(fā)送給惡意攻擊者帳號(hào)。

App 本身所占空間太小，運(yùn)用各種花招讓 Google Play 防御機(jī)制破功

行動(dòng)安全公司 ThreatFabric 研究人員在許多案例發(fā)現(xiàn)，這些 App 會(huì)運(yùn)用其他機(jī)制規(guī)避安全偵測(cè)，例如惡意攻擊者只會(huì)在檢查受感染手機(jī)的地理位置，抑或執(zhí)行一連串無害增量更新作業(yè)后，才會(huì)手動(dòng)安裝惡意更新，這讓安全機(jī)制更難發(fā)揮作用。

研究人員并指出，并非所有內(nèi)嵌植入程序的app都會(huì)被植入 Anatsa 木馬，因?yàn)閻阂夤粽咧粫?huì)對(duì)感興趣的領(lǐng)域及目標(biāo)發(fā)動(dòng)攻擊。除了 Anatsa 木馬，研究人員發(fā)現(xiàn)其他惡意軟件系統(tǒng)還有 Alien、Hydra 及 Ermac。植入程式之一會(huì)下載并安裝 Gymdrop 惡意封包負(fù)載，會(huì)使用基于受害裝置機(jī)型的過濾規(guī)則，以避免遭研究人員裝置鎖定。

據(jù) ThreatFabric 官網(wǎng)文章指出，專門散布 Alien 金融木馬的植入程式，不會(huì)請(qǐng)求可存取服務(wù)權(quán)限，他們想要的是安裝特定套件許可權(quán)，會(huì)透過安裝新健身訓(xùn)練 App 的承諾，引誘使用者授予安裝套件許可權(quán)。

除了前述的各種規(guī)避手法，惡意 App 能成功規(guī)避 Google Play 安全防御制的另一個(gè)關(guān)鍵要素，就是這些植入程式 App 所占空間小到難以第一時(shí)間偵測(cè)到。面對(duì)如此難搞的惡意 App，必須培養(yǎng)謹(jǐn)慎觀念，不要快速安裝來路不明的新 App，等到市場(chǎng)有正面評(píng)價(jià)后才安裝，才能更有效的避免經(jīng)濟(jì)損失。