各家應用商店中的惡意軟件總是層出不窮，哪怕是一向以“安全”著稱的蘋果，也不能完全杜絕 App Store 中惡意軟件的亂入。但在這之中，作為“圍墻花園”的蘋果自認還是高人一等的：

蘋果曾援引諾基亞 2019 年、2020 年的威脅情況報告稱，Android 平臺惡意軟件的數(shù)量是 iPhone 的 15~47 倍。

庫克在 11 月初也就此表示：“如果你想側(cè)載 App，你可以買一部 Android 手機。”

巧的是，仿佛是為了印證了庫克的說法，近日，據(jù)網(wǎng)絡安全公司 ThreatFabric 研究人員發(fā)現(xiàn)，Google Play 中存在一批“表面正經(jīng)”實際暗藏 Android 銀行木馬的惡意軟件，總下載量超過 30 萬次。

1 “偽善”的外表

根據(jù)木馬類型，ThreatFabric 將這批惡意軟件分為 4 類：Anatsa、Alien、Hydra 和 Ermac。

Anatsa

Anatsa 的下載量最高——超過 20 萬名 Android 用戶曾安裝隱藏 Anatsa 木馬的 App。ThreatFabric 將 Anatsa 稱為“一種相當先進的 Android 銀行木馬”，具有 RAT 和半 ATS 功能：可竊取用戶名和密碼、使用可訪問性日志記錄來捕獲用戶屏幕上顯示的所有內(nèi)容、利用鍵盤記錄器記錄輸入到手機中的所有信息。

經(jīng) ThreatFabric 分析，共有 6 款惡意軟件在分發(fā) Anatsa 木馬。為了欺騙用戶下載，它們分別偽裝成二維碼掃描儀、PDF 掃描儀和加密貨幣 App，其中光一個二維碼掃描儀下載量就高達 5 萬次，甚至為了引誘人們下載，攻擊者還雇人刷好評，該 App 下載頁面上多為正面評價 。

Alien

下載量第二多的是 Alien 木馬，這同樣也是一款 Android 銀行木馬，可竊取雙因素身份驗證功能，暗藏這款木馬的 App 下載量超 9.5 萬次。

其中，名為“Gymdrop”的健身 App 就是一個成功的載體。這款 App 的設計初看十分正常，很難察覺其惡意軟件的身份。但仔細研究后便可發(fā)現(xiàn)，它只是一個健身房網(wǎng)站的模板，上面沒有任何有用的信息，甚至在頁面中還包含“Lorem Ipsum”的占位符文本。

Hydra 和 Ermac

關于 Hydra 和 Ermac 這兩款木馬，ThreatFabric 認為其與 Brunhilda 有關（Brunhilda 是一個網(wǎng)絡犯罪組織，以使用銀行惡意軟件攻擊 Android 設備而聞名），Hydra 和 Ermac 主要是為攻擊者提供竊取銀行信息所需的設備的訪問權限。

以下為 ThreatFabric 發(fā)現(xiàn)暗藏以上四類 Android 銀行木馬的 12 款惡意軟件：

2 學會了“見機行事”

如開頭所說，每個應用商店都有其自己的應用審核流程，Google Play 自然也不例外，但為什么這些惡意軟件能夠“瞞天過海”，在短短 4 個月的時間內(nèi)就肆意傳播超過 30 萬次？原因在于：攻擊者在努力減少檢測過程中 App 包含的惡意加載程序。

上文中不論是二維碼掃描儀 QR Code Scanner，還是健身 App GymDrop，在最初下載的時候是不包含木馬病毒的，并且為了避免用戶產(chǎn)生懷疑，通常都具備應有的功能。但在取得用戶信任后，這類 App 便會指示他們下載附加功能的更新包（通常從第三方來源下載更新），也正是這個更新包“內(nèi)有乾坤”——會連接到命令和控制服務器并將木馬的有效載荷下載到設備上，為攻擊者提供竊取銀行詳細信息和其他信息的手段。

也就是說，這類惡意軟件的“惡意”是隱藏的，并沒有包含在測試環(huán)境中，只有在安裝應用后才會開始傳送惡意部分，這極大增加了 Google Play 利用自動化和機器學習技術檢測這類 App 的難度，也因此它們才能躲過審查成功混入 Google Play。

不僅如此，這些攻擊者還學會了“見機行事”：盡管惡意軟件的下載量超過 30 萬次，但并非所有用戶都會“中招”。為了讓植入 App 中的木馬更難被發(fā)現(xiàn)，攻擊者只會手動激活在受感染設備上安裝的木馬，通過位置檢查確保受害者僅存在于某些特定地區(qū)，使得應用商店的自動檢測更難以察覺其中的“陰謀”。

3 除了被動刪除，谷歌別無他法

據(jù)了解，ThreatFabric 方面已經(jīng)向谷歌報告了以上所有惡意軟件，結果應該與之前的類似情況一樣：谷歌會迅速下架所有相關 App，這大概也是谷歌唯一能做的了——網(wǎng)絡攻擊者傳播惡意軟件的方式愈發(fā)層出不窮，而目前谷歌還沒能找到一個有效的辦法來杜絕這類 App 混入 Google Play，只能發(fā)現(xiàn)一個刪一個。

雖然應用商店方面暫且還無法確保其中所有 App 的安全性，但 ThreatFabric 的移動惡意軟件專家 Dario Durando 建議，用戶可以采取一些措施以避免木馬的侵入：“在授予可訪問服務權限之前，記得檢查應用更新，同時也要警惕要求安裝其他軟件的 App?！?/p>

對于這件事，網(wǎng)友的目光聚焦在了“側(cè)載”上：

“雖然這樣說不好，但事實就是：側(cè)載應用是啟用這些木馬程序的原因?！?/p>

“我是 iOS 用戶，幸虧 Apple 對應用商店進行了嚴格監(jiān)管，所以我強烈不希望這種情況發(fā)生改變?！?/p>

參考鏈接：

https://www.threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html#tactics-used-by-threat-actors

https://arstechnica.com/information-technology/2021/11/google-play-apps-downloaded-300000-times-stole-bank-credentials/

本文來自微信公眾號“CSDN”（ID:CSDNnews），整理：鄭麗媛，36氪經(jīng)授權發(fā)布。