谷歌播放惡意軟件使用手機的運動傳感器來隱藏自己

在GooglePlay市場上托管的惡意應用程序正在嘗試一個巧妙的技巧來避免檢測-它們在安裝強大的銀行木馬之前監(jiān)視受感染設備的運動傳感器輸入，以確保它不會加載到研究人員用來檢測攻擊的模擬器上。

監(jiān)控背后的想法是，傳感器在真正的最終用戶設備將記錄運動，因為人們使用它們。相比之下，安全研究人員使用的模擬器-可能還有谷歌員工篩選提交給Play的應用程序-不太可能使用傳感器。兩個GooglePlay應用程序最近發(fā)現(xiàn)，在被感染的設備上丟棄Anubis銀行惡意軟件，只有在第一次檢測到移動時才會激活有效負載。否則，特洛伊木馬仍然處于休眠狀態(tài)。

安全公司Trend Micro在兩個應用程序中發(fā)現(xiàn)了運動激活的Dropper-Battery SaverMobi，它有大約5,000次下載，以及貨幣轉(zhuǎn)換器，它有未知的下載量。一旦谷歌得知他們是惡意的，它就會刪除他們。

運動檢測并不是惡意應用程序的唯一聰明特征。一旦其中一個應用程序在設備上安裝了Anubis，Dropper就會使用Twitter和Telegram上的請求和響應來定位所需的命令和控制服務器。

“然后，它在C&；C服務器上注冊，并檢查帶有HTTP POST請求的命令，”趨勢微研究員KevinSun寫道。“如果服務器使用APK命令響應應用程序并附加下載URL，那么Anubis有效載荷將在后臺被丟棄。”然后，Dropper試圖誘使用戶使用下面所示的假系統(tǒng)更新來安裝應用程序：

一旦安裝了Anubis，它就使用了內(nèi)置的密鑰記錄器，可以竊取用戶的帳戶憑據(jù)。惡意軟件還可以通過獲取受感染用戶屏幕截圖來獲得憑據(jù)。太陽繼續(xù)說：

我們的數(shù)據(jù)顯示，最新版本的Anubis已分發(fā)到93個不同的國家，并針對377個金融應用程序的用戶，以農(nóng)場帳戶的細節(jié)。我們還可以看到，如果Anubis成功運行，攻擊者將訪問聯(lián)系人列表以及位置。它還具有錄制音頻、發(fā)送短信、打電話和改變外部存儲的能力。阿努比斯可以使用這些權(quán)限向聯(lián)系人、設備呼叫號碼和其他惡意活動發(fā)送垃圾郵件。安全公司QuickHeal Technologies先前的研究表明，Anubis的版本甚至起到了贖金的作用。

研究人員提供了以下截圖，顯示了Anubis的一些財務應用程序目標：

這份報告有兩個要點。首先是惡意Android應用程序的質(zhì)量正在提高。第二是Android用戶在下載和安裝應用程序之前應該繼續(xù)仔細考慮。據(jù)稱，這兩款現(xiàn)已被移除的應用的好處微乎其微。人們最好還是堅持使用少數(shù)來自知名開發(fā)者的應用程序。