新闻快讯
< >

Google Play现新型恶意软件利用Android可访问性服务进行木马分发

Google Play现新型恶意软件利用Android可访问性服务进行木马分发-E安全

近日,研究人员在Google Play发现了一款恶意app以独特的方式利用了Android可访问性服务(Accessibility Services),目的是推送Android恶意软件。

Zscaler和Securify的专家在Google Play发现了一款名为“Earn Real Money Gift Cards”的app并对其进行了分析。该app隐藏了一个Android银行木马BankBot的变种,BankBot的源代码在2016年底就已经在网上公开。

该app的开发人员还在Google Play上传了另一款app,这是一款游戏app,名为“Bubble Shooter Wild Life”。研究证实,该游戏app确实可以正常运行,但它同时也包含了下载恶意软件的功能。

这款app似乎还在开发中,它的代码被其开发人员使用了Allatori Obfuscator保护。经过分析表明它首先会请求一些看似无关紧要的权限,然后在开始执行恶意程序之前会等待20分钟,这就有可能绕过Google的Bouncer安全系统。

然后,该app会通过在手机屏幕上显示虚假的Google服务警报来欺骗受害者给予其可访问权限。而受害者只会认为他们正在启用“Google服务”,但实际上确是Android可访问性服务在被启用。

完成此步骤后,受害者手机屏幕会显示一个虚假的Google服务更新窗口,并在后台安装来自设备存储卡内的apk安装包,在后台进行的程序还启用了允许安装来自未知来源应用程序的选项。不需要受害者执行任何其他操作,可访问权限就已经被授予,因为这些操作都会在后台运行的程序自动执行。

Zscaler和Securify的研究人员认为,利用Android可访问性服务是这种恶意软件的独特之处。

Securify的研究人员表示,这款APP在暗网黑市上销售给网络犯罪分子。他们通常会试图向目标设备植入Android银行木马,如Exo、Mazar和BankBot。

Google已经证实了该恶意app的存在,而该app在Google Play存在的两天内,就被下载5000次。

利用Android可访问性服务的恶意软件并不罕见,但网络犯罪分子仍在寻找新的方法来利用此功能。通过移动安全初创公司Skycure在去年得到的一项研究结果显示,绝大多数Android设备都容易受到这种攻击,这些攻击可以通过点击劫持来诱导用户启用Android可访问性服务。

相关阅读:

最新的Android 8.0安全性提高, Google Play下架超500款间谍与恶意应用
Google Play中发现可绕过审查的高危木马Viking Horde
Google Play中的伪安全软件app被下载百万余次
《 全球恶意软件威胁影响指数 》报告: 2017年7 月全球十大最受 “ 欢迎 ” 恶意软件
恶意软件的完美掩护:Docker容器
恶意软件领域再现两套新平台——专为“准黑客”提供网络犯罪即服务
报告:勒索软件占比不足1%,Mac恶意软件数量增加370%

文章来源:黑客视界 原文地址:https://www.hackeye.net/threatintelligence/8371.aspx 原文标题: Google Play现新型恶意软件利用Android可访问性服务进行木马分发