回归最本质的信息安全

;

给大家介绍一下,这是没有恶意的恶意软件

2017年11月17日发布

42,734
0
5

导语:近日,ESET的安全系统检测到一个新的multi-stage安卓恶意软件家族(Android/TrojanDropper.Agent.BKY),这些恶意软件看起来一点不像恶意软件,也没有什么恶意活动。

multi-share_google-623x432.jpg

近日,ESET的安全系统检测到一个新的multi-stage安卓恶意软件家族(Android/TrojanDropper.Agent.BKY),这些恶意软件看起来一点不像恶意软件,也没有什么恶意活动。安全系统在Google Play中发现了该恶意软件家族的8款恶意应用,并通报给了Google的安全团队。Google从应用商店中下架了这8款恶意应用。

Figure 1 Google Play中发现的6款multi-stage下载器

这些有问题的应用的下载量都只有几百,但是这些应用的高级反检测特征还是很有意思的。

反检测特征

这些恶意软件样本都使用了multi-stage架构和加密来防止被检测到。在下载和安装后,这些应用都不请求任何可疑的permission。恶意应用会解密和执行first-stage payload。First-stage payload会加密和执行second-stage payload,而该payload保存在Google Play的应用中。这些步骤对用户是可见的,而且以一种混乱的方式服务。

Figure 2 Android/TrojanDropper.Agent.BKY执行模式

Second-stage payload含有一个硬编码的URL,这个URL可以在无需用户同意的情况下下载另外一个恶意应用,即third-stage payload。经过预先设定好的5分钟时延之后,用户会收到提示安装下载应用的提示。

根据second-stage payload下载的应用伪装成Adobe Flash Player或者Android Update。应用的目的是获取最后一步的payload,并获取所有进行恶意行为的权限。

Figure 3 – 第三阶段的安全请求

安装并得到要求的权限后,作为third-stage payload的恶意应用会解密和执行fourth-stage和final payload。

在所有调查的案例中,final payload是一个手机银行木马。一旦安装后,该银行木马的行为就是典型的恶意应用,会向用户展示假的登录表单来窃取用户的证书或者信用卡细节。

其中一个恶意应用使用bit.ly URL shortener来下载final payload。因此,文明可以获取下载统计量,截止11月14日,该链接被点击了超过3000次,其中主要是来自荷兰的用户。

Figure 4 恶意应用的下载量统计

如何清除

如果用户下载了任意一款恶意应用,需要进行以下操作:

1. 取消安装的payload的admin权限。

2. 卸载偷偷安装的payload;

3. 下载从其他应用商店下载的应用。

如何保护

与普通的安卓恶意软件相比,multi-stage下载器的混淆特征利用让其进入官方应用商店。用户不应该只依赖于应用商店的保护,还应该检查应用的评分和评价,注意应用请求的权限,在手机上安装xx手机安全卫士等工具。

0.png

00.png

本文翻译自: https://www.welivesecurity.com/2017/11/15/multi-stage-malware-sneaks-google-play/,如若转载,请注明原文地址: http://www.4hou.com/info/news/8515.html

点赞 5
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

ang010ela

这个人很懒,什么也没留下

发私信

发表评论