回归最本质的信息安全

;

仔细检查,也许这款安卓恶意软件就在你手机上!

2017年12月13日发布

35,518
0
0

导语:我们发现了一个新的Android木马,它使用多种技术将自己隐藏在设备上,并留存在Google Play商店中。这款恶意软件可以收集设备信息,并在设备上显示广告。然而,这款应用的功能和活动很容易被扩展,以达到其他多种恶意目的。

我们发现了一个新的Android木马,它使用多种技术将自己隐藏在设备上,并留存在Google Play商店中。这款恶意软件可以收集设备信息,并在设备上显示广告。然而,这款应用的功能和活动很容易被扩展,以达到其他多种恶意目的。

这款恶意软件(Android.Doublehidden)用波斯语命名。英文名为“Photograph by Fiery”,包名称为com.aseee.apptec.treeapp。该恶意应用在Google Play上的可用性模式表明,该恶意软件的作者一直试图使其保持隐藏性。2017年10月和11月,这款应用已经更新了5次,在一个合法的照片编辑应用和自身隐藏的恶意软件之间进行切换。据我们所知,该应用的开发者“i.r.r developer”还发布了其他一些合法的应用。

图片1.png

图1所示,Google Play的Norton Mobile安全应用顾问禁止了 Android.DoubleHidden

这款应用将自己伪装成一款照片编辑应用,来欺骗用户,并在安装过程中隐藏自己。在启动时,该应用会向用户询问设备管理员权限——这是一种被恶意软件广泛使用的方法,通过获得管理员权限,可以在设备上获得一个强大的立足点。随后,用户界面(UI)屏幕上,该应用会弹出一条信息,大致意思是:“很不幸,本应用在该手机上不能使用。退出后,应用程序将被删除。”

尽管这款应用已经关闭,但其恶意功能已经设置好了。

这款应用使用下面的技术隐藏在设备上:

· 开始图标被设置为一个没有应用名称的透明图像。安装之后,应用图标会出现在主屏幕上的空白区域。在设置中,无论它在哪里出现,该应用程序都将显示为一个空白条目。

应用程序调用setComponentEnableSetting()。一旦启用了该应用,它就会从应用开始中消失(即它的图标不再出现在主屏幕上)。

图片2.png

图2 一旦恶意软件被启动,主屏幕上的空白应用图标就会消失

该应用利用其在受害者设备上的位置来收集数据和获取广告收入。该应用程序收集用户信息,发送给恶意软件作者。这款恶意软件利用Google Cloud Messaging(云消息)推送配置信息,包括何时收集数据以及往哪里发送信息。

该恶意软件可以收集以下信息:

· 设备信息,如国际移动设备标识(IMEI)号、Mac地址、设备模型、设备品牌、设备屏幕

· 已安装的应用程序,以及安装和卸载应用程序的时间

· 恶意软件的活动/UI时间

· 网络连接(漫游/wi-fi连接/载波连接时的吞吐量)

· 设备的位置

· 帐户服务中登陆过的所有帐户

· 在前台运行的应用程序

图片3.png

恶意软件还会请求并在设备上显示广告,包括使用OneSignal通知网络推荐安装其他应用程序。

如果用户给恶意应用程序设置了设备管理员权限,就会更难删除该恶意软件,因为用户必须在该恶意应用程序设置中禁用“设备管理员”(但是,这款恶意软件的该条目是一个空白行),以便真正的卸载它。

图片4.png

图3  空白Android.DoubleHidden条目的设置屏幕

Symantec和Norton产品检测到了这个恶意软件:

Android.Doublehidden

通过采取下面这些预防措施,可以帮助远离移动恶意软件。

保持软件及时更新
不要从不熟悉的网站下载应用
只从可信来源安装应用程序
密切注意应用程序所要求的权限
安装一个合适的移动安全应用,来保护设备和数据,比如Norton。
对重要数据进行频繁备份
本文翻译自:https://www.symantec.com/blogs/threat-intelligence/doublehidden-android-malware-google-play,如若转载,请注明原文地址: http://www.4hou.com/info/news/9187.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

这个人很懒,什么也没留下

发私信

发表评论