你喜欢“侧载”应用吗？
各家应用商店中的恶意软件总是层出不穷，哪怕是一向以“安全”著称的苹果，也不能完全杜绝 App Store 中恶意软件的乱入 。 但在这之中，作为“围墙花园”的苹果自认还是高人一等的：
苹果曾援引诺基亚 2019 年、2020 年的威胁情况报告称，Android 平台恶意软件的数量是 iPhone 的 15~47 倍 。
库克在 11 月初也就此表示：“如果你想侧载 App，你可以买一部 Android 手机 。 ”
巧的是，仿佛是为了印证了库克的说法，近日，据网络安全公司 ThreatFabric 研究人员发现，Google Play 中存在一批“表面正经”实际暗藏 Android 银行木马的恶意软件，总下载量超过 30 万次 。
1 “伪善”的外表根据木马类型，ThreatFabric 将这批恶意软件分为 4 类：Anatsa、Alien、Hydra 和 Ermac 。
Anatsa
Anatsa 的下载量最高——超过 20 万名 Android 用户曾安装隐藏 Anatsa 木马的 App 。 ThreatFabric 将 Anatsa 称为“一种相当先进的 Android 银行木马”，具有 RAT 和半 ATS 功能：可窃取用户名和密码、使用可访问性日志记录来捕获用户屏幕上显示的所有内容、利用键盘记录器记录输入到手机中的所有信息 。
经 ThreatFabric 分析，共有 6 款恶意软件在分发 Anatsa 木马 。 为了欺骗用户下载，它们分别伪装成二维码扫描仪、PDF 扫描仪和加密货币 App，其中光一个二维码扫描仪下载量就高达 5 万次，甚至为了引诱人们下载，攻击者还雇人刷好评，该 App 下载页面上多为正面评价 。

文章插图

Alien
下载量第二多的是 Alien 木马，这同样也是一款 Android 银行木马，可窃取双因素身份验证功能，暗藏这款木马的 App 下载量超 9.5 万次 。
其中，名为“Gymdrop”的健身 App 就是一个成功的载体 。 这款 App 的设计初看十分正常，很难察觉其恶意软件的身份 。 但仔细研究后便可发现，它只是一个健身房网站的模板，上面没有任何有用的信息，甚至在页面中还包含“Lorem Ipsum”的占位符文本 。

文章插图

Hydra 和 Ermac
关于 Hydra 和 Ermac 这两款木马，ThreatFabric 认为其与 Brunhilda 有关（Brunhilda 是一个网络犯罪组织，以使用银行恶意软件攻击 Android 设备而闻名），Hydra 和 Ermac 主要是为攻击者提供窃取银行信息所需的设备的访问权限 。
以下为 ThreatFabric 发现暗藏以上四类 Android 银行木马的 12 款恶意软件：

文章插图

2 学会了“见机行事”如开头所说，每个应用商店都有其自己的应用审核流程，Google Play 自然也不例外，但为什么这些恶意软件能够“瞒天过海”，在短短 4 个月的时间内就肆意传播超过 30 万次？原因在于：攻击者在努力减少检测过程中 App 包含的恶意加载程序 。
上文中不论是二维码扫描仪 QR Code Scanner，还是健身 App GymDrop，在最初下载的时候是不包含木马病毒的，并且为了避免用户产生怀疑，通常都具备应有的功能 。 但在取得用户信任后，这类 App 便会指示他们下载附加功能的更新包（通常从第三方来源下载更新），也正是这个更新包“内有乾坤”——会连接到命令和控制服务器并将木马的有效载荷下载到设备上，为攻击者提供窃取银行详细信息和其他信息的手段 。
也就是说，这类恶意软件的“恶意”是隐藏的，并没有包含在测试环境中，只有在安装应用后才会开始传送恶意部分，这极大增加了 Google Play 利用自动化和机器学习技术检测这类 App 的难度，也因此它们才能躲过审查成功混入 Google Play 。

• 超前点播取消了，短剧付费站起来了？
• 汽车“芯”动上海滩
• “一胖毁所有”，孩子的体重标准，一张表告诉你，看看是否超重
• 高端卡萨帝“折”在闲鱼
• 小米真的“重回低谷”了吗？
• 民航局局长冯正霖：助力湖北打造航空客货运门户“双枢纽”
• 黑心施工队常用的8大“忽悠谎言”，就对小白下手，别被套路了
• 最前线 ｜ 腾讯PCG继续大调整：殷宇调任CSIG智慧教育行业负责人，郄小虎接手PCG“信服线”业务
• 被剧本杀“复活”的快女冠军
• 刘畅畅的线还能画下去吗？