网络安全研究人员指出,Android恶意软件领域出现新趋势:传统上用于投放银行木马的“投放器应用”(dropper apps),如今也开始传播短信窃取器和基础间谍软件等更简单的恶意软件。
荷兰移动安全公司ThreatFabric在上周的报告中表示,这些攻击活动通过伪装成印度等亚洲地区政府或银行应用的投放器应用进行传播。
该公司认为,这一转变源于谷歌最近在新加坡、泰国、巴西和印度等特定市场试行的安全保护措施。这些措施会阻止用户侧载(sideloading)那些请求敏感权限(如短信和无障碍服务)的可疑应用,而无障碍服务是Android设备上常被滥用以执行恶意操作的设置。
ThreatFabric解释道:“Google Play Protect的防御机制,尤其是定向试点计划,能越来越有效地在风险应用运行前将其拦截。其次,攻击者希望其操作能适应未来。”
“即便将基础有效负载封装在投放器中,攻击者也能获得一个保护壳,既能规避当前的检查,又能保持足够灵活性,以便日后更换负载和调整攻击活动。”
ThreatFabric称,尽管谷歌的策略通过甚至在用户与恶意应用交互前就阻止其安装,提高了门槛,但攻击者正在尝试新的方法来规避这些保护措施——这显示出安全领域永无休止的“打地鼠”游戏。
这包括在设计投放器时考虑谷歌的试点计划,使其不申请高风险权限,仅显示一个无害的“更新”屏幕,从而在这些地区绕过扫描。
然而,只有当用户点击“更新”按钮时,真正的有效负载才会从外部服务器获取或解包,随后便开始申请实现其目标所需的权限。
“作为另一项扫描的一部分,Play Protect可能会显示风险警报,但只要用户接受这些警报,应用就会被安装,有效负载也就成功投递。”ThreatFabric指出,“这揭示了一个关键漏洞:如果用户坚持点击安装,Play Protect仍会允许风险应用通过,恶意软件也就依然能绕过试点计划。”
RewardDropMiner就是这样一个投放器,它曾被发现在传播间谍软件负载的同时,还会分发一个可远程激活的门罗币加密货币挖矿程序。不过,该工具的最新变种已不再包含挖矿功能。
通过RewardDropMiner投递的一些恶意应用(均针对印度用户)列举如下:
- PM YOJANA 2025 (com.fluvdp.hrzmkgi)
- °RTO Challan (com.epr.fnroyex)
- SBI Online (com.qmwownic.eqmff)
- Axis Card (com.tolqppj.yqmrlytfzrxa)
其他可避免触发Play Protect或试点计划的投放器变种包括SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper和TiramisuDropper。
谷歌在回应The Hacker News的置评请求时表示,尚未在Play商店中发现任何使用这些技术分发应用的情况,并称正在持续增加新的保护措施。
一位发言人表示:“无论应用来自何处——即使是由‘投放器’应用安装——Google Play Protect都会通过自动检查威胁来帮助保护用户安全。”
“在本报告发布之前,Google Play Protect已针对这些已识别的恶意软件版本提供了保护。根据我们当前的检测,Google Play上未发现包含这些版本恶意软件的应用。我们正在不断强化保护措施,帮助用户免受恶意行为者的侵害。”
CIS构建工具包
与此同时,Bitdefender实验室警告称,一场新的恶意广告活动正在利用Facebook广告,以提供免费的Android版TradingView应用高级版本为诱饵,最终部署改进版的Brokewell银行木马,用以监控、控制受害设备并窃取敏感信息。
自2025年7月22日起,已运行不少于75条恶意广告,仅在欧洲联盟就覆盖了数万名用户。这场针对Android的攻击浪潮只是一个更大规模恶意广告操作的一部分,该操作还滥用Facebook广告,伪装成各种金融和加密货币应用来针对Windows桌面用户。
这家罗马尼亚网络安全公司表示:“这次活动展示了网络犯罪分子如何精细调整策略以适应用户行为。通过针对移动用户并将恶意软件伪装成受信任的交易工具,攻击者希望从人们对加密应用和金融平台日益增长的依赖中获利。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容