[[190088]]

據(jù)ESET(總部位于斯洛伐克布拉迪斯拉發(fā)的一家世界知名的電腦安全軟件公司，創(chuàng)立于1992年)4月19日官方報(bào)道，一個(gè)具有自動(dòng)鎖屏功能的銀行惡意軟件近期偽裝成Google Play上的手電筒應(yīng)用，廣大安卓用戶成為了它的狩獵目標(biāo)乃至囊中之物。與其它靜態(tài)式的銀行業(yè)務(wù)木馬不同，該木馬能夠動(dòng)態(tài)地調(diào)整自身功能。

除了用來作掩護(hù)的手電筒功能之外，這種利用遠(yuǎn)程控制的木馬還具有很多附加功能，最終目的就是竊取用戶的銀行賬戶信息。該木馬可以通過C&C服務(wù)器命令模擬真實(shí)應(yīng)用的界面，鎖住受感染設(shè)備，避免受害者發(fā)現(xiàn)惡意活動(dòng)，攔截短信并顯示偽造的通知，最終達(dá)到繞過雙因素身份驗(yàn)證的目的。

這種惡意軟件能夠感染安卓系統(tǒng)的所有版本。而且由于功能動(dòng)態(tài)變化的特點(diǎn)，它不會(huì)受限于應(yīng)用程序的類型——只需獲得安裝在受害設(shè)備上應(yīng)用程序的HTML代碼，在啟動(dòng)該應(yīng)用后用HTML代碼偽造的虛假屏幕覆蓋掉就可以了。

ESET公司檢測到的Trojan.Android/Charger.B的特洛伊木馬于3月30日被背后的操縱者上傳至Google Play，截至ESET4月10日發(fā)布正式通知前，大約已經(jīng)有5000多名不知情的用戶下載安裝了該木馬病毒。

Google Play上的木馬程

它是如何運(yùn)作的?

一旦安裝并啟動(dòng)了這個(gè)木馬程序，它就會(huì)請(qǐng)求獲得受害設(shè)備的管理員權(quán)限。使用安卓6.0或更高版本的用戶還需手動(dòng)設(shè)置使用權(quán)限并開啟“draw over other apps(允許在其他應(yīng)用的上層顯示)”的功能。獲得權(quán)限與許可后，該程序就會(huì)自動(dòng)隱藏圖標(biāo)，以插件的形式在設(shè)備上顯示。

實(shí)際的有效負(fù)載已經(jīng)在Google Play的APK文件資源中加密，這種處理方式能夠避免其惡意功能被發(fā)現(xiàn)。當(dāng)受害者運(yùn)行該應(yīng)用時(shí)，有效載荷也會(huì)自動(dòng)解密并執(zhí)行攻擊任務(wù)。

木馬首先會(huì)將受感染的設(shè)備注冊(cè)到攻擊者的服務(wù)器上。除了發(fā)送設(shè)備信息和設(shè)備上所安裝的應(yīng)用程序信息之外，它還能獲取設(shè)備前置攝像頭所拍攝的照片。

如果信息顯示這臺(tái)設(shè)備位于俄羅斯、烏克蘭或白俄羅斯，C&C服務(wù)器就會(huì)自動(dòng)停止攻擊活動(dòng)，唯一的可能性就是該惡意程序的所有者希望避免來自本國攻擊者的控訴。

根據(jù)受感染設(shè)備上安裝的應(yīng)用程序列表，C&C以惡意HTML代碼的形式發(fā)送相應(yīng)的虛假活動(dòng)。受害者只要啟動(dòng)其中一個(gè)目標(biāo)應(yīng)用程序，HTML就會(huì)在WebView中顯示。緊接著，真實(shí)應(yīng)用的界面就被偽造的界面所覆蓋，該界面要求用戶輸入信用卡信息或銀行應(yīng)用的登錄憑據(jù)等。

那么哪些應(yīng)用容易被這種木馬盯上?這個(gè)問題也許是無解的。因?yàn)椴煌O(shè)備所安裝的應(yīng)用不同，竊取的HTML代碼也不同。據(jù)調(diào)查，已經(jīng)發(fā)現(xiàn)存在虛假界面的應(yīng)用程序有以下這些：Commbank、NAB、Westpac手機(jī)銀行、Facebook、WhatsApp、Instagram和Google Play。

偽造界面上的登錄憑據(jù)都會(huì)以不加密的方式發(fā)送到攻擊者的C&C服務(wù)器上。

至于設(shè)備被鎖住的問題，ESET猜測這項(xiàng)功能會(huì)在攻擊者從受害銀行賬戶提現(xiàn)時(shí)自動(dòng)啟用。攻擊者通過一個(gè)虛假的外觀更新界面來隱藏自己的欺詐活動(dòng)，以免受害者發(fā)現(xiàn)惡意活動(dòng)、加以干預(yù)。

在受感染在被感染設(shè)備上找到的模仿真實(shí)應(yīng)用的釣魚界面

[[190089]]

用于鎖定受感染設(shè)備的虛假系統(tǒng)界面

該木馬濫用Firebase Cloud Messages(FCM)與C&C服務(wù)器進(jìn)行通信，這是我們第一次發(fā)現(xiàn)安卓惡意軟件使用了這種通信渠道。

研究顯示，該應(yīng)用是Android/Charger的改良版，由Check Point研究人員于2017年1月首次發(fā)現(xiàn)。第一個(gè)版本主要通過鎖住設(shè)備并進(jìn)行勒索的方式對(duì)受害者進(jìn)行直接敲詐，但是現(xiàn)在Charger背后的惡意黑客改用釣魚的方式，目標(biāo)直接鎖定受害者的銀行信息——這種演變?cè)诎沧繍阂廛浖易逯惺稚僖姟?/p>

Android/Charger.B使用的是虛假的登錄界面與設(shè)備鎖定功能，這與我們二月份發(fā)現(xiàn)并分析的銀行業(yè)務(wù)惡意軟件存在一定相似之處。但為什么說這次發(fā)現(xiàn)的木馬更加危險(xiǎn)呢?因?yàn)榕c一般惡意軟件中的硬編碼不同，它的攻擊目標(biāo)是動(dòng)態(tài)變化、毫無限制的!

你的設(shè)備是否受到了感染?如何清除?

如果你剛好最近從Google Play下載了手電筒應(yīng)用，那么你就需要檢查下是否無意中碰到過這種木馬程序。

惡意應(yīng)用可以在設(shè)置>應(yīng)用程序管理/應(yīng)用>手電筒插件中找到。

應(yīng)用程序管理器中的惡意軟件

找到這個(gè)惡意程序很簡單，但是要想卸載它就比較頭疼了。該木馬通過禁止用戶關(guān)閉活動(dòng)的設(shè)備管理器(卸載app的必要步驟)的方式防止受害者卸載。如果我們選擇停用選項(xiàng)，屏幕會(huì)彈出一個(gè)只能點(diǎn)擊“激活”選項(xiàng)的彈框——惡意程序慣用的流氓手段。

遇到這樣的情況時(shí)，首先可以將設(shè)備調(diào)至安全模式，再參照下面的視頻完成卸載。

https://v.qq.com/x/page/m0397bnnr1e.html

如何預(yù)防?

避免惡意軟件帶來傷害的關(guān)鍵說到底還是預(yù)防。

下載應(yīng)用時(shí)我們應(yīng)盡可能地選擇官方應(yīng)用商店。盡管Google Play也存在漏網(wǎng)之魚，但它的確采取了高級(jí)的安全防御機(jī)制來抵制惡意軟件，而很多不規(guī)范的應(yīng)用商店都做不到這一點(diǎn)。

如果你對(duì)想要安裝的應(yīng)用程序不放心，可以通過查看該應(yīng)用的安裝次數(shù)、評(píng)分和評(píng)論內(nèi)容再作決定。

安裝并運(yùn)行某個(gè)應(yīng)用后，一定要注意它所請(qǐng)求獲得的設(shè)備權(quán)限。如果它要求的權(quán)限超過了功能所需(如手電筒應(yīng)用卻要求獲得設(shè)備管理員的權(quán)限)，那么這時(shí)候你就需要慎重考慮了。

當(dāng)然最后一點(diǎn)，我們也可以選擇一家值得信賴的安全服務(wù)供應(yīng)商來保護(hù)我們的設(shè)備，避免最新的威脅造成不可估量的損失!

已分析樣本

• 數(shù)據(jù)包名稱：com.flashscary.widget
• 哈希值：CA04233F2D896A59B718E19B13E3510017420A6D
• 檢測結(jié)果：Android/Charger.B