谷歌的Play商店中的Android应用程序经常成为恶意软件的目标,这些恶意软件旨在感染移动设备并窃取用户的个人信息。
然后将谷歌置于清除恶意应用程序的位置,并在下次出现此类欺诈应用程序时重复此过程。
最新的恶意软件漏洞是一个影响所有Android设备的恶意软件,它以银行应用程序为目标,试图破坏用户数据并获取金融账户的访问权限。
参见:移动设备安全:商业领袖指南(TechRepublic Premium)
Promon发现的漏洞被称为StrandHogg允许恶意程序冒充合法的,给黑客进入私人短信和照片,盗取登录凭证,跟踪用户的动作,记录通话,并监视人们通过手机的摄像头和麦克风,据Promon新闻稿发布在星期一。
Promon的安全研究员分析了利用这一漏洞的真实恶意软件,发现前500名最受欢迎的应用程序都有风险,影响了所有版本的Android,包括Android 10。根据应用情报公司42 Matters的排名,这100个应用包括了所有类别中最受欢迎和最普遍的应用
具体来说,Promon的合作伙伴和安全公司Lookout确认了36个利用该漏洞的恶意应用程序。其中包括BankBot银行木马的变种,这种木马最早出现在2017年,是目前使用最广泛的银行木马之一。
根据BBC新闻和TechRepublic的一份声明,针对Promon的发现,谷歌已经从其Play store中删除了识别出的恶意应用程序。
谷歌在声明中表示:“我们感谢研究人员的工作,并已暂停他们发现的可能有害的应用程序。”“谷歌Play Protect检测并阻止恶意应用,包括使用这项技术的应用。此外,我们正在继续调查,以提高谷歌Play Protect保护用户免受类似问题的能力。”
在一个概述页面中,Promon提供了关于StrandHogg漏洞的细节,解释了它的影响以及黑客利用它的不同方式。
正如Promon所描述的,StrandHogg允许一个伪装成合法的恶意应用程序请求某些权限,包括对SMS消息、照片、GPS和麦克风的访问。
不知情的用户会批准这些请求,认为他们是在给一个合法的应用程序授权,而不是一个欺诈和恶意的应用程序。当用户在应用程序中输入登录凭证时,该信息会立即发送给攻击者,然后攻击者可以登录并控制敏感的应用程序。
Promon的市场和传播总监Lars Lunde Birkeland说,漏洞本身在于Android的多任务系统。Birkeland表示,该漏洞利用基于一种名为“taskAffinity”的Android控制设置,该设置允许任何应用程序(包括恶意应用程序)在多任务系统中自由地使用任何身份。
据Promon介绍,Promon分析的一个特定恶意软件样本并没有出现在谷歌Play上,而是通过谷歌的移动应用商店中的dropper应用程序和恶意下载程序安装的。这些应用程序或者拥有或者假装拥有游戏、工具和其他流行应用程序的功能,但实际上安装了额外的应用程序,可以部署恶意软件或窃取用户数据。
“我们有确凿的证据证明,攻击者利用StrandHogg来窃取机密信息,”Promon的首席技术官Tom Lysemose Hansen在一份声明中说。“在规模和造成的损失方面,这一事件的潜在影响可能是前所未有的,因为大多数应用程序在默认情况下都是脆弱的,所有的Android版本都受到了影响。”
尽管谷歌删除了36个被攻击的应用程序,但Birkeland表示,就Promon所知,这个漏洞本身并没有在任何版本的Android中得到修复,包括Android 10。谷歌也试图通过谷歌Play Protect安全套件来保护它的应用程序商店,但是dropper应用程序继续出现在商店里。在被发现和删除之前,这些应用程序常常会被偷偷地下载数百万次。
“谷歌Play通常被认为是下载软件的安全港,”Birkeland说。“不幸的是,没有什么是百分百安全的,恶意软件发行商时不时会设法把他们的应用偷偷塞进谷歌Play。”
反欺诈公司OneSpan的高级产品营销经理萨姆•巴肯(Sam Bakken)也对StrandHogg等漏洞构成的威胁发表了看法。
巴肯在一份声明中说:“你可以想象,犯罪分子垂涎偷来的手机银行凭证和通过短信发送的一次性密码所蕴含的赚钱潜力。”
Promon最近的发现让这个漏洞变得和以前一样严重。四年来,消费者和应用程序开发商都面临着各种各样的欺诈行为。”此外,早在2017年,就有至少36个恶意软件攻击该漏洞,其中一些是臭名昭著的Bankbot木马的变种。这表明,攻击者意识到了这个漏洞,并积极利用它窃取银行凭证和资金。”
