本月第二次,Google 從官方應(yīng)用商店 Google Play 中移除了偽裝成合法程序的惡意應(yīng)用。被移除的應(yīng)用都屬于名叫 Ztorg 的 Android 惡意程序家族。目前為止,發(fā)現(xiàn)的幾十個(gè)新的Ztorg木馬的變異程序,無(wú)一例外都是利用漏洞在受感染的設(shè)備上獲得root權(quán)限。

但是卡巴斯基實(shí)驗(yàn)室的安全研究人員發(fā)現(xiàn),在2017年5月下旬以來(lái),在最新捕獲的Ztorg木馬(Magic Browser、Noise Detector)的變異程序中,卻發(fā)現(xiàn)它們并沒(méi)有使用設(shè)備的root權(quán)限。黑客利用了惡意木馬,在感染的設(shè)備中發(fā)送付費(fèi)短信(Premium Rate SMS)并立即刪除,用戶資金在不知不覺(jué)中被竊取。

什么是Premium Rate SMS?

Premium Rate SMS是一種付費(fèi)短信模式,通過(guò)發(fā)送特殊的文本信息,用戶自動(dòng)扣費(fèi)。例如通過(guò)手機(jī)短信捐款,辦理付費(fèi)業(yè)務(wù)等。最新ztorg木馬利用該模式來(lái)牟利,這項(xiàng)技術(shù)讓黑客的利益最大化,并降低了被發(fā)現(xiàn)的風(fēng)險(xiǎn)。

Ztorg為何這么難被檢測(cè)到?

多模擬器檢測(cè)功能,它可以檢測(cè)到Android SDK模擬器,如genymotion,BlueStacks, buildroid。它還檢測(cè)設(shè)備感染環(huán)境,這些檢測(cè)很難被繞過(guò)。 使用基于XOR的字符串混淆。 采用DES-CBC加密遠(yuǎn)程服務(wù)器進(jìn)行通信。 從遠(yuǎn)程服務(wù)器下載、安裝和啟動(dòng)Android應(yīng)用程序。 自去年 9 月以來(lái),Ztorg 惡意木馬大約 100 次繞過(guò) Google 的自動(dòng)化惡意程序檢查程序進(jìn)入官方應(yīng)用市場(chǎng)。被稱為 Magic Browser 的 Ztorg 惡意應(yīng)用下架前被下載量超過(guò) 5 萬(wàn)次。

 另一款叫 Noise Detector 的應(yīng)用被下載了超過(guò) 1 萬(wàn)次,上個(gè)月被移除的 Privacy Lock 下載量超過(guò)百萬(wàn)。