本月第二次,Google 從官方應(yīng)用商店 Google Play 中移除了偽裝成合法程序的惡意應(yīng)用。被移除的應(yīng)用都屬于名叫 Ztorg 的 Android 惡意程序家族。目前為止,發(fā)現(xiàn)的幾十個新的Ztorg木馬的變異程序,無一例外都是利用漏洞在受感染的設(shè)備上獲得root權(quán)限。
但是卡巴斯基實驗室的安全研究人員發(fā)現(xiàn),在2017年5月下旬以來,在最新捕獲的Ztorg木馬(Magic Browser、Noise Detector)的變異程序中,卻發(fā)現(xiàn)它們并沒有使用設(shè)備的root權(quán)限。黑客利用了惡意木馬,在感染的設(shè)備中發(fā)送付費短信(Premium Rate SMS)并立即刪除,用戶資金在不知不覺中被竊取。
什么是Premium Rate SMS?
Premium Rate SMS是一種付費短信模式,通過發(fā)送特殊的文本信息,用戶自動扣費。例如通過手機短信捐款,辦理付費業(yè)務(wù)等。最新ztorg木馬利用該模式來牟利,這項技術(shù)讓黑客的利益最大化,并降低了被發(fā)現(xiàn)的風(fēng)險。
Ztorg為何這么難被檢測到?
多模擬器檢測功能,它可以檢測到Android SDK模擬器,如genymotion,BlueStacks, buildroid。它還檢測設(shè)備感染環(huán)境,這些檢測很難被繞過。 使用基于XOR的字符串混淆。 采用DES-CBC加密遠程服務(wù)器進行通信。 從遠程服務(wù)器下載、安裝和啟動Android應(yīng)用程序。 自去年 9 月以來,Ztorg 惡意木馬大約 100 次繞過 Google 的自動化惡意程序檢查程序進入官方應(yīng)用市場。被稱為 Magic Browser 的 Ztorg 惡意應(yīng)用下架前被下載量超過 5 萬次。
另一款叫 Noise Detector 的應(yīng)用被下載了超過 1 萬次,上個月被移除的 Privacy Lock 下載量超過百萬。