导语:近日,ESET的安全系统检测到一个新的multi-stage安卓恶意软件家族(Android/TrojanDropper.Agent.BKY),这些恶意软件看起来一点不像恶意软件,也没有什么恶意活动。
近日,ESET的安全系统检测到一个新的multi-stage安卓恶意软件家族(Android/TrojanDropper.Agent.BKY),这些恶意软件看起来一点不像恶意软件,也没有什么恶意活动。安全系统在Google Play中发现了该恶意软件家族的8款恶意应用,并通报给了Google的安全团队。Google从应用商店中下架了这8款恶意应用。
Figure 1 Google Play中发现的6款multi-stage下载器
这些有问题的应用的下载量都只有几百,但是这些应用的高级反检测特征还是很有意思的。
反检测特征
这些恶意软件样本都使用了multi-stage架构和加密来防止被检测到。在下载和安装后,这些应用都不请求任何可疑的permission。恶意应用会解密和执行first-stage payload。First-stage payload会加密和执行second-stage payload,而该payload保存在Google Play的应用中。这些步骤对用户是可见的,而且以一种混乱的方式服务。
Figure 2 Android/TrojanDropper.Agent.BKY执行模式
Second-stage payload含有一个硬编码的URL,这个URL可以在无需用户同意的情况下下载另外一个恶意应用,即third-stage payload。经过预先设定好的5分钟时延之后,用户会收到提示安装下载应用的提示。
根据second-stage payload下载的应用伪装成Adobe Flash Player或者Android Update。应用的目的是获取最后一步的payload,并获取所有进行恶意行为的权限。
Figure 3 – 第三阶段的安全请求
安装并得到要求的权限后,作为third-stage payload的恶意应用会解密和执行fourth-stage和final payload。
在所有调查的案例中,final payload是一个手机银行木马。一旦安装后,该银行木马的行为就是典型的恶意应用,会向用户展示假的登录表单来窃取用户的证书或者信用卡细节。
其中一个恶意应用使用bit.ly URL shortener来下载final payload。因此,文明可以获取下载统计量,截止11月14日,该链接被点击了超过3000次,其中主要是来自荷兰的用户。
Figure 4 恶意应用的下载量统计
如何清除
如果用户下载了任意一款恶意应用,需要进行以下操作:
1. 取消安装的payload的admin权限。
2. 卸载偷偷安装的payload;
3. 下载从其他应用商店下载的应用。
如何保护
与普通的安卓恶意软件相比,multi-stage下载器的混淆特征利用让其进入官方应用商店。用户不应该只依赖于应用商店的保护,还应该检查应用的评分和评价,注意应用请求的权限,在手机上安装xx手机安全卫士等工具。