导语:我们发现了一个新的Android木马,它使用多种技术将自己隐藏在设备上,并留存在Google Play商店中。这款恶意软件可以收集设备信息,并在设备上显示广告。然而,这款应用的功能和活动很容易被扩展,以达到其他多种恶意目的。
我们发现了一个新的Android木马,它使用多种技术将自己隐藏在设备上,并留存在Google Play商店中。这款恶意软件可以收集设备信息,并在设备上显示广告。然而,这款应用的功能和活动很容易被扩展,以达到其他多种恶意目的。
这款恶意软件(Android.Doublehidden)用波斯语命名。英文名为“Photograph by Fiery”,包名称为com.aseee.apptec.treeapp。该恶意应用在Google Play上的可用性模式表明,该恶意软件的作者一直试图使其保持隐藏性。2017年10月和11月,这款应用已经更新了5次,在一个合法的照片编辑应用和自身隐藏的恶意软件之间进行切换。据我们所知,该应用的开发者“i.r.r developer”还发布了其他一些合法的应用。
图1所示,Google Play的Norton Mobile安全应用顾问禁止了 Android.DoubleHidden
这款应用将自己伪装成一款照片编辑应用,来欺骗用户,并在安装过程中隐藏自己。在启动时,该应用会向用户询问设备管理员权限——这是一种被恶意软件广泛使用的方法,通过获得管理员权限,可以在设备上获得一个强大的立足点。随后,用户界面(UI)屏幕上,该应用会弹出一条信息,大致意思是:“很不幸,本应用在该手机上不能使用。退出后,应用程序将被删除。”
尽管这款应用已经关闭,但其恶意功能已经设置好了。
这款应用使用下面的技术隐藏在设备上:
· 开始图标被设置为一个没有应用名称的透明图像。安装之后,应用图标会出现在主屏幕上的空白区域。在设置中,无论它在哪里出现,该应用程序都将显示为一个空白条目。
应用程序调用setComponentEnableSetting()。一旦启用了该应用,它就会从应用开始中消失(即它的图标不再出现在主屏幕上)。
图2 一旦恶意软件被启动,主屏幕上的空白应用图标就会消失
该应用利用其在受害者设备上的位置来收集数据和获取广告收入。该应用程序收集用户信息,发送给恶意软件作者。这款恶意软件利用Google Cloud Messaging(云消息)推送配置信息,包括何时收集数据以及往哪里发送信息。
该恶意软件可以收集以下信息:
· 设备信息,如国际移动设备标识(IMEI)号、Mac地址、设备模型、设备品牌、设备屏幕
· 已安装的应用程序,以及安装和卸载应用程序的时间
· 恶意软件的活动/UI时间
· 网络连接(漫游/wi-fi连接/载波连接时的吞吐量)
· 设备的位置
· 帐户服务中登陆过的所有帐户
· 在前台运行的应用程序
恶意软件还会请求并在设备上显示广告,包括使用OneSignal通知网络推荐安装其他应用程序。
如果用户给恶意应用程序设置了设备管理员权限,就会更难删除该恶意软件,因为用户必须在该恶意应用程序设置中禁用“设备管理员”(但是,这款恶意软件的该条目是一个空白行),以便真正的卸载它。
图3 空白Android.DoubleHidden条目的设置屏幕
Symantec和Norton产品检测到了这个恶意软件:
Android.Doublehidden
通过采取下面这些预防措施,可以帮助远离移动恶意软件。
保持软件及时更新 不要从不熟悉的网站下载应用 只从可信来源安装应用程序 密切注意应用程序所要求的权限 安装一个合适的移动安全应用,来保护设备和数据,比如Norton。 对重要数据进行频繁备份