威脅行為者正在改進(jìn)他們的技術(shù)����,以繞過(guò)Google為其Play商店中的應(yīng)用程序?qū)嵤┑陌踩珯z查�。繞過(guò)檢查的一個(gè)技巧包括在 Google Play 中長(zhǎng)時(shí)間引入精心策劃的小型惡意代碼更新�����。威脅參與者使用的另一種技術(shù)涉及設(shè)計(jì)與滴管應(yīng)用程序主題相匹配的類(lèi)似命令和控制 (C2) 網(wǎng)站��,以繞過(guò)傳統(tǒng)的檢測(cè)方法����。
“為了讓自己更難被發(fā)現(xiàn),這些植入程序背后的參與者只會(huì)手動(dòng)激活在受感染設(shè)備上安裝銀行木馬���,以防他們希望在世界特定地區(qū)有更多受害者����。這使得自動(dòng)檢測(cè)成為任何組織都難以采用的策略�。” 閱讀專(zhuān)家發(fā)表的分析���?���!癡irusTotal 沒(méi)有展示防病毒產(chǎn)品檢測(cè)隨時(shí)間的演變,但幾乎所有活動(dòng)在某個(gè)時(shí)間點(diǎn)的 VirusTotal 上都有或有 0/62 的 FUD 分?jǐn)?shù)��,這證實(shí)了檢測(cè)占用空間最小的 dropper 應(yīng)用程序的難度��?���!?/span>
Dropper旨在分發(fā) Android 銀行木馬Anatsa、Alien�、ERMAC和Hydra。
以下是用于分發(fā)上述銀行木馬的 dropper 應(yīng)用程序列表:
ThreatFabric 研究人員發(fā)現(xiàn)了由Brunhilda威脅演員投放的多個(gè)樣本�����,該組織于 2021 年 7 月被發(fā)現(xiàn)分發(fā) Vultur 木馬��。在一個(gè)案例中��,研究人員觀察到 Brunhilda 冒充二維碼創(chuàng)建者應(yīng)用程序���,用于將Hydra和 Ermac惡意軟件投放到用戶的設(shè)備是以前未開(kāi)發(fā)的國(guó)家/地區(qū),例如美國(guó)���。
“在短短4個(gè)月的時(shí)間里�����, 4個(gè)大型Android家族通過(guò)Google Play傳播�����,通過(guò)多個(gè)滴管應(yīng)用程序感染了300.000多個(gè)病毒��?����!?報(bào)告結(jié)束��?�!靶碌膁ropper活動(dòng)的一個(gè)明顯趨勢(shì)是�����,攻擊者專(zhuān)注于在 Google Play 中減少惡意足跡的加載程序�����,這大大增加了使用自動(dòng)化和機(jī)器學(xué)習(xí)技術(shù)檢測(cè)它們的難度���。
小的惡意足跡是新的 Google Play 限制(當(dāng)前和計(jì)劃中的)的結(jié)果�,該限制對(duì)有關(guān)應(yīng)用程序權(quán)限的隱私的使用進(jìn)行了限制?����!?/span>
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://xufei-js.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
