去年,研究人員來自克萊菲發現有一種針對 Android 智慧型手機的新惡意軟體,像素海盜。根據Cleafy的調查,該木馬旨在誘騙巴西非常流行的即時支付平台Pix的用戶。詳細來說,病毒將“竊取敏感資訊”並在網路使用者不知情的情況下用它進行資金轉移。
攻擊基礎上的兩個應用程式
在發現 PixPirate 幾個月後,IBM 揭開了該惡意軟體背後網路犯罪分子所採用策略的面紗。研究人員表示,PixPirate 在智慧型手機上的部署依賴兩個惡意應用程式。首先,有一個“下載器”,透過 APK 檔案分發。這是智慧型手機上病毒的入口點。它透過 WhatsApp 或 SMS 上交換的網路釣魚連結進行傳播。
此應用程式需要在安裝過程中存取權限,包括 Android Accessibility Services。這些設置旨在幫助視障人士使用他們的設備。不幸的是,許多應用程式濫用這些來竊取用戶資料。然後她下載了第二次申請,其中包含 PixPirate 程式碼。此時,受害者可以刪除正在下載的應用程序,而不會影響其餘操作。
新戰術
為了在安裝到手機上後保持不可見,第二個應用程式使用了策略,以便主畫面上沒有圖示出現。事實上,受害者並沒有意識到他們的終端上安裝了不需要的 Android 應用程式。她完全看不見。所有惡意操作都在背景進行。
“大多數用戶不會檢查應用程式設定畫面來檢查安裝了哪些應用程序,因此他們不會注意到惡意應用程式並嘗試將其刪除”,解釋IBM。
這並不是惡意應用程式第一次試圖透過使其圖示消失來不引起注意。過去,許多欺詐性應用程式都是透過這種策略來愚弄用戶的。然而,谷歌設法結束了這種做法安卓10更新。該版本的作業系統實際上阻止了對程式設計介面的訪問,該介面允許您啟動或停用應用程式的元件。
IBM 表示,儘管 Google 採取了預防措施,PixPirate 仍採用了一種前所未見的新技巧來隱藏其圖示。具體來說,惡意應用程式在安裝過程中沒有聲明任何主要活動,這導致Android不會將其顯示在應用程式抽屜或主螢幕中。這就是攻擊需要兩個應用程式的原因。第一個應用程式必須執行第二個應用程序,因為使用者無權訪問它。因此,即使在運行最新版本 Android(例如 Android 14)的手機上,該病毒也能夠保持隱藏狀態。
經 Bleeping Computer 聯繫後,Google明確表示,在該網站上尚未發現利用此策略的應用程式。Play 商店。該小組補充說“Google Play Protect 會自動保護 Android 用戶免受該惡意軟體已知版本的侵害”。谷歌似乎並不急於阻止攻擊者的新策略。
來源 : 國際商業機器公司
