去年,研究人员来自克莱菲发现存在一种针对 Android 智能手机的新恶意软件,像素海盗。根据Cleafy的调查,该木马旨在诱骗巴西非常流行的即时支付平台Pix的用户。详细来说,病毒将“窃取敏感信息”并在互联网用户不知情的情况下用它进行资金转移。
攻击基础上的两个应用程序
发现 PixPirate 几个月后,IBM 揭开了该恶意软件背后网络犯罪分子所采用策略的面纱。研究人员表示,PixPirate 在智能手机上的部署依赖于两个恶意应用程序。首先,有一个“下载器”,通过 APK 文件分发。这是智能手机上病毒的入口点。它通过 WhatsApp 或 SMS 上交换的网络钓鱼链接进行传播。
此应用程序需要在安装过程中访问权限,包括 Android Accessibility Services。这些设置旨在帮助视障人士使用他们的设备。不幸的是,许多应用程序滥用这些来窃取用户数据。然后她下载了第二次申请,其中包含 PixPirate 代码。此时,受害者可以删除正在下载的应用程序,而不会影响其余操作。
新战术
为了在安装到手机上后保持不可见,第二个应用程序使用了一种策略,以便主屏幕上没有图标出现。事实上,受害者并没有意识到他们的终端上安装了不需要的 Android 应用程序。她完全看不见。所有恶意操作都在后台进行。
“大多数用户不会检查应用程序设置屏幕来检查安装了哪些应用程序,因此他们不会注意到恶意应用程序并尝试将其删除”,解释IBM。
这并不是恶意应用程序第一次试图通过使其图标消失来不引起注意。过去,许多欺诈性应用程序就是通过这种策略来愚弄用户的。然而,谷歌设法结束了这种做法安卓10更新。该版本的操作系统实际上阻止了对编程接口的访问,该接口允许您激活或停用应用程序的组件。
IBM 表示,尽管 Google 采取了预防措施,PixPirate 仍采用了一种前所未见的新技巧来隐藏其图标。具体来说,恶意应用程序在安装过程中没有声明任何主要活动,这导致Android不会将其显示在应用程序抽屉或主屏幕中。这就是攻击需要两个应用程序的原因。第一个应用程序必须执行第二个应用程序,因为用户无权访问它。因此,即使在运行最新版本 Android(例如 Android 14)的手机上,该病毒也能够保持隐藏状态。从那时起,PixPirate 可以精心策划其余的网络攻击而不受惩罚。
经 Bleeping Computer 联系后,谷歌明确表示,在该网站上尚未发现利用此策略的应用程序。Play 商店。该小组补充说“Google Play Protect 自动保护 Android 用户免受该恶意软件已知版本的侵害”。谷歌似乎并不急于阻止攻击者的新策略。
来源 : 国际商业机器公司
