黑客如何迫使一款下載量達到 30 萬次的 Android 應用竊取密碼

網絡安全公司 ThreatFabric 正在回顧大規模惡意應用程序活動，其中包括竊取密碼和其他個人數據的惡意軟件。

網絡安全公司 ThreatFabric 的一份報告顯示，超過 30 萬 Android 用戶安裝了惡意應用程序來竊取他們的銀行信息。雖然惡意應用程序已被谷歌刪除和禁用，但開發人員使用了獨特的方法向用戶部署惡意軟件，每個人都應該意識到這一點。

黑客使用了多種類型的惡意軟件。

ThreatFabric 報告僅提到了少量此類惡意應用程序，但該列表包括 QR 碼掃描儀、PDF 掃描儀、鍛煉跟踪應用程序和加密應用程序。與其他虛假宣傳其功能的惡意應用程序不同，我們今天感興趣的大多數應用程序都可以按照所述完美運行。事實上，一切都在後台發生，應用程序正在竊取密碼和許多其他重要的個人數據。

研究人員根據應用程序使用的惡意軟件將應用程序分為四個主要“家族”：

• Anatsa：四個家族中最大的一個，總下載量超過 200,000 次，使用的是 Anatsa 銀行木馬。它使用 Android 輔助功能的屏幕截圖來竊取用戶名、密碼和其他個人數據。
• Alien：下載量第二大的應用程序系列是 Alien，安裝量超過 95,000 台設備。Alien 攔截雙因素身份驗證代碼，然後黑客使用這些代碼進入用戶的銀行帳戶。
• Hydra 和 Ermak：最後兩個家族是 Hydra 和 Ermak 家族，他們與 Brunnhilde 網絡犯罪集團有聯繫。該組織使用惡意軟件遠程訪問用戶的設備並獲取他們的銀行信息。ThreatFabric 報告指出，Hydra 和 Ermac 的下載量超過 15,000 次。

這些惡意軟件家族如何突破 Google 的安全措施

ThreatFabric 向 Google 報告了這些應用程序，Google 立即將它們從 Play 商店中刪除，並在安裝它們的設備上禁用它們。但真正的問題仍然是黑客如何設法將惡意軟件隱藏在應用程序中。

通常，Play 商店會攔截並刪除包含惡意代碼的應用程序。然而，在我們今天感興趣的案例中，惡意軟件並未包含在初始下載中，而是通過用戶必須安裝的更新添加的，以便繼續使用應用程序。通過這種方法，開發人員可以在不觸發谷歌發現系統的情況下提交他們的應用程序。正如所聲稱的那樣，由於這些應用程序運行完美，用戶幾乎不會懷疑任何事情。然而，有幾個更新的跡象，

如何保護您的 Android 設備免受惡意軟件侵害

如果您想保證設備安全並避免在設備上安裝此類惡意軟件，您可以採取多種措施。首先，密切關注應用程序要求的權限 – 不僅是第一次安裝它時，而且每次啟動或更新它時。卸載該應用程序，如果它要求任何可疑或不必要的內容，請報告它。例如，二維碼掃描應用程序沒有理由訪問您的無障礙服務。

同樣，僅直接從 Google Play 商店安裝更新。如果某個應用程序聲稱需要快速更新，但 Play 商店中沒有該更新，則該更新可能是非法的。對於下載 Play 商店之外的任何內容的請求也是如此。只有當您自己從受信任的來源（例如 APK Mirror 或 XDA Dev 論壇）下載 APK 文件時，才能安全地以這種方式下載和安裝應用程序。並且不要忘記在下載之前檢查應用程序，即使它在 Google Play 上，因為黑客可以通過虛假評論破壞應用程序的合法性。

雖然這些不同的習慣可能無法完全保護您免受潛在惡意軟件的侵害，但如果與其他網絡安全實踐（例如一次性密碼、安全加密密碼管理器、雙因素身份驗證和應用程序）相結合。安全的反惡意軟件和防病毒功能，可以很好地保護您免受黑客及其惡意應用程序的侵害。