本月第二次,Google 从官方应用商店 Google Play 中移除了伪装成合法程序的恶意应用。被移除的应用都属于名叫 Ztorg 的 Android 恶意程序家族。目前为止,发现的几十个新的Ztorg木马的变异程序,无一例外都是利用漏洞在受感染的设备上获得root权限。
但是卡巴斯基实验室的安全研究人员发现,在2017年5月下旬以来,在最新捕获的Ztorg木马(Magic Browser、Noise Detector)的变异程序中,却发现它们并没有使用设备的root权限。黑客利用了恶意木马,在感染的设备中发送付费短信(Premium Rate SMS)并立即删除,用户资金在不知不觉中被窃取。
什么是Premium Rate SMS?
Premium Rate SMS是一种付费短信模式,通过发送特殊的文本信息,用户自动扣费。例如通过手机短信捐款,办理付费业务等。最新ztorg木马利用该模式来牟利,这项技术让黑客的利益最大化,并降低了被发现的风险。
Ztorg为何这么难被检测到?
多模拟器检测功能,它可以检测到Android SDK模拟器,如genymotion,BlueStacks, buildroid。它还检测设备感染环境,这些检测很难被绕过。 使用基于XOR的字符串混淆。 采用DES-CBC加密远程服务器进行通信。 从远程服务器下载、安装和启动Android应用程序。 自去年 9 月以来,Ztorg 恶意木马大约 100 次绕过 Google 的自动化恶意程序检查程序进入官方应用市场。被称为 Magic Browser 的 Ztorg 恶意应用下架前被下载量超过 5 万次。
另一款叫 Noise Detector 的应用被下载了超过 1 万次,上个月被移除的 Privacy Lock 下载量超过百万。