〇更多的猎物

谷歌播放应用程序窃取文本和刺激你未经授权的购买

谷歌在收到研究人员的报告后删除了8个应用程序。

谷歌播放应用程序窃取文本和刺激你未经授权的购买
盖蒂图片社

安全研究人员发现了一批谷歌Play应用程序,这些应用程序窃取用户的短信,并用用户的硬币进行未经授权的购买。

McAfee移动研究人员Sang Ryol Ryu和Chanung Pak说,这种恶意软件隐藏在8个下载量超过70万次的应用程序中,劫持短信通知,然后进行未经授权的购买周一表示.McAfee称该恶意软件为Android/Etinu。

免费获取用户数据

研究人员表示,对控制受感染设备的攻击者操作的服务器进行的调查显示,它存储了来自用户手机的各种数据,包括移动运营商、电话号码、短信、IP地址、国家和网络状态。服务器还存储自动更新订阅,其中一些看起来像这样:

不是开玩笑的事

这种恶意软件让人想起(如果不是完全相同的话)一个多产的Android恶意软件家族——Joker还会窃取短信并为用户提供昂贵的服务。

研究人员在提到Etinu时写道:“这种恶意软件会劫持通知监听器,窃取收到的短信,就像Android Joker恶意软件那样,没有短信阅读权限。”“就像链式系统一样,恶意软件将通知对象传递到最后阶段。当通知从默认的SMS包中产生时,消息最终使用WebView JavaScript接口发送出去。

虽然研究人员说Etinu是一个不同于Joker的恶意软件家族,但微软、Sophos和其他公司的安全软件在一些新发现的恶意应用程序的检测名称中使用了“Joker”一词。Etinu的解密流程和多级有效载荷的使用也类似。

解密流。
解密流。
迈克菲

McAfee的Sang Ryol Ryu在一封电子邮件中写道:“虽然Etinu看起来与Joker非常相似,但从深度来看,它在加载有效载荷、加密、定位地理位置方面的流程与Joker不同。”

Etinu的有效载荷出现在Android Assets文件夹中,文件名为“cache.bin”,“settings.bin”,“data”。Droid”或“图像文件”。

迈克菲

多级

如上面的解密流程图所示,从Play下载的主安装文件中隐藏的恶意代码会打开一个名为“1.png”的加密文件,并使用与软件包名称相同的密钥对其进行解密。然后执行生成的文件“loader.dex”,导致向C2服务器发出HTTP POST请求。

McAfee的研究人员写道:“有趣的是,这种恶意软件使用了密钥管理服务器。”“它向服务器请求AES加密的第二个有效载荷' 2.png的密钥。然后服务器返回这个键作为JSON的s值。此外,该恶意软件具有自我更新功能。当服务器响应' URL '值时,URL中的内容将被使用而不是' 2.png '。然而,服务器并不总是响应请求或返回密钥。”

迈克菲

应用程序和相应的加密散列是:

08年c4f705d5a7c9dc7c05edee3fcad12f345a6ee6832d54b758e57394292ba651 com.studio.keypaper2021
CC2DEFEF5A14F9B4B9F27CC9F5BBB0D2FC8A729A2F4EBA20010E81A362D5560C com.pip.editor.camera
007587 c4a84d18592bf4ef7ad828d5aaa7d50cadbbf8b0892590db48cca7487e org.my.favorites.up.keypaper
08年fa33bc138fe4835c15e45d1c1d5a81094e156eef28d02ea8910d5f8e44d4b8 com.super.color.hairdryer
9 e688a36f02dd1b1a9ae4a5c94c1335b14d1b0b1c8901ec8c986b4390e95e760 com.ce1ab3.app.photo.editor
018年b705e8577f065ac6f0ede5a8a1622820b6aeac77d0284852ceaecf8d8460c com.hit.camera.pip
0 e2accfa47b782b062cc324704c1f999796f5045d9753423cf7238fe4cabbfa8 com.daynight.keyboard.wallpaper
50 d498755486d3739be5d2292a51c7c3d0ada6d1a37c89b669a601a324794b06 com.super.star.ringtones

有些应用程序是这样的:

迈克菲

研究人员表示,他们向谷歌报告了这些应用程序,该公司将它们下架了。

你必须置评。

通道Ars Technica