谷歌播放恶意软件使用手机的运动传感器来隐藏自己

在GooglePlay市场上托管的恶意应用程序正在尝试一个巧妙的技巧来避免检测-它们在安装强大的银行木马之前监视受感染设备的运动传感器输入，以确保它不会加载到研究人员用来检测攻击的模拟器上。

监控背后的想法是，传感器在真正的最终用户设备将记录运动，因为人们使用它们。相比之下，安全研究人员使用的模拟器-可能还有谷歌员工筛选提交给Play的应用程序-不太可能使用传感器。两个GooglePlay应用程序最近发现，在被感染的设备上丢弃Anubis银行恶意软件，只有在第一次检测到移动时才会激活有效负载。否则，特洛伊木马仍然处于休眠状态。

安全公司Trend Micro在两个应用程序中发现了运动激活的Dropper-Battery SaverMobi，它有大约5,000次下载，以及货币转换器，它有未知的下载量。一旦谷歌得知他们是恶意的，它就会删除他们。

运动检测并不是恶意应用程序的唯一聪明特征。一旦其中一个应用程序在设备上安装了Anubis，Dropper就会使用Twitter和Telegram上的请求和响应来定位所需的命令和控制服务器。

“然后，它在C&；C服务器上注册，并检查带有HTTP POST请求的命令，”趋势微研究员KevinSun写道。“如果服务器使用APK命令响应应用程序并附加下载URL，那么Anubis有效载荷将在后台被丢弃。”然后，Dropper试图诱使用户使用下面所示的假系统更新来安装应用程序：

一旦安装了Anubis，它就使用了内置的密钥记录器，可以窃取用户的帐户凭据。恶意软件还可以通过获取受感染用户屏幕截图来获得凭据。太阳继续说：

我们的数据显示，最新版本的Anubis已分发到93个不同的国家，并针对377个金融应用程序的用户，以农场帐户的细节。我们还可以看到，如果Anubis成功运行，攻击者将访问联系人列表以及位置。它还具有录制音频、发送短信、打电话和改变外部存储的能力。阿努比斯可以使用这些权限向联系人、设备呼叫号码和其他恶意活动发送垃圾邮件。安全公司QuickHeal Technologies先前的研究表明，Anubis的版本甚至起到了赎金的作用。

研究人员提供了以下截图，显示了Anubis的一些财务应用程序目标：

这份报告有两个要点。首先是恶意Android应用程序的质量正在提高。第二是Android用户在下载和安装应用程序之前应该继续仔细考虑。据称，这两款现已被移除的应用的好处微乎其微。人们最好还是坚持使用少数来自知名开发者的应用程序。