超过30万Android用户自Google Play下载了含有后门的行动程式

荷兰资安业者ThreatFabric在本周警告，尽管Google Play的安全把关愈来愈严格，但骇客依然能够成功进驻该行动程式市集，利用具备完善功能的行动程式夹带后门，再借由伪造的更新来植入金融木马程式，在4个月内就有超过30万次的安装，让使用者成为潜在的受害者。

骇客的手法与时俱进，特别是Google甫于本月变更了无障碍服务（Accessibility Services）的使用条件，过去相关的API是这些恶意程式绕过Google审核的主要管道之一，于是骇客只好尽量减少行动程式中恶意程式码的足迹，以期躲过侦测，再借由之后的更新，选择性地植入金融木马，以窃取受害者的金融凭证。

ThreatFabric即发现，自今年8月以来，就有4款金融木马家族，利用此一手法进驻了Google Play，它们分别是Anatsa、Alien、Hydra及Ermac，每款金融木马所借道的恶意程式各自不同，由于这些恶意程式只嵌入了极少的恶意程式码，几乎都曾或迄今仍躲过防毒软件的侦测，目前相关恶意程式的安装数量已超过30万次。

其中的Anatsa主要利用6款恶意程式散布，包括PDF Document Scanner Free、QR Scanner 2021、QR Scanner、PDF Document Scanner - Scan to PDF、PDF Document Scanner及CryptoTracker，它们都具备如程式说明所描述的完整功能，而且评价不错，加总的下载量超过20万次。

图片来源_ThreatFabric

当使用者安装上述任一种程式之后，使用者将被迫进行更新以继续使用，这时骇客就可透过C&C服务器于使用者装置上植入Anatsa。不过，骇客并不会在所有安装恶意程式的装置植入金融木马，而是依照这些装置的位置而定，例如只在位于英国、荷兰或德国的Android用户装置植入金融木马，骇客也能依照当时的策略，变更植入金融木马的区域。

图片来源_ThreatFabric

Anatsa是个拥有RAT能力的金融木马，不但可窃取凭证，储存纪录，也能侧录键盘。

至于Hydra与Ermac都是透过一款名称为QR CreatorScanner的Android程式来散布，该程式的安装数量超过1.5万，所锁定的攻击区域还包含美国。

Alien所利用的程式包括Master Scanner Live、Gym and Fitness Trainer与PDF AI : TEXT RECOGNIZER等，下载量超过9.5万次。

ThreatFabric指出，有些程式在使用者下载的当下完全没有任何恶意功能，以躲过Google的侦测，也避免使用者起疑，甚至是在植入金融木马之后，程式仍一如往常地正常运作，这些以合法掩护非法的手段愈来愈受到骇客青睐，也让侦测变得更困难，建议Android用户在下载程式时应更加小心。