[[190088]]

據ESET(總部位于斯洛伐克布拉迪斯拉發的一家世界知名的電腦安全軟件公司，創立于1992年)4月19日官方報道，一個具有自動鎖屏功能的銀行惡意軟件近期偽裝成Google Play上的手電筒應用，廣大安卓用戶成為了它的狩獵目標乃至囊中之物。與其它靜態式的銀行業務木馬不同，該木馬能夠動態地調整自身功能。

除了用來作掩護的手電筒功能之外，這種利用遠程控制的木馬還具有很多附加功能，最終目的就是竊取用戶的銀行賬戶信息。該木馬可以通過C&C服務器命令模擬真實應用的界面，鎖住受感染設備，避免受害者發現惡意活動，攔截短信并顯示偽造的通知，最終達到繞過雙因素身份驗證的目的。

這種惡意軟件能夠感染安卓系統的所有版本。而且由于功能動態變化的特點，它不會受限于應用程序的類型——只需獲得安裝在受害設備上應用程序的HTML代碼，在啟動該應用后用HTML代碼偽造的虛假屏幕覆蓋掉就可以了。

ESET公司檢測到的Trojan.Android/Charger.B的特洛伊木馬于3月30日被背后的操縱者上傳至Google Play，截至ESET4月10日發布正式通知前，大約已經有5000多名不知情的用戶下載安裝了該木馬病毒。

Google Play上的木馬程

它是如何運作的?

一旦安裝并啟動了這個木馬程序，它就會請求獲得受害設備的管理員權限。使用安卓6.0或更高版本的用戶還需手動設置使用權限并開啟“draw over other apps(允許在其他應用的上層顯示)”的功能。獲得權限與許可后，該程序就會自動隱藏圖標，以插件的形式在設備上顯示。

實際的有效負載已經在Google Play的APK文件資源中加密，這種處理方式能夠避免其惡意功能被發現。當受害者運行該應用時，有效載荷也會自動解密并執行攻擊任務。

木馬首先會將受感染的設備注冊到攻擊者的服務器上。除了發送設備信息和設備上所安裝的應用程序信息之外，它還能獲取設備前置攝像頭所拍攝的照片。

如果信息顯示這臺設備位于俄羅斯、烏克蘭或白俄羅斯，C&C服務器就會自動停止攻擊活動，唯一的可能性就是該惡意程序的所有者希望避免來自本國攻擊者的控訴。

根據受感染設備上安裝的應用程序列表，C&C以惡意HTML代碼的形式發送相應的虛假活動。受害者只要啟動其中一個目標應用程序，HTML就會在WebView中顯示。緊接著，真實應用的界面就被偽造的界面所覆蓋，該界面要求用戶輸入信用卡信息或銀行應用的登錄憑據等。

那么哪些應用容易被這種木馬盯上?這個問題也許是無解的。因為不同設備所安裝的應用不同，竊取的HTML代碼也不同。據調查，已經發現存在虛假界面的應用程序有以下這些：Commbank、NAB、Westpac手機銀行、Facebook、WhatsApp、Instagram和Google Play。

偽造界面上的登錄憑據都會以不加密的方式發送到攻擊者的C&C服務器上。

至于設備被鎖住的問題，ESET猜測這項功能會在攻擊者從受害銀行賬戶提現時自動啟用。攻擊者通過一個虛假的外觀更新界面來隱藏自己的欺詐活動，以免受害者發現惡意活動、加以干預。

在受感染在被感染設備上找到的模仿真實應用的釣魚界面

[[190089]]

用于鎖定受感染設備的虛假系統界面

該木馬濫用Firebase Cloud Messages(FCM)與C&C服務器進行通信，這是我們第一次發現安卓惡意軟件使用了這種通信渠道。

研究顯示，該應用是Android/Charger的改良版，由Check Point研究人員于2017年1月首次發現。第一個版本主要通過鎖住設備并進行勒索的方式對受害者進行直接敲詐，但是現在Charger背后的惡意黑客改用釣魚的方式，目標直接鎖定受害者的銀行信息——這種演變在安卓惡意軟件家族中十分少見。

Android/Charger.B使用的是虛假的登錄界面與設備鎖定功能，這與我們二月份發現并分析的銀行業務惡意軟件存在一定相似之處。但為什么說這次發現的木馬更加危險呢?因為與一般惡意軟件中的硬編碼不同，它的攻擊目標是動態變化、毫無限制的!

你的設備是否受到了感染?如何清除?

如果你剛好最近從Google Play下載了手電筒應用，那么你就需要檢查下是否無意中碰到過這種木馬程序。

惡意應用可以在設置>應用程序管理/應用>手電筒插件中找到。

應用程序管理器中的惡意軟件

找到這個惡意程序很簡單，但是要想卸載它就比較頭疼了。該木馬通過禁止用戶關閉活動的設備管理器(卸載app的必要步驟)的方式防止受害者卸載。如果我們選擇停用選項，屏幕會彈出一個只能點擊“激活”選項的彈框——惡意程序慣用的流氓手段。

遇到這樣的情況時，首先可以將設備調至安全模式，再參照下面的視頻完成卸載。

https://v.qq.com/x/page/m0397bnnr1e.html

如何預防?

避免惡意軟件帶來傷害的關鍵說到底還是預防。

下載應用時我們應盡可能地選擇官方應用商店。盡管Google Play也存在漏網之魚，但它的確采取了高級的安全防御機制來抵制惡意軟件，而很多不規范的應用商店都做不到這一點。

如果你對想要安裝的應用程序不放心，可以通過查看該應用的安裝次數、評分和評論內容再作決定。

安裝并運行某個應用后，一定要注意它所請求獲得的設備權限。如果它要求的權限超過了功能所需(如手電筒應用卻要求獲得設備管理員的權限)，那么這時候你就需要慎重考慮了。

當然最后一點，我們也可以選擇一家值得信賴的安全服務供應商來保護我們的設備，避免最新的威脅造成不可估量的損失!

已分析樣本

• 數據包名稱：com.flashscary.widget
• 哈希值：CA04233F2D896A59B718E19B13E3510017420A6D
• 檢測結果：Android/Charger.B