千面萬化的Android特洛伊木馬GPlayed

一種新發現的Android惡意軟體在複雜性和靈活性方面提升了標準，為運營人員提供了適應各種任務的能力。

網路犯罪分子目前正在對GPlayed進行測試，但惡意軟體分析人員警告稱，它已經成為嚴重的威脅。

模塊化體系結構通過插件擴展其功能，無需重新編譯和更新設備上的軟體包即可添加插件。

功能廣泛

操作人員還可以注入腳本並將.NET代碼發送到受感染的Android，GPlayed編譯和執行。它是使用Xamarin環境為移動應用程序構建的，並使用一個名為「eCommon」的DLL，它「包含與平台無關的支持代碼和結構」。

此模型顯示了進化的新步驟，代碼可以從桌面平台遷移到移動平台，從而產生混合威脅。

它在設備上偽裝成Play商店應用程序，使用的圖標與原始圖標非常相似，名稱為「Google Play Marketplace」。它要求許多許可權，包括「BIND_DEVICE_ADMIN」，

這使它幾乎可以完全控制受感染的設備。

思科Talos的研究人員分析了GPlayed並發現了大量功能，包括間諜，數據泄露和自我管理。

除了竊取消息和聯繫人，撥打電話和發送簡訊的常規功能外，該木馬還可以顯示USSD消息，啟動應用程序，擦除設備，添加和刪除Web注入，收集支付卡信息以及設置新的鎖定密碼。

注入JavaScript代碼也在功能列表中，使攻擊者可以竊取用戶在其載入的任何站點的表單欄位中鍵入的敏感信息。

「這是一個功能齊全的特洛伊木馬，其功能範圍從銀行木馬到完整的間諜木馬。這意味著惡意軟體可以做任何事情，從收穫用戶的銀行憑據到監控設備的位置，」研究人員在報告（report ）中指出。

特洛伊木馬檢查付款信息

一旦進入Android設備，GPlayed啟動不同的計時器來啟動各種任務：ping C2（命令和控制）伺服器，如果關閉則啟用WiFi，將設備註冊到C2伺服器。

它首先是向攻擊者的伺服器提供設備信息，例如型號、IMEI、國家或運行的Android版本。

GPlay將嘗試通過請求管理員許可權並要求訪問設備設置來獲得更多許可權。這對用戶來說是一個潛在的危險信號。

收集付款信息是通過打開虛假的Google付款網頁來完成的，該網頁要求攻擊者預付費以便使用Google服務。在將信用卡信息發送給C2之前在線驗證。

根據Talos分析人員的說法，他們看到了針對俄語用戶的GPlayed版本，而且它可以很容易的修改為不同的語言。

其模塊化使得難以創建配置文件並消除對特定惡意活動的限制。因此，它可以很容易的用作銀行木馬或勒索軟體。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！