Anubis銀行木馬利用運動傳感器來繞過檢測

近日，Trend Micro安全研究人員在Google Play中發現兩款釋放銀行木馬的惡意應用程序。這兩個應用程序偽裝為手機常用工具，分別是匯率轉化Currency Converter和電池管家BatterySaverMobi。目前，Google已經將這兩款APP從應用商店中移除了。

電池管家APP在下架前的下載次數已經超過5000次，評分為4.5分，共有73個用戶評論。現在看來這些評論可能并不是有效的評論，一些評論是匿名的，還有的評論內容是不合邏輯和缺乏細節的。

研究人員分析發現這些APP回釋放一個鏈接到銀行惡意軟件Anubis的惡意payload。對payload做進一步分析發現，其中的代碼與Anubis樣本非常相像。該payload還會連接到一個域名為aserogeege.space的C2服務器，該域名也與Anubis有關。

除了aserogeege.space外，還有18個惡意域名與IP地址47.254.26.2映射，研究人員也確認了Anubis在這些域名的子路徑。這些域名會頻繁的更換IP地址，從2018年10月起已經更換過6次了，這也說明了該攻擊活動的活躍程度。

如何繞過檢測

這些APP使用的并不是傳統的繞過技術，而是用用戶和設備的移動（運動）來隱藏活動。

當用戶移動時，設備會產生一些運動傳感器數據。惡意軟件開發者假設用于掃描的沙箱是一個沒有運動傳感器的模擬器，這樣就不會創建這類數據。如果是這樣的話，開發者可以通過檢查傳感器數據來確定APP是不是運行在沙箱環境中。

惡意APP會通過設備的運動傳感器來監控用戶的行動。如果惡意APP發現用戶和設備都沒有運動，惡意代碼就不會運行。

如果惡意代碼運行，APP就會嘗試讓用戶下載和安裝一個payload APK（偽裝為系統更新）。

APP開發者隱藏惡意服務器的一個方法是編碼到Telegram和Twitter web頁面請求中。銀行惡意軟件在信任運行的設備后會請求Telegram或Twitter。通過分析響應的HTML內容，惡意APP會獲取C2服務器的地址aserogeege.space。然后注冊C2服務器，并用HTTP POST請求檢查命令。如果服務器用一個APK命令來響應APP，并附上下載d URL，Anubis payload就會在后臺被釋放。然后通過系統更新頁面誘使用戶安裝。

Anubis payload

Anubis惡意軟件會偽裝成一個非惡意的APP，讓用戶授予accessibility輔助服務的權限，并嘗試竊取賬戶信息。當用戶訪問目標APP時，銀行木馬會啟動一個重疊屏幕，當用戶出輸入賬戶憑證信息時竊取用戶信息。但Anubis的進程有所不同。它有一個植入的鍵盤記錄器可以竊取用戶賬戶憑證。惡意軟件還可以對受感染的用戶進行截圖，這也是另一個獲取受害者憑證的方法。

統計數據表明Anubis的最新版本已經在93個不同的國家進行傳播，攻擊的銀行APP變種超過377個。因此如果Anubis成功運行，攻擊者就可以獲取通訊錄和位置信息的訪問權限，也可以錄音、發送SMS消息、打電話、修改外部存儲等。Anubis可以用這些權限來發送垃圾信息給通訊錄中的聯系人，打電話，進行其他惡意活動。

許多的用戶在移動端設備上保存了許多賬號相關的信息，但移動端安全和攻擊能力的差距往往會給這些用戶造成很嚴重的后果。用戶應對尤其主義那些要求輸入銀行卡賬號密碼信息的APP，確保他們是銀行的合法APP，以保護自身權益。