【安全资讯】Cerberus银行木马通过Google Play应用商城进行分发传播

近日，研究人员在Google Play应用商城上发现了有问题的应用。这些应用程序真正的目的是下载并在设备上 启用各种银行木马，帮助黑客获取受害者帐户的资金。

今年2月，这些应用程就已经在Google Play上存在。他们属于不同的类别，但大多数以健康和运动伴侣的身份出售。最受欢迎的已被下载了10,000次以上。Bitdefender将此威胁检测命名为Android.Trojan.Downloader.UT。

<lock v:ext="edit" aspectratio="t">
</lock>

这些应用程序附带了广告功能，应用程序在后台与服务器进行通信，如果满足某些条件，服务器将决定是否允许该应用下载恶意APK。

如果APK可用，则应用程序会尝试诱使用户授予其可访问性权限。如果启用了服务，则应用将安装有效负载并通过它启用有效负载的可访问性服务。

恶意软件作者可能有一个选择过程，这使得下载的APK更加难以追踪，甚至可以针对特定的目标进行配置。

初始应用程序的唯一目的是尝试下载有效负载应用程序。安装后初始应用程序将为第二个应用程序启用辅助功能。该应用会禁用自身的可访问性功能以避免引起怀疑，并将继续按照Play商店中应用程序说明中的步骤进行操作。

由于下载的是Cerberus系列中的各种银行木马，他们已经获得了访问权限，因此他们将自己设置为设备管理员，甚至设置为默认的SMS应用程序，有效负载应用程序可以完全控制设备。

恶意软件作者通过几个不同的开发人员帐户发布了恶意应用程序。可以在电子邮件地址中注明模糊的模式，该电子邮件地址由姓名，姓氏和在Gmail上注册的号码组成。

其中一个托管着一个正在进行中的网站，该网站正在为乌克兰基辅的一家家庭管理提供商提供服务。提供者的官方网站可以在https://djek[.]org/上找到。另一台服务器loversfinder[.xyz]托管着Cerberusd的移动用户界面，该页面针对俄语使用者进行了一些调整。

有了以上证据，研究人员判断恶意软件作者可能在斯拉夫东部地区。恶意软件遍布美国和澳大利亚，在欧洲，尤其是在西班牙感染数最多。