安卓 banking 恶意软件 may start using 广告软件 tricks

安卓 banking and credential-stealing 恶意软件 with screen overlay capabilities is 在上升,但要使其有效,它必须检测何时打开银行,电子邮件,社交媒体应用程序,对其进行识别,并显示用于收集敏感数据的适当弹出窗口。

那’s not a problem when the 恶意软件 is installed on 安卓 versions before 5.0 (Lollipop) – according to 谷歌’s numbers,’s nearly 57 percent of all 安卓 devices out there –因为该恶意软件会调用“ getRunningTasks()” API来发现该信息。

但随着2014年6月推出的棒棒糖, getRunningTasks() API不再适用于第三方应用程序(并且通常返回其最初处理的数据的一小部分)。这就是为什么Bankosy银行木马拥有 受苦 有效性下降。

“从Lollipop开始,攻击者开始使用未记录的变量来确定在前台运行的应用程序,” Symantec researchers noted, but pointed out that 谷歌 eventually blocked it from working in 安卓 5.0 and later. “These methods no longer work on the recent 安卓 versions, which account for about 40 percent of 安卓 devices.”

The researchers believe that authors of these types of 安卓 恶意软件 might soon turn to another trick for detecting and identifying running apps.

诀窍 已经 用过的 by 安卓 广告软件 and potentially unwanted apps (PUAs), takes advantage of the 安卓’s accessibility service.

“Android’可访问性服务旨在帮助身体,视觉或年龄相关限制的用户使用其设备,”研究人员解释。“一些可访问性服务功能包括文本语音转换,触觉反馈和手势导航。基于音频的可访问性功能需要知道当前在前台运行的应用程序,以便它可以通过设备的扬声器向视障用户告知该应用程序。”

安卓 accessibility service turn on prompt

为了充分利用此功能,广告软件作者需要提示用户在广告软件显示适当的弹出窗口时打开可访问性服务,然后在其设备设置中执行相同的操作。

相比剥削 getRunningTasks() API, the misuse of 安卓’可访问性服务不太方便,因为它需要用户交互。

It is expected that this approach is also less successful, and 恶意软件 authors still prefer using getRunningTasks(). But, as the number of devices with 安卓 versions 5.0 and later slowly rises, and especially in richer countries whose citizens are preferred victims of cyber crooks that are after banking info, they will have to switch to the 新 er trick –或找到一个新的更好的。

分享这个