Geost，一種由Stratosphere實驗室的SebastianGarcía、Maria Jose Erquiaga和Anna Shirokova在追蹤HtBot殭屍網路時發現的新型安卓銀行木馬。

據稱，在2019年至少有80萬部移動裝置成為HtBot殭屍網路的犧牲品，其中絕大多數受害者都是俄羅斯銀行的客戶。

近日，網路安全公司趨勢科技對捕獲的Geost樣本進行了逆向工程，旨在幫助大家對這種新型安卓銀行木馬有一個更深入的了解。

技術分析

根據趨勢科技的說法，Geost隱藏在某些惡意APP中。這些APP在啟動後會請求一系列許可權，而一旦受害者同意授予，就會遭到感染。

例如，由趨勢科技捕獲的Geost樣本就隱藏在一款名為“установка”（相當於中文中的“設定”）的惡意APP中。

該APP盜用了谷歌應用商店Google Play的圖示來偽裝自己，且圖示在APP啟動後將從手機螢幕上消失。

在啟動後，установка APP會請求裝置管理員許可權。這顯然是不尋常的，因為合法APP通常都不會這麼做。

通過讀取這些訊息，Geost便能夠收集包括受害者姓名、餘額以及其他和銀行賬戶相關的詳細資訊。而只需要單擊幾下，攻擊者便可以悄無聲息地從受害者的銀行賬戶中轉移資金。

圖2.請求裝置管理員許可權

圖3.用於請求裝置管理員許可權的程式碼

為實現長久駐留，惡意APP還會為BOOT_COMPLETED和QUICKBOOT_POWERON廣播進行註冊。（APP可通過監聽BOOT_COMPLETED和QUICKBOOT_POWERON實現自啟動）

至於Geost的完整功能，我們可以從其支援的命令列表看出，具體如下：

結語

內嵌Geost木馬的惡意APP出現再次提醒我們，在安裝某款APP時，一定要仔細檢視它所請求的許可權。當然，儘量從官方渠道下載所需的APP仍是你最正確的選擇。