移动威胁星期一：重新出现假的Android AV

发布：2018年5月7日经过内森•科利尔
最近更新时间：2019年9月25日

回到2013年初，一家新的移动防病毒（AV）公司叫做Android的Armor出现在移动安全软件行业中，每个人都陷入困惑。它似乎像恶意软件一样称为假av，有些人甚至给它那个标签。作为一个年轻的移动研究员，我是那些给它一个标签的人之一，将它添加到恶意软件检测列表中。不久之后，Android的Armor联系了我当时工作的安全公司，并要求删除他们的检测。

作为一种反驳，我写了一个博客，以证据表明，尽管它在Google Play上，但这只公开公司可能是合法的。我从未发表过那个博客，因为我被我想起了一切的东西，我被询问了一切：AV公司是由一家信誉良好的防病毒检测公司测试的。甚至更加偏离，它降落了一个高分接收官方认证！伪造的AV如何被一个可爱的AV测试公司认证？

我单独离开博客，让主题死亡。但最近，Android的盔甲似乎已经卷土重来了。让我们来看看他们是五年前的系统如何游戏系统，以及现在的新技巧。

欺骗系统

突然，Android的盔甲在几个月后，Android的竞争与行业中的其他人都竞争。但怎么样？简单的。他们在作弊。我记得生动地，他们用于检测恶意软件的命名约定与其他受到良好的反恶意软件移动扫描仪相同。公平，业内许多人使用类似的命名约定。但是，Android用于装甲的那些与其他公司完全相同。显而易见，他们正在窃取其他公司的检测。但怎么样？

分享，但不要偷

Virustotal是一家公司，软件安全行业的每个人都用来与世界分享检测。您可以简单地上传文件，甚至是Android APK，virustotal.com.和几个防病毒/反恶意软件扫描仪将返回结果。这可以帮助典型的用户发现文件是否是恶意的。此外，如果某些东西是恶意的，它可以帮助正确方向的安全研究人员确定自己。不允许允许直接从Virustotal窃取以产生您的结果。这不仅是对服务条款，它是安全行业中每个人的致命罪。

但这正是Android for Armor所做的。通过使用网络分析工具并运行Android for Armor，您可以看到进出VirusTotal的流量。详细的数据表明，他们确实窃取了别人的探测结果。当你从班上最聪明的孩子的肩膀上偷看时，在考试中取得好成绩是相当容易的!

显示他们真正的意图

Android for Armor可能已经停止了那里。他们已经欺骗了Google Play。此外，他们显然有钱支付昂贵的测试以获得认证。相反，他们决定继续使用其他假AV恶意软件使用的策略。以下证据是我多年前发现的，但令人遗憾的是从未发表过。

回来于2013年，我正在玩一场从谷歌播放的免费游戏。为了获得免费的应用，我同意接受非侵略性的广告，正如我们许多人所做的那样。我所看到的是使用恐慌战术的一系列不同的联系：

此幻灯片需要JavaScript。

作为一名年轻的移动研究人员，我做了我们所有人都会做的事情，点击这些链接，看看哪个兔子洞适合我。第一跳是这样的:

我点击了兔子洞下载和扫描免费现在，它开始下载一个名为扫描 - for-病毒-20.apk（更多关于此应用程序中的内容）。

下载后，我登陆了Android网页的已知盔甲，指示您允许未知的源，并再次下载并安装应用程序。

对于合法的AV公司非常奇怪，以指示移动用户直接从他们的网站下载，而不是将它们指向Google Play。

双重感染机会

进一步分析下载的应用，扫描 - for-病毒-20.apk，这是Android的Armor版本，它坚持支付1.99美元以扫描设备。检查精细打印，因为最终是1.99美元每个星期，或每年103.48美元。但是，他们有一个AV测试表格的认证，对吗？

此幻灯片需要JavaScript。

它出现扫描 - for-病毒-20.apk如果您不落入最后一个网页，以便允许未知来源和陈述重要的！您现在必须安装，打开和激活。此外，如果在您的设备上禁用未知来源，则它将是最后的机会努力扫描 - for-病毒-20.apk无法下载和安装。在我看来，这一切都看起来像是合法公寓公司的实践。

重新出现经典

只有几天前，APK进入了我们的移动智能系统，名称不同，但非常熟悉的行为集。这显然是Android的重新包装变种，但这一次叫做Android的杀毒患者。

此幻灯片需要JavaScript。

迅速，我们添加了一个名为pup.riksware.armor的检测。

警告假avs

像上面描述的假人已经过时了很长时间并有许多不同的形式。有些人可能是非常危险的。对于合法的防病毒/反恶意软件程序来完成工作，必须给出特殊权限。例如，用于Android的M必威平台APPalwarebytes使用设备管理来修复讨厌的勒索软件。作为一个受人尊敬的反恶意软件公司，您有我们的单词，我们永远不会使用设备管理权来擦除移动设备或其他邪恶的行为。但是，向恶意假AV应用程序提供与其相同的权利，您可能会遇到麻烦。

假av或合法

由于所需的权限提高，消费者需要在选择移动防病毒/防恶意软件扫描仪时额外谨慎。不幸的是，通常很难判断什么是假AV与合法的防病毒/反恶意软件移动应用程序 - 特别是当假人蠕动到Google Play并花时间创建一个令人信服的网站时。作为消费者，您的研究是否可以选择可爱的软件公司。公司是否有一个深刻的，可敬的博客（如此）？他们周围多久了？如有疑问，您可以依靠Malwarebytes产品来保持您的最新威胁！必威平台APP

拒绝入门

虽然我从未发表过这篇博文，但我确实坚持将Android版Armor归类为假冒AV。现在，作为Malwarebytes的一名研究员，我继续与手机领域的假冒AV公司进行斗争。必威平台APP几年前，我曾帮助检测Android的Armor是否是假冒的Android AV。我也会为其他希望利用手机用户的公司做同样的事情。在外面注意安全!