ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1508

术语表: /attack/glossary

禁止应用程序图标

恶意应用程序可能会阻止其图标在应用程序启动器中显示给用户,以隐藏其已安装的事实,并使用户更加难以卸载该应用程序。以编程方式隐藏应用程序的图标不需要任何特殊权限。

在BankBot / Spy Banker和SimBad恶意软件家族中已经看到这种行为。

标签

ID编号: T1508

战术类型: 事后访问设备

策略: 绕过防御

平台: Android

版本: 1.0

程序示例

名称 描述
FlexiSpy(S0408) 如果安装了FlexiSpy(S0408),并且可以看到它,则可以隐藏SuperSU的图标。FlexiSpy(S0408)还可以隐藏其自己的图标,以使检测和卸载过程更加困难。
Gustuff(S0406) 安装后,Gustuff(S0406)隐藏其图标。
Rotexy(S0411) Rotexy(S0411)首次启动后会隐藏其图标。
Name Description
FlexiSpy(S0408) FlexiSpy(S0408) is capable of hiding SuperSU's icon if it is installed and visible. FlexiSpy can also hide its own icon to make detection and the uninstallation process more difficult.[
Gustuff(S0406) Gustuff(S0406) hides its icon after installation.
Rotexy(S0411) Rotexy(S0411)hides its icon after first launch.

缓解措施

这种攻击技术无法通过预防性控制轻松缓解,因为它基于滥用系统功能。

This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.

检测

用户可以在设备设置中检查所有已安装应用程序的列表,包括带有禁止图标的应用程序。

The user can examine the list of all installed applications, including those with a suppressed icon, in the device settings.