约3万设备受到伪装成Android应用程序的银行特洛伊木马感染
如果你曾经认为Google最终清理了Google银行特洛伊木马商店,你会感到非常惊讶:在官方商店,从8月到2018年10月初发现了29个其他受感染的Android应用程序。
正如ESET的恶意软件研究员Lukas Stefanko所发现的那样,银行特洛伊木马被伪装成各种各样的Android应用程序,可能会覆盖更广泛的受众,涵盖从占星和实用程序应用程序到系统清洁程序和助推器等多个类别。
有问题的应用程序投入了大量精力保持尽可能隐秘并避免检测,这与先前发现的恶意应用程序不同,后者伪装成假银行应用程序并使用简单的网络钓鱼形式来尝试收集其目标的银行凭据。
据Stefanko报道,在搜索巨头获得通知后,Google从Play商店删除了29个受感染的应用程序,尽管伪装成合法应用程序的银行特洛伊木马背后的入侵者能够安装大约30000名用户。
与我们上面提到的虚假银行应用程序相反,银行特洛伊木马Stefanko这次发现,更复杂,并使用更复杂的方法来窃取受害者的银行信息。
此外,他们能够通过使用他们想要模仿的应用程序的HTML代码来模拟安装在受感染的Android设备上的任何应用程序,以创建用于窃取和泄露凭据的表单。
29个银行特洛伊木马能够使用叠加完全模仿受感染设备上的任何应用程序
这不是第一次观察到银行特洛伊木马使用表格覆盖网络钓鱼技术,因为Lukas Stefanko在一个月前发现了一个银行特洛伊木马冒充合法电话录音应用程序,它使用覆盖来绕过SMS 2FA并窃取银行信息。
恶意应用程序使用的是多阶段感染例程,第一阶段是设计用于检查沙箱和模拟器的dropper,并在确定它在真正的Android设备上运行时下载恶意软件负载。
除了捕获银行信息并将其转发给控制它们的演员之外,伪装的银行特洛伊木马还能够“拦截和重定向文本消息以绕过基于SMS的双因素身份验证,拦截呼叫日志,以及下载和安装其他应用程序受损的设备,“Stefanko说。
此外,“这些恶意应用程序是在大多数不同的开发人员名称和伪装下上传的,但代码相似性和共享的C&C服务器表明这些应用程序是单个攻击者或组织的工作。”
研究人员还列出了一些缓解措施,以确保您的设备不会受到银行木马的攻击,建议Android用户仅从Google Play商店下载他们的应用,检查应用的Google Play条目上的所有信息,以及特别注意应用程序在安装时要求的权限。