黑客散布假购物应用程序窃取马来西亚用户的银行数据

至少从2021年11月开始，威胁者就以看似无害的购物应用程序为幌子，向8家马来西亚银行的客户发布恶意应用程序。

斯洛伐克网络安全公司ESET在与《黑客新闻》分享的一份报告中称，这些攻击涉及建立欺诈性但看起来合法的网站，诱骗用户下载这些应用。

这些模仿网站模仿了清洁服务，如Maid4u、Grabmaid、Maria’s cleaning、Maid4u、YourMaid、Maideasy和MaidACall，以及一家名为PetsMore的宠物店，所有这些都是针对马来西亚用户的。

ESET表示：“这些威胁行为人利用这些假冒的网店应用程序对银行凭证进行钓鱼”。“这些应用还将受害者收到的所有短信转发给恶意软件运营商，以防它们包含银行发送的2FA代码。”

目标银行包括Maybank、Affin Bank、Public Bank Berhad、CIMB Bank、BSN、RHB、马来西亚伊斯兰银行和洪隆银行。

这些网站通过Facebook广告发布，敦促访问者下载攻击者声称在谷歌Play Store上可用的安卓应用程序，但实际上，它们会重定向到自己控制的恶意服务器。

这里值得注意的是，攻击取决于潜在受害者在其设备上启用非默认“安装未知应用”选项的前提条件，以使其成功。此外，五个被滥用的服务甚至在谷歌Play上没有应用程序。

一旦启动，这些应用程序会提示用户登录他们的账户，允许他们下假订单，然后提供选项，通过从他们的银行账户转账来完成结账过程。

ESET恶意软件研究人员Lukᚊtefanko说：“在选择直接转账选项后，受害者会收到一个伪造的FPX支付页面，并被要求从提供的八家马来西亚银行中选择他们的银行，然后输入他们的凭证”。

该活动的最终目标是窃取用户输入的银行凭证，并将其过滤到攻击者控制的服务器，同时显示一条错误消息，说明输入的用户ID或密码无效。

此外，这些假冒应用程序的设计目的是，如果银行账户受到双重认证的保护，则可以访问用户收到的所有短信，并将其传输到远程服务器。

什特凡科说：“虽然该运动目前只针对马来西亚，但以后可能会扩展到其他国家和银行”。“目前，攻击者正在追查银行凭证，但他们也可能在将来导致信用卡信息被盗。”