MaliBot：在野外发现的新Android银行特洛伊木马

在西班牙和意大利的一次协同执法行动捣毁FluBot几周后，一种新的Android恶意软件在西班牙和意大利的网上银行和加密货币钱包客户中被发现。

MaliBot公司F5实验室提供的功能与同类产品一样丰富，允许它窃取凭据和cookie，绕过多因素身份验证（MFA）代码，并滥用Android的可访问性服务来监控受害者的设备屏幕。

众所周知，MaliBot主要伪装成加密货币挖掘应用程序，如mining X或CryptoApp，这些应用程序通过欺诈网站分发，旨在吸引潜在访问者下载。

它还借鉴了手机银行特洛伊木马的另一个模式，即通过访问受感染的智能手机的联系人并发送包含恶意软件链接的短信，将smishing作为传播媒介来传播恶意软件。

F5实验室研究员Dor Nizar说：“MaliBot的指挥与控制（C2）位于俄罗斯，似乎使用的服务器与用于分发Sality恶意软件的服务器相同。”。“这是对SOVA恶意软件的一次重大修改，具有不同的功能、目标、C2服务器、域和打包方案。”

2021 8月首次检测到的SOVA（俄语中的“猫头鹰”意思）以其进行覆盖攻击的能力而著称，如果受害者打开其活动目标列表中包含的银行应用程序，该网络安全攻击通过使用WebView显示欺诈页面，并带有C2服务器提供的链接。

MaliBot使用这种方法瞄准的一些银行包括UniCredit、Santander、CaixaBank和CartaBCC。

辅助功能服务是在Android设备中运行的后台服务，用于帮助残疾用户。长期以来，间谍软件和特洛伊木马都利用它来捕获设备内容，并截获其他应用程序上毫无戒心的用户输入的凭据。

该恶意软件除了能够窃取受害者谷歌账户的密码和cookie外，还可以从谷歌验证器应用程序中窃取2FA代码，并从Binance和Trust Wallet应用程序中过滤出总余额和种子短语等敏感信息。

此外，Malibot能够将其对可访问性API的访问武器化，以击败Google的双因素身份验证（2FA）方法，例如Google提示，即使在试图使用之前未知设备的被盗凭据登录帐户的情况下也是如此。

研究人员说：“恶意软件的多功能性及其对攻击者的控制意味着，原则上，它可以用于比窃取凭据和加密货币更广泛的攻击。”。

“事实上，任何使用WebView的应用程序都可能导致用户的凭据和cookie被盗。”