BankBot返回游戏商店，一个永无止境的安卓恶意软件故事

几家安全公司的一个研究团队发现了两个针对Google Play Store用户的新恶意软件活动，其中一个传播了新版BankBot，这是一个持久的银行特洛伊木马家族，它模仿真实的银行应用程序，试图窃取用户的登录信息。

BankBot被设计成在世界各大银行（包括花旗银行、WellsFargo、Chase和DiBa）的合法银行应用程序上显示假覆盖，以窃取敏感信息，包括登录名和信用卡详细信息。

BankBot的主要目的是显示假覆盖，它能够执行广泛的任务，例如发送和拦截短信、拨打电话、跟踪受感染的设备以及窃取联系人。

今年早些时候，谷歌从其官方安卓应用商店平台上删除了至少四个以前版本的这种银行特洛伊木马，但BankBot应用程序总是以自己的方式玩商店，目标是来自世界各地主要银行的受害者。

研究人员发现的第二个活动不仅传播与第一个活动相同的BankBot特洛伊木马，还传播Mazar和Red Alert。ESET博客上详细描述了这项活动。
根据Avast移动威胁情报团队与ESET和SfyLabs合作进行的一项分析，BankBot的最新变种一直隐藏在安卓应用程序中，这些应用程序被认为是可信的、看起来无辜的手电筒应用程序。

研究人员于10月13日首次发现了这些恶意的BankBot应用程序，它们使用特殊技术绕过谷歌的自动检测检查，例如在用户授予应用程序的设备管理权限两小时后启动恶意活动，并以不同的开发者名称发布应用程序。

在诱骗受害者下载这些应用程序后，恶意应用程序会根据160个移动应用程序的硬编码列表检查安装在受感染设备上的应用程序。

根据研究人员的说法，这份名单包括来自美国富国银行和大通银行、法国农业信贷银行、西班牙桑坦德银行、德国商业银行以及世界各地许多其他金融机构的应用程序。
如果在受感染的智能手机上发现一个或多个应用程序，恶意软件会从设备上的命令和控制服务器下载并安装BankBot APK，并试图通过使用类似图标和软件包名称假装是游戏商店或系统更新，欺骗受害者授予其管理员权限。

一旦获得管理员权限，每当受害者从恶意软件列表中启动一个应用程序并窃取受害者在其上键入的任何银行信息时，BankBot应用程序就会在合法应用程序的顶部显示overlay。

Avast威胁实验室还提供了一个视频演示，同时使用捷克当地航空银行的应用程序测试该机制。你可以看到该应用如何在几毫秒内创建一个覆盖，并诱骗用户向罪犯提供银行详细信息。

由于许多银行在安全交易中使用双因素身份验证方法，BankBot具有截获短信的功能，允许BankBot背后的犯罪分子窃取发送到客户手机的移动交易号码（mTAN），并将资金转移到他们的账户。
需要注意的一点是，Android机制会阻止应用程序在Play Store之外安装。即使你已经允许从未知来源安装，谷歌仍然要求你按下按钮继续安装。

研究人员指出：“与新版本的BankBot不同，之前活动中的滴管要复杂得多”。“他们应用了一些技术，比如通过可访问性服务在后台执行单击，以便从未知来源进行安装”。

最新的BankBot版本没有利用这一可访问性服务功能，因为谷歌最近屏蔽了所有应用程序的这一功能，为盲人提供服务的应用程序除外。

在收到研究人员的通知后，谷歌已经删除了所有最近发现的BankBot应用程序。

尽管这是一个永无止境的担忧，但保护自己的最佳方式是在下载应用程序时始终保持警惕，即使是从谷歌官方的Play store下载。因此，在从Google Play Store下载应用程序之前，请务必验证应用程序权限和评论。

尽管BankBot应用程序进入了Play Store，但其有效负载是从外部来源下载的。所以，不要让任何未知的第三方APK安装在你的智能手机上。

要执行此操作，请转到设置，安全，然后关闭“允许从Play Store以外的源安装应用”

最重要的是，要小心你授予哪些应用管理权限，因为它功能强大，可以为你的设备提供完整的应用控制。