针对巴西Itaú160的新安卓恶意软件；Unibanco银行客户

研究人员发现了一种新的安卓银行恶意软件，该软件通过类似谷歌Play商店页面的帮助，针对巴西的ItaúUnibanco，在受害者不知情的情况下，在受害者设备上进行欺诈性金融交易。

Cyble研究人员在上周发布的一份报告中说：“这个应用程序有一个类似的图标和名称，可能会诱使用户认为它是与ItaúUnibanco相关的合法应用程序。”。“这名[威胁参与者]创建了一个虚假的谷歌Play商店页面，并以‘sincronizador.apk’的名义托管了针对ItaúUnibanco的恶意软件。”

利用假应用商店页面作为诱饵的策略并不新鲜。今年3月，Meta（以前是Facebook）披露了一次攻击活动的细节，该攻击活动将其平台作为一项更广泛行动的一部分，利用流氓第三方网站对维吾尔族穆斯林进行间谍活动，这些网站使用流行新闻门户网站的复制域，以及设计成类似第三方Android应用商店的网站，攻击者在这些网站上放置假键盘、祈祷词、电子邮件和电子邮件，以及可能吸引目标用户的字典应用程序。

在Cyble观察到的最新实例中，这个伪造的URL不仅模拟了官方的Android应用程序市场，还托管了带有恶意软件的ItaúUnibanco应用程序，此外还声称该应用程序已下载1895897次。

从假定的Google Play Store页面安装并启动Importer应用程序的用户随后会被提示启用可访问性服务以及其他侵入性权限，这些权限允许恶意软件访问通知、检索窗口内容，以及执行点击和滑动手势。

根据研究人员的说法，该特洛伊木马的目标是通过篡改用户的输入字段，在合法的ItaúUnibanco应用程序上执行欺诈性金融交易，加入一长串滥用可访问性API的银行恶意软件。就谷歌而言，它已经开始实施新的限制，以限制这些允许应用程序从Android设备捕获敏感信息的权限的使用。

这远远不是这家总部位于圣保罗的金融服务公司第一次受到出于财务动机的威胁团体的关注。今年4月早些时候，ESET发现了一个名为Janeleiro的新银行特洛伊木马，该木马至少自2019年以来一直在攻击巴西的企业用户，涉及工程、医疗、零售、制造、金融、运输和政府等多个领域。

研究人员说：“威胁参与者不断调整他们的方法，以避免被发现，并通过越来越复杂的技术找到新的方法来瞄准用户。这类恶意应用程序经常伪装成合法应用程序，诱骗用户安装它们。”。

“用户只有在验证应用程序的真实性后才能安装应用程序，并只能从官方的Google Play商店和其他受信任的门户网站安装应用程序，以避免此类攻击。”