在野外发现的火热安卓恶意软件的更隐蔽版本
来自巴西的银行应用程序正被一种更难以捉摸、更隐蔽的安卓远程访问特洛伊木马(RAT)攻击,该木马能够通过窃取双因素身份验证(2FA)代码和从受感染的设备发起恶意交易,将资金从受害者的帐户转移到一个帐户来实施金融欺诈攻击由威胁行动方操作
IBM X-Force将经过。ThreatFabric称,这只移动老鼠最早出现在2018年11月左右
“事实证明,其开发人员一直在努力使恶意软件比以前更加灵活,移动其核心覆盖机制,以实时从指挥与控制(C2)服务器上拉出假覆盖屏幕,”IBM X-Force研究员沙哈尔·塔沃在上周发布的一篇技术深度报道中指出。“恶意软件[…;]允许攻击者记录击键、提取密码、接管、启动交易,并获取其他交易授权详细信息以完成交易。"
Brazzing和它的前身一样,滥用可访问性权限对银行应用程序执行覆盖攻击,但不是从硬编码的URL检索假屏幕,并将其显示在合法应用程序之上,该过程现在在服务器端进行,这样就可以在不更改恶意软件本身的情况下修改目标应用程序的列表
银行特洛伊木马(如Brazzing)尤其阴险,因为安装后,它们只需要受害者的一次操作,即启用Android的可访问性服务,即可完全释放其恶意功能。在具备必要权限的情况下,该恶意软件从受感染的机器收集情报,包括读取短信、捕获击键和访问联系人列表
“易访问性服务长期以来被认为是Android操作系统的致命弱点,”ESET研究员卢卡斯·斯特凡科去年说
“如果用户试图将设备恢复到出厂设置,Brazzing会比人类更快地点击“后退”和“主页”按钮,防止他们以这种方式删除恶意软件,”塔沃解释说
该恶意软件的最终目标是允许对手与设备上正在运行的应用程序进行交互,监视用户在任何给定时间点正在查看的应用程序,记录银行应用程序中输入的击键,并显示欺诈性覆盖屏幕,以虹吸支付卡的PIN码和2FA代码,并最终进行未经授权的交易
“大型桌面银行特洛伊木马程序长期以来一直在放弃消费者银行领域,在BEC欺诈、勒索软件攻击和高价值个人抢劫中获得更大的好处,”塔沃说。“这一点,再加上网上银行向移动银行转型的持续趋势,导致地下网络犯罪领域的空白被移动银行恶意软件填补。”
