Paypal账户双因素验证又怎样?Android木马照窃不误

Paypal账户双因素验证又怎样?Android木马照窃不误

2018年首次检测到了一种Andorid木马,该木马混合远程控制银行木马和新型Android辅助功能的误用,针对的是PayPal应用程序用户。恶意软件伪装成电池优化工具,并通过第三方应用商店分发。

运行方式

恶意程序在启动后不提供任何功能,并将图标隐藏,之后,其功能可分为两个主要部分,描述如下:

针对PayPal的恶意访问服务

该恶意软件的首要功能是从受害者的PayPal账户上窃取钱财,因此需激活恶意访问服务。如图所示,该请求会呈现给用户的是“启用统计”服务。

Paypal账户双因素验证又怎样?Android木马照窃不误

如受感染设备上安装过官方PayPal应用程序,恶意软件会提示用户启动该程序。一旦用户打开并登录用户,恶意的辅助功能服务(如用户已启用) 便会模仿用户点击,将钱打入攻击者的PayPal地址,全过程只要5秒。

恶意软件并不依赖窃取PayPal登录凭证,而是等待用户自己登录到官方应用时再下手,这样也绕过了PayPal的双因素认证;而启用双因素认证的用户虽说需在登录时完成一项额外操作,但在被攻击时依然难保周全,二者所受伤害并无不同。用户账户如余额不足且未绑定账户,那攻击者也无计可施,但不幸的是恶意访问服务会在每次对该应用激活访问时发起,也就是说攻击可以发起多次。

基于覆盖攻击的银行木马

该恶意软件的第二个功能是使用钓鱼屏幕,在目标合法应用程序上秘密显示。

默认情况下,恶意软件下载五种应用程序(谷歌Play、WhatsApp、Skype、Viber和Gmail)的基于HTML的覆盖屏幕,但初始列表可随时动态更新。其中四个应用覆盖屏幕的信用卡详情(图3); 针对Gmail的登录凭证(图4)。研究人员怀疑这与PayPal的定位功能有关,因PayPal在完成交易后会发邮件提醒,通但过访问受害者Gmail账户,攻击者可以删除这些邮件,保持更长时间不被注意到。

Paypal账户双因素验证又怎样?Android木马照窃不误

Paypal账户双因素验证又怎样?Android木马照窃不误

可以看到合法银行应用程序的覆盖屏幕,要求受害者网上银行账户具有登录凭据。

Paypal账户双因素验证又怎样?Android木马照窃不误

与大多数Android银行木马所使用的覆盖不同,它们锁定前景屏幕上,该技术也被Android 勒索软件所使用,这样可以通过点击后退按钮或主页按钮,防止受害者移除覆盖层。想通过这个覆盖屏幕的唯一方法是填写假表单,所幸即便是随机的无效输入也会让这些屏幕消失。

据研究人员分析,木马作者一直在寻找这种屏幕覆盖机制的进一步用途。恶意软件代码包含字符串,声称受害者电话因显示儿童色情内容而被锁定,须向指定地址发送电子邮件进行解锁,很像早期的手机勒索软件攻击。

除上述两项核心功能外,依靠从C2服务器接收指令,恶意软件还可以:截取并发送短信息;删除所有短信息;更换默认短信应用程序(绕过基于短信的双因素认证);获取联系人列表;拨打电话、获取安装应用列表、安装应用、运行所安装的应用程序、启动套接字通信等。该可访问性木马也潜伏在Google Play中。

研究人员还发现了专门针对巴西用户的五款应用。这些应用在Google Play上是作为追踪其他用户位置的工具发布的,但实际上使用的是一个恶意的辅助服务,最终在合法应用中导向多家银行。此外,这些木马还通过覆盖钓鱼网站页面来获取敏感信息。

Google Play上的其中一款恶意应用:

Paypal账户双因素验证又怎样?Android木马照窃不误

有意思的是这些木马也使用了辅助功能,每当启动杀毒应用或应用程序管理器时,或在字符串提示检测到卸载时反复点击后退键。

确保安全的方法

安装这些恶意应用程序的用户可能已经深受其扰,但如果已经安装了针对PayPal的木马,建议查看自己银行账户上的可疑交易、更换网银密码/PIN码或Gmail密码,一旦发现了未经授权的交易,你可以报告给PayPal问题解决中心。

对被木马覆盖而锁屏设备的建议时使用Android安全模式,之后继续卸载一个名为 “优化Android”的应用程序,位置是设置>通用>一般>应用管理器>应用程序。建议安装过这些木马程序的巴西用户卸载安全模式。

为保证今后的安全,研究人员建议

坚持使用谷歌官方Google Play商店进行下载;

下载前检查下载量、应用程序评价、应用等级、内容等,注意对各个应用的授权;

保持设备更新,使用可靠的手机安全解决方案。

受感染指标(IoCs)

针对PalPal用户的Android木马

SHA-1

 ESET 检测名称

1C555B35914ECE5143960FD8935EA564

Android/Spy.Banker.AJZ

针对巴西用户的Android银行木马

分组名

SHA-1

ESET检测名称

service.webview.kiszweb

FFACD0A770AA4FAA261C903F3D2993A2

Android/Spy.Banker.AKB

service.webview.webkisz

D6EF4E16701B218F54A2A999AF47D1B4

Android/Spy.Banker.AKB

com.web.webbrickd

5E278AAC7DAA8C7061EE6A9BCA0518FE

Android/Spy.Banker.AKB

com.web.webbrickz

2A07A8B5286C07271F346DC4965EA640

Android/Spy.Banker.AKB

 

service.webview.strongwebview

75F1117CABC55999E783A9FD370302F3

Android/Spy.Banker.AKB

针对应用程序(钓鱼覆盖)

com.uber

com.itaucard

com.bradesco

br.com.bb.android

com.netflix

gabba.Caixa

com.itau

任何含“twitter”字符串的应用

针对应用程序(应用内导航)

com.bradesco

gabba.Caixa

com.itau

br.com.bb

任何含“santander”字符串的应用

针对杀毒应用程序和应用管理器

com.vtm.uninstall

com.ddm.smartappunsintaller

com.rhythm.hexise.uninst

com.GoodTools.Uninstalle

mobi.infolife.uninstaller

om.utils.uninstalle

com.jumobile.manager.systemapp

com.vsrevogroup.revouninstallermobi

oo.util.uninstall

om.barto.uninstalle

om.tohsoft.easyuninstalle

vast.android.mobile

om.android.cleane

om.antiviru

om.avira.andro

om.kms.free

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/article/134122.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code