无孔不入的特洛伊木马,Google Play再曝安全隐患

无孔不入的特洛伊木马,Google Play再曝安全隐患

谷歌Play商店中一款最新的恶意应用程序通过伪装成电话录音工具,从欧洲数家银行的客户那儿窃取钱财。

该恶意软件被植入的是一款名为QRecorder的应用程序,表明上看仍然是自动呼叫及语音记录工具。实际上恶意应用程序安装后,会主动拦截文本消息并请求允许其界面覆盖其他应用程序。截至目前,QRecorder的下载量已经超过1万次。

无孔不入的特洛伊木马,Google Play再曝安全隐患

该银行木马使用了一种创新的方式,借助网络钓鱼覆盖绕过2FA。值得注意的是,这一恶意程序并没有直接进行钓鱼攻击,因为它本身没有任何特洛伊木马的功能。它会潜伏在用户设备中等待攻击者激活指令并下载特洛伊木马恶意载荷。这些功能允许其捕获用户通过SMS接收的双因素身份验证码,并记录用户屏幕上的信息。

攻击者会根据受感染Android设备上的具体应用程序决定攻击行动方针。只有在安装了德国、波兰和捷克的18家银行应用程序后,攻击才会进一步升级。在下载恶意负载之前,QRecorder会首先要求目标激活它以便为将来的一系列活动做好准备。

无孔不入的特洛伊木马,Google Play再曝安全隐患

ESET安全研究员Lukas Stefanko表示,QRecorder应用程序的录音功能正常工作,因此受害者很难发现恶意攻击活动。

根据Stefanko的说法,攻击者会在恶意软件安装后的24小时发送一些指令,其中一个指令是请求扫描设备以查找特定的银行应用程序。每当目标银行应用程序启动时,植入特洛伊木马的QRecorder都会弹出一个请求页面(实际上为钓鱼页面),该网页会收集记录登录凭据并将其发送给攻击者。

捷克电视台称,该恶意软件的攻击目标主要是Raiffeisen银行以及捷克国内最大的两家银行ČSOB和Česká Spořitelna。Stefanko的分析也显示,受恶意软件监控的金融机构数量庞大,其中Air Bank、Equa、ING、Bawag、Fio、Oberbank和Bank Austria也都没能幸免。

无孔不入的特洛伊木马,Google Play再曝安全隐患

Stefanko表示:“基于应用程序和有效载荷中使用的语言种类变化,我可以判定攻击的主要目标是德国,波兰和捷克的银行。对于不同的银行应用程序,攻击者们创建了针对性的不同有效载荷。但是,我还无法获得解密密钥并确定所有的攻击目标。”

该银行特洛伊木马是BankBot的变体

这一木马已经确定为Razdel,是BankBot (Anubis I) 移动银行木马的变体,目前并不常见。安全研究机构ThreatFabric分析了Razdel,发现其攻击目标并不固定,取决于攻击者所针对的地区。捷克一家出版社的初步统计显示,每1000次程序下载会导致两名受害者中招,合计损失约10,900欧元。

Google Play的应对措施

Google Play中的银行特洛伊木马事件层出不穷。Stefanko 本月初报告了其中几次,另一家安全公司Avast的Nikolas Chrysaidos也分享过有关此类恶意活动的细节信息。

ESET技术总监Miroslav Dvořák表示,QRecorder应用程序的下载量之高,是因为其最初的确是一款合法的应用程序,只是在上次更新版本中,开发人员决定将银行特洛伊木马植入其中以便快速赚钱。

目前,这款被植入恶意木马的软件已经从官方Android商店中下架了。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/114360.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code