去年,一款名為「Android 惡意軟體」的惡意軟體異形,出現了。該病毒已經成功繞過了防禦系統Play 商店,Google 的 Android 應用程式商店,感染了 50,000 多台裝置。
在經歷火焰的洗禮時,異形只有一個目標:偷竊銀行詳細信息用戶。他特別攻擊了數十家歐洲金融機構,特別是西班牙和比利時的金融機構。五十多家銀行成為該惡意軟體的目標。
異形病毒轉向加密貨幣
根據 ThreatFabric 的報告,異形已經進化了自從它第一次出現以來。研究人員實際上統計了該惡意軟體的五個版本。該病毒背後的開發者補充道“新功能”最近幾個月。
最重要的是,該惡意軟體現在也針對持有加密貨幣的錢包。在瞄準用戶的銀行標識符之後,它現在瞄準私鑰,即允許存取儲存在區塊鏈錢包上的資金的單字序列。
一個陳腐的陷阱
Xenomorph 的新作案手法是誘捕用戶谷歌瀏覽器。駭客將顯示彈出視窗並顯示 Chrome 瀏覽器有警告“需要更新”。這是一種古老的策略,在無數有問題的網站上仍然很常見。
“瀏覽器更新通常不會宣布需要在螢幕中間執行此操作,尤其是在您衝浪時”, 底線惡意軟體位元組,其中傳達了 ThreatFabric 的發現。
此視窗鼓勵人們一鍵下載並安裝最新的 Chrome 更新。智慧型手機上將安裝包含 Xenomorph 代碼的文件,而不是更新。
虛擬視窗
一旦成功感染手機,惡意軟體將盡一切可能取得受害者的私鑰。主要依靠以下方法錯誤疊加,非常流行銀行病毒。具體來說,Xenomorph 將在應用程式上方顯示一個錯誤窗口,允許您儲存加密貨幣,例如 Metamask。
這些假視窗將接管模仿服務的介面。由於一項新功能,Xenormorph 還可以模仿應用程式的行為,透過WebView顯示合法內容。該 Android 軟體元件可讓您直接在應用程式內顯示網頁內容。因此,病毒不需要改變其圖標,有時會觸發安全警報。
“通過模仿另一個應用程序,Xenomorph 可以避免使用這種技術,[...] Android 惡意軟體的許多典型行為之一,”明確的 ThreatFabric。
然後,用戶將在假視窗中輸入他們的標識符和私鑰,認為他們正在與官方加密應用程式互動。駭客將因此奪取私鑰。有了這些,他們將能夠毫無阻礙地竊取用戶的錢包。資金將透過區塊鏈轉移到另一個地址。
Xenomorph 瞄準了大約一百個應用程式
Xenormorph 的其他新功能包括能夠模擬觸控螢幕點擊的工具。此功能可讓您在使用者不知情的情況下繞過確認畫面或執行其他簡單操作。另一種機制可以防止智慧型手機進入睡眠狀態,以避免資料竊取過程中斷。
多於100 個不同的應用程式可以被 Xenormorph 模仿。 ThreatFabric 表示,該病毒的目標包括銀行和加密服務。例如 Binance、Trust、Poloniex、Coinbase、Kraken、Metamask、Bitpay 或 Bitstamp 等應用程式。請注意,多家比利時銀行仍成為目標,包括 Belfius、Axa、KBC 和 ING。據專家稱,自從該軟體再次成為人們關注的焦點以來,該軟體已經被設備下載了數千次。
來源 : 威脅結構
