我們不能經常說:您不應該直接從簡訊接收的連結或整合在色情網頁上的連結下載 Android 行動應用程式。我們幾乎肯定會找到損壞的軟體。其中一個以這種方式分發並取得了巨大成功,即“Marcher”殭屍網路。這是一種銀行木馬,偽裝成合法且知名的應用程序,例如 Runtastic、WhatsApp 或 Netflix。該惡意軟體存在十多個不同版本,每個版本都會創建一個由數千個殭屍終端組成的殭屍網路。
所有法國銀行都成為目標
2017 年 2 月,來自安全研究人員安全 BV分析了其中一個殭屍網路。該組織主要活躍在法國和德國,分別有 2198 名受害者和 5696 名受害者。他們目前正在分析另一個同等數量級的殭屍,名為“HisHeatWant”,殭屍總數已超過 8,600 隻。法國和德國似乎再次受到影響最大,大約四十個銀行應用程式的帳戶遭到駭客攻擊。所有法國銀行都成為目標:ING、Axa、Banque Populaire、BRED、Société Générale、BNP Paribas、Fortuneo、B For Bank、CIC、Carrefour、Caisse d'Epargne、LCL、Crédit Agricole 等。
https://twitter.com/SfyLabs/status/868921194204061696
感染是如何發生的?當您安裝這個假應用程式時,它會要求一系列不尋常的存取權限,這些權限應該提醒您。為了恢復用戶的銀行標識符,它使用兩種技術:簡訊傳輸以獲取銀行發送的驗證碼;以及完美模擬目標銀行應用程式的虛假介面。具體來說,惡意軟體等待用戶開啟銀行應用程式。然後,它將立即產生一個虛假的登入頁面,該頁面將放置在真實應用程式的頂部。使用者沒有註意到任何事情並輸入他們的憑證,而不知道他們將被轉移到駭客的命令和控制伺服器。
駭客不僅針對銀行應用程序,還針對 Instagram、Play Store、Facebook、Gmail、Amazon 或 Skype 等熱門應用程式。同樣,惡意軟體將產生圖形“疊加層”,鼓勵用戶輸入銀行卡資料。
根據 Securify 分析和飛塔,惡意軟體程式碼相當複雜,特別是在逃避安全研究人員和防毒軟體時。因此,它擁有一整套測試,可以讓它知道它是安裝在真正的智慧型手機上還是模擬器上,並識別任何已安裝的防毒軟體。如果適用,惡意軟體將確保用戶永遠無法使用其防毒軟體。在「HisHeatWant」案例中,駭客成功恢復了 750 多個銀行識別碼和 206 個銀行卡號。
https://twitter.com/SfyLabs/status/869066357257752576
問題在於,僅將應用程式下載限製到 Play 商店是不夠安全的。駭客經常設法將一些損壞的應用程式放在谷歌商店中。這是最近的情況銀行機器人,Securify 也分析了一個銀行木馬,它幾乎使用相同的工作方式。它把自己偽裝成虛假的「有趣影片」應用程式。一旦安裝,它就會試圖透過偽造的登入畫面竊取憑證。簡而言之,保持警惕。
