ThreatFabric 研究人員發現了這種存在兩個惡意軟體在le Play 商店,谷歌的應用程式商店。這家荷蘭公司在報告中首先提到了案例鯊魚機器人,一種特洛伊木馬,旨在竊取受害者的銀行詳細資料。正如 ThreatFabric 所解釋的那樣,這並不是 SharkBot 第一次在 Play 商店中引人注目。
病毒如何誘騙 Android 用戶
報告指出,作為活動的一部分,駭客不遺餘力地欺騙谷歌。事實上,他們成功地繞過群組安全系統與“滴管»(或 dropper),一種偽裝惡意程式碼的電腦工具。因此,在驗證過程中,該應用程式在 Google 看來是合法且無害的。惡意負載在安裝後部署。
為了說服受害者安裝有效負載,螢幕上會疊加一個虛假的 Play 商店頁面。它要求用戶安裝應用程式更新他剛剛下載的。此更新包含旨在獲取銀行詳細資訊的有效負載。
«由於受害者確定應用程式的來源,他們很可能會安裝並執行有效負載»,明確的 ThreatFabric。
電腦安全專家也發現了惡意軟體禿鷹在平台上。同樣,這是一個能夠收集 Android 用戶銀行數據的特洛伊木馬。與 SharkBot 類似,Vultur 也包含了用來逃避 Google 的釋放器。
一旦安裝,病毒就會大量繁殖取得敏感資料的策略,包括銀行詳細資料和密碼。例如,它們能夠記錄在虛擬鍵盤上輸入的單字、顯示疊加視窗、收集電話簿或攔截所有收到的簡訊。此技術可讓您擷取應用程式發送的驗證碼。
超過 200 個 Android 應用程式成為目標
兩個惡意軟體的目標超過 231 個應用程式。大多數目標應用程式都涉及銀行或金融服務。其中包括 N26、PayPal、Aion Bank、Bunq 和 Revolut 等線上服務。法國銀行也成為目標:
- 荷蘭國際集團法國
- 布列塔尼互助信貸銀行
- 法國巴黎銀行
- 布爾索拉馬
- 中投公司
- 信用互助
- 橘色銀行
- 銀行您好!法國巴黎銀行
- 農業信貸銀行
- 拼箱
- 法國匯豐銀行
- 馬法國銀行
- 法國興業銀行
請注意,病毒還旨在竊取加密貨幣由他們的受害者持有。 SharkBot 和 Vultur 的目標是大量用於加密資產的應用程序,例如交易平台(Binance、Crypto.com、Bitfinex、Bitpanda、Bittrex、Bybit、Coinbase、eToro、Gemini、Kraken...)以及錢包數字(MetaMask、BlueWallet 等)。然後,惡意軟體會收集憑證(密碼和使用者名稱)或私鑰。
居住在法國、義大利、英國、德國、西班牙、波蘭、奧地利、美國、澳洲或荷蘭的使用者都是網路犯罪分子的目標。
緊急卸載的五個Android應用程式
這兩種病毒成功地隱藏在五個 Android 應用程式的程式碼中。總的來說,這些損壞的應用程式累積安裝量超過 13 萬次透過商店。
接到 ThreatFabric 的警報後,Google 從 Play 商店中刪除了這些應用程式。如果您在智慧型手機或平板電腦上安裝了這些應用程序,我們建議您緊急刪除它們:
- 2022 年稅法
- 檔案管理器小型、精簡版
- 我的財務追蹤器
- 恢復音訊、影像和視頻
- 澤特認證器
卸載後,花點時間更改您所有的密碼。我們也建議您監控銀行帳戶上的任何可疑交易。還要確保您的加密貨幣始終存儲在您的數位錢包或您選擇的交易所中。最後,隨意安裝一款優秀的 Android 防毒軟體保護您免受駭客攻擊。
來源 : 威脅結構
