去年,Android 恶意软件名为异形,出现了。该病毒已经成功绕过了防御系统Play 商店,Google 的 Android 应用商店,感染了 50,000 多台设备。
在接受火焰的洗礼时,异形只有一个目标:偷窃银行详细信息用户。他特别攻击了数十家欧洲金融机构,特别是西班牙和比利时的金融机构。五十多家银行成为该恶意软件的目标。
异形病毒转向加密货币
根据 ThreatFabric 的报告,异形已经进化了自从它第一次出现以来。研究人员实际上统计了该恶意软件的五个版本。该病毒背后的开发者补充道“新功能”最近几个月。
最重要的是,该恶意软件现在还针对持有加密货币的钱包。在瞄准用户的银行标识符之后,它现在瞄准私钥,即允许访问存储在区块链钱包上的资金的单词序列。
一个陈腐的陷阱
Xenomorph 的新作案手法是诱捕用户谷歌浏览器。黑客将显示弹出窗口并显示 Chrome 浏览器有警告“需要更新”。这是一种古老的策略,在无数可疑的网站上仍然很常见。
“浏览器更新通常不会宣布需要在屏幕中间执行此操作,尤其是在您冲浪时”, 下划线恶意软件字节,其中传达了 ThreatFabric 的发现。
此窗口鼓励人们一键下载并安装最新的 Chrome 更新。智能手机上将安装包含 Xenomorph 代码的文件,而不是更新。
虚拟窗口
一旦成功感染手机,恶意软件将尽一切可能获取受害者的私钥。主要依靠以下方法错误叠加,非常流行银行病毒。具体来说,Xenomorph 将在应用程序上方显示一个错误窗口,允许您存储加密货币,例如 Metamask。
这些假窗口将接管模仿服务的界面。由于一项新功能,Xenormorph 还可以模仿应用程序的行为,通过WebView显示合法内容。该 Android 软件组件允许您直接在应用程序内显示网页内容。因此,病毒不需要更改其图标,这有时会触发安全警报。
“通过模仿另一个应用程序,Xenomorph 可以避免使用这种技术,[...] Android 恶意软件的许多典型行为之一,”明确的 ThreatFabric。
然后,用户将在假窗口中输入他们的标识符和私钥,认为他们正在与官方加密应用程序进行交互。黑客将因此夺取私钥。有了这些,他们将能够毫无阻碍地窃取用户的钱包。资金将通过区块链转移到另一个地址。
Xenomorph 瞄准了大约一百个应用程序
Xenormorph 的其他新功能包括能够模拟触摸屏点击的工具。此功能允许您在用户不知情的情况下绕过确认屏幕或执行其他简单操作。另一种机制可以防止智能手机进入睡眠状态,以避免数据盗窃过程中断。
多于100 个不同的应用程序可以被 Xenormorph 模仿。 ThreatFabric 表示,该病毒的目标包括银行和加密服务。示例包括 Binance、Trust、Poloniex、Coinbase、Kraken、Metamask、Bitpay 或 Bitstamp 等应用程序。请注意,多家比利时银行仍成为目标,包括 Belfius、Axa、KBC 和 ING。据专家称,该软件自回归以来已经被设备下载了数千次。
来源 : 威胁结构
