我们不能经常说:您不应该直接从短信接收的链接或集成在色情网页上的链接下载 Android 移动应用程序。我们几乎肯定会找到损坏的软件。其中一个以这种方式分发并取得了巨大成功,即“Marcher”僵尸网络。这是一种银行木马,伪装成合法且知名的应用程序,例如 Runtastic、WhatsApp 或 Netflix。该恶意软件存在十多个不同版本,每个版本都会创建一个由数千个僵尸终端组成的僵尸网络。
所有法国银行都成为目标
2017 年 2 月,来自安全研究人员安全 BV分析了其中一个僵尸网络。该组织主要活跃在法国和德国,分别有 2198 名受害者和 5696 名受害者。他们目前正在分析另一个同等数量级的僵尸,名为“HisHeatWant”,僵尸总数已超过 8,600 只。法国和德国似乎再次受到影响最大,大约四十个银行应用程序的账户遭到黑客攻击。所有法国银行都成为目标:ING、Axa、Banque Populaire、BRED、Société Générale、BNP Paribas、Fortuneo、B For Bank、CIC、Carrefour、Caisse d'Epargne、LCL、Crédit Agricole 等。
https://twitter.com/SfyLabs/status/868921194204061696
感染是如何发生的?当您安装这个假应用程序时,它会要求一系列不寻常的访问权限,这些权限应该提醒您。为了恢复用户的银行标识符,它使用两种技术:短信传输以获取银行发送的验证码;以及完美模拟目标银行应用程序的虚假界面。具体来说,恶意软件等待用户打开银行应用程序。然后,它将立即生成一个虚假的登录页面,该页面将放置在真实应用程序的顶部。用户没有注意到任何事情并输入他们的凭据,而不知道他们将被转移到黑客的命令和控制服务器。
黑客不仅针对银行应用程序,还针对 Instagram、Play Store、Facebook、Gmail、Amazon 或 Skype 等流行应用程序。同样,恶意软件将生成图形“叠加层”,鼓励用户输入银行卡数据。
根据 Securify 分析和飞塔,恶意软件代码相当复杂,特别是在逃避安全研究人员和防病毒软件时。因此,它拥有一整套测试,可以让它知道它是安装在真正的智能手机上还是模拟器上,并识别任何已安装的防病毒软件。如果适用,恶意软件将确保用户永远无法使用其防病毒软件。在“HisHeatWant”案例中,黑客成功恢复了 750 多个银行标识符和 206 个银行卡号。
https://twitter.com/SfyLabs/status/869066357257752576
问题在于,仅将应用程序下载限制到 Play 商店是不够安全的。黑客经常设法将一些损坏的应用程序放在谷歌商店中。这是最近的情况银行机器人,Securify 也分析了一个银行木马,它使用几乎相同的工作方式。它把自己伪装成虚假的“有趣视频”应用程序。一旦安装,它就会试图通过伪造的登录屏幕窃取凭据。简而言之,保持警惕。
