ThreatFabric 研究人员发现了这种存在两个恶意软件在le Play 商店,谷歌的应用程序商店。这家荷兰公司在其报告中首先提到了案例鲨鱼机器人,一种特洛伊木马,旨在窃取受害者的银行详细信息。正如 ThreatFabric 所解释的那样,这并不是 SharkBot 第一次在 Play 商店中引人注目。
病毒如何诱骗 Android 用户
报告指出,作为此次活动的一部分,黑客不遗余力地欺骗谷歌。事实上,他们成功地绕过群组安全系统与“滴管»(或 dropper),一种伪装恶意代码的计算机工具。因此,在验证过程中,该应用程序在 Google 看来是合法且无害的。恶意负载在安装后部署。
为了说服受害者安装有效负载,屏幕上会叠加一个虚假的 Play 商店页面。它要求用户安装应用程序更新他刚刚下载的。此更新包含旨在获取银行详细信息的有效负载。
«由于受害者确定应用程序的来源,他们很可能会安装并执行有效负载»,明确的 ThreatFabric。
计算机安全专家还发现了恶意软件秃鹫在平台上。同样,这是一个能够收集 Android 用户银行数据的特洛伊木马。与 SharkBot 类似,Vultur 也包含了用来逃避 Google 的释放器。
一旦安装,病毒就会大量繁殖获取敏感数据的策略,包括银行详细信息和密码。例如,它们能够记录在虚拟键盘上输入的单词、显示叠加窗口、收集电话簿或拦截所有收到的短信。此技术允许您捕获应用程序发送的验证码。
超过 200 个 Android 应用程序成为目标
两个恶意软件的目标超过 231 个应用程序。大多数目标应用程序都涉及银行或金融服务。其中包括 N26、PayPal、Aion Bank、Bunq 和 Revolut 等在线服务。法国银行也成为目标:
- 荷兰国际集团法国
- 布列塔尼互助信贷银行
- 法国巴黎银行
- 布尔索拉马
- 中投公司
- 信用互助
- 橙色银行
- 银行您好!法国巴黎银行
- 农业信贷银行
- 拼箱
- 法国汇丰银行
- 马法国银行
- 法国兴业银行
请注意,病毒还旨在窃取加密货币由他们的受害者持有。 SharkBot 和 Vultur 的目标是大量用于加密资产的应用程序,例如交易平台(Binance、Crypto.com、Bitfinex、Bitpanda、Bittrex、Bybit、Coinbase、eToro、Gemini、Kraken...)以及钱包数字(MetaMask、BlueWallet 等)。然后,恶意软件会收集凭据(密码和用户名)或私钥。
居住在法国、意大利、英国、德国、西班牙、波兰、奥地利、美国、澳大利亚或荷兰的用户都是网络犯罪分子的目标。
紧急卸载的五个Android应用程序
这两种病毒成功地隐藏在五个 Android 应用程序的代码中。总的来说,这些损坏的应用程序累积安装量超过 130,000 次通过商店。
接到 ThreatFabric 的警报后,Google 从 Play 商店中删除了这些应用程序。如果您在智能手机或平板电脑上安装了这些应用程序,我们建议您紧急删除它们:
- 2022 年税法
- 文件管理器小型、精简版
- 我的财务追踪器
- 恢复音频、图像和视频
- 泽特认证器
卸载后,花点时间更改您所有的密码。我们还建议您监控银行帐户上的任何可疑交易。还要确保您的加密货币始终存储在您的数字钱包或您选择的交易所中。最后,随意安装一款优秀的 Android 防病毒软件保护您免受黑客攻击。
来源 : 威胁结构
