Dr. Web公司曝光,安卓版的银行木马程序在两年前首次被发现,但近期在更新了新的软件勒索功能后,已成为新的全球性的威胁。

被命名为Android.SmsSpy.88.origin的恶意代码最初被发现于2014年,当时主要是针对俄罗斯和独联体国家的用户,其利用垃圾短信进行扩散,短信的内容中包含将用户重定向到诈骗网站的URL。虽然这个木马不是最新的,但是近期因为它完善的功能和服务于各种地下论坛的特点,又使其开始活跃起来。

起初,这个木马可以用来拦截内含有一次性银行密码的用户短信,及可以用来隐蔽地发送文本信息与拨打用户电话,Dr. Web公司研究人员解释说。最终,木马的设计者在信用卡信息窃取方面对该木马进行了更新,其窃取方式是通过在Google Play及若干个俄罗斯著名银行开发的网上银行软件应用上覆盖欺诈输入表单的操作来实现。

从2015年年底开始,研究人员观察到该木马演变出更复杂的版本,新版木马的目标是全球用户。Dr. Web公司研究人员声称他们偶尔发现了超过50个由感染不同版本的Android.Sms Spy.88.origin的移动设备构成的僵尸网络。

总体而言,该木马在200多个国家成功感染超过40,000设备,研究人员说。而且,恶意软件还会采用之前发现过的做法,即伪装成类似Flash Player的正常程序,并且一旦运行都会向用户申请管理员权限。

该木马通过维持受感染设备与指挥和控制(C&C)中心的有效连接,不间断的对感染设备进行窃取银行信息凭证的恶意行为。有用信息一旦被窃取则立即被发送到服务器,这样受害人全部的银行账户就会被攻击者控制。

该恶意代码的目标大约有100个银行应用程序,它会在正常程序的顶部嵌入一个使用WebView(网络视图)构建的钓鱼窗口。该木马的功能类似于一个被命名为Android / Spy.Agent.SI的银行木马,该木马被发现在3月上旬袭击了在澳大利亚,新西兰和土耳其的多家银行的用户。

该木马的配置文件能够远程更新,这也就是说这个木马的持有者实际上可以攻击全球任何一家银行的客户,研究人员说。移动设备的威胁攻击会通过假的Google Play欺诈性支付网页获取用户的银行卡信息,能够拦截和发送短信和彩信,发送USSD请求和传送所有截获的信息到服务器,还能设置锁屏密码和通过特殊格式的对话框锁定受害人的手机主屏幕。

当移动设备的屏幕被锁定后,该木马会发送一个虚假消息通知受害人其设备被锁定是因为非法储存和发布了色情内容,同时告知受害人可以通过iTunes礼品卡的形式支付赎金以解锁设备。

在感染Android.Sms Spy.88.origin的移动设备中,有35.71%的设备运行的是Android 4.4手机系统,研究人员说。不过,使用Android5.1手机系统(占感染设备的14.46%),Android 5.0手机系统(占感染设备的14.10%),Android 4.2手机系统(占感染设备的13.00%)和Android 4.1手机系统(占感染设备的9.88%)的也发生了感染。

安卓银行木马瞄准200多国家100多种APP应用

安卓银行木马瞄准200多国家100多种APP应用 - 敏捷大拇指 - 安卓银行木马瞄准200多国家100多种APP应用


“受害最深的用户所在的国家罗列如下:土耳其(18,29%),印度(8,81%),西班牙(6,90%),澳大利亚(6,87%),德国(5,77%),法国(3.34%),美国(2.95%),菲律宾(2.70%),印度尼西亚(2.22%),意大利(1.99%),南非(1.59%),英国(1.53%),巴基斯坦(1.51%),波兰(1.1%),伊朗(0.98%),沙特阿拉伯(0.96%),中国(0.92%)和孟加拉国(0.85%),”Dr. Web公司声称。

Dr. Web公司研究人员还表示,该木马拥有全球性的分布是因为它的设计者在不同的地下论坛打广告,将它作为商业产品出售。除了木马程序本身,看起来设计者还为客户提供服务端程序,以及管理控制台来管理被感染的设备。

从今年开始,我们已经发现大部分的安卓木马程序的目标都是全球用户,其中包括SlemBunk, Xbot, or Spy.Agent。另外,我们已经看到特里亚达,这个被认为是现在最先进的移动恶意软件,和Asacub与一个新的银行木马一起,威胁行为主要是针对俄罗斯用户。