一个全新的Android银行木马最近刚刚被发现。这种特殊的恶意软件甚至能够通过滥用ATS绕过关键的多因素身份验证控制。
研究人员发现了新的特洛伊鲨鱼机器人
在10月底,Cleafy网络安全研究人员发现了这种恶意软件,令人惊讶的是,它似乎不属于任何其他已知的家族。Cleafy他们发现的恶意软件名为SharkBot,这是一种Android恶意软件,可以从一些易受攻击的手机上窃取资金。
根据故事由ZDNet在美国,SharkBot的重点是从运行谷歌安卓操作系统的手机中窃取资金。截至目前,英国、美国和意大利已经出现了感染病例。
什么是SharkBot木马?
现在人们认为SharkBot很可能是一个私人僵尸网络,它还处于婴儿期或至少是发展的早期阶段。根据研究人员的说法,SharkBot是一种属于下一代移动恶意软件的模块化恶意软件。
下一代恶意软件大多是基于自动传输系统(ATS)进行攻击的。ATS被恶意软件滥用了,它允许攻击者自动填充受感染设备上的字段,即使只需要最少的人工输入。
SharkBot木马是如何工作的?
像Gustuff银行木马一样,自动填充服务的推出是为了通过使用合法的金融服务应用程序进行欺诈性转账。这已经开始成为恶意软件开发的一种普遍趋势,并且是发生在手机上的老式盗窃技术(如钓鱼域名)的一个转折点。万博体育登录首页
Cleafy现在建议SharkBot使用这种技术来尝试绕过生物特征检查、行为分析和多因素万博体育登录首页认证,因为不需要注册新设备。然而,要做到这一点,恶意软件必须首先破坏Android辅助服务。
利用ATS获取访问权限
一旦最终在Android手机上执行,SharkBot就会立即发送访问权限请求。这将困扰受害者弹出窗口,直到最终批准。
狡猾的部分是没有显示安装图标,一旦SharkBot获得所需的所有手机权限,SharkBot就会悄悄地叠加攻击来窃取凭证和卡片信息。SharkBot还可以基于ATS执行盗窃,还可以关键日志和拦截或隐藏任何传入的SMS消息。
银行业木马是如何运作的
研究人员指出,银行木马能够代表受害者进行“手势”。这些类型的恶意软件可以针对国际银行提供的应用程序以及加密货币服务。
然而,幸运的是,目前在官方Android应用程序存储库(也称为谷歌Play Store)上还没有找到样本。相反,这种恶意软件是通过侧面加载从外部源加载的。目前,据报道,SharkBot在某些反病毒解决方案中的检测率可能较低。
本文归科技时报所有万博体育登录首页
作者:Urian B。
