近日���,來自 ThreatFabric 的研究人員發(fā)現(xiàn)了一種名為Xenomorph的新Android銀行木馬�,它通過已安裝超過 50,000 次的官方 google Play 商店分發(fā)。該銀行木馬已攻擊 56 家歐洲銀行���,并從其客戶的設(shè)備中竊取敏感信息����。對代碼的分析顯示存在未實現(xiàn)的功能和大量的日志記錄��,這種情況表明這種威脅正在積極開發(fā)中�����。
詳細(xì)內(nèi)容
Xenomorph共享與Alien銀行木馬重疊����,但它的功能與Alien的功能完全不同。研究人員推測���,這兩種惡意軟件可能是由同一行為者開發(fā)的�����,或者至少是由熟悉 Alien 銀行木馬代碼庫的人開發(fā)的���。
Alien于2020年9月被ThreatFabric發(fā)現(xiàn)����,它實現(xiàn)了多種功能����,允許它從226個應(yīng)用程序中竊取憑據(jù)���。外星人操作提供惡意軟件即服務(wù) (MaaS)�����,并在幾個地下黑客論壇上做廣告�。據(jù)研究人員稱��,Alien借用了Cerberus惡意軟件的部分源代碼�。
ThreatFabric 指出,Cerberus 運營商試圖出售他們的項目�,因為由于犯罪團(tuán)伙中開發(fā)團(tuán)隊的缺陷,惡意軟件中的幾個問題長期沒有得到解決��。解決問題的延遲使 Google Play Protect 能夠檢測到所有受感染設(shè)備上的威脅���。Alien不受相同問題的影響�����,這也是其MaaS模式成功的原因
Alien 被認(rèn)為是下一代銀行木馬����,它還在其代碼庫中實現(xiàn)了遠(yuǎn)程訪問功能。Xenomorph 與 Alien 一樣���,能夠繞過 Google Play 商店實施的安全保護(hù)����,研究人員在官方商店中發(fā)現(xiàn)它偽裝成生產(chǎn)力應(yīng)用程序�,例如“Fast Cleaner”。
快速清潔器 (vizeeva.fast.cleaner) 仍可在 Play 商店中使用��,對疊加層的分析顯示 Xenomorph 是針對來自西班牙����、葡萄牙、意大利和比利時的用戶以及一些通用應(yīng)用程序(如電子郵件服務(wù))開發(fā)的和加密貨幣錢包���。
Xenomorph 利用 由Accessibility Services 權(quán)限支持的經(jīng)典覆蓋攻擊作為攻擊媒介����。
一旦惡意軟件在設(shè)備上啟動并運行,它的后臺服務(wù)就會在設(shè)備上發(fā)生新情況時接收可訪問性事件���。如果打開的應(yīng)用程序是目標(biāo)列表的一部分�����,則 Xenomorph 將觸發(fā)覆蓋注入并顯示冒充目標(biāo)包的 WebView Activity。這里是觸發(fā)覆蓋的幾個示例���。此外�����,惡意軟件能夠濫用輔助功能服務(wù)來記錄設(shè)備上發(fā)生的一切����。在撰寫本文時�,收集到的所有信息僅顯示在本地設(shè)備日志上,但將來只需進(jìn)行非常小的修改就足以為惡意軟件添加鍵盤記錄和可訪問性記錄功能�����。
Xenomorph 顯示了騙子對利用 Google Play 商店傳播惡意軟件的興趣,以及他們致力于繞過 Google 實施的安全檢查的努力�����。
Xenomorph 的出現(xiàn)再次表明�,威脅行為者正在將注意力集中在在官方市場上登陸應(yīng)用程序上��?紤]到我們最近觀察到 美杜莎和卡巴蘇斯也在并排發(fā)行��,這也是滴管和分銷參與者的地下市場活動增加的一個信號����。Xenomorph 目前是一款普通的 Android 銀行木馬,有很多尚未開發(fā)的潛力���,很快就會發(fā)布����,F(xiàn)代銀行惡意軟件正在以非�?斓乃俣劝l(fā)展,犯罪分子開始采用更精細(xì)的開發(fā)實踐來支持未來的更新����。Xenomorph 處于這一變化的最前沿�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
