今天,网络安全组织东方联盟安全研究人员发现了一种新型的银行恶意软件,不仅针对银行应用,而且还从社交网络,约会和加密货币应用中窃取了数据和凭证,目标列表中共有337种非金融Android应用。研究人员将其命名为“ BlackRock ”,该漏洞于5月发现了该木马,其源代码来自泄漏版本的Xerxes银行恶意软件,它本身是LokiBot Android银行木马的变种,该木马最初于2016-2017年期间被观察到。
它的主要功能是窃取用户凭据,拦截SMS消息,劫持通知,甚至还可以从目标应用程序记录击键,此外还可以隐藏防病毒软件。
国际知名白帽黑客、东方联盟创始人郭盛华表示:“ [BlackRock]木马不仅对其代码进行了更改,而且还增加了目标列表,并且运行了更长的时间。它包含许多社交,网络,通信和约会应用程序,这些应用程序在其他现有银行木马的目标列表中还没有发现。”
android银行恶意软件应用程序
东方联盟安全研究人员通过滥用Android的Accessibility Service特权进行数据收集,当它首次在设备上启动时,BlackRock会以伪造的Google更新为幌子寻求用户的许可,如共享的屏幕快照所示。
随后,它继续授予自己其他权限,并与远程命令与控制(C2)服务器建立连接,以通过在目标应用程序的登录和付款屏幕上方注入覆盖来执行其恶意活动。
在欧洲,澳大利亚,美国和加拿大运行的银行应用程序以及购物,通讯和商业应用程序中都可以找到这些凭据窃取的覆盖图。
安全研究人员表示:“非金融应用的目标列表包含著名的应用,例如但不限于Tinder,TikTok,PlayStation,Facebook,Instagram,Skype,Snapchat,Twitter,Grinder,VK,Netflix,Uber,eBay,Amazon,Reddit和Tumblr。"
这不是移动恶意软件第一次滥用Android的可访问性功能。
今年早些时候,IBM X-Force研究人员详细介绍了一个名为TrickMo的新TrickBot活动,该活动专门针对使用恶意软件的德国用户,这些恶意软件滥用了可访问性功能来拦截一次性密码(OTP),移动TAN(mTAN)和pushTAN身份验证代码。
然后在4月,Cybereason发现了另一类称为EventBot的银行恶意软件,该恶意软件利用相同的功能从金融应用程序中窃取敏感数据,读取用户SMS消息并劫持基于SMS的两因素身份验证代码。
东方联盟安全研究人员总结道:“在Alien,Eventbot和BlackRock之后,我们可以预期出于财务动机的威胁参与者将建立新的银行木马并继续改进现有的木马。”
“随着我们期望对移动银行木马进行的更改,银行恶意软件和间谍软件之间的界线将变得更细,并且银行恶意软件将对更多组织构成威胁。”(欢迎转载分享)