银行木马假冒应用商店,马来西亚安卓用户遭受进攻
2022.10.19
网络犯罪分子采用各种手段来伪装包括银行木马在内的安卓恶意软件。其中一种方式是编写假的银行软件或篡改正版银行软件后利用他方网站传播。但手机用户经常会得到专业人士的提醒,知道网银软件要从官方软件商店或是各银行官网下载。而且有了一定经验后,用户会注意到一些假冒软件的迹象,如界面反常、语法错误、缺少功能选项等等,因此随着安卓设备用户的安全意识的增强,此类手段逐渐失去了效应。
另一种方式是将银行木马“隐藏”在用户不会产生怀疑的地方,如和银行没有任何关联而用户会感兴趣的各种软件,比如各类应用,包括社交应用、文件处理应用、在线电影院等等。我公司技术人员最新侦测到的恶意软件Android.Banker.5097和Android.Banker.5098使用的正是这种方式。
这些新的银行木马假冒的是网络商店,名称为Olivia Beauty、44 Speed Mart、Eco Queen和Pinky Cat,分别销售不同类别的商品:食品、化妆品、家居用品、儿童商品和宠物用品。
不法分子想利用的是用户已习惯了数字经济的发展趋势和越来越普及的“服务即应用”的理念,也就是很多公司和在线销售商,甚至是社交团体都有自己的手机应用。由于风险意识不足,手机用户经常会从不知名的网站下载此类应用,而网络商店的主要功能就是销售商品,所以用户会更为轻易地在这类应用输入银行卡信息和其他个人信息。恶意软件编写者这是利用了这一点。
Android.Banker.5097和Android.Banker.5098针对的是马来西亚用户,通过恶意网站传播,使用社会工程手段欺骗访客:向其推荐Google Play或AppGallery目录中的网络商店应用,而实际上是直接从这些网站加载APK文件,知名应用商店名称只是用来麻痹用户。安装下载的木马时用户需在手机设置允许相应的操作。
这些木马表面商确实和网络商店应用无异,用户可用查看产品目录、添加到购物车并进行支付,但这些都只是幌子而已,而非实际功能。为吸引用户,商品打出的折扣高达49%至95%。
购买商品时会借送货之名要求输入个人信息,包括姓名、地址、身份证号,某些版本还会要求输入出生年月日。输入的信息会被上传到远程服务器。
之后木马会提示选择支付银行。选择后从远程服务器加载仿造相应银行页面的钓鱼格式,要求输入在该银行的账户名和密码。根据我公司技术人员目前掌握的信息,木马远程服务器仿造其页面的银行有:
- Maybank
- HLB Connect
- CIMB Group
- Public Bank Berhad
- Affin Bank
- BSN (Bank Simpanan Nasional)
- Bank Islam
- AmBank
- Alliance Bank
这一名单还有可能有所改变或者出现新的信贷结构。
在用户完成所谓的“登录”后会出现错误通知,“购买”过程也随之中断。实际上输入的信息也传送到不法分子手中,进而假借用户名义登录账户,获得对银行账号的控制权。
木马具备对一次性确认码短信的拦截功能,隐藏可以通过双重身份认证并防止受害人及时发现并止损。这一功能在Android.Banker.5097和Android.Banker.5098中利用的是不同的方式, Android.Banker.5097使用的是基于JavaScript的专门架构, Android.Banker.5098使用的则是Flutter架构插件。
不法分子利用这些木马不仅能窃取到访问银行账号的机密信息,而且能获得银行的个人信息,并将其用于新的进攻或在黑市销售。
Doctor Web公司再次提请用户注意,从非官方资源下载安卓应用会大大增加设备被感染的风险,被窃取的将不仅是个人信息,还有银行账号的款额。建议安装反病毒软件来抵御银行密码及其他安卓恶意软件。我公司反病毒产品Dr.Web for Android能成功侦测 Android.Banker.5097 和Android.Banker.5098并解除威胁,因此新木马不会对我公司产品用户造成威胁。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
点评
转发
![[VK]](http://st.drweb.cn/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.cn/static/new-www/social/no_radius/twitter.png)
点赞
![[facebook]](http://st.drweb.cn/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments