Android 银行木马如何窃取密码并盗取银行账户的资金

X0_0X2024-03-05 09:24:20

Android 银行木马善于伪装,在日常使用中很难被发现,是想要自动窃取在线资金的网络犯罪分子最喜欢的黑客工具之一。仅去年一年就检测到了 88,500 个Android 银行木马,对用户构成严重威胁。

什么是 Android 银行木马?


Android 银行木马(以及所有网络木马)背后的想法很简单:就像“特洛伊木马”一样,Android 银行木马伪装成良性、合法的移动应用程序,一旦安装在设备上,就会暴露出其恶意。通过伪装成二维码阅读器、健身追踪器以及摄影工具等日常移动应用程序,拦截用户的某个应用程序,然后提供一种恶意工具供网络犯罪分子滥用。


错误的移动应用程序下载可能会导致设备被完全控制或泄露详细的私人信息,例如您的电子邮件、社交媒体和银行登录信息。


Android 银行木马如此棘手的原因在于,一旦安装,它们就会呈现看似合法的权限屏幕,要求用户以改进功能的幌子,向新应用程序授予对其设备的各种访问权限。


以SharkBot银行木马为例,Android 银行木马将自己隐藏为名叫“RecoverFiles”的文件恢复工具。一旦安装在设备上,“RecoverFiles”就会要求访问“该设备上的照片、视频、音乐和音频”,以及访问文件、映射和与其他应用程序对话,甚至可以通过 Google Play 进行付款。


这些正是恶意软件想要窃取用户名、密码和其他重要信息所需的权限。


打开“RecoverFiles”时的介绍屏幕可以看见它要求用户提供的后续权限,而安装后,它在设备主屏幕上不可见。



该应用程序不仅是 Android 银行木马的巧妙包装,而且还可以被视为隐藏包装。一旦安装在设备上,“RecoverFiles”应用程序图标本身不会显示在设备的主屏幕上。这种隐形策略类似于跟踪软件类型应用程序的功能,可用于在未经同意的情况下监视他人的活动。


在 Android 银行木马开发领域,网络犯罪分子设计出了比简单伪装更为狡猾的方案。


隐藏在看似良性的应用程序之下


Android 银行木马的制造者必须克服 Google 类似(而且更先进)的安全措施。随着 Google Play 商店已成为Android 应用程序的首选市场,网络犯罪分子试图将其恶意应用程序放在 Google Play 上,以捕获最多的受害者。但 Google Play 的安全措施经常检测到恶意软件并阻止其被列出。


那么,网络犯罪分子会怎么办?


在这些情况下,网络犯罪分子会制作看似良性的应用程序,实际上从互联网上的其他地方下载恶意软件,


据报道,进入 Google Play 商店的恶意应用程序看似是PDF 阅读器读取 PDF,文件管理器管理文件,但隐藏在应用程序代码中的用户实际上是在下载一组指示其设备安装恶意软件的指令。这些恶意软件包有时被称为“恶意软件植入程序”。

  

这对用户来说意味着什么?


任何 Android 银行木马内部都有大量技术人员,这些技术人员都是为了实现最终目标,即窃取受害者的钱。


所有伪装、诡计和隐藏代码执行都是较长攻击链的一部分,其中 Android 银行木马会窃取您的密码和个人身份信息,然后使用该信息窃取您的资金。

正如在 2024 年 ThreatDown 恶意软件状况报告中所写的:“一旦获得访问权限,恶意软件就会初始化其自动传输系统(ATS)框架,这是一组复杂的脚本和命令,旨在在无需用户干预的情况下执行自动银行交易。”


远离 Android 银行木马


保护自己免受 Android 银行木马的侵害并不像发现网络钓鱼电子邮件中的语法错误或拒绝点击来自未知号码的短信中发送的任何链接那么简单。


虽然 Android 银行木马难以用肉眼检测,但并不意味着它们无法被阻止,利用安全工具可以检测和阻止意外安装在设备上的 Android 银行木马。


参考及来源:https://www.malwarebytes.com/blog/news/2024/02/android-banking-trojans-how-they-steal-passwords-and-drain-bank-accounts


银行android开发
本作品采用《CC 协议》,转载必须注明作者和本文链接
SOVA 是一种新的 Android 银行木马,针对来自美国和西班牙的银行应用程序、加密货币钱包和购物应用程序。
Android 特洛伊木马
2021-10-13 07:55:27
研究人员表示,一种名为SOVA(俄语为“猫头鹰”)的新型Android银行木马正在积极开发中,即使在起步阶段,它也表现的野心勃勃。该恶意软件希望将分布式拒绝服务(DDoS)、中间人(MiTM)和RANSOMSORT功能整合到其武器库中——在现有的银行覆盖、通知操作和键盘记录服务之上。
Android 银行木马善于伪装,在日常使用中很难被发现,是想要自动窃取在线资金的网络犯罪分子最喜欢的黑客工具之一。仅去年一年就检测到了 88,500 个Android 银行木马,对用户构成严重威胁。
本周漏洞态势研判情况 本周信息安全漏洞威胁整体评价级别 为中。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数7660个,与上周环比减少30%。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。工控系统行业漏洞统计本周重要漏洞安全告警 本周,CNVD整理和发布以下重要安全漏洞信息。
欧洲议会正在举行听证会,特别关注以色列的NSO集团及其旗舰Pegasus间谍软件。Tykelab由意大利著名窃听公司RCS所有,该公司以Ubiqo的名义将Tykelab 的技术转售给执法和情报机构。
本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数10876个,与上周环比增加57%。本周,CNVD发布了《Oracle发布2022年7月的安全公告》。表1 漏洞报 送情况统计表 本周漏洞按类型和厂商统计 本周 ,CNVD收录了347个漏洞。表2 漏洞按影响类型统计表 图6 本周漏洞按影响类型分布
2021年8月23日-2021年8月29日 本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。
一家银行木马针对的是巴西的移动应用程序用户,研究人员警告说,其运营商已计划将业务扩展到国外。网络罪犯可以使用该木马绕过金融机构的安全和反欺诈措施,以便在受害者的智能手机上进行欺诈性交易。Kaspersky遥测显示,目前Ghimob移动银行木马的所有受害者目前位于巴西。研究人员说,Ghimob表明,Guildma一直在努力引进新技术,创建新的恶意软件并针对新的受害者。展望未来,研究人员建议金融机构密切注意这些威胁。
来自ThreatFabric的研究人员发现并分析了一种新的Android恶意软件,被称为Alien的恶意软件具有多种功能,可以窃取226个应用程序的证书。 Alien首次出现在今年年初的威胁领域,它的销售模式是malwareas -a- service (...
近段时间以来,就有黑客开发了针对Android系统的恶意软件。网络安全员经过分析后发现,这种类型的银行木马往往会利用无害的滴管应用程序部署在Android系统上,然后滴管程序就会将自身伪装成一些实用以及有生产力的应用程序,如果有用户进行安装了,那么该木马就会对用户进行骗取相关的授权。
X0_0X
暂无描述