安全研究人员发现,最危险的安卓银行特洛伊木马家族之一现已被修改,在其最近的变种中添加了一个键盘记录器,为攻击者提供了另一种窃取受害者敏感数据的方法。

卡巴斯基实验室的高级恶意软件分析师罗曼·乌努切克发现了著名的安卓银行特洛伊木马的一个新变种,名为斯文朋上个月中旬发布了一款新的键盘记录功能,该功能利用了Android的易访问性服务。

特洛伊木马利用“可访问性服务”添加键盘记录器

是的,Svpeng新版本中添加的键盘记录器利用了辅助性服务— Android功能为用户提供了与智能手机设备交互的替代方式。

这一变化使Svpeng特洛伊木马不仅能够从设备上安装的其他应用程序中窃取输入的文本并记录所有击键,还可以授予自身更多权限,以防止受害者卸载特洛伊木马。

去年11月,在谷歌AdSense广告的帮助下,Svpeng银行特洛伊木马在短短两个月的时间里感染了全球超过31.8万台Android设备,这些广告被滥用,传播了恶意银行特洛伊木马。

一个多月前,研究人员还发现了另一个利用Android可访问性服务的攻击,名为隐形匕首攻击,这使得黑客可以悄悄地完全控制受感染的设备并窃取私人数据。

如果你是俄罗斯人,你就安全了!

尽管Svpeng恶意软件的新变种尚未广泛部署,但在一周的时间里,该恶意软件已经攻击了23个国家的用户,其中包括俄罗斯、德国、土耳其、波兰和法国。

但值得注意的是,尽管大多数受感染的用户来自俄罗斯,但Svpeng特洛伊木马的新变种不会在这些设备上执行恶意操作。

据Unuchek称,在感染设备后,特洛伊木马程序首先检查设备的语言。如果语言是俄语,恶意软件会阻止进一步的恶意任务—;这表明该恶意软件背后的犯罪集团是俄罗斯人,他们正在避免通过黑客攻击当地人来违反俄罗斯法律。

“Svpeng”特洛伊木马如何窃取您的资金

Unuchek说,他在7月份发现的最新版本的Svpeng是通过伪装成假Flash播放器的恶意网站传播的。

正如我前面提到的,一旦安装,恶意软件会首先检查设备语言,如果语言不是俄语,会要求设备使用可访问性服务,这会使受感染的设备面临许多危险的攻击。

通过访问可访问性服务,特洛伊木马授予自己设备管理员权限,在合法应用的顶部显示覆盖,将自己安装为默认SMS应用,并授予自己一些动态权限,例如拨打电话、发送和接收SMS以及读取联系人的能力。

此外,利用新获得的管理功能,该特洛伊木马可以阻止受害者删除设备管理员权限的每一次尝试—;从而防止卸载恶意软件。

通过易访问性服务,Svpeng可以访问设备上其他应用程序的内部工作,允许特洛伊木马窃取在其他应用程序上输入的文本,并在受害者每次按下键盘上的按钮时截屏,以及其他可用数据。

Unuchek说:“一些应用程序,主要是银行应用程序,不允许在上面截图。在这种情况下,特洛伊木马程序还有另一个选项可以窃取数据–;它会在被攻击的应用程序上绘制钓鱼窗口。”。

“有趣的是,为了找出哪个应用程序在上面,它还使用了可访问性服务。”

所有被盗信息随后被上传到攻击者的命令和控制(C&C)服务器。作为研究的一部分,Unuchek说他设法从恶意软件的C&C服务器。

解密该文件有助于他找到Svpeng针对的一些网站和应用程序,并帮助他获得PayPal和eBay移动应用程序的钓鱼页面URL,以及来自英国、德国、土耳其、澳大利亚、法国、波兰和新加坡的银行应用程序链接。

除了URL,该文件还允许恶意软件接收来自C&C服务器,包括发送短信、收集联系人、已安装的应用程序和通话记录等信息、打开恶意链接、收集设备上的所有短信,以及窃取收到的短信。

ESET的恶意软件研究人员卢卡斯·斯特凡科(Lukas Stefanko)与《黑客新闻》(The Hacker News)分享了一段视频(见下文),展示了该恶意软件的工作原理。

“Svpeng”安卓银行恶意软件的演变

卡巴斯基实验室的研究人员最初在2013年发现了Svpeng安卓银行恶意软件特洛伊木马,其主要功能为—;网络钓鱼

早在2014年,该恶意软件被修改为添加一个勒索软件组件,该组件锁定了受害者的设备(FBI因为他们访问了包含色情内容的网站),并向用户索要500美元。

该恶意软件是最早开始攻击短信银行业务、使用网络钓鱼网页覆盖其他应用程序以窃取银行凭证、拦截设备和要钱的软件之一。

2016年,网络犯罪分子利用Chrome web浏览器中的漏洞通过谷歌AdSense积极传播Svpeng,现在滥用无障碍服务,这可能使Svpeng成为迄今为止最危险的移动银行恶意软件家族,几乎可以窃取任何东西—;从你的Facebook凭证到你的信用卡和银行账户。

如何保护你的智能手机免受黑客攻击

仅通过可访问性服务,此银行特洛伊木马就可以获得从受感染设备窃取大量数据所需的所有权限。

Svpeng恶意软件的恶意技术甚至可以在安装了最新Android版本和所有安全更新的完全更新的Android设备上工作,因此用户几乎无法保护自己。

为了不受影响,您需要遵循以下标准保护措施:

  • 始终坚持使用可信任的资源,如谷歌Play Store和苹果应用商店,但仅限于来自可信任且经过验证的开发人员。
  • 最重要的是,在安装应用程序之前验证应用程序权限。如果任何应用程序的要求超出了它的用途,就不要安装它。
  • 不要从第三方下载应用程序,因为此类恶意软件通常通过不受信任的第三方传播。
  • 避免未知和不安全的Wi-Fi热点,并在不使用时关闭Wi-Fi。
  • 永远不要点击短信、彩信或电子邮件中提供的链接。即使电子邮件看起来合法,也可以直接访问原始网站并验证任何可能的更新。
  • 安装一个好的防病毒应用程序,可以在恶意软件感染你的设备之前检测并阻止它,并始终保持应用程序的最新状态。
特洛伊木马 网络安全
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接