新的安卓恶意软件“MaliBot“能够窃取财务和个人信息

F5 Labs 的研究人员发现了一个新的 Android 恶意软件家族，能够在控制受感染的设备后泄露财务和个人信息。

该恶意软件被称为 MaliBot，伪装成加密货币挖掘应用程序，但也可能伪装成 Chrome 浏览器或其他应用程序。在受感染的设备上，威胁主要集中在获取财务信息以及窃取加密货币和个人身份信息 (PII)。

该恶意软件使用 VNC 服务器实现，允许它控制受感染的设备，并且还旨在窃取和绕过多因素身份验证 (MFA)。

据 F5 Labs称，MaliBot 的命令和控制 (C&C) 位于俄罗斯，使用之前用于分发 Sality 恶意软件的相同服务器。自 2020 年 6 月以来，该 IP 已被用于发起各种其他恶意活动。

对 MaliBot 的分析揭示了多种能力，包括对 Web 注入和覆盖攻击的支持、运行和删除应用程序的能力以及窃取大量信息（包括 cookie、MFA 代码和 SMS 消息）的能力，以及更多的。

MaliBot 正在通过欺诈性网站分发，试图诱骗目标受害者下载恶意软件，而不是流行的加密货币跟踪应用程序“TheCryptoApp”，或通过 smishing 进行分发。

对于大多数恶意操作，MaliBot 滥用了 Android Accessibility API，这使得它可以在没有用户交互的情况下执行操作，并让它在受感染的设备上保持持久性。

该恶意软件还可以通过使用 Accessibility API 验证 Google 提示来绕过 Google 的 2FA 机制。它还窃取 2FA 代码并将其发送给攻击者，然后将代码输入到受害者设备上。

当向 C&C 服务器注册受感染的设备时，恶意软件还会发送应用程序列表，该列表用于识别可在用户启动的应用程序之上使用的覆盖/注入。

MaliBot 拥有使用 Accessibility API 的权限，还可以实现 VNC 服务器，为攻击者提供对受感染设备的完全控制。

该恶意软件还可以按需发送 SMS 消息（主要用于发送短信），可以记录异常，并通过将自身注册为启动器来保持其后台服务运行（这也允许在启动应用程序时通知它）。

F5 Labs 观察到 MaliBot 针对西班牙和意大利银行客户的攻击，但请注意，该威胁也可能很快开始针对其他地区的用户。