反病毒軟件廠商Kaspersky實驗室研究人員近日在Google Play上發(fā)現(xiàn)，幾個用來竊取移動交易認證碼(mTAN)的惡意安卓app被銀行通過短信服務(wù)(SMS)發(fā)給了用戶。

Kaspersky高級惡意軟件分析師Denis Maslennikov周五在博客中表示，這些app是由一個團伙所創(chuàng)建，它們使用了各種Carberp銀行惡意軟件，目標(biāo)是幾個俄羅斯的銀行。

許多銀行使用mTAN作為一種安全手段，以保護在線銀行賬戶在交易中免遭網(wǎng)絡(luò)罪犯攻擊。當(dāng)交易從在線銀行賬戶發(fā)出時，銀行會通過短信服務(wù)信息將唯一的mTAN代碼發(fā)到賬戶擁有者的手機上。賬戶擁有者必須將該代碼輸入在線銀行網(wǎng)站，以便獲取交易許可。

為攻破這類防御，網(wǎng)絡(luò)罪犯創(chuàng)建了惡意移動app，可自動隱藏與目標(biāo)銀行相關(guān)號碼的短信服務(wù)信息，并悄悄將這些信息傳回他們的服務(wù)器。當(dāng)從一個受感染的計算機上訪問銀行網(wǎng)站時，受害者會被騙下載并安裝這些app到手機上。

目前，SMS盜竊app已經(jīng)與Zeus和SpyEye銀行木馬程序一起使用，以Zeus-in-the-Mobile (ZitMo)和SpyEye-in-the-Mobile (SpitMo)聞名。然而，Maslennikov表示，流氓移動組件被特別設(shè)計成Carberp惡意軟件，這還是第一次發(fā)現(xiàn)。

與Zeus和pyEye不同，Carberp木馬程序首先被用來攻擊在線銀行客戶，這些用戶來自俄羅斯及其他俄語國家，像烏克蘭、白俄羅斯或哈薩克斯坦。

7月份反病毒廠商ESET的一份報告顯示，俄羅斯當(dāng)局逮捕了三個最大的Carberp幕后操縱者。然而，該惡意軟件仍在繼續(xù)被其他團伙使用，并且，依據(jù)不同版本和特征，它在地下市場以5000美元到4萬美元的價格被出售。

ESET高級惡意軟件專家Aleksandr Matrosov周五表示，這是他們第一次看到來自Carberp團伙的移動惡意軟件。

Maslennikov說，在Google Play上發(fā)現(xiàn)的這種新的Carberp-in-the-Mobile (CitMo) app 喬裝成正常的移動app，這些app來自俄羅斯最大的兩個銀行——Sberbank和Alfa-Bank，以及使用最廣泛的社交網(wǎng)絡(luò)Vkontakte。

網(wǎng)絡(luò)罪犯上傳這些app到Google Play上，讓人對app市場反惡意軟件防御的效果產(chǎn)生質(zhì)疑，比如：谷歌今年早些時候公布的Bouncer反惡意軟件瀏覽器。

反病毒廠商Bitdefender高級電子威脅專家Bogdan Botezatu認為，Google的Bouncer檢測ZitMo, SpitMo 或CitMo并不容易，因為他們本身就只是針對一些合法app程序的。

他表示，SMS攔截及樣本代碼早有記載。如果同樣的樣本代碼被用于惡意軟件和合法app，那它就更被難檢測和阻斷了。