近日，來(lái)自 ThreatFabric 的研究人員發(fā)現(xiàn)了一種名為Xenomorph的新Android銀行木馬，它通過(guò)已安裝超過(guò) 50,000 次的官方 google Play 商店分發(fā)。該銀行木馬已攻擊 56 家歐洲銀行，并從其客戶的設(shè)備中竊取敏感信息。對(duì)代碼的分析顯示存在未實(shí)現(xiàn)的功能和大量的日志記錄，這種情況表明這種威脅正在積極開(kāi)發(fā)中。

詳細(xì)內(nèi)容

Xenomorph共享與Alien銀行木馬重疊，但它的功能與Alien的功能完全不同。研究人員推測(cè)，這兩種惡意軟件可能是由同一行為者開(kāi)發(fā)的，或者至少是由熟悉 Alien 銀行木馬代碼庫(kù)的人開(kāi)發(fā)的。

Alien于2020年9月被ThreatFabric發(fā)現(xiàn)，它實(shí)現(xiàn)了多種功能，允許它從226個(gè)應(yīng)用程序中竊取憑據(jù)。外星人操作提供惡意軟件即服務(wù) (MaaS)，并在幾個(gè)地下黑客論壇上做廣告。據(jù)研究人員稱，Alien借用了Cerberus惡意軟件的部分源代碼。

ThreatFabric 指出，Cerberus 運(yùn)營(yíng)商試圖出售他們的項(xiàng)目，因?yàn)橛捎诜缸飯F(tuán)伙中開(kāi)發(fā)團(tuán)隊(duì)的缺陷，惡意軟件中的幾個(gè)問(wèn)題長(zhǎng)期沒(méi)有得到解決。解決問(wèn)題的延遲使 Google Play Protect 能夠檢測(cè)到所有受感染設(shè)備上的威脅。Alien不受相同問(wèn)題的影響，這也是其MaaS模式成功的原因

Alien 被認(rèn)為是下一代銀行木馬，它還在其代碼庫(kù)中實(shí)現(xiàn)了遠(yuǎn)程訪問(wèn)功能。Xenomorph 與 Alien 一樣，能夠繞過(guò) Google Play 商店實(shí)施的安全保護(hù)，研究人員在官方商店中發(fā)現(xiàn)它偽裝成生產(chǎn)力應(yīng)用程序，例如“Fast Cleaner”。

快速清潔器 (vizeeva.fast.cleaner) 仍可在 Play 商店中使用，對(duì)疊加層的分析顯示 Xenomorph 是針對(duì)來(lái)自西班牙、葡萄牙、意大利和比利時(shí)的用戶以及一些通用應(yīng)用程序(如電子郵件服務(wù))開(kāi)發(fā)的和加密貨幣錢包。

Xenomorph 利用 由Accessibility Services 權(quán)限支持的經(jīng)典覆蓋攻擊作為攻擊媒介。

一旦惡意軟件在設(shè)備上啟動(dòng)并運(yùn)行，它的后臺(tái)服務(wù)就會(huì)在設(shè)備上發(fā)生新情況時(shí)接收可訪問(wèn)性事件。如果打開(kāi)的應(yīng)用程序是目標(biāo)列表的一部分，則 Xenomorph 將觸發(fā)覆蓋注入并顯示冒充目標(biāo)包的 WebView Activity。這里是觸發(fā)覆蓋的幾個(gè)示例。此外，惡意軟件能夠?yàn)E用輔助功能服務(wù)來(lái)記錄設(shè)備上發(fā)生的一切。在撰寫(xiě)本文時(shí)，收集到的所有信息僅顯示在本地設(shè)備日志上，但將來(lái)只需進(jìn)行非常小的修改就足以為惡意軟件添加鍵盤記錄和可訪問(wèn)性記錄功能。

Xenomorph 顯示了騙子對(duì)利用 Google Play 商店傳播惡意軟件的興趣，以及他們致力于繞過(guò) Google 實(shí)施的安全檢查的努力。

Xenomorph 的出現(xiàn)再次表明，威脅行為者正在將注意力集中在在官方市場(chǎng)上登陸應(yīng)用程序上?？紤]到我們最近觀察到 美杜莎和卡巴蘇斯也在并排發(fā)行，這也是滴管和分銷參與者的地下市場(chǎng)活動(dòng)增加的一個(gè)信號(hào)。Xenomorph 目前是一款普通的 Android 銀行木馬，有很多尚未開(kāi)發(fā)的潛力，很快就會(huì)發(fā)布?，F(xiàn)代銀行惡意軟件正在以非常快的速度發(fā)展，犯罪分子開(kāi)始采用更精細(xì)的開(kāi)發(fā)實(shí)踐來(lái)支持未來(lái)的更新。Xenomorph 處于這一變化的最前沿。