一种名为“Antidot”的银行木马由Cyble研究团队发现,影响Google Android设备,并伪装成Google Play更新。这款恶意软件通过多种语言(包括德语、法语、西班牙语、俄语、葡萄牙语、罗马尼亚语和英语)展示虚假的Google Play更新页面,表明其目标区域广泛。
Antidot使用叠加攻击和键盘记录技术来收集敏感信息,例如登录凭据。叠加攻击创建模仿合法应用程序的虚假界面,诱骗用户输入信息,而键盘记录技术则捕获用户的每一个击键,从而获取全面的数据,包括密码和其他敏感输入。
Cyble的Android恶意软件研究员Rupali Parate解释说,Antidot恶意软件利用了“可访问性”服务。一旦受害者安装并授予权限,恶意软件就会与其命令和控制(C2)服务器建立通信,接收命令。服务器通过机器人ID注册设备以进行持续通信。恶意软件向服务器发送已安装的应用程序包名称列表,以识别目标应用程序。
在识别目标应用后,服务器发送覆盖注入URL(HTML钓鱼页面),每当受害者打开正版应用程序时,假页面就会显示。受害者在假页面上输入凭据时,键盘记录模块将数据传输到C2服务器,使恶意软件获取凭据。
Parate指出,Antidot的独特之处在于其使用WebSocket与C2服务器保持通信,实现实时双向交互,使攻击者能够对受感染设备进行重大控制。Antidot执行的命令包括收集SMS消息、启动非结构化补充服务数据(USSD)请求,以及远程控制相机和屏幕锁等设备功能。该恶意软件还使用MediaProjection实现VNC(虚拟网络计算)远程控制,进一步增强其威胁潜力。
被感染设备的远程控制功能允许黑客执行完整的欺诈链,他们可以监控实时活动、执行未经授权的交易、访问私人信息,并操纵设备,就像他们实际持有设备一样。这种能力最大化了他们利用受害者财政资源和个人数据的潜力。
Parate强调,Android银行木马的出现构成了重大威胁,因为它们可以绕过传统的安全措施,利用用户信任,并广泛访问个人和财务信息。这些木马可以在后台默默运行,难以被发现,同时不断泄露敏感数据,导致严重的财务和隐私泄露。
她还指出,银行木马通过先进的混淆技术、实时C2通信和多层攻击策略变得更加复杂,例如将叠加攻击、键盘记录和VNC组合用于远程控制。Antidot Trojan显示了移动恶意软件日益复杂和有针对性的趋势,强调了改进安全措施和用户意识的必要性,以对抗日益复杂的移动恶意软件。
银行木马继续在全球范围内扩散,例如2022年首次发现的教父移动银行木马,现在针对57个国家的237个银行应用程序,以及针对越南组织的GoldDigger恶意软件。