HackerNews 编译,转载请注明出处:
网络安全研究人员发现了一种名为“Crocodilus”的新型Android银行木马,其主要攻击目标是西班牙和土耳其的用户。
据ThreatFabric称,Crocodilus甫一登场便是一个成熟的威胁,具备现代技术,如远程控制、黑屏覆盖以及通过辅助功能记录数据等。
与其他同类银行木马一样,该恶意软件旨在实现设备接管(DTO),并最终进行欺诈交易。对源代码和调试消息的分析显示,该恶意软件的作者使用的是土耳其语。
荷兰移动安全公司ThreatFabric分析的Crocodilus样本伪装成谷歌Chrome浏览器(软件包名称为“quizzical.washbowl.calamity”),充当一个能够绕过Android 13及以上版本限制的下载程序。
安装并启动后,该应用会请求访问Android辅助功能服务,随后与远程服务器建立联系,以接收进一步指令、被攻击的金融应用列表以及用于窃取凭证的HTML覆盖层。
Crocodilus还能够针对加密货币钱包发起攻击,其覆盖层不是提供一个虚假的登录页面来捕获登录信息,而是显示一条警告信息,敦促受害者在12小时内备份他们的种子短语,否则可能会失去对钱包的访问权限。
这种社会工程技巧不过是威胁行为者的一种手段,目的是引导受害者访问其种子短语,然后通过滥用辅助功能服务来收集这些短语,从而让他们能够完全控制钱包并转移资产。
“它持续运行,监控应用启动并显示覆盖层以拦截凭证,”ThreatFabric说,“该恶意软件监控所有辅助功能事件并捕获屏幕上显示的所有元素。”
这使得恶意软件能够记录受害人在屏幕上执行的所有操作,以及触发对Google Authenticator应用内容的屏幕截图。
Crocodilus的另一个特点是能够通过显示黑屏覆盖层来隐藏设备上的恶意行为,同时静音声音,从而确保这些行为不被受害者发现。
该恶意软件支持的一些重要功能如下:
- 启动指定的应用程序从设备上自我删除发送推送通知向所有/选定联系人发送短信获取联系人列表获取已安装的应用程序列表获取短信请求设备管理权限启用黑屏覆盖层更新C2服务器设置启用/禁用声音启用/禁用键盘记录使自己成为默认的短信管理器
“Crocodilus移动银行木马的出现标志着现代恶意软件的复杂性和威胁水平有了显著的升级,”ThreatFabric说,“凭借其先进的设备接管能力、远程控制功能,以及从最早版本就开始部署的黑屏覆盖层攻击,Crocodilus展现出了在新发现的威胁中不常见的成熟度。”
与此同时,Forcepoint披露了一项网络钓鱼活动的细节,该活动被发现利用税务主题的诱饵来分发针对墨西哥、阿根廷和西班牙Windows用户的Grandoreiro银行木马,其传播手段是一种经过混淆处理的Visual Basic脚本。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
