Google Play上發現的銀行木馬可竊取受害者的銀行賬戶
根據捷克警方近日釋出的官方宣告,捷克共和國已經有5名使用者成為了這款惡意軟體的受害者,並且攻擊者已經成功從他們的賬戶上偷走了78000多歐元了。
不過幸運的是,警方已經從布拉格的一處自動取款機監控探頭那裡獲取到了犯罪分子的面部照片 (大兄弟,你確定你是專業的?) 。
據瞭解,這款偽裝成QRecorder的惡意軟體是一款Android端銀行木馬,並且可從Google+Play/">Google Play上直接下載安裝,目前該惡意軟體的裝機量已經超過了10000臺。目標裝置感染了”QRecorder”之後,惡意軟體會誘騙使用者輸入自己的銀行賬號憑證,並將這些資料傳送給攻擊者。值得一提的是,該惡意軟體可以繞過基於SMS簡訊的雙因素驗證機制!
分析資料表明,這款惡意軟體主要針對的是德國、波蘭和捷克銀行的使用者。根據相關銀行釋出的宣告,目前已有兩名受害者將事件上報給了銀行,這兩名客戶的財產損失總金額超過了10900歐元。
惡意軟體分析
這款木馬偽裝成了一款名叫QRecorder的App,這款App原本是一款語音通話錄音工具:
啟動之後,它會提示使用者安裝其他的應用程式來完善自己的功能(或提示安裝其他應用來保證自己的正常執行)。當然了,安裝了所謂的“其他應用”之後,使用者將感染木馬病毒。
接下來,這款App會正常執行,不過它會在後臺等待攻擊者傳送過來的控制命令。
根據研究人員的分析結果,這些控制命令會在目標使用者感染了惡意軟體的24小時之內送達。
攻擊者在與受感染裝置進行通訊時使用的是Firebase訊息,攻擊者首先會詢問目標裝置是否安裝了目標銀行App。如果安裝了,他會給目標裝置傳送一條包含了Payload和解密金鑰的下載連結,其中Payload採用了AES加密。在下載Payload之前,他會請求使用者啟用輔助服務,並利用這種許可權來自動下載、安裝和執行惡意Payload。當Payload下載成功之後,它會嘗試觸發合法銀行App執行。一旦執行後,惡意軟體會建立一個介面外觀跟合法銀行App類似的頁面覆蓋層,當用戶在這個覆蓋層頁面輸入了自己的憑證之後,攻擊者也就獲取到了“一切”。
感染演示視訊
下面給大家提供的是一個真實的感染案例:
根據研究人員對惡意軟體程式碼的分析,我們可以斷定該惡意活動的主要目標是德國、波蘭和捷克銀行。針對不同銀行的App,惡意軟體會建立不同的具有針對性的Payload。不過,研究人員目前還無法獲取到解密金鑰並識別所有的目標。
入侵威脅指標IoC
*參考來源: ofollow,noindex" target="_blank">lukasstefanko ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM