Google Play上发现的银行木马可窃取受害者的银行账户

栏目: 编程工具 · 发布时间: 6年前

内容简介:根据捷克警方近日发布的官方声明,捷克共和国已经有5名用户成为了这款恶意软件的受害者,并且攻击者已经成功从他们的账户上偷走了78000多欧元了。不过幸运的是,警方已经从布拉格的一处自动取款机监控探头那里获取到了犯罪分子的面部照片

Google Play上发现的银行木马可窃取受害者的银行账户

根据捷克警方近日发布的官方声明,捷克共和国已经有5名用户成为了这款恶意软件的受害者,并且攻击者已经成功从他们的账户上偷走了78000多欧元了。

不过幸运的是,警方已经从布拉格的一处自动取款机监控探头那里获取到了犯罪分子的面部照片 (大兄弟,你确定你是专业的?)

Google Play上发现的银行木马可窃取受害者的银行账户

据了解,这款伪装成QRecorder的恶意软件是一款Android端银行木马,并且可从Google Play上直接下载安装,目前该恶意软件的装机量已经超过了10000台。目标设备感染了”QRecorder”之后,恶意软件会诱骗用户输入自己的银行账号凭证,并将这些数据发送给攻击者。值得一提的是,该恶意软件可以绕过基于SMS短信的双因素验证机制!

分析数据表明,这款恶意软件主要针对的是德国、波兰和捷克银行的用户。根据相关银行发布的声明,目前已有两名受害者将事件上报给了银行,这两名客户的财产损失总金额超过了10900欧元。

恶意软件分析

这款木马伪装成了一款名叫QRecorder的App,这款App原本是一款语音通话录音工具:

Google Play上发现的银行木马可窃取受害者的银行账户

启动之后,它会提示用户安装其他的应用程序来完善自己的功能(或提示安装其他应用来保证自己的正常运行)。当然了,安装了所谓的“其他应用”之后,用户将感染木马病毒。

Google Play上发现的银行木马可窃取受害者的银行账户

接下来,这款App会正常运行,不过它会在后台等待攻击者发送过来的控制命令。

根据研究人员的分析结果,这些控制命令会在目标用户感染了恶意软件的24小时之内送达。

攻击者在与受感染设备进行通信时使用的是Firebase消息,攻击者首先会询问目标设备是否安装了目标银行App。如果安装了,他会给目标设备发送一条包含了Payload和解密密钥的下载链接,其中Payload采用了AES加密。在下载Payload之前,他会请求用户激活辅助服务,并利用这种权限来自动下载、安装和运行恶意Payload。当Payload下载成功之后,它会尝试触发合法银行App运行。一旦运行后,恶意软件会创建一个界面外观跟合法银行App类似的页面覆盖层,当用户在这个覆盖层页面输入了自己的凭证之后,攻击者也就获取到了“一切”。

感染演示视频

下面给大家提供的是一个真实的感染案例:

根据研究人员对恶意软件代码的分析,我们可以断定该恶意活动的主要目标是德国、波兰和捷克银行。针对不同银行的App,恶意软件会创建不同的具有针对性的Payload。不过,研究人员目前还无法获取到解密密钥并识别所有的目标。

Google Play上发现的银行木马可窃取受害者的银行账户

入侵威胁指标IoC

Google Play上发现的银行木马可窃取受害者的银行账户

*参考来源: lukasstefanko ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《Google Play上发现的银行木马可窃取受害者的银行账户》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

掘金大数据

掘金大数据

程新洲、朱常波、晁昆 / 机械工业出版社 / 2019-1 / 59.00元

在数据横向融合的时代,充分挖掘数据金矿及盘活数据资产,是企业发展和转型的关键所在。电信运营商以其数据特殊性,必将成为大数据领域的领航者、生力军。各行业的大数据从业者要如何从电信业的大数据中挖掘价值呢? 本书彻底揭开电信运营商数据的神秘面纱,系统介绍了大数据的发展历程,主要的数据挖掘方法,电信运营商在网络运行及业务运营方面的数据资源特征,基于用户、业务、网络、终端及内在联系的电信运营商大数据分......一起来看看 《掘金大数据》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具