關(guān)鍵詞 惡意軟件

　　Cleafy 的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種新的 Android 銀行木馬，它能夠通過濫用 ATS 來規(guī)避多因素身份驗(yàn)證控制。

　　10 月底，來自 Cleafy 的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了該惡意軟件，該惡意軟件似乎不屬于任何已知家族。

　　現(xiàn)在被稱為 SharkBot的 Android 惡意軟件已被追蹤，其攻擊重點(diǎn)是從運(yùn)行谷歌 Android 操作系統(tǒng)的易受攻擊的手機(jī)中竊取資金。

　　到目前為止，已經(jīng)在英國、意大利和美國發(fā)現(xiàn)了感染。

　　相信SharkBot很可能是一個(gè)私有僵尸網(wǎng)絡(luò)，目前仍處于早期發(fā)展階段。

　　研究人員稱，SharkBot 是模塊化惡意軟件，屬于能夠基于自動(dòng)傳輸系統(tǒng) （ATS） 系統(tǒng)執(zhí)行攻擊的下一代移動(dòng)惡意軟件。

　　ATS 允許攻擊者以最少的人工輸入自動(dòng)填寫受感染設(shè)備上的字段。與 Gustuff 銀行木馬相同，啟動(dòng)自動(dòng)填充服務(wù)以促進(jìn)通過合法金融服務(wù)應(yīng)用程序進(jìn)行欺詐性資金轉(zhuǎn)移——這是惡意軟件開發(fā)的總體趨勢(shì)，也是手機(jī)上舊盜竊技術(shù)（例如使用網(wǎng)絡(luò)釣魚）的一個(gè)支點(diǎn)域。

　　Cleafy 建議 SharkBot 使用這種技術(shù)來試圖繞過行為分析、生物特征檢查和多因素身份驗(yàn)證 （MFA）——因?yàn)椴恍枰?cè)新設(shè)備。然而，為了做到這一點(diǎn)，惡意軟件必須首先破壞 Android 無障礙服務(wù)。

　　一旦在 Android 手機(jī)上執(zhí)行，SharkBot 將立即請(qǐng)求可訪問權(quán)限——并會(huì)用彈出窗口困擾受害者，直到獲得批準(zhǔn)。

　　不顯示安裝圖標(biāo)?，F(xiàn)在有了它需要的所有手機(jī)權(quán)限，SharkBot 將悄悄地執(zhí)行標(biāo)準(zhǔn)的窗口覆蓋攻擊，以竊取憑據(jù)和信用卡信息、基于 ATS 的盜竊，并且還能夠鍵入日志并攔截或隱藏傳入的 SMS 消息。

　　研究人員表示，銀行木馬還能夠代表受害者執(zhí)行“手勢(shì)”。

　　國際銀行和加密貨幣服務(wù)提供的應(yīng)用程序正在成為目標(biāo)。

　　一線希望是在官方 Android 應(yīng)用程序存儲(chǔ)庫 Google Play 商店中沒有找到任何示例。相反，惡意軟件必須通過旁加載從外部源加載——供應(yīng)商警告的這種做法可能很危險(xiǎn)，因?yàn)檫@允許惡意應(yīng)用程序繞過 Google Play 安全控制。

　　在撰寫本文時(shí)，SharkBot 的防病毒解決方案檢測率很低。

　　Cleafy 說：“隨著 SharkBot 的發(fā)現(xiàn)，我們展示了移動(dòng)惡意軟件如何快速尋找新的欺詐方法，試圖繞過多家銀行和金融服務(wù)機(jī)構(gòu)在過去幾年實(shí)施的行為檢測對(duì)策的新證據(jù)。” “就像過去幾年工作站惡意軟件的演變一樣，在移動(dòng)領(lǐng)域，我們看到了向 ATS 攻擊等更復(fù)雜模式的快速演變?！?/p>