Android7 Android8版本银行特洛伊木马程序LokiBot

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

新发现的针对 Android 7 和8版本的银行特洛伊木马程序使用相同的命令和控制 (c & c) 服务器作为 LokiBot, 威胁结构 (以前称为 SfyLabs) 报告。

Android7 Android8版本银行特洛伊木马程序LokiBot

被称为MysteryBot, 新的威胁似乎是一个更新LokiBot或一个全新的恶意软件家庭从同一威胁演员。与 LokiBot、新名称和修改后的网络通信相比, 它具有改进的命令。

虽然具有通用的 Android 银行特洛伊木马功能, 新的恶意软件在人群中脱颖而出, 以新颖的覆盖, keylogging 和勒索能力, 研究人员发现.

支持的命令列表包括: 调用给定的电话号码、获取联系人列表信息、转发呼叫、复制所有 SMS 消息、记录击键、加密外部存储中的文件和删除所有联系人、向所有联系人发送 SMS 消息、更改默认值sms 应用程序, 调用 USSD 号码, 删除所有 sms 消息, 并发送 sms 消息。

除了这些功能之外, 特洛伊木马程序还可以将仿冒网页覆盖在合法应用程序之上, 并使用一种新的技术来确保 Android 7 和8设备的成功。

安全增强的 Linux (SELinux) 和其他安全控制在新的 Android 版本中的限制是为了防止恶意软件在合法的应用程序上显示假窗口。新的技术利用 Android PACKAGE_USAGE_STATS权限 (使用访问权限) 绕过限制, 还滥用AccessibilityService获得权限。

作为一个 Adobe Flash 播放器应用程序, 恶意软件要求受害者授予它的使用访问权限, 这使其邪恶的能力。然后, 恶意软件将尝试监视前台应用程序的包名称。它针对覆盖范围超过100个应用程序, 包括移动银行和社交平台应用程序。

MysteryBot 还使用一种新的记录击键方法: 它计算屏幕上键的位置 (它认为每个键在屏幕上都有一个设置位置), 并对它们各自放置不同的视图 (宽度和高度0像素), 允许它注册已按下的键。

但是, 代码似乎正在开发中, 因为恶意软件尚未包括将已记录的击键发送到 c & c 服务器的能力。

该恶意软件还包括锁柜/勒索功能, 这是管理从一个单独的仪表板比木马, 研究员透露。MysteryBot 可以单独加密外部存储目录中的每个文件, 然后删除原始文件。

恶意软件将每个文件置于受密码保护的 ZIP 存档中, 但对所有存档使用相同的密码 (在运行时生成密钥)。在完成加密时, 恶意软件会显示一个对话, 声称受害者观看了色情材料, 并指示他们通过电子邮件与攻击者联系。

安全研究人员发现, 恶意软件使用的密码只有8个字符长, 并且只使用拉丁字母表 (大写和小写) 和数字组合的字符。此外, 分配给每个受害者的 id 只能是介于0和9999之间的数字, 这意味着该 id 实际上可以分配给多个受害者。

"虽然某些 android 银行恶意软件家庭, 如但不限于 ExoBot 2.5, 阿努比斯 II, DiseaseBot 一直在探索新的技术来执行对 Android 7 和8的覆盖攻击, 似乎 MysteryBot 的演员已经成功地实施了一个变通解决方案, 并在创新上花了一些时间, "威胁结构的结论。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: