信息化觀察網

Cleafy的網絡安全研究人員發(fā)現(xiàn)了一種新的Android銀行木馬，它能夠通過濫用ATS來規(guī)避多因素身份驗證控制。

10月底，來自Cleafy的網絡安全研究人員發(fā)現(xiàn)了該惡意軟件，該惡意軟件似乎不屬于任何已知家族。

現(xiàn)在被稱為SharkBot的Android惡意軟件已被追蹤，其攻擊重點是從運行谷歌Android操作系統(tǒng)的易受攻擊的手機中竊取資金。

到目前為止，已經在英國、意大利和美國發(fā)現(xiàn)了感染。

相信SharkBot很可能是一個私有僵尸網絡，目前仍處于早期發(fā)展階段。

研究人員稱，SharkBot是模塊化惡意軟件，屬于能夠基于自動傳輸系統(tǒng)(ATS)系統(tǒng)執(zhí)行攻擊的下一代移動惡意軟件。

ATS允許攻擊者以最少的人工輸入自動填寫受感染設備上的字段。與Gustuff銀行木馬相同，啟動自動填充服務以促進通過合法金融服務應用程序進行欺詐性資金轉移——這是惡意軟件開發(fā)的總體趨勢，也是手機上舊盜竊技術（例如使用網絡釣魚）的一個支點域。

Cleafy建議SharkBot使用這種技術來試圖繞過行為分析、生物特征檢查和多因素身份驗證(MFA)——因為不需要注冊新設備。然而，為了做到這一點，惡意軟件必須首先破壞Android無障礙服務。

一旦在Android手機上執(zhí)行，SharkBot將立即請求可訪問權限——并會用彈出窗口困擾受害者，直到獲得批準。

不顯示安裝圖標?，F(xiàn)在有了它需要的所有手機權限，SharkBot將悄悄地執(zhí)行標準的窗口覆蓋攻擊，以竊取憑據(jù)和信用卡信息、基于ATS的盜竊，并且還能夠鍵入日志并攔截或隱藏傳入的SMS消息。

研究人員表示，銀行木馬還能夠代表受害者執(zhí)行“手勢”。

國際銀行和加密貨幣服務提供的應用程序正在成為目標。

一線希望是在官方Android應用程序存儲庫Google Play商店中沒有找到任何示例。相反，惡意軟件必須通過旁加載從外部源加載——供應商警告的這種做法可能很危險，因為這允許惡意應用程序繞過Google Play安全控制。

在撰寫本文時，SharkBot的防病毒解決方案檢測率很低。

Cleafy說：“隨著SharkBot的發(fā)現(xiàn)，我們展示了移動惡意軟件如何快速尋找新的欺詐方法，試圖繞過多家銀行和金融服務機構在過去幾年實施的行為檢測對策的新證據(jù)。”“就像過去幾年工作站惡意軟件的演變一樣，在移動領域，我們看到了向ATS攻擊等更復雜模式的快速演變。”